Geçen yıl açıklanan Google’ın teklifi TLS (aktarım katmanı güvenliği) sertifikalarının ömrünün 13 aydan 90 güne düşürülmesi yakın gelecekte hayata geçirilebilir. Kesinlikle güvenliği artıracak ve kötü aktörlerin ele geçirilen veya çalınan sertifikalardan ve özel anahtarlardan yararlanma fırsat penceresini daraltacaktır. Ne yazık ki bu aynı zamanda TLS sertifikalarını yönetmek için gereken zamanı ve enerjiyi de önemli ölçüde artıracaktır.
Yalnızca bir avuç sertifikası olan kuruluşlar için bu büyük bir sorun olmayabilir. Ancak büyük kurumsal kuruluşların çoğu, internete yönelik kritik uygulamalar ve web siteleri için kelimenin tam anlamıyla binlerce TLS sertifikasıyla uğraşmak zorundadır. Bu kuruluşlar için, bir URL’nin güvenli olmadığına dair müşteriye yönelik uyarılardan ve süresi dolmuş sertifikalardan kaynaklanan maliyetli kesintilerden kaçınmak istiyorlarsa, onları yönetme sürecini doğru bir şekilde yürütmek çok önemlidir.
Sonuç olarak, tarafından önerilen yeni 90 günlük TLS sertifikası ömrü Google kurumsal BT’nin üç alanı üzerinde geniş kapsamlı etkileri olacak.
DevOps: Sola kaymanın başka bir nedeni
Konteynerli Kubernetes ortamları DevOps’ta hızla norm haline geliyor ve TLS sertifikaları bu ortamların güvenliğinin sağlanmasında önemli bir rol oynuyor.
Uygulamaların güvenli bir şekilde teslim edilebilmesi ve her zaman kullanılabilir olması için güven ve şifrelenmiş işlemler sağlarlar. TLS sertifikasının süresi dolarsa kritik bir internet uygulaması kullanılamaz hale gelebilir ve güvenilmez hale gelebilir.
Bu sertifikaların yönetilmesi söz konusu olduğunda sola kaydırma yaklaşımı mantıklıdır. Geliştiriciler, sertifika yenileme uyarılarını geliştirme iş akışlarına dahil etmelidir. Sertifika verme ve yenilemeyi otomatikleştirmek için PKI politikalarına uygun olarak self servis sertifika yönetimi yeteneklerine de sahip olmaları gerekir.
90 günlük yaşam süreleri nedeniyle, sertifikaları geniş ölçekte yenileme ve dağıtma görevi manuel süreçler kullanılarak mümkün olmayacaktır. Sürekli olarak yeni uygulamalar ve özellikler sunan DevOps ekiplerinin hızını ve çevikliğini desteklemek gerekli olacaktır.
Güvenlik ekipleri: Dört kat çalışma
Herkese açık uygulamalarda ve web işlemlerinde kullanılan özel verilerin şifrelenmesini ve güvenliğini sağlamak güvenlik ekiplerinin sorumluluğundadır.
Bu, kimlik doğrulama sürecinin merkezinde yer alan TLS sertifikalarının 90 günlük kullanım ömrüne uyum sağlayacak yeni politikaların oluşturulmasını gerektirecektir. Güvenlik aynı zamanda bu politikaları geliştirme ve operasyonel faaliyetler genelinde uygulama sorumluluğunu da vermeli ve düzenli denetimler yoluyla uyumluluğu sağlamalıdır.
Geçişe hazırlanmak için güvenlik ekibinin BT organizasyonunun neyin, ne zaman olması gerektiğinin ve hangi potansiyel güvenlik açıklarının mevcut olduğunun farkında olduğundan emin olması gerekir. Bu, sertifika yönetimiyle ilgili eğitim ve sürekli risk değerlendirmeleri gerektirecektir.
