您现在所在位置:主页 > 网络安全工具 >

防御ddos_网络安全解决方案_方法

更新时间:2021-06-12

防御ddos_网络安全解决方案_方法

在我们关于构建可伸缩PKI的第四次也是最后一次采访中,我们问Darin我们应该如何自动化证书管理。但是,首先,让我们回顾一下本系列文章到此为止:我们首先从高层次概述了一些关键的PKI用例。然后我们深入研究了公共和私有PKI之间的区别。接下来,我们将介绍一些信息来帮助您确定您的私有PKI是应该使用托管的还是内部的CA。现在,我们继续讨论自动化证书管理的注意事项,以将您的PKI转换为一台高效的计算机。但是,你怎么做到的?我们从询问Darin有关帮助组织自动化证书管理的工具开始我需要什么工具来自动化证书管理?DA公司:在过去的采访中,我们讨论过在您组织的设备上使用证书,这样当他们连接到虚拟专用网络(VPN)时,他们必须提供用户名和密码以及证书。您的下一个问题可能是,"是否有任何证书管理软件解决方案可以实现这一点的自动化?"但是,如果您已经有了企业设备管理软件(根据您管理的设备的数量,您可能会这样做),我建议您找到一个CA,通过与您已经用于管理设备的软件解决方案集成,将证书传递到您的设备。一个很好的例子是我们的restapi与Venafi的集成这些自动化证书管理的集成是如何工作的?DA公司:您应该了解的一件事是,ddos防御软件破解版,您选择的CA是否提供了api供您进行编程。当我说program-against时,我的意思是您可以使用restfulapi端点作为您这边所做编程的一部分。这可能是完全编程,从零开始创建由服务启动的脚本。例如,设备可能会命中服务器。然后,服务器启动访问API端点的脚本,请求证书,将证书拉回,并将其传递给设备。另一个例子是一个已经为一些证书管理编写的软件,但是您需要编写一个小片段,cc防御购买,说明当证书被请求时,将证书请求信息发送给这个脚本,该脚本最终被发送到API。有哪些可以集成到自动化证书管理的软件示例?DA公司:可应用于各种型号的Airway Venum、Caspium和其他解决方案。这些解决方案已经被写下来,以管理包的交付到您的笔记本电脑和其他设备。例如,Venafi允许您在服务器上安装代理。然后,Venafi服务器可以与该代理通信来管理SSL证书。Venafi致力于与CA(如DigiCert)集成,甚至与私有CA(如Microsoft CA)集成以进行证书颁发。例如,支付卡行业(PCI)要求管理处理人们信用卡信息的企业必须如何管理其服务。其中一些要求包括知道设备上有什么。如果您属于这一类,您可能已经使用了Venafi、Airwatch或Casper等工具。除了API集成之外,是否还有其他用于证书管理的选项?DA公司:另一个选择是简单证书注册协议(SCEP)。这需要设备上有一个SCEP代理,并与企业设备管理软件协同工作。软件向设备发送一个脚本,告诉它去获取证书,并提供配置信息来访问SCEP服务。然后,SCEP服务从那里获取设备上的证书。这样做的好处是,任何支持SCEP的设备(Android、microsoftwindows、Apple、Linux和其他支持SCEP代理的操作系统)都可以更快地从概念验证过渡到生产,因为它已经是一个既定的协议。因此,SCEP的好处是代理已经知道如何向设备请求和检索证书。代理将自动将其放入操作系统的密钥存储中。有些企业设备管理系统具有此功能,但这是一个您应该询问您的软件提供商的问题。如果您的软件具有此功能,类似DigiCert restapi的东西可以代替SCEP代理。作为SCEP的继承者,除了支持椭圆曲线密码(ECC)外,安全传输上的注册几乎是相同的。自动化证书管理的第四个主要选项是microsoftactivedirectory(AD)自动注册。这可以用于自动将证书传递到所有Windows PC和服务器上的Microsoft密钥库。对于服务器,Internet信息服务(IIS)使用Microsoft证书存储。其他Microsoft服务(如Exchange Server)使用Microsoft证书存储。但是,可以在不使用Microsoft证书存储的Windows上安装其他web服务。如果您运行的是Tomcat服务器,则需要从Windows应用商店中提取证书以供Tomcat服务使用。它需要在Java密钥存储文件中。在这种情况下,使用restfulapi自动启动这些服务器类型可能更有意义。假设您有一个大项目,您将不得不启动和关闭运行tomcatweb服务的服务器,cc防御asp代码,每个服务器都需要一个证书。如果您想使用脚本自动化所有事情,那么最好使用restfulapi。那么,我如何知道这些解决方案中哪一个最适合我的网络?DA公司:决定是使用API、SCEP、EST还是AD自动注册在很大程度上取决于您所处理的技术。它也可以取决于密钥类型。例如,SCEP适用于RSA密钥类型的证书,但是如果是椭圆曲线,SCEP就不能工作了。它分解为你现有的技术。如果你已经在使用微软的广告,使用广告自动注册可能是最有意义的。如果您有支持API与CA API集成的企业设备管理工具,则可以通过这种方式将证书管理移动到现有工作流中。无论您使用何种技术组合,都可以定制restfulapi来满足您的需求。如果我是连接设备的制造商呢?DA公司:对于物联网(IoT),RESTful API通常最适合于自动向连接的设备传递证书。这些制造商正在设备上编写软件。他们正在编写云服务软件。他们知道如何和他们的设备通话。要添加证书,只需在其云服务上添加一个知道如何与restfulapi通信的简单部分。因此,您有四个主要选项来自动化证书过程:RESTful APISCEP美国东部时间广告自动注册好吧,这就结束了我们关于如何构建一个可扩展的PKI的系列文章。你如何总结整个系列?DA公司:我总结一下,构建可扩展的PKI需要六个步骤:作为安全工程师,您的第一步是评估您自己的环境。这是我经常和顾客一起走过的。总有一些"必须做的事"——你必须保护你的网络服务以供数据输入,你必须保护你的数据库以获取知识,你必须保护你的网络不受外部访问,你必须验证你的网络上正在传输的邮件的真实性。这些都是高层次的概念,但是作为一名安全官员,如果您首先定义这些概念,cc防御验证,那么在这些概念下会出现一系列问题。然后,根据您对PKI的了解,您可以使用签名来识别消息的发送者、加密和解密消息、保护您的网络以进行访问,等等。接下来,您需要了解哪些设备需要证书。从这里开始,高防cdn哪家最好,问题是如何获得这些设备的证书,以及您的设备管理软件是否可以通过API集成来帮助您做到这一点。这些步骤将给你更大的信心和更高的成功率,当你寻求从高级管理层。祝你好运!我们要感谢Darin的专业知识,感谢他花时间做这个关于构建可扩展PKI的系列访谈。如果您想与Darin或其他DigiCert PKI架构师讨论您自己的PKI需求,请致电1.801.701.9690或发送电子邮件enterprise@digicert.com。如何构建可扩展的PKI:自动化[SME访谈]上次修改时间:2017年10月5日,作者:Darin Andrew