Ein Überblick über die Tool-Landschaft für das Identitätsmanagement von Maschinen

Unternehmen stehen oft vor der Herausforderung zu definieren, was "Maschinenidentität" im Rahmen ihrer Sicherheitsstrategie bedeutet. Dieses Missverständnis überträgt sich auf DevOps, Sicherheit, IAM und I&O sowie andere Geschäftsbereiche, die dann darum kämpfen, die besten Ansätze für das Management der Maschinenidentität zu finden. Jede Gruppe hat unterschiedliche Bedürfnisse und Vorlieben für Tools, und ein teamübergreifender Ansatz für eine zentrale Strategie hilft oft, die Erwartungen der einzelnen Einheiten auszugleichen.

Laut dem Bericht " State of Machine Identity Management " von Keyfactorgaben 18 % der Befragten an, dass ihr Unternehmen über keine Strategie für die Verwaltung von Kryptographie und Maschinenidentitäten verfügt, und 42 % haben eine begrenzte Strategie, die nur auf bestimmte Anwendungen oder Anwendungsfälle angewendet wird.

Am wichtigsten ist vielleicht, dass 23 % der Befragten angaben, dass die größte Herausforderung bei der Festlegung einer unternehmensweiten Strategie für die Verwaltung von Computeridentitäten in unzureichenden oder fragmentierten Verwaltungstools besteht.

Es gibt keine einheitliche Lösung für die Verwaltung der Rechner eines Unternehmens und ihrer Schlüssel, Geheimnisse und Zertifikate. Die Anbieter interpretieren die Bedeutung von Rechneridentitäten und -tools auf ihre eigene Art und Weise, was bei der Auswahl von Lösungen, die Ihren Anforderungen am besten entsprechen, nur noch mehr Verwirrung stiftet.

Dieser Beitrag dient dazu, Klarheit zu schaffen und eine Orientierung in der Maschinenidentitätslandschaft zu geben. Er bietet einen detaillierten Überblick über einige der verfügbaren Tools für die Verwaltung der Maschinenidentität, Hinweise zu den Anwendungsfällen und Funktionen der einzelnen Tools sowie Details zu einigen der führenden Anbieter in diesem Bereich.

Zunächst einmal ist es wichtig zu verstehen, dass die Verwaltung von Maschinenidentitäten genauso wichtig ist wie die Verwaltung menschlicher Identitäten. Allerdings unterscheiden sich maschinelle Identitäten in Form, Faktor und Funktion völlig von menschlichen Identitäten.

Maschinenidentitäten können in zwei Untergruppen unterteilt werden: Geräteidentitäten und Arbeitslastidentitäten. Geräte sind physische Maschinen und können mobile, IoT, betriebliche Technologie oder Desktop-Computer umfassen. Beispiele für Workloads sind Container, virtuelle Maschinen, Anwendungen und Dienste.

Nutzen Sie diese Untergruppen als Ausgangspunkt für eine klare Definition dessen, was "Maschinenidentität" in Ihrem Unternehmen bedeutet, damit Sie eindeutige Erwartungen formulieren können, die Ihre Strategie beeinflussen werden.

Führen Sie dann ein Audit Ihrer bestehenden Verfahren zur Verwaltung der Maschinenidentität durch, um festzustellen, wo die Lücken liegen. So können Sie die Tools und Prozesse finden, die den besonderen Anforderungen der verschiedenen Teams in Ihrem Unternehmen entsprechen.

Die Investition in das richtige Toolset für das Identitätsmanagement von Maschinen kann zu einer verbesserten Sicherheit und automatisierten Prozessen führen. Sie können Ihr Unternehmen dabei unterstützen, die Transparenz zu erhöhen, die Reaktion auf Vorfälle zu beschleunigen und die Produktivität zu steigern.

Der Bericht Managing Machine Identities, Secrets, Keys and Certificates von Gartner identifiziert sieben Tools zur Verwaltung von Workload-Identitäten, die von integrierten Funktionen in IaaS-Anbieterplattformen bis hin zu Modulen von Drittanbietern reichen software und hardware .

