关于 Microsoft PKI 您应该了解的五件事
Microsoft PKI,又名 Active Directory 证书服务 (ADCS),几十年来一直是一个可靠的工具。但现在是时候说再见了。
自 21 世纪初发布以来的几年里,ADCS 一直是希望实施 PKI 的组织的“安全选择”。然而,如今它已成为使用它的组织基础设施中最严重的漏洞之一。
它为什么这么危险?让我们深入了解 Microsoft ADCS 的五大安全风险和限制,以及未来的不同选择。
Microsoft ADCS 支持现代企业 IT 需求的五大障碍
不幸的是,在当今的环境中,Microsoft ADCS 存在潜在的安全风险,这可能会让您的 PKI 感觉更像是一种负担,而不是安全基础设施的核心组件。考虑到这一点,以下是每个使用 ADCS 的团队都应该知道的五大风险和限制:
1)ADCS 容易出现错误配置
ADCS 本身并不安全,但配置错误却很容易。过去几年,安全研究人员发现了由于这些普遍存在的配置错误而产生的多个漏洞和漏洞,以至于它实际上被NSA 和 CISA 列为 2023 年十大网络安全配置错误之一。
一些最常见的错误配置包括:
权限过多
证书模板配置错误
不安全的访问控制设置
Windows 操作系统、NDES 等中的漏洞
需要明确的是,即使在 ADCS 之外,在颁发新证书时,PKI 也有可能出现配置错误。
也就是说,ADCS 的设置和使用方式通常会为错误配置打开更多机会。这主要是因为很难找到有关 ADCS 的文档,因此善意的管理员试图找到指导以避免其中一些挑战,但往往无法找到。
2)ADCS 尚未做好离开巢穴的准备
根据HashiCorp 的 2023 年云状态调查,76% 的公司已经或计划实施多云战略。
灵活部署是当今组织在评估 PKI 解决方案时最重要的特性。
但问题是,超过一半的组织表示,他们现有的 PKI 无法支持迁移到云时所需的新应用程序。对于许多组织来说,现有的 PKI 是 ADCS,但它在这些云环境中无法很好地工作。
具体而言,由于 ADCS 在 Active Directory 上运行,因此在尝试在云环境中运行时,该连接会带来重大挑战。这些挑战包括:
难以支持容器化和自动化
没有主动-主动高可用性选项(仅限 Microsoft 集群服务器的主动-被动)
无法开放 DCOM/RDP 端口和其他网络要求,因为云通信需要比本地更广泛的端口种类
3)ADCS 不懂现代 IT
在现代环境中,PKI 平均支持整个企业 10-20 种不同的应用程序。这包括从 IIS 和 Linux 计算机到负载平衡器和云工作负载的一切。而当与这些现代用例相比时,ADCS 开始显露出其老态并带来严峻挑战。
ADCS 面临的问题的现代用例包括:
多云、多操作系统环境
非 Windows 设备
ACME、EST 和 CMPv2 等现代协议
REST API
4)ADCS可能变得复杂(且昂贵)
ADCS 在规模扩大后会变得非常复杂且成本高昂,主要是因为 Microsoft CA 不是多租户的。一旦达到一定规模,您就需要多个服务器和数据库,在某些情况下,需要多达 70 或 80 台服务器来支持 PKI。
这是因为 ADCS 限制每台机器只能有一个 CA,这意味着如果您需要安装更多 CA(无论是为了处理规模还是为了满足不同的用例、网络段、信任边界或其他任何要求),您至少需要另一台虚拟机,
也就是另一个 Windows Server 许可证和另一个您必须备份、修补和更新的系统。这种限制在大多数其他证书服务选项中实际上并不存在,这些选项提供了很多方法来启动额外的 CA,而且从 IT 占用空间的角度来看,成本并不那么高。
所有这些都带来了另一个挑战,因为团队开始维护大量变通方法以使 ADCS 正常工作,但随着生态系统的其余部分逐渐与 ADCS 不再兼容,支持这些变通方法并随着时间的推移维护它们的成本会变得越来越高。此外,它变成了一种企业自制软件,只有极少数 IT 人员知道。随着人们的离开,对这些变通方法的了解逐渐减少,以至于继续运行它们会成为一种潜在风险。
5)ADCS 没有太大变化
最重要的是,ADCS 多年来并没有发生太大变化。事实上,自 Server 2012 以来,它实际上没有进行任何重大更新。这意味着随着新标准和用例的出现,ADCS 用户得不到支持,被迫寻找解决方法或切换到其他选项。
ADCS 从来都不是微软的一款战略性软件;相反,它只是解决某些用例的一种手段,例如内部部署、向 SCCM 或 SCOM 等颁发证书以及支持 Wi-Fi 和 VPN 身份验证。而且它仍然能很好地解决这些用例。但由于它对微软来说并不具有战略意义,因此它从未像 Office、Windows OS 和 Azure 那样获得更新。
微软目前确实拥有基于云的证书颁发功能,这是 Intune 的一部分,但目前,该功能仅用于向 Intune 颁发证书,因此它不能替代 ADCS。随着微软继续投资 Azure,我们不太可能看到对 ADCS 等所有内部部署项目进行投资。