Permite analisar os princípios básicos da Infra-estrutura de Chaves Públicas primeiro em um modelo de PKI hierárquico.
- Uma chave pública é um criptografo / bloqueador e incorporada em um certificado criado por uma autoridade de certificação.
- Uma chave privada é um decodificador / desbloqueador usado em conjunto com uma chave pública.
- Chaves públicas e certificados não têm requisitos de confidencialidade.
- As chaves privadas têm requisitos de confidencialidade
Portanto, sua preocupação com o Apache deve ser em torno da chave privada, não da chave pública. A maneira típica como um engenheiro de segurança pode proteger uma chave privada é usar um módulo de segurança de hardware. Um módulo de segurança de hardware (HSM) pode vir em muitos fatores de forma, incluindo um cartão inteligente, uma placa PCIe, uma placa PCI, um dongle USB, um dispositivo USB, um HSM baseado em rede ou outros. Assim, eles podem cobrir uma grande quantidade de orçamentos e recursos de segurança.
Existem alguns HSMs que validaram implementações de segurança, como FIPS 140-2 nos níveis 1 (software em geral) 2 físico (resistência à violação) 3 físico (resistência à adulteração e resposta à intrusão) e 4 físicos (resistência à adulteração, resposta à intrusão) e zeramento da chave).
Para avaliar se sua empresa deve fazer alguma coisa, analisarei uma análise de custo-benefício & uma avaliação de risco que inclui cálculos de ALE, ARO e SLE. No entanto, se você estiver fazendo negócios pela Web, talvez seja melhor trazer um profissional de segurança da Web para avaliar toda a sua infraestrutura e criar uma lista consolidada de vulnerabilidades e fraquezas, com um plano de remediação priorizado com o qual você pode trabalhar sua gestão.