Es gibt eine kontinuierliche Konvergenz dieser Tools, und sie überschneiden sich oft an verschiedenen Punkten für die Verwaltung verschiedener Arten von Maschinenidentitäten. So bieten beispielsweise alle großen IaaS-Anbieter Funktionen zur Verwaltung von Geheimnissen an, um die Geheimnisse für die auf ihren Plattformen ausgeführten Workloads zu speichern. Im Folgenden gehen wir auf die Details der sieben Tools ein und erläutern ihre Funktionen und potenziellen Anwendungsfälle.

HSMs sind manipulationssichere, FIPS 140-konforme Komponenten, die zur Sicherung von Vertrauensankern und Schlüsseln verwendet werden. Sie sind das einzige Werkzeug auf dieser Liste, das mit allen anderen konvergiert. Dies liegt daran, dass sie zur sicheren Generierung und Speicherung von Geheimnissen mit allen anderen Tools verwendet werden können, wenn hohe Sicherheit erforderlich ist.

HSMs reichen von physischen hardware Appliances über virtualisierte/verteilte Module (vHSM) bis hin zu Cloud-basierten Modulen (HSM as a Service), die kryptografische Schlüssel generieren und speichern sowie kryptografische Operationen zur Verschlüsselung und Signierung von Daten ausführen.

Unternehmen, die Daten verschlüsseln müssen, verwenden schon seit langem Schlüsselverwaltungssysteme. KMS-Tools, auch bekannt als Enterprise Key Management (EKM)-Systeme, verwalten den Lebenszyklus von Schlüsseln und werden in der Regel zur Speicherung und Verwaltung kryptografischer Schlüssel für ruhende Daten verwendet.

KMS-Tools verwalten den Schutz von Schlüsseln für eine breite Palette unterschiedlicher Anwendungen und bieten Mechanismen zur Überprüfung der Schlüsselverwendung. Sie werden hauptsächlich für die Verwaltung symmetrischer Schlüssel mit Hilfe der integrierten Unterstützung (KMIP) in gängigen Datenbanken für die Schlüsselverwaltung und den Lebenszyklus von Schlüsseln verwendet, die in IaaS-Anbietern durch die Nutzung ihres integrierten KMaaS-Angebots genutzt werden.

Im Gegensatz zu X.509-Zertifikaten laufen SSH-Schlüssel nicht ab. Sie sind daher so lange gültig, bis sie aktiv entfernt werden, was zu einer Ausbreitung der Schlüssel führen kann. Die Verwaltung von SSH-Schlüsseln umfasst die Erkennung, Analyse, Berichterstattung, Rotation und die Vermittlung von SSH-Schlüsseln, um das Risiko der Schlüsselausbreitung zu beseitigen.

SSH-Schlüsselverwaltungstools werden in der Regel als software oder als Dienst angeboten. Diese Tools erkennen geisterhafte SSH-Schlüssel in Netzwerk- und Cloud-Infrastrukturen und sind in der Lage, Vertrauensgraphen für die manuelle und automatische Schlüsselrotation von SSH-Schlüsseln zu erstellen.

SSH-Zertifikate werden zunehmend als flexiblere und sicherere Alternative zu SSH-Schlüsseln genutzt, da sie mit festen Gültigkeitszeiträumen einfach erneuert werden können. Die Nutzung ist jedoch noch nicht weit verbreitet und die Verwaltungstools sind nicht ausgereift.

Secrets-Manager speichern, geben aus und rotieren die von Anwendungen verwendeten Schlüssel, Geheimnisse und Zertifikate. Ihre Hauptanwendungsfälle sind die Speicherung von Geheimnissen, die in DevOps/DevSecOps und CI/CD-Pipeline-Szenarien verwendet werden. Zum Beispiel die Ausgabe von Identitäten für Container, IaaS-Workloads und zur Sicherung von Anmeldeinformationen der Anwendungsschicht, wie Datenbankschlüssel und OAuth 2.0-Client-Anmeldeinformationen.

