שינוי בפרוטוקול אבטחת מידע: ניהול מחזור חיי תעודות SSL/TLS בעידן התעודה הקצרה

מבט מקצועי על האתגר התפעולי החדש של מנהלי התשתיות

 

מאת: ארז ברוך, CTO, אינטגריטי תוכנה

 

המפגש בין אבטחה תאורטית למורכבות תפעולית

בעולם הדיגיטלי של היום, ההמלצה להצפנת כל התעבורה מחייבת אותנו בהתקנת תעודה, הן לשירותים פנימיים כמו פורטלים ארגוניים, שירותי דואר ומערכות CRM והן לשירותים חיצוניים דוגמת גישה מבחוץ, הנגדת API לשותפים/קבלני משנה והכי משמעותי – אתר אינטרנטי ושירותים ללקוחות.

עולם אבטחת המידע עובר שינוי מבני דרמטי בתחום התשתיות הדיגיטליות, אשר משנה את פרדיגמת הניהול של תעודות SSL/TLS. ההחלטה העולמית לצמצם באופן אגרסיבי את תוקף התעודות המקסימלי – מגזירת חיים של חמש שנים לעתיד של פחות מחודשיים (47 ימים) – מונעת משיקולי אבטחה קריטיים: צמצום חלון הזמן הנתון לניצול לרעה של מפתחות שנחשפו או תעודות שאינן בתקן.

אולם, מנקודת מבטם של מנהלי מערכות מידע ותשתיות, שינוי זה מייצר אתגר תפעולי מורכב ובעל פוטנציאל הרסני. ניהול ידני של מאות ואלפי תעודות בפרקי זמן קצרים הוא בלתי אפשרי, והוא מעלה את רמת הסיכון לאירועי Service Downtime הנגרמים מכשל בחידוש. המעבר אינו רק שינוי במספר הימים, אלא דרישה למעבר ארכיטקטוני מלא לאוטומציה של ניהול מחזור חיי ה-PKI  הארגוני.

חשוב לציין, מעל 50% מהתקלות המשביתות של לקוחותינו נגרמו עקב תעודה פגה תוקף !!!

 

ציר הזמן ההיסטורי: קיצור חיי התעודה  (Timeline of Validity Shortening)

הטבלה הבאה מדגימה את האופן שבו ה-CA/B Forum וספקי הדפדפנים המרכזיים (כגון גוגל, מוזילה) מכתיבים מגמה ברורה של צמצום, שתכליתה העלאת רמת ה-Freshness של מפתחות ההצפנה באקו-סיסטם הגלובלי:

שנה / תקופה תוקף מקסימלי של תעודת SSL/TLS שינוי עיקרי והשלכה תפעולית
2012 5 שנים תקופה של ניהול סטטי. תהליכי חידוש נוהלו באופן ידני.
2015 3 שנים תחילת המגמה לקיצור.
2018 825 ימים (כ-27 חודשים) ירידה משמעותית. מנהלי מערכות מידע נדרשו לפתח תהליכי Inventory ובקרה.
2020 398 ימים (שנה אחת) נקודת מפנה. המעבר לשנה חייב כבר אז תחילת אוטומציה בצוותים גדולים.
2026 (מתוכנן) 200 ימים דרישה לחידוש פעמיים בשנה. העומס התפעולי הופך קריטי.
2027 (מתוכנן) 100 ימים תדירות חידוש כמעט רבעונית.
2029 (מתוכנן) 47 ימים בלבד אוטומציה מלאה וניהול רציף (Continuous Management) הופכים לחובה תפעולית חד-משמעית.

 

האתגר התפעולי: מעומס לסיכון

עבור צוותי ה-IT והתשתיות, משמעות השינוי היא מעבר מטיפול במאות תעודות בודדות בשנה, לניהול מחזורי חידוש רציפים של אלפים.

  1. סיכון השבתה או Downtime מוגבר: כשל תפעולי בחידוש תעודה עלול להוביל להפסקת פעילות מיידית של שירות, אתר אינטרנט או רכיב קריטי בתשתית (למשל אתר לקוחות, חיבורי API Load Balancers ,VPN). דקות של השבתה במערכת קריטית כזו הופכות במהירות לנזק תדמיתי וכלכלי ממשי.
  2. חוסר נראות (Visibility): בארגונים מרובי סביבות (On-Premises, Public Cloud, Containers) קשה לאתר את כל נכסי ה- Certificate Inventory (PKI) ולנטר את תוקפם בזמן אמת. הנראות הופכת להיות החוליה החלשה ביותר בשרשרת.
  3. ניהול קונטקסטואלי: הצורך לחזות ולתאם את החידוש בין צוותים שונים (אפליקציות, אבטחה, נטוורקינג) מעלה את הסיכון לטעויות תזמון ו"חורים" תפעוליים.

 

הפתרון: ניהול מחזור חיי תעודות מודרני  (CLM)

בעידן שבו תוקף ה-SSL  יחזיק פחות מחודשיים, הפתרון אינו בתוספת כוח אדם לניהול ידני, אלא בהטמעת פלטפורמות Certificate Lifecycle Management (CLM) ייעודיות.

מערכות אלו, כדוגמת ,CView Enterprise Lifecycle Management מציעות את הפונקציונליות הקריטית הנדרשת כדי להתמודד עם המורכבות החדשה:

  • Discovery & Inventory: יכולת סריקה, גילוי ומיפוי אוטומטי של כל התעודות בארגון, מכל הסוגים ומכל המקורות.
  • Orchestration & Automation: אוטומציה מלאה של תהליך הבקשה, (Request) ההנפקה (Issuance), ההתקנה (Installation) והחידוש (Renewal) של התעודות, ללא התערבות אנושית.
  • Centralized Policy & Alerting: ניהול מדיניות אבטחה מרכזית והתראות פרואקטיביות (Early Warnings) המאפשרות זמן תגובה מספק לפני תאריך התפוגה הקריטי.

 

 

    לקבלת פרטים נוספים השאירו את פרטיכם