内部CAはワイルドカード証明書を発行します
私たちのWebサーバーのいくつかは、同じオフィスで私たちと同じように働いており、社内ネットワークに接続されたラップトップを使用し、ADにユーザーアカウントを持っているアウトソーシングパートナーによって管理されています。ワイルドカード証明書を要求して適用し、IISサイト(すべて内部向け)httpsの一部を作成しました。
ITの誰かが、セキュリティの観点から、アウトソーシングされた管理者がWebサイトに証明書を要求して適用することは推奨されないという懸念を提起しました。ここに引数があります:
ワイルドカード証明書を使用すると、特定のチームが管理していない特定のサーバーで管理していないサービスも含めて、あらゆるサービスを「偽装」できます。証明書が社外に漏洩した場合、セキュリティ上のリスクが発生する可能性があります。所有/検証されていないふりをしていないサービスをセットアップするために使用される可能性があります。 NDA=が設置されている可能性がありますが、証明書へのアクセスがあるハンドの数を制限すること(それは内部のハンドでもいいです!)であり、さらにユーザーが社内の従業員よりも頻繁にローテーションすることが予想されるため、疑似ロールベースのユーザー名。
これは、インターネットでは解決できない内部証明書です。他の人はこれについてどう思いますか?
@schoederの回答に技術的な詳細を補足します。
あなたの状況についての私の理解は、 サーバー このようなアプリケーション:
intranet.xyz.abc.com
documents.xyz.abc.com
applications.xyz.abc.com
...
そしてあなたのパートナーも同じサーバー上で実行されているいくつかのアプリケーションを持っています:
partner1.xyz.abc.com
partner2.xyz.abc.com
上記はすべて内部向けです(インターネットからはアクセスできません)。現在、パートナーは怠惰すぎて、それぞれのIISアプリケーションに対して個別の証明書を作成することができませんでした。そのため、グローバルの証明書を作成してインストールしました。
*.xyz.abc.com
涼しい。それはすべてのアプリケーションをカバーします。しかし、それはあなたのすべてをカバーしています。このワイルドカード証明書に属する秘密鍵にアクセスできると仮定すると、イントラネットまたはドキュメントサーバーの中間者であり、すべてのトラフィックを読み取ることができます。
また、ワイルドカードに一致する公開Webサイトが会社にある(またはパートナーの悪意のある管理者が立ち上がることにした)場合は、次のようになります。
www.xyz.abc.com
次に、それはプライベートな内部CAであるため、一般大衆はそのなりすましにだまされることはありませんが、内部から(そのCAがOSにインストールされている)接続している従業員は、なりすましバージョンのwww.xyz.abc.comを信頼します。
@schroederが指摘するように、ここでの内部脅威の可能性は非常に大きいです。
インサイダーの脅威は、十分な組織が考えていない主要な問題です。 IT担当者はこれを持ち出すのは正しいことです。
しかし、議論はただ一つの要因です。 「脅威」が提起され、「脅威分析」を実行する必要があります。悪意のあるインサイダー(アウトソーシングされているかどうかにかかわらず)がサービスを偽装できる場合、どのような影響がありますか?この影響が小さい場合は、この脅威を無視することを選択できます。
何かできたが起こったからといって、私たちがびびる必要があるという意味ではありません。影響と可能性を検討し、これが対処する必要があるかどうかを判断する必要があります。
環境、サービス、データフローなどの詳細(ここでは明らかにすべきではありません)がなければ、それは私たちが対応できる範囲です。