Geheimnisverwalter werden als software oder als Dienst angeboten. Neben ihren Funktionen für die Aufbewahrung von Geheimnissen bieten sie auch Integrationen für eine hybride und Multi-Cloud-Umgebung mit integrierter Unterstützung für Anmeldeinformationen von Drittanbietern als Mechanismus für die nahtlose Authentifizierung gegenüber dem Geheimdienstmanager.

Mit dem Wachstum der PKI verwenden mehr Rechner als je zuvor Zertifikate zur Verschlüsselung der Kommunikation und zur gegenseitigen Authentifizierung. Zertifikatsverwaltungssysteme haben auch die Art und Weise verändert, wie Unternehmen die Ausstellung von Zertifikaten über mehrere Zertifizierungsstellen hinweg steuern und überwachen.

PKI- und Zertifikatsverwaltungsangebote können als software, virtuelle oder hardware Appliances oder als Service bereitgestellt werden. PKI-Anbieter integrieren sich mit Geheimhaltungsmanagern für die Ausstellung von Zertifikaten für DevOps-Szenarien. Sie führen eine Zertifikatsermittlung durch und bieten eine einzige Übersicht über Zertifikate in hybriden Multi-Cloud- und Multi-CA-Umgebungen.

Kürzlich durchgeführte Untersuchungen haben ergeben, dass IT- und Sicherheitsexperten Skalierbarkeit und Leistung(53 %) sowie die Unterstützung mehrerer Zertifizierungsstellen (45 %) als kritische Funktionen für PKI und Zertifikatsmanagement ansehen.

PAM-Tools vermitteln privilegierten Zugriff mit Hilfe von Agenten, APIs und Proxys und ermöglichen es Unternehmen, den privilegierten Zugriff zu sichern und eine "schleichende Privilegierung" zu verhindern, indem sie privilegierte Konten und Zugriffe, häufig einschließlich SSH-Schlüssel und -Zugangsdaten, verwalten und überwachen.

Diese Lösungen können auch für die Erkennung von Identitäten und Anmeldeinformationen in der Serverinfrastruktur und im Code sowie für die Verwaltung von Passwörtern von Anwendung zu Anwendung (AAPM) verwendet werden. Sie sind auch hilfreich, wenn ein Just-in-Time-Zugang (JIT), die Verwaltung von Berechtigungssitzungen oder die Erhöhung von Berechtigungen auf den Zielsystemen erforderlich ist. PAM-Angebote bieten zunehmend auch Funktionen zur Verwaltung von Geheimnissen.

Infrastructure-as-a-Service (IaaS)-Anbieter wie AWS, Google Cloud Platform und Microsoft Azure bieten integrierte Funktionen zum Speichern von Geheimnissen und Schlüsseln sowie zum Ausstellen von Identitäten für die in ihren Cloud-Diensten ausgeführten Workloads. Die IaaS-Funktionen reichen von integrierten KMS-Funktionen, cloudbasierten HSMs, Geheimdienstmanagern und Zertifikatsausgabe- und -verwaltungsdiensten.

Nach Angaben von Forrester wächst die Zahl der maschinellen Identitäten doppelt so schnell wie die Zahl der menschlichen Identitäten. Unternehmen haben in der Regel mehr Maschinen zu verwalten als Menschen. Die Anzahl der Arbeitslasten übersteigt zunehmend die Anzahl der Geräte, die verwaltet werden müssen, und Unternehmen müssen sich häufig an Anbieter wenden, um zusätzliche Hilfe zu erhalten.

Es gibt eine Vielzahl von Anbietern mit Funktionen für die Verwaltung von Maschinenidentitäten. Achten Sie bei der Auswahl der Anbieter darauf, ob sie die spezifischen Anforderungen Ihrer Branche, Unternehmensgröße, Geräte und Benutzerbasis erfüllen können.

Möglicherweise müssen Sie mit mehreren Unternehmen zusammenarbeiten, um alle Ihre Anforderungen zu erfüllen. Sie benötigen außerdem Partner, die sich flexibel an die sich ändernden Anforderungen Ihres Unternehmens anpassen und den gesamten Lebenszyklus Ihrer Maschinenidentitäten verwalten können.

