Der Countdown läuft für die Keyfactor Tech Days | Sichern Sie sich noch heute Ihren Platz!

  • Startseite
  • Blog
  • Sichere Automatisierung der PKI mit Keyfactor und PAM

Sichere Automatisierung der PKI mit Keyfactor und PAM

PKI

Privilegien haben in der IT-Welt ein großes Gewicht und bergen ein ebenso großes Risiko. IT- und Sicherheitsteams sind dafür verantwortlich, dass das Unternehmen in Bewegung bleibt und sicher ist - aber dafür brauchen sie Zugang zu kritischen Systemen und Prozessen. Die meisten Unternehmensnutzer verfügen über eine begrenzte Anzahl von Privilegien, wie z. B. das Surfen im Internet und die Nutzung bestimmter Anwendungen (z. B. Office 365, Salesforce usw.), aber es sind oft die wenigen mächtigen, privilegierten Konten und Nutzer, die den größten Schaden anrichten können.

Privilegierte Benutzer und Konten haben Zugriff auf geschäftskritische Systeme und Prozesse. Denken Sie zum Beispiel an alle Ihre lokalen Admin-, Domänen- oder AD-Administrator- und Anwendungskonten. Der Missbrauch oder die Gefährdung dieser privilegierten Konten kann katastrophale Folgen haben. Unternehmensbenutzer können weitaus mehr Berechtigungen haben, als sie benötigen, wodurch eine unbeabsichtigt große Angriffsfläche geschaffen wird. Gemeinsam genutzte Konten und Passwörter stellen ebenfalls ein ernsthaftes Risiko dar, insbesondere für IT- und Sicherheitsteams.

Laut einem Ponemon-Report von 2019 geben 69 Prozent der befragten Unternehmen zu, "Passwörter mit ihren Kollegen am Arbeitsplatz zu teilen, um auf Konten zuzugreifen, und mehr als die Hälfte der Befragten (51 Prozent) verwenden durchschnittlich fünf Passwörter für ihre geschäftlichen und/oder privaten Konten."

Dies ist nicht die erste Studie, die denselben Trend bei den Sicherheitspraktiken zeigt. Tatsächlich wissen wir auch, dass die meisten von Einzelpersonen erstellten Passwörter mit genügend Zeit und Ressourcen geknackt werden können, weil sie zu wenig komplex oder zu kurz sind. Natürlich führt dieses Verhalten unweigerlich zu einer Zunahme der Kompromittierung von Konten durch Hacker, einfache Benutzerfehler oder sogar abtrünnige Insider.

Eine Methode zur Lösung des Problems ist die Multifaktor- (MFA) oder Zwei-Faktor-Authentifizierung (2FA), aber die geringe Akzeptanz bedeutet, dass die gemeinsame Nutzung von Anmeldeinformationen und schwache Passwörter immer noch ein weit verbreitetes Problem sind. Eine Erklärung dafür ist, dass sich 2FA nicht gut für die Unternehmensautomatisierung eignet. Viele Arbeitsabläufe, wie z. B. das Einrichten eines neuen Servers, sind zu einem automatisierten Prozess geworden, der durch eine Anfrage oder einen Klick auf eine Schaltfläche ausgelöst wird. Dieser Prozess ist einfach nicht effektiv, wenn ein Administrator zum Zeitpunkt der Anfrage an der Zwei-Faktor-Authentifizierung teilnehmen muss.

Eingabe von Privileged Access Management (PAM)

Auf einer hohen Ebene hilft eine PAM-Lösung Unternehmen, Transparenz und Kontrolle über ihre privilegierten Konten und Benutzer zu erlangen. Sie ermöglicht eine sichere Verwaltung und Überwachung des privilegierten Zugriffs, um die potenzielle Angriffsfläche zu verringern, die Einhaltung von Vorschriften nachzuweisen und bekannte Bedrohungen zu verhindern, einschließlich unbefugter Privilegieneskalation, Pass-the-Hash- und Pass-the-Ticket-Angriffe. Es ist auch möglich, diese Ziele zu erreichen, ohne automatisierte Arbeitsabläufe zu behindern, indem Anwendungen direkt integriert werden, um den Zugriff auf die erforderlichen Anmeldeinformationen zu ermöglichen, ohne dass Administratoren einbezogen werden müssen.