Sınırlı kaynaklarla çalışan birçok güvenlik ekibi, özellikle görünürlük ve otomasyon sağlayacak araçlara sahip olmadıkları takdirde, TLS sertifikalarını eski 13 aylık kullanım süresi altında yenileme konusunda zaten zorluk yaşıyor. Yeni 90 günlük TLS sertifikası ömrü, sertifikaların yalnızca bir kez yerine yılda dört kez yenilenmesi ve dağıtılması gerekeceğinden iş yükünü etkili bir şekilde dört katına çıkaracak.
Operasyonlar: Kullanılabilirlik çok önemlidir
Operasyonlar artık TLS sertifikalarının süresinin dolmamasını sağlamak için büyük bir baskıyla karşı karşıya kalacak. Aksi takdirde ortaya çıkan kesintiler üretkenliği, geliri ve kurumsal itibarı etkileyecektir.
Bu sonuçlardan kaçınmak için mevcut altyapının hızlandırılmış yenileme döngüsünü tutarlı ve kusursuz bir şekilde yönetebilmesi gerekir. Bu, insan müdahalesi ihtiyacını en aza indirmek ve sıfır dokunuşlu TLS sertifikası yenileme ve dağıtım sürecine mümkün olduğunca yaklaşmak anlamına gelir.
Otomasyonun merkezi rolü
Bu grupların üçü arasındaki ortak tema, birçok önemli fayda sağlayan otomasyona duyulan ihtiyaçtır. Birincisi verimlilik. Google’ın TLS geçerliliğini azaltmaya yönelik teklifi, çok fazla tekrarlanan iş yaratacak ve değerli BT kaynaklarının başka yerlerde kullanılması daha iyi olacaktır.
İkincisi, sertifika sayısı arttıkça gerekli olacak ve kesinlikle gerekli olacak ölçeklenebilirliktir.
Üçüncüsü, yanlış yapılandırmaların ve insan hatalarının ortadan kaldırılmasıyla doğruluktur. Doğruluğun yanı sıra, yalnızca politika odaklı otomasyonun sağlayabileceği kuruluş çapında tutarlılık da gelir.
Son olarak, sertifikaların görünürlüğünü ve takibini sağlayan otomatik çözümler, boşlukları ve kör noktaları ortadan kaldırarak güvenliği artırır ve riski azaltır.
En iyi uygulamalar
Yeni hızlandırılmış TLS sertifika yenileme yaşam döngüsüne hazırlanmak için şu en iyi uygulamaları göz önünde bulundurun:
- Yenilemeleri kolaylaştırmak ve kesinti süresini en aza indirmek için merkezi bir sertifika yaşam döngüsü yönetimi altyapısını benimseyin.
- Google’ın 90 günlük TLS sertifika yaşam süresi teklifi ve bunun sonuçları hakkında ortak bir anlayış sağlamak için DevOps, güvenlik ve operasyonlardan temsilciler içeren işlevler arası ekipler oluşturun.
- Genel güvenlik duruşunu geliştirmek için her grubun paylaşılan içgörülere nasıl katkıda bulunabileceğini ve bunlardan nasıl yararlanabileceğini belirtin.
- İlerlemeyi izlemek, içgörüleri paylaşmak ve stratejileri gerektiği gibi ayarlamak için ortak strateji oturumları düzenleyin ve düzenli inceleme toplantıları düzenleyin.
- Her tarafın katılımını ve hesap verebilirliğini sağlamak için bu oturumlara liderlik etmek üzere dönüşümlü bir sorumluluk atayın.
- Sertifika yaşam döngüsü yönetimi sürecinde sürekli öğrenme ve iyileştirme için geri bildirim mekanizmaları oluşturun.
Google’ın 90 günlük teklifi, TLS sertifikalarının daha sık yenilenmesini zorunlu kılarak kuruluşların açıklardan yararlanma risklerini azaltmalarına ve genel güvenlik durumlarını iyileştirmelerine yardımcı olacak. Bunun bedeli, ödemeye değer olan artan yönetim iş yüküdür ancak DevOps, güvenlik ve operasyon ekipleri genelinde otomasyon stratejilerini destekleyen yeni süreçler ve prosedürler gerektirecektir.
Geçişe er ya da geç hazırlanmak, hayata geçirilecek en önemli en iyi uygulama olabilir.