Im Folgenden werden einige der führenden Unternehmen im Bereich der Verwaltung von Maschinenidentitäten näher betrachtet. Jedes dieser Unternehmen ist auf eines oder mehrere der von uns aufgeführten Tools spezialisiert.

Werkzeuge: Keyfactor PKI as a Service, Keyfactor Command , Keyfactor Kontrolle, PrimeKey (von Keyfactor) EJBCA, PrimeKey (von Keyfactor) SignServer, KCrypt Key Manager

Überblick: Keyfactor ist der führende Anbieter von Cloud-first PKI und Machine Identity Management und bietet eine durchgängige Crypto-Agility-Plattform für Unternehmen und IoT . Keyfactor hat sich kürzlich mit dem am weitesten verbreiteten PKI-Lösungsanbieter PrimeKeyzusammengeschlossen und ist damit der branchenweit erste Anbieter einer kombinierten Plattform für die hochskalierbare Ausstellung von Zertifikaten und die Automatisierung des Lebenszyklus.

Bereitstellung: Verwaltet, SaaS, Software & Appliance

Höhepunkte: Keyfactor Das Unternehmen, das ursprünglich ein führendes PKI-Beratungsunternehmen war, wechselte 2014 zu einer SaaS-Plattform und hat seitdem ein Wachstum von mehr als 300 % verzeichnet und wurde in die Liste der Inc. 5000 der am schnellsten wachsenden Unternehmen in den Jahren 2020 und 2021.

Wichtige Überlegungen: Keyfactor bietet mehrere, flexible Lösungen für die kombinierte PKI- und Zertifikatslebenszyklus-Automatisierung als Service, software oder hybride Bereitstellung. Es bietet auch SSH-Schlüsselverwaltung, sicheres Code Signing und Add-ons für die Verwaltung von Verschlüsselungsschlüsseln. Überlegen Sie sorgfältig, wie Sie die Bereitstellung vornehmen möchten und welche Funktionen Sie in Zukunft benötigen.

Werkzeuge: Akeyless Vault

Überblick: Akeyless Vault ist eine SaaS-basierte Plattform, die die Verwaltung von Geheimnissen (für Workload-Identitäten) und sicheren Fernzugriff kombiniert. Sie verwaltet automatisch Geheimnisse für DevOps-Tools und Cloud-Plattformen, um Anmeldeinformationen, Token, API-Schlüssel und Passwörter zu schützen.

Einsatz: SaaS & Hybrid

Highlights: Akeyless ist ein 2018 gegründetes Unternehmen mit Sitz in Israel, das eine einzigartige, patentierte und nach FIPS 140-2 zertifizierte Technologie, die sogenannte "Distributed Fragment Cryptography" (DFC), zum Schutz und zur Sicherung von Geheimnissen einsetzt. Das Unternehmen hat kürzlich 14 Mio. USD in einer Serie-A-Finanzierung erhalten.

Wichtige Überlegungen: Verwenden Sie die Zertifikatsausstellungsfunktionen von Secrets Managern nicht unkontrolliert. Secrets Manager sollten mit vertrauenswürdigen PKI-Ausstellern (öffentliche oder private CAs) und Zertifikatsverwaltungssystemen integriert werden, um sicherzustellen, dass jedes Zertifikat vertrauenswürdig, konform und gültig ist.

Werkzeuge: AppViewX Cert+

Überblick: AppViewX ist ein Anbieter von Netzwerkautomatisierung, der mit AppViewX Cert+ Funktionen zur Verwaltung von Zertifikaten und SSH-Schlüsseln anbietet. Das Unternehmen integriert auch Cloud-Anbieter von Drittanbietern, wie Google Cloud Certificate Authority Service, um "PKI as a Service" anzubieten.