Es überrascht nicht, dass Privileged Access Management die Liste der von Gartner empfohlenen Top 10 IT-Sicherheitsprojekte in den letzten zwei Jahren in Folge angeführt hat. Aber wie passt PAM in Ihre Public-Key-Infrastruktur (PKI)? Und wie ermöglicht Keyfactor eine sichere Automatisierung? Setzen wir die Teile zusammen.

Wie passt PAM in die PKI?

PKI ist, wie der Name schon sagt, mehr als nur die digitalen Zertifikate, mit denen Sie Ihre Web- und Anwendungsserver (und andere Dinge) schützen - es ist ein Ökosystem oder eine "Infrastruktur" aus Zertifizierungsstellen (CAs), hardware und software, Menschen und Richtlinien und natürlich den Geräten, Benutzern und Anwendungen, die die Zertifikate verwenden. Wenn schwache Anmeldeinformationen oder Praktiken zur gemeinsamen Nutzung von Passwörtern in einer dieser Komponenten verwendet werden, ist es durchaus möglich, dass Ihre PKI-Infrastruktur und insbesondere Ihre privaten Schlüssel gefährdet sind.

Die Erneuerung, der Austausch und die Rotation von Zertifikaten erfordern in der Regel einen privilegierten Zugriff auf Schlüssel- und Zertifikatspeicher in Ihrer Infrastruktur, wie z. B. F5 BIG-IP, Amazon Web Services (AWS), Azure KeyVault und Java Key Stores (JKS). Das Speichern oder Freigeben dieser privilegierten Anmeldeinformationen außerhalb des unternehmenseigenen Kennworttresors stellt eine Sicherheitsherausforderung dar, aber die Einbeziehung von Administratoren zum manuellen Abrufen dieser Anmeldeinformationen ist auch riskant und keineswegs automatisierungsfreundlich.

Keyfactor PAM-Integration

Keyfactor Bisher war für die Automatisierung von Schlüsseln und Lebenszyklen ein direkter Zugriff auf die Anmeldeinformationen von privilegierten Konten erforderlich. Das hat sich mit Keyfactor 7 geändert. Keyfactor kann nun automatisch Anmeldeinformationen von Ihrer PAM-Lösung abrufen, um eine sichere Automatisierung von Schlüsseln und Zertifikaten zu ermöglichen.

Mit anderen Worten: PKI-Administratoren müssen keine privilegierten Anmeldeinformationen für Schlüssel- und Zertifikatspeicher in den Keyfactor Command oder Keyfactor Control-Anwendungen speichern. Stattdessen stellen sie Keyfactor die Informationen zur Verfügung, die für den Zugriff auf einen beliebigen Tresor erforderlich sind, autorisieren den Keyfactor Server, die erforderlichen Anmeldeinformationen abzurufen, und verwenden diese, um Ihre Zertifikate dorthin zu bringen, wo sie benötigt werden. Auf diese Weise unterliegen alle Vorgänge im Lebenszyklus von Zertifikaten und Schlüsseln denselben Richtlinien und Praktiken, die für alle anderen privilegierten Konten in Ihrer Infrastruktur gelten.

Dies ermöglicht eine echte Maschine-zu-Maschine-Kommunikation, indem die Abfrage des für den Zugriff auf den Schlüssel- oder Zertifikatspeicher erforderlichen Passworts aus Ihrer PAM-Lösung automatisiert wird, ohne dass ein Mensch eingreifen muss. Wenn Sie darüber hinaus einen Prozess eingerichtet haben, um das Kennwort Ihrer Speicher nach dem Zugriff über Ihre PAM-Lösung zu ändern, wird Keyfactor automatisch das neue Kennwort verwenden, wenn das nächste Mal auf den Speicher zugegriffen werden muss, ohne dass eine Aktualisierung durch den PKI-Administrator erforderlich ist. Auf diese Weise können Sie die Vorteile einer automatisierten Infrastruktur voll ausschöpfen und Ihre Schlüsselspeicher und privaten Schlüssel auf einen Schlag sichern.

Möchten Sie mehr erfahren? Besuchen Sie Keyfactor Command auf dem CyberArk Marketplace oder sehen Sie sich eine 15-minütige Präsentation und Demo an.