Policy’ler ve PKI -1
Bir PKI (public key infrastructure ) yapisi ancak PKI ‘ i ile birlikte bir organizasyon tarafindan policy ve prosedürler uygulanilarak güvenli bir hale getirilebilir. Üç adet policy dokümani bir organizasyonun PKI ‘ini direk etkiler :
¦Security policy Bir security policy organizasyonun security için gözönüne alinan standartlarini belirleyen bir dökümandir. Policy genellikle bir organizasyonun degerli gördügü varliklari , bu varliklara olan potansiyel tehdidi , ve genel anlamda , bu kaynaklari korumak için alinacak ölçekleri içerir.
¦Certification policy Bir certification policy CP) bir organizasyonun bir sertifika subject’inin kimligini dogrulamak için kullanacagi ölçümleri tanimlayan ve bu amaçla bir sertifika kullanmak için bir certificate policy ‘i izleyen bir dökümandir. Dogrulama ( Validation ) requester’in sagladigi account ve password bilgisine organizasyonun directorysine sunmak için , ya da registration authority (RA) process içerisinden bir arkaplan kontrolu yapmak için photo identification ve sunus’una ihtiyaç duyabilir.
¦Certification practice statement Bir certification practice statement CPS) bir organizasyon tarafindan yönetilen bir certification authority (CA) ‘in securitysinin ve certificate policy’lerinin desteklenmesinin nasil uyguladigini belirleyen dökümandir.Bir CPS, bir CA de publish edilir ve CA ‘in operasyonunu tanimlar. Security policies, certificate policies, ve CPSs genellikle organizasyon’un legal, human resources, ve information technology (IT) departmanlari tarafindan olusturulurlar. PKI design’i bu policy’leri yerine getirmelidir.
Uyari Certificate policy’ler ve CPS’ler , diger organizasyonlar tarafindan ; bir organizasyon’un CA hiyerarsisi tarafindan issue edilen sertifikalarin nasil iyi bir sekilde trust edecegini belirlemek için kullanilir. Baska bir organizasyondan bir sertifikaya network’ünüzde signing ve encryption yapmasina izin verdiginizde , onu kullanmak için güvenebilirsiniz .certificate policyler ve CPSs yapilandirmadan bir PKI deployment yapmak , bir PKI içerisinde organizasyonunuzu diger organizasyonlar tarafindan güvenilir olmayan olarak farzzetmelerine neden olabilir.
Bir PKI da security policy, certificate policy, ve CPS ler arasinda bir bagimlilik mevcuttur. Bu durum asagida resimde gösterilmistir :
1. Bir organizasyon öncelikle organizasyon’un güvenlik standartlarini belirleyen bir security policy gelistirir.
2. Sonra organizasyon’un güvenlik policy’sini yansitacak ve yerine getirecek bir certificate policy tasarlanir,
3. Sonunda, CPS certificate policy’i yerine getirecek CA’in management prosedürlerini tanimlar
Resim security policy, certificate policy, ve certification practice statement (CPS) arasindaki bagimlilik
Not Security policies, certificate policies, ve CPSs genellikle bir organizasyon’un legal department ya da legal temsilcileri tarafindan dökümanin uygulanabilir oldugundan emin olmak ve organizasyonun niyetinin yanlis tanitilmasina izin vermemek için publication ( Yayini ) öncesi gözden geçirilmelidir
Security Policy
PKI dizayni organizasyon’un security policy ‘sinin incelenmesi ile baslar . Bir PKI dizaynir asagidaki sorulara cevap vermek için bir security policy kullanir :
¦Hangi datalar sertifikalar ile güvenli hale getirilmelidir. Tüm uygulamalar sertifika tabanli güvenligi desteklemezler. Genellikle , bir security policy organizasyon içerisindeki datanin siniflarini tanimlamayi ve Bu datanin network içerisinden aktarilirken ve datayi sakladiginizda korumak için alinmasi gereken ölçeklemeyi tanimlar . Bir PKI ile birlikte , bu ölçeklemeler Secure Sockets Layer (SSL) ya da Internet Protocol security (IPsec) gibi protokolleri kullanarak iletilen datanin korunmasini ve Encrypting File System (EFS) kullanarak depolanmis datanin korunmasini içerebilir.