Bereitstellung: Vor-Ort & SaaS

Höhepunkte: AppViewX ist ein US-amerikanisches Unternehmen mit F&E- und Support-Teams in Indien. AppViewX bietet zwar keinen verwalteten PKI-Service an, ist aber kürzlich eine Partnerschaft mit Google Cloud Certificate Authority Service (CAS) eingegangen, um neben seiner Cert+-Plattform auch PKI als Service anzubieten.

Wichtige Überlegungen: Stellen Sie bei der Bewertung von Zertifikatsmanagement-Tools sicher, dass Sie Integrationen, Anwendungsfälle und die einfache Installation gründlich testen. Wenn Sie den Proof of Concept (PoC) umgehen, könnten Sie mit einer langwierigen Einführung, Kostensteigerungen und sogar Serviceunterbrechungen rechnen. Wenn Sie sich für eine SaaS-basierte Lösung entscheiden, stellen Sie sicher, dass der Funktionsumfang mit dem von On-Premises-Angeboten vergleichbar ist.

Tools: AWS Secrets Manager, AWS CloudHSM, AWS Certificate Manager (ACM), ACM Private CA, AWS Key Management Service (KMS)

Überblick: AWS bietet eine Vielzahl integrierter Tools für die Verwaltung von Geheimnissen, die Schlüsselverwaltung, den HSM-Schutz, die PKI und die Zertifikatsverwaltung für Services, die innerhalb von AWS laufen.

Einsatz: Cloud / IaaS

Höhepunkte: AWS gilt weithin als führend bei der IaaS-Sicherheit. Das Unternehmen führte 2014 die AWS Private Certificate Authority (PCA) ein, um private Zertifikate innerhalb der AWS-Dienste auszustellen.

Wichtige Überlegungen: Integrierte IaaS-Tools sind gut in die Workloads integriert, die auf dem IaaS-Anbieter laufen oder von diesem kontrolliert werden. Sie können jedoch in Multi-Cloud-Szenarien Silos bilden und es fehlt ihnen an Drittanbieter-Integrationen und Lebenszyklus-Automatisierungsfunktionen. Wir empfehlen die Verwendung einer Zertifizierungsstelle und eines Cloud-unabhängigen PKI- und Zertifikatsmanagement-Tools, um Transparenz und Kontrolle zu zentralisieren.

Werkzeuge: Azure Dediziertes HSM, Azure Verwaltetes HSM, Azure Key Vault

Überblick: Azure bietet derzeit keine PKI an. Es bietet jedoch mehrere Optionen für den HSM-Schutz sowie die Verwaltung von Schlüsseln und Geheimnissen mit Azure Key Vault.

Einsatz: Cloud / IaaS

Höhepunkte: Microsoft Azure führt weiterhin neue Sicherheitsfunktionen ein, um mit anderen IaaS-Marktführern gleichzuziehen. Azure und Intel haben sich verpflichtet, im Jahr 2020 ein vertrauliches Computing der nächsten Generation auf Basis von Intel SGX bereitzustellen.

Wichtige Überlegungen: Integrierte IaaS-Tools sind gut in die Workloads integriert, die auf dem IaaS-Anbieter laufen oder von diesem kontrolliert werden. Sie können jedoch in Multi-Cloud-Szenarien Silos bilden und es fehlt ihnen an Drittanbieter-Integrationen und Lebenszyklus-Automatisierungsfunktionen. Wir empfehlen die Verwendung einer Zertifizierungsstelle und eines Cloud-unabhängigen PKI- und Zertifikatsmanagement-Tools, um Transparenz und Kontrolle zu zentralisieren.

Werkzeuge: BeyondTrust Password Safe, BeyondTrust DevOps Secrets Safe

Überblick: BeyondTrust ist ein Branchenführer im Bereich Privileged Access Management (PAM) mit integrierten Produkten und einer Plattform, die es Unternehmen ermöglicht, ihre Angriffsfläche zu verkleinern.

Bereitstellung: SaaS & On-Prem

Höhepunkte: BeyondTrust ist ein führendes Unternehmen im Bereich PAM und genießt das Vertrauen von 20.000 Kunden weltweit, darunter die Hälfte der Fortune-100-Unternehmen. Bomgar hat Lieberman, Avecto und BeyondTrust im Jahr 2018 übernommen und das neue BeyondTrust im Jahr 2019 eingeführt.

