Keytalk

Nền tảng tự động hóa quản lý PKI cho doanh nghiệp

Bối cảnh

 Liên minh Trình duyệt và CA đã chấp thuận đề xuất của Google và Apple, đưa ra lộ trình rút ngắn thời hạn chứng thư số SSL:
Quản lý vòng đời chứng thư số luôn là thách thức  cho đội ngũ IT của doanh ngiệp, khi lộ trình rút ngắn thời hạn càng đến gần thì việc quản lý chứng thư số thủ công ngày càng gặp nhiều khó khăn và rủi ro:
– lặp đi lặp lại, thủ công và không mang lại thêm kiến thức kỹ năng cho các chuyên viên IT;
– gây gián đoạn dịch vụ nếu chuyên viên IT quên không gia hạn SSL hoặc bỏ sót không cài đủ số lượng cặp khóa cần thiết cho dịch vụ;
– mất nhiều thời gian trong khi vẫn phải đảm bảo kinh doanh liên tục cho dịch vụ và thường phải triển khai ngoài giờ hành chính, downtime;
– triển khai trên nhiều môi trường, hạ tầng và nền tảng với nhiều chính sách, thủ tục khác nhau rất dễ dẫn đến lỗi cấu hình;
– đặc biệt căng thẳng nếu việc thay thế keypair cần được thực hiện khẩn cấp để phản ứng với sự cố an ninh.
Tự động hóa quản trị chứng thư số là quá trình sử dụng công nghệ để tự động quản lý, tìm kiếm và giám sát các chứng thư số trong suốt vòng đời của chúng, từ tạo mới, cấp phát, sử dụng, gia hạn cho đến khi thu hồi hoặc hết hạn. Mặc dù tự động hóa chứng thư số không phải là một khái niệm mới, và cần thiết triển khai toàn diện nhưng nhiều doanh nghiệp vẫn loay hoay tìm kiếm một nền tảng tự động thương mại hóa thực sự đáp ứng hiệu quả chi phí, bao trùm hết mọi tình huống sử dụng, thân thiện với người dùng và dễ dàng tích hợp tùy biến.

Keytalk Certificate Management System - CKMS

Nền tảng Keytalk CKMS là một giải pháp tự động hóa quản lý vòng đời chứng thư, đề cao tính độc lập với các CA, giúp quản lý chứng thư số và khóa mã hóa cho người dùng và thiết bị. Keytalk CKMS được thiết kế để giúp tự động hóa, tập trung hóa, và minh bạch hóa toàn bộ quá trình vòng đời (tạo, cấp, cấp lại, cài đặt, thu hồi, hết hạn) của chứng thư số trên một giao diện duy nhất. Giải pháp được GlobalSign và DigiCert phê duyệt, được tin cậy bởi các tập đoàn đa quốc gia, và đã thực hiện tự động hóa cho hàng triệu chứng chỉ số các loại cho các kịch bản sử dụng chứng thư số khác nhau

Keytalk CKMS giúp doanh nghiệp quản lý và bảo vệ các chứng chỉ số và khóa mã hóa một cách hiệu quả, giúp tăng cường bảo mật trong việc giao tiếp và xử lý dữ liệu nhạy cảm, năng lực vượt trội:

Tích hợp

Khả năng tích hợp mạnh mẽ, linh hoạt, giúp làm việc với nhiều hệ thống và nền tảng khác nhau

Thống kê và quản lý

Khả năng tìm kiếm, phát hiện, quản lý và cảnh báo liên quan đến chứng thư số.

CA

Tích hợp nhiều CA hàng đầu: GlobalSign, Digicert; kèm theo Internal Keytalk CA có thể sử dụng như một hệ thống PKI nội bộ cho doanh nghiệp.

Triển khai

Đa dạng lựa chọn triển khai trên các môi trường: onprem, cloud- based hoặc dịch vụ SaaS

Phân phối và tự động hóa cài đặt

Tương thích với nhiều thiết bị, môi trường và các nền tảng quản trị để thực hiện phân phối và tự động hoá: Windows; Linux; MS Inture; MobileIron; F5…..

Xác thực và phân quyền người dùng

Dựa trên Microsoft Active Directory (AD) và Azure Active Directory (AAD), phân quyền theo vai trò (RBAC), phân tách quyền giữa các phòng ban và công ty con

Với Keytalk, doanh nghiệp có thể ứng dụng:

Quản lý vòng đời và tự động hóa chứng thư số SSL/TLS

Quản lý và tự động hóa hóa chứng thư số S/mime

Xác thực thiết bị

Tương thích với hầu hết các server/ hệ điều hành của thiết bị cuối và thiết bị di động

Vận hành với đa dạng giao thức - nền tảng - môi trường

Làm việc với nhiều nguồn CA

Keytalk CKMS dễ dàng kết nối với các CA công cộng như GlobalSign, Digicert …, làm việc với các CA nội bộ của doanh nghiệp hay cung cấp Private CA có thể được thiết lập và sử dụng theo Root CA hiện có hoặc như một Root CA độc lập

