מיקומו של שרת הCA בטופולוגיה הארגונית
למי שלא מכיר - מערכת הCA ( ר"ת Certificate Authority ) , היא אותה מערכת אשר מנהלת ומחוללת סרטיפיקטים עבור הארגון , לכל מטרה שהיא - ובעיקר לשם אימות ועבודה מוצפנת מול מערכות שונות. לדוגמא - אחת הדרכים המקובלות כיום לעבוד בתשתית PKI , או להתחבר בVPN , הם באמצעות סרטיפיקט המופק על ידי מערכות הארגון.
בין המערכות שמרכיבות את הCA , תמיד קיים הCRL ( ר"ת Certificate Revocation List ) אשר מולו בעצם מתבצעת הבדיקה - האם הסרטיפיקט קיים וValid , או האם הוא Revoked או פג תוקף מסיבה כלשהי. כמובן שמערכת זו צריכה להיות זמינה לכל הגורמים הרלוונטיים.
הבעיה מתחוללת כאשר אנו מתכננים את התשתית הארגונית להכיל מערכת CA שכזו. חלק ניכר מהארגונים בהם אני נתקל - בוחרים למקם את מערכת הCA בחוות השרתים תחת סגמנט השרתים , או אולי בDMZ, מרחיקי הלכת מתקינים את הCA ברשת השרתים , ואת הCRL ברשת הDMZ . ובעצם התפיסה הרווחת היא שהמטרה שלנו היא להפריד בין המשתמשים לשרת הCA. תפיסה זו שגויה.
אחד הדברים החשובים ביותר בארגון שלנו מבחינת תשתית PKI , הוא הPrivate Key שלנו. אותו מפתח מנוהל על גבי שרת הCA. מסיבה זו בדיוק - הופך שרת הCA לאחד הגורמים החשובים ביותר ברשת שלנו ודורש הגנה מקסימלית. שכן ברגע שנגנב הPRIVATE KEY שלנו , אפשר ללכת הביתה ...
ישנם המון דיונים לגבי טופולוגיה נכונה בהטמעה של מערכות מסוג זה , ואני אציין את אחת הדרכים המועדפות עליי מנסיוני...
ראשית , יש ליצור Subordinate CA , בעצם שרת CA משני אשר נגיש מבחינת המערכות השונות , ואז יש לבצע העברה של שרת הMaster CA לסגמנט משל עצמו ! לא VLAN ולא שום אמצעי לוגי -אלא רגל בFW. לאחר מכן יש למקם אכן את הCRL באיזור DMZ , אך אם הסרטיפיקטים הם לשימוש פנימי ארגוני - למקם אותו באיזור הSDMZ ( ר"ת Secured DMZ ) שמשמעותו שזהו חיץ שאינו נגיש מהאינטרנט או לספקים חיצוניים - אך נגיש לכל המשאבים בארגון. בשלב האחרון , יש לכבות את שרת הCA. אין שום סיבה שהוא יהיה נגיש , שכן המפתח הפרטי המוחזק על ידו לא צריך להיות זמין , ותפקודו של הSCA יהיה פונקציונלי לחלוטין , תוך סיכון פחות של משאבי הרשת.
ישנן עוד תפיסות רבות לגבי הנושא הזה , חלקן אף מוטמעות במוצרים אשר מבצעים בדיוק את תהליכי ההפרדה הנכונה ( מבחינתם ) ומאפשרים שמירה על כללי אבטחת מידע גבוהים יחסית, אך לא תמיד אותן מערכות מותאמות לארגונים , ולא כל מתודולוגיה מקובלת על כל מהנדס\יועץ.
אחת הבעיות בתפיסות של ארגונים שונים לגבי PKI היא שמבחינתם הכל צריך לעבוד מהקופסא , תכנון על פי הStarting Guide של אותו יצרן , ופעמים רבות - לא מעורב יועץ הנדסה בתהליך , מה שגורם למשאבים להיות חשופים, כי מה זה בעצם משנה אם בניתי תשתית מצויינת , ושמתי מערכות PKI והצפנתי את התווך בין השרתים ואת העבודה מול ציודי התקשורת - אבל את המפתח שמתי על השולחן ואומר "אף אחד לא יראה" ...
Labels: architecture, consulting, encryption, managment, privacy