Wichtige Überlegungen: PAM-Tools sind leistungsstark für die Erkennung und Verwaltung von privilegiertem Zugang zu Systemen und Just-in-Time-Zugang (JIT). Diese Tools befassen sich nicht mit PKI- und Zertifikatsverwaltung, können aber in einigen Fällen SSH-Schlüsselverwaltung anbieten.

Werkzeuge: CyberArk Privileged Access Manager

Überblick: Die Identity Security Platform von CyberArk kombiniert IDaaS und starke Authentifizierung mit privilegiertem Identitätsmanagement. Mit dem innovativen Blueprint-Tool können hochgradig angepasste Sicherheits-Roadmaps erstellt werden.

Bereitstellung: Selbstgehostet / SaaS

Höhepunkte: CyberArk wurde 1999 gegründet und gilt weithin als Pionier und Marktführer im Bereich PAM. Vor kurzem wurde CyberArk auch in The Forrester Wave als führend eingestuft: Identity as a Service (IDaaS) für Unternehmen, Q3 2021.

Wichtige Überlegungen: PAM-Tools sind leistungsstark für die Erkennung und Verwaltung von privilegiertem Zugang zu Systemen und Just-in-Time-Zugang (JIT). Diese Tools befassen sich nicht mit PKI- und Zertifikatsverwaltung, können aber in einigen Fällen SSH-Schlüsselverwaltung anbieten.

Werkzeuge: DigiCert CertCentral, DigiCert Enterprise PKI Manager

Überblick: DigiCert ist ein führender SSL/TLS Anbieter, der auch PKI- und Zertifikatsverwaltungslösungen innerhalb der DigiCert One Plattform anbietet.

Bereitstellung: SaaS, Hybrid & On-Prem

Höhepunkte: Im Jahr 2020 führte DigiCert seine neue DigiCert ONE Plattform ein, einschließlich IoT Device Manager und Enterprise PKI Manager, in dem Bestreben, über die SSL/TLS Ausstellung hinaus in die Zertifikatsverwaltung zu expandieren.

Wichtige Überlegungen: Die von CA bereitgestellten Tools bieten nur begrenzte Erkennungs-, Automatisierungs- und sofort einsetzbare Integrationsfunktionen. Außerdem fehlt ihnen die Unterstützung für Multi-CA- und Multi-Cloud-Umgebungen. Unternehmen sollten ein PKI- und Zertifikatslebenszyklus-Automatisierungstool verwenden, das sich in mehrere Aussteller (öffentliche, private, Cloud-basierte und in DevOps eingebettete CAs) integrieren lässt.

Werkzeuge: Entrust Certificate Hub, Entrust Security Manager, Entrust PKI, nCipher nShield HSMs

Überblick: Entrust ist ein weltweit führender Anbieter von vertrauenswürdigen Identitäten, Zahlungen und Datenschutz für Finanzinstitute, Regierungen und andere Organisationen.

Bereitstellung: SaaS, Hardware & On-Prem

Höhepunkte: Entrust Datacard firmiert 2020 in Entrust um. Das Unternehmen konzentriert sich stark auf die Expansion durch Akquisitionen, mit den jüngsten Übernahmen von Antelope, WorldReach, HyTrust im Jahr 2021 und nCipher im Jahr 2019.

Wichtige Überlegungen: Die von CA bereitgestellten Tools bieten nur begrenzte Erkennungs-, Automatisierungs- und sofort einsetzbare Integrationsfunktionen. Außerdem fehlt ihnen die Unterstützung für Multi-CA- und Multi-Cloud-Umgebungen. Unternehmen sollten ein PKI- und Zertifikatslebenszyklus-Automatisierungstool verwenden, das sich in mehrere Aussteller (öffentliche, private, Cloud-basierte und in DevOps eingebettete CAs) integrieren lässt.

Werkzeuge: Fortanix Data Security Manager (DSM), Fortanix DSM SaaS

Überblick: Fortanix ist eine datenbasierte Multi-Cloud-Sicherheitsplattform, die ihre einzigartige Laufzeitverschlüsselungstechnologie auf Basis von Intel SGX nutzt, um die Sicherheit von der Infrastruktur zu entkoppeln.

Bereitstellung: SaaS & On-Prem

Höhepunkte: Fortanix ist ein Innovator im traditionell hardware-basierten HSM-Bereich, der moderne software und SaaS-basierte HSM- und vertrauliche Datenverarbeitungslösungen anbietet, die Laufzeitverschlüsselung mit Intel SGX nutzen.

Wichtige Überlegungen: Nicht alle HSMs sind gleich aufgebaut. Berücksichtigen Sie bei der Bewertung von Anbietern Bereitstellungsmodelle (hardware, virtuell oder Cloud), FIPS-140-Zertifizierungsstufen, Volumen/Leistung und Preismodelle. Aufkommende SaaS-basierte und verteilte virtualisierte HSMs bieten eine verlockende Alternative zu herkömmlichen hardware HSMs.

Werkzeuge: GCP Certificate Authority Service (CAS), GCP Secrets Manager, GCP Cloud Key Management Service (KMS), GCP Cloud HSM

Überblick: Google Cloud Platform rundet neben AWS und Azure die Top drei der IaaS-Anbieter ab. Google kündigte vor kurzem die Veröffentlichung des Certificate Authority Service (CAS) als integrierten privaten CA-Dienst an und liegt damit in Sachen PKI und Zertifikatsausstellung vor Azure.

Einsatz: Cloud / IaaS

Höhepunkte: Google Cloud führt weiterhin neue Sicherheitsfunktionen und -dienste ein, darunter die GA-Version von Google Cloud CAS im Jahr 2021.

Wichtige Überlegungen: Integrierte IaaS-Tools sind gut in die Workloads integriert, die auf dem IaaS-Anbieter laufen oder von diesem kontrolliert werden. Sie können jedoch in Multi-Cloud-Szenarien Silos bilden und es fehlt ihnen an Drittanbieter-Integrationen und Lebenszyklus-Automatisierungsfunktionen. Wir empfehlen die Verwendung einer Zertifizierungsstelle und eines Cloud-unabhängigen PKI- und Zertifikatsmanagement-Tools, um Transparenz und Kontrolle zu zentralisieren.

Werkzeuge: HashiCorp Tresor, HCP Tresor

Überblick: HashiCorp ist ein Infrastrukturunternehmen der neuen Generation software , das sich auf Multi-Cloud-Infrastruktur, Sicherheit, Netzwerke und Orchestrierung konzentriert. HashiCorp Vault ist eine leistungsstarke Geheimhaltungs-Engine, die es Unternehmen ermöglicht, den Zugriff auf Token, Passwörter

Bereitstellung: Open-Source, SaaS & Selbstgehostet

Höhepunkte: HashiCorp hat kürzlich die SaaS-basierte Version seiner Vault-Secret-Engine, HashiCorp Cloud Platform (HCP) Vault, mit Hosting-Standorten in Dublin, London und Frankfurt eingeführt, um die GDPR-Anforderungen zu erfüllen.

Wichtige Überlegungen: Verwenden Sie die Funktionen zur Ausstellung von Zertifikaten von Geheimhaltungsmanagern nicht ohne angemessene Kontrollen. Secrets Manager sollten mit vertrauenswürdigen Ausstellern (öffentlichen oder privaten Zertifizierungsstellen) und Zertifikatsverwaltungssystemen integriert werden, um sicherzustellen, dass jedes Zertifikat vertrauenswürdig, konform und gültig ist.

Werkzeuge: Thales Data Protection on Demand (DPoD), Thales Luna HSMs, CipherTrust Manager, CipherTrust Cloud Key Manager

Überblick: Thales ist ein Branchenführer im Bereich Datenschutz und bietet FIPS 140-konforme hardware-basierte (Luna) und Cloud-basierte (DPoD) HSM-Lösungen sowie Verschlüsselungsschlüsselmanagement mit CipherTrust und Vormetric. Ihre HSMs sind Cloud-agnostisch und die HSMs der Wahl für Microsoft, AWS und IBM.