Tích hợp với các giải pháp xác thực, định danh và công cụ khác

Với khả năng tích hợp mạnh mẽ, Keytalk sẵn sàng kết nối các giải pháp sẵn có để mở rộng năng lực của nền tảng:
– Tích hợp với các hệ thống IAM (Identity and Access Management) và MFA để quản lý danh tính và quyền truy cập một cách bảo mật, từ các hệ thống IAM phổ biến như Active Directory, Azure AD, LDAP, và hỗ trợ mở rộng qua REST API, SAML/SSO, MDM để đảm bảo vòng đời chứng chỉ gắn chặt với danh tính trong tổ chức
– Cho phép lưu trữ khóa tại HSM để đảm bảo ăn toàn cặp khóa
– Tích hợp các công cụ ghi log, báo cáo 

Quản trị tập trung

Keytalk CKMS giải quyết vấn đề thiếu quản trị tập trung doanh nghiệp đang mắc phải. Mỗi phòng ban làm việc với một lượng lớn chứng chỉ với nguồn CA khác nhau, được vận hành bởi các chính sách khác nhau. Việc đưa toàn bộ chứng thư và cặp khóa về một nền tảng quản trị duy nhất giúp doanh nghiệp dễ dàng quản lý cũng như theo dõi tình trạng của chúng, hạn chế được việc chứng thư số hết hạn hoặc bị thu hồi gây ngừng hoạt động làm gián đoạn kinh doanh

TThúc đẩy tự động hóa

Với thời hạn chứng thư thu hẹp, và các tiêu chuẩn bảo mật luôn được cập nhật liên tục, việc ứng dụng tự động hóa PKI trong hạ tầng CNTT doanh nghiệp trở nên tất yếu để ứng phó bối cảnh thay đổi và "Chỉ khi tiến trình tự động hóa PKI diễn ra, số lượng chứng chỉ bị cấp sai mới giảm xuống".

Đơn giản hóa Quản trị PKI

Sở hữu giao diện cũng như quy trình sử dụng đơn giản, thiết kế của Keytalk CKMS giúp cho những doanh nghiệp có chuyên môn PKI hạn chế cũng có thể tiếp cận được dễ dàng. Hệ thống Keytalk sử dụng các TEMPLATES – các mẫu định sẵn giúp cấu hình và kiểm soát cách chứng thư số được cấp phát cho người dùng, thiết bị, hoặc ứng dụng. Doanh nghiệp có thể tự thiết lập các TEMPLATES này để phù hợp với tài nguyên có sẵn cũng như nhu cầu sử dụng.

Tối ưu chi phí

Keytalk CKMS là giải pháp cung cấp nhiều tính năng và tuỳ chọn tích hợp khác nhau, có nhiều loại tích hợp đã được chuẩn hoá, đáp ứng đầy đủ các yêu cầu của một giải pháp CLM với năng lực triển khai S/MIME vượt trội nhưng lại sở hữu mức chi phí rẻ nhất thị trường trên cùng một phạm vi và mô hình triển khai (dựa trên báo cáo của các tổ chức thứ ba). Chưa kể, CLM giúp tối ưu chi phí vận hành, cũng như thời gian làm việc của đội ngũ CNTT, giúp phân bổ lại ngân sách cũng như nhân lực hợp lý nhằm phát triển kinh doanh và thúc đẩy chuyển đổi số doanh nghiệp.

 

      #

Tiêu chí

Keytalk

AppviewX

Venafi

CLM của CA

       I

Tổng quan

      1

Điểm mạnh  

Giải pháp cung cấp nhiều tính năng, năng lực triển khai S/mime vượt trội, tối ưu chi phí

Giải pháp quản lý chứng thư số mới với năng lực hiển thị trực quan về hệ thống

Giải pháp dành cho các doanh nghiệp lớn, có môi trường CNTT phức tạp

Giải pháp cho doanh nghiệp chỉ sử dụng chứng thư của 1 CA công cộng cung cấp công cụ CLM

      2

Tiêu chuẩn ngành

PKI Consortium

ISSA

 

PKI Consortium CA/B Forum

      3

Quy mô doanh nghiệp sử dụng

Nhỏ – Vừa – Lớn

Vừa – Lớn

Lớn

Nhỏ- Vừa

      4

Lựa chọn triển khai

Cloud

On-premise

Cloud

On-premise

Cloud

On-premise

Cloud

On-premise

      5

Kênh phân phối tại Việt Nam

Đại diện uỷ quyền, đơn vị số 1 cung cấp SSL

Đại lý

Đại lý

Đại diện hãng CA/

Đại lý

      6

Cách tính giá

Theo số lượng cặp khoá quản trị

Theo số lượng cặp khoá quản trị và triển khai hạ tầng

Theo số lượng cặp khoá quản trị và triển khai hạ tầng

Theo số lượng cert bao gồm nền tảng CLM

      7

Mức giá cho cùng phạm vi sử dụng

$ – $$$

$$ – $$$$

$$$$ – $$$$$

$-$$$$$

 

 

