Traditionell waren IT-Umgebungen sehr vertrauenswürdig: Unternehmen verfügten über eine geringe Anzahl von Zertifikaten und Schlüsseln, die alle in sich geschlossen waren und sich daher leicht statisch und reaktiv verwalten ließen.
Heute sehen die Dinge ganz anders aus. Die meisten Unternehmen arbeiten heute in einer Multi-Cloud-Welt mit dynamischen Arbeitsabläufen, die eine erhebliche Menge an zu verwaltenden Schlüsseln und Zertifikaten erzeugen. Diese Situation hat zur Entstehung von Zero-Trust-Umgebungen geführt, die ein proaktives, flexibles Zertifikatsmanagement erfordern.
Microsoft Azure und Amazon Web Services (AWS) sind zwei der wichtigsten Cloud-Dienste, die heute in Unternehmen genutzt werden und das Erscheinungsbild moderner IT-Organisationen geprägt haben. Sie bieten zwar zahlreiche Vorteile, machen es aber auch schwieriger, den Überblick und die Kontrolle über eine große Anzahl von hochdynamischen Zertifikaten zu behalten. Welche Möglichkeiten bleiben den Unternehmen in dieser Situation?
Ryan Yackel, VP of Product Marketing, und Brian Taricska, Senior Solutions Engineer, diskutierten kürzlich über die Herausforderungen, die diese dynamische Multi-Cloud-Umgebung mit sich bringt, und darüber, wie die Integration von Azure Key Vault und AWS Certificate Manager Keyfactor Command mit Azure Key Vault und AWS Certificate Manager zur Wertschöpfung beitragen kann.
Herausforderungen bei der Zertifikatsverwaltung in hochdynamischen, vertrauensfreien Umgebungen
Die hochdynamische Zero-Trust-Umgebung von heute hat verschiedene Herausforderungen für die Zertifikatsverwaltung mit sich gebracht. Unternehmen stellen fest, dass es ihnen an Transparenz und Kontrolle über ihre Zertifikate und Schlüsselspeicher auf höchster Ebene mangelt, was wichtige Aktivitäten wie Berichte und Ablaufwarnungen erschwert. Darüber hinaus haben viele Unternehmen Schwierigkeiten, konsistente Prozesse über mehrere Cloud-Anbieter hinweg einzuführen, so dass sie auf manuelle, fehleranfällige Prozesse angewiesen sind.
Wie sind wir hierher gekommen? Im Allgemeinen haben vier entscheidende Elemente des heutigen Umfelds zu diesen Herausforderungen geführt:
- Mehr Zertifikate: Die Menge an Schlüsseln und Zertifikaten wächst täglich weiter
- Weniger Kontrolle: Teams stellen jetzt Zertifikate ohne Aufsicht durch InfoSec aus
- Kürzere Lebenszyklen: Kurzlebige Zertifikate erhöhen das Risiko von Ausfällen und verdoppeln die IT-Arbeitslast
- Kein DevOps-Standard: Keine einfache Möglichkeit, konsistente DevOps-Zertifikatsprozesse über mehrere Cloud-Anbieter hinweg zu erstellen
Trotz dieser Herausforderungen bietet die Cloud nach wie vor enorme Vorteile - vor allem hohe Skalierbarkeit, Zuverlässigkeit und Betriebszeit. Außerdem ist die Realität, dass die Cloud nicht verschwindet. Stattdessen werden die Unternehmen sie immer mehr nutzen. Tatsächlich hat Cisco herausgefunden, dass im Jahr 2021 94 % der Arbeitslasten in Cloud-Rechenzentren verarbeitet werden.
Daher ist es wichtig, diese Herausforderungen zu meistern, indem man eine zentrale Plattform einführt, um diese Probleme zu verwalten und alle Schlüssel und Zertifikate zu kontrollieren, die von Cloud-Anbietern wie AWS und Azure ausgestellt werden. Wenn dies richtig gemacht wird, kann diese Kontrolle das notwendige Maß an Transparenz in Bezug auf Schlüssel und Zertifikate bieten, unabhängig von der ausstellenden Zertifizierungsstelle, und eine konsolidierte Berichterstattung über Schlüssel in mehreren Cloud-Instanzen ermöglichen, und zwar von einer zentralen Konsole aus. Schließlich kann sie auch dazu beitragen, eine konsistente Automatisierung zwischen Multi-Cloud-Anbietern unter Verwendung eines Standard-API-Sets einzuführen.
Eine zentralisierte Lösung für die Automatisierung des Lebenszyklus von Zertifikaten, wie Keyfactor Command , kann beispielsweise die Ausstellung von Schlüsseln und Zertifikaten steuern und automatisieren und so helfen:
- Verbessern Sie die Einhaltung von Vorschriften und die Kontrolle: Stellen Sie sicher, dass die Zertifikate mit den Unternehmensstandards übereinstimmen und immer von einer vertrauenswürdigen CA ausgestellt werden.
- Mehr Transparenz: Entdecken Sie Zertifikate über verschiedene CAs, Netzwerke, Anwendungen und Geräte hinweg
- Verbessern Sie die Berichterstattung: Konsolidieren Sie die Berichterstattung zu Schlüsseln über mehrere Cloud-Instanzen oder Cloud-Anbieter hinweg, indem Sie Zertifikate für die Überwachung gruppieren und Warnungen für das Ablaufen von Zertifikaten einstellen.
- Automatisieren Sie Arbeitsabläufe: Automatisieren Sie die Bereitstellung von Zertifikaten für Workloads und Anwendungen und automatisieren Sie Vorfallsberichte, Zertifikatserneuerungen und Installationen.
Integration von Keyfactor Command zur Verbesserung der Zertifikatsautomatisierung
Bevor wir uns mit den Einzelheiten der Funktionsweise von Keyfactor Command befassen, ist es wichtig zu verstehen, wie Keyfactor mit Cloud-Systemen wie AWS und Azure für Zertifikatsanfragen und Schlüsselspeicherbestände integriert wird, um eine Zentralisierung für verschiedene API-Integrationen und Arbeitsabläufe zu ermöglichen.
Keyfactor bietet eine einzige Schnittstelle, entweder über die grafische Benutzeroberfläche oder die APIs, um ein Zertifikat aus einer Reihe von Quellen zu registrieren. In der Praxis bedeutet dies, dass Benutzer mit einer einzigen Anfrage eine beliebige Zielzertifizierungsstelle angeben können, sei es eine öffentliche Zertifizierungsstelle, eine private Zertifizierungsstelle oder eine ephemere geheime Zertifizierungsstelle (wie HashiCorp Vault), die mit DevOps-Anwendungsfällen verbunden ist.
Sie können einfach Keyfactor verwenden, um ein Zertifikat mit einem einzigen API