Operatorski scenariji

Ciljana skupina: Sistemski administratori, PKI operatori, DevOps
Fokus: Svakodnevni rad, Runbooks, Kontrolne liste, Automatizacija

Praktički orijentirane upute za operativni rad PQ-sposobne PKI infrastrukture.

Pregled

flowchart TB subgraph DAILY["SVAKODNEVNI RAD"] D1[Izdavanje certifikata] D2[Obnova certifikata] D3[Opoziv certifikata] D4[Health Check] end subgraph AUTO["AUTOMATIZACIJA"] A1[ACME/Let's Encrypt] A2[CI/CD Potpisivanje] A3[Kubernetes Cert-Manager] A4[Zakazana obnova] end subgraph MON["NADZOR"] M1[Nadzor isteka] M2[Provjera opoziva] M3[Revizijsko bilježenje] M4[Alerting] end subgraph MIG["MIGRACIJA"] G1[Classic - Hybrid] G2[Paralelni rad] G3[Rollback] G4[Inventura] end subgraph DR["DISASTER RECOVERY"] R1[CA Backup/Restore] R2[Key Ceremony] R3[Hitni opoziv] end subgraph CLOUD["CLOUD"] C1[Azure Key Vault] C2[AWS KMS] C3[HashiCorp Vault] end DAILY --> AUTO AUTO --> MON MON --> MIG MIG --> DR style D1 fill:#e8f5e9 style A1 fill:#fff3e0 style M1 fill:#e3f2fd style G1 fill:#fce4ec

Kategorije

Svakodnevni rad

Runbooks za svakodnevne operativne zadatke.

Runbook	Opis	Trajanje
Izdavanje certifikata	Provjera CSR-a, potpisivanje, isporuka	~10 Min
Obnova certifikata	Obnova certifikata koji istječu	~15 Min
Opoziv certifikata	Blokiranje kompromitiranih certifikata	~5 Min
Health Check	Dnevna provjera sustava	~5 Min

Automatizacija

Prioritet 1 - Smanjuje ručni rad i pogreške

Scenarij	Opis	Složenost
ACME integracija	Let's Encrypt / ACME protokol	Srednja
CI/CD potpisivanje koda	Automatsko potpisivanje u pipelineima	Visoka
Kubernetes Cert-Manager	Certifikati u K8s	Visoka
Zakazana obnova	Automatska obnova	Niska

Nadzor i alerting

Prioritet 2 - Kritično za produkcijski rad

Scenarij	Opis	Alati
Nadzor isteka	Praćenje isteka certifikata	Prometheus, Grafana
Provjera opoziva	CRL/OCSP dostupnost	curl, PowerShell
Revizijsko bilježenje	Bilježenje sukladno propisima	Syslog, ELK
Postavljanje alertinga	Konfiguracija obavijesti	PagerDuty, Teams

Migracija

Prioritet 3 - Za postojeće PKI infrastrukture

Scenarij	Opis	Rizik
Classic - Hybrid	Migracija RSA/ECDSA na Hybrid	Srednji
Paralelni rad	Klasično + PQ istovremeno	Nizak
Rollback strategija	Planiranje hitnog povratka	-
Inventura certifikata	Popis stanja	Nizak

Disaster Recovery

Scenarij	Opis	Kritično
CA Backup/Restore	Sigurnosna kopija i vraćanje CA ključeva	Da
Key Ceremony	Sigurno generiranje ključeva	Da
Hitni opoziv	Masovno blokiranje	Da

Cloud integracija

Scenarij	Cloud	HSM
Azure Key Vault	Azure	Managed HSM
AWS KMS	AWS	CloudHSM
HashiCorp Vault	Multi-Cloud	Transit

Brzi početak za operatore

Dan 1: Osnove

Provesti Health Check
Izdati prvi certifikat

Tjedan 1: Automatizacija

Postaviti automatsku obnovu
Konfigurirati nadzor isteka

Mjesec 1: Produkcija

Postaviti alerting
Implementirati strategiju sigurnosnog kopiranja

Povezana dokumentacija

Kratka referenca - Kompaktni primjeri koda
Administratorski priručnik - Instalacija, konfiguracija
Svi scenariji - Tehnička referenca

Wolfgang van der Stille @ EMSR DATA d.o.o. - Post-Quantum Cryptography Professional

operator, sysadmin, runbook, svakodnevnirad