<$5k ~ $100k

$50k ~ $250k

$100k ~ $250k+

$5k ~ $250k+

      II

Hỗ trợ CA

1

CA công cộng 

Tất cả

Tất cả

Tất cả

Duy nhất CA cung cấp CLM

      2

Internal CA kèm theo

✔︎

x

x

x

      3

Phần mềm PKI hỗ trợ

Microsoft CA

EJBCA

Microsoft CA

EJBCA

Microsoft CA

EJBCA

Microsoft CA

     III

Các loại chứng thư số và tình huống hỗ trợ

      1

SSL/ TLS

✔︎

✔︎

✔︎

✔︎

      2

CodeSigning

✔︎

✔︎

✔︎

✔︎

      3

Ký và mã hoá email

✔︎

✔︎

✔︎

✔︎

      4

Ký văn bản

✔︎

✔︎

✔︎

✔︎

      5

Chứng thư số người dùng

✔︎

✔︎

✔︎

✔︎

      6

Chứng thư số cho thiết bị

✔︎

✔︎

✔︎

✔︎

      7

Chứng thư số nội bộ

✔︎

✔︎

✔︎

✔︎

      8

Quản trị SSH Key

✔︎

✔︎

✔︎

x

      9

Quản lý định danh IoT

✔︎

✔︎

✔︎

x

      10

Dịch vụ tin cậy

✔︎

✔︎

✔︎

✔︎

       11

Chứng thư số eIDAS

x

x

x

✔︎

      12

Xác thực VPN

✔︎

✔︎

✔︎

x

      13

Ký DevOps/Container

✔︎

✔︎

✔︎

x

      14

Microsoft CA

✔︎

✔︎

✔︎

✔︎

      15

Windows Hello

✔︎

✔︎

✔︎

x

     IV

Tính năng quản trị

      1

Tính năng phát hiện, thống kê   

 

 

 

 

      2

Cung cấp thiết bị rà quét chuyên dụng

✔︎

x

x

x

      3

Thống kê, quản lý chứng thư trong và ngoài mạng

✔︎

✔︎

✔︎

✔︎

      4

Phát hiện lỗ hổng, cảnh báo

✔︎

x

✔︎

x

      5

Lưu trữ, mã hoá, sao lưu khoá bí mật 

✔︎

✔︎

✔︎

x

      6

Tự động hoá vòng đời chứng thư số

 

 

 

 

 

      7

Khởi tạo và gửi CSR

✔︎

✔︎

✔︎

x

      8

Xác thực  

✔︎

x

x

✔︎

      9

Cấp phát

✔︎

✔︎

✔︎

✔︎

      10

Phân phối xuống thiết bị, ứng dụng

✔︎

 

✔︎

 

✔︎

 

✔︎

 

      11

Cài đặt chứng thư số

✔︎

✔︎

✔︎

✔︎

      12

Cấp phát lại

✔︎

✔︎

✔︎

✔︎

      13

Gia hạn

✔︎

✔︎

✔︎

✔︎

      14

Thu hồi

✔︎

✔︎

✔︎

✔︎

       15

Quản lý vòng đời chứng thư số S/MIME

✔︎

✔︎

✔︎

x

      16

Báo cáo

✔︎

✔︎

✔︎

x

      17

Phân quyền quản trị

✔︎

✔︎

✔︎

x

      18

Thông báo hoạt động

✔︎

✔︎

✔︎

✔︎

      19

Lưu trữ lịch sử lỗi

✔︎

✔︎

✔︎

x

      20

Multi-tenant

✔︎

✔︎

✔︎

x

      21

Hỗ trợ hệ thống HA

✔︎

✔︎

✔︎

x

      22

Hỗ trợ hoạt động trong mạng LAN nội bộ

✔︎

x

x

x

      23

Tuỳ chỉnh theo yêu cầu

✔︎

✔︎

✔︎

x

      V

Tích hợp*

      1

Rest API

✔︎

✔︎

✔︎

✔︎

      2

Certificate Protocols

SCEP

ACME

EST

CMP

SCEP

ACME

EST

CMP

SCEP

ACME

 

ACME

 

      3

Webserver

✔︎

✔︎

✔︎

✔︎

      4

User Devices

✔︎

✔︎

✔︎

✔︎

      5

Mobile Devies

✔︎

✔︎

✔︎

✔︎

      6

Microsoft AD

✔︎

✔︎

✔︎

✔︎

      7

Cloud

✔︎

✔︎

✔︎

x

      8

Database

✔︎

✔︎

✔︎

x

      9

DevOps

✔︎

✔︎

✔︎

x

      10

ITSM

✔︎

✔︎

✔︎

x

      11

MFA

✔︎

✔︎

✔︎

x

      12

SIEM/Logfile

✔︎

✔︎

✔︎

x

      VI

Hỗ trợ

      1

Hình thức hỗ trợ

Email/ chat/ phone

Email/ Ticket

Email/ Ticket

Email/ chat

      2

Hỗ trợ 24/7

✔︎

 

x

 

✔︎

 

✔︎

 

      3

Hỗ trợ trực tiếp từ chuyên gia

✔︎

✔︎

✔︎

x