Bereitstellung: Hardware & SaaS

Höhepunkte: Thales bietet eine breite Palette von Integrationen mit den meisten Tools auf dieser Liste, einschließlich Keyfactor, HashiCorp und CyberArk. Außerdem hat Thales kürzlich eine neue Double Key Encryption-Funktion für Microsoft 365 eingeführt.

Wichtige Überlegungen: Nicht alle HSMs sind gleich aufgebaut. Berücksichtigen Sie bei der Bewertung von Anbietern Bereitstellungsmodelle (hardware, virtuell oder Cloud), FIPS-140-Zertifizierungsstufen, Volumen/Leistung und Preismodelle. Aufkommende SaaS-basierte und verteilte virtualisierte HSMs bieten eine verlockende Alternative zu herkömmlichen hardware HSMs.

Werkzeuge: Thycotic Secret Server, Thycotic DevOps Secret Vault

Überblick: Thycotic ist ein führendes PAM-Unternehmen, das mehrere Lösungen für die Verwaltung von privilegiertem Zugriff, Geheimnissen und Zugriffskontrolle anbietet. Thycotic ist die einzige PAM-Lösung auf Unternehmensniveau, die sowohl in der Cloud als auch vor Ort verfügbar ist.

Bereitstellung: Hardware & SaaS

Höhepunkte: Im April 2021 fusionierte Thycotic mit Centrify, einem führenden Anbieter von PAM-Lösungen für mehr als die Hälfte der Fortune-100-Unternehmen, unter dem neuen Markennamen ThycoticCentrify.

Wichtige Überlegungen: PAM-Tools sind leistungsstark für die Erkennung und Verwaltung von privilegiertem Zugang zu Systemen und Just-in-Time-Zugang (JIT). Diese Tools befassen sich nicht mit PKI- und Zertifikatsverwaltung, können aber in einigen Fällen SSH-Schlüsselverwaltung anbieten.

Werkzeuge: Venafi Vertrauensschutz-Plattform (TPP), Venafi as a Service

Überblick: Venafi bietet Lösungen für den Schutz der Maschinenidentität, einschließlich PKI- und Zertifikatsmanagement und SSH-Schlüsselmanagement, innerhalb der Venafi Trust Protection Platform (TPP). Im Jahr 2020 übernahm Venafi Jetstack, das Startup hinter dem Cert-Manager für Kubernetes.

Bereitstellung: Vor-Ort & SaaS

Höhepunkte: Venafi hat kürzlich Venafi as a Service vorgestellt, ein Cloud-basiertes Tool zur Bereitstellung von Transparenz (OutagePredict) und DevOps-Integrationen (DevOpsAccelerate). Dies ist der erste Schritt von Venafi in Richtung Cloud, allerdings ist die Plattform derzeit noch weit von der Funktionsparität mit Venafi TPP (On-Premise) entfernt.

Wichtige Überlegungen: Stellen Sie bei der Bewertung von Zertifikatsmanagement-Tools sicher, dass Sie Integrationen, Anwendungsfälle und die einfache Installation in einem Proof of Concept (PoC) gründlich testen. Ältere On-Premise-Architekturen unterstützen moderne Multi-Cloud- und DevOps-Umgebungen wahrscheinlich nicht. Wenn Sie sich für eine SaaS-basierte Lösung entscheiden, stellen Sie sicher, dass der Funktionsumfang dem der Vor-Ort-Angebote entspricht.

Wenn Sie auf der Suche nach der richtigen PKI- und Maschinenidentitätsmanagement-Lösung sind, haben wir genau das Richtige für Sie. Laden Sie diese Kaufanleitungen herunter, um loszulegen.

Einkaufsführer für Certificate Lifecycle Automation → herunterladen

Einkaufsführer für PKI as a Service → herunterladen