¦Bir sertifika ile iliskili bir private key’i korumak için nasil ölçeklemeler kullanilmalidir Ölçeklendirme sertifikayi bir smart card içerisinde depolamayi , CA’in private key’ini hardware security modules (HSMs) uygulayarak korumayi ya da sertifikanin private key’inin export edilmesini engellemeyi içerebilir.
Efektif Security Policy’ler tanimlamak
Bir Security Policy bir organizasyon’un security standartlarini tarif eder. Bir organizayon’un genellikle , organizasyonun karsi karsiya kaldigi securitysorunlari, riskleri ve tehtitleri tanimlamayi ve organizasyonun datasi ve varliklarini korumak için ölçeklendirmeyi etrafli bir sekilde saglayan birden fazla security policy’ si vardir
Not Bir organizasyon sadece security policy’ler tanimlamaktan daha fazlasini yapmalidir. Security policy’leri yerine getirmek için security çözümleri uygulamayi saglamali ve çalisanlarin bu security policy’lerin farkinda olmasi saglanmali ve rollerinin ve sorumluluklarinin bu security’i korumak oldugunun bilincinde olmalari saglanmalidir.
Bir organizasyon security policy ‘lerini tanimladiginda , bu policyleri yerine getirmek ve ölçeklemeleri tanimlamak için bir baslangiç degerlendirmesi yapilmalidir. Bu ölçeklendirmeler tanimlandiginda , bir gap analizi ilave ölçeklemelerin tanimlanan security policy’ler ile eslesmesi için uygulanip uygulanmamasi gerektigini belirler.Uygun planlama sonrasi , security policy uygulama procesi baslayabilir. Bir organizasyon periyodik olarak security policy’lerini gözden geçirmeli ve ölçeklendirmeler , eger modifikasyonlar gerekli ise onlariyerine getirmek için belirlenmelidir. Modifikasyonlar security policies’leri güncellemek ya da processes ve prosedürleri gözden geçirilerek onlari yerine getirmek olabilir
Security Policies gelistirmek için Kaynaklar
Security policy tanimlamak için genellikle iki kaynak kullanilir. Bunlar ISO 27002, “Code of Practice for Information Security Management,” ve RFC 2196, “The Site Security Handbook.” dir
Not International Standards Organization (ISO) , ISO 17799 ‘u ve onun Öncülü olan British Standards (BS) 7799 ‘u son zamanlarda yeniden adlandirildi Yeni atanmis numaralar ISO 27002 (eskiden ISO 17799 olarak bilinir ) ve ISO 27001 (eskiden BS 7799-2 olarak bilinir) Bu yeniden adlandirma ISO 27000 serisi genel isimlendirme yapilandirmasi bir standart yapmak için ISO tarafindan baslatilmistir.
ISO 27002, ">https://www.27000-toolkit.com sitesinden satin alinabilir durumdadir. Bu site yürürlüge konabilir security policies gelistirmek için tavsiyeler ve detayli bilgiler saglar. Farkli web siteleri ISO 27002 nin önerileri ve niyetlerine bagli olarak security policy örnekleri saglar. https://www.ietf.org/rfc/rfc2196.txt sitesinde bulunan RFC 2196, “Site Security Handbook,” security policies gelistirirmek için bir baska rehberdir.
Bilgisayar güvenlik politikalari daha dogru yönlendirilmis olmasina ragmen RFC bir overall security policy de kapsanmis birçok farkli kaynakla beraber bu kaynaklarin güveli hale getirilmeleri için öneriler tanimlar
Kaynak : Windows Server 2008 PKI and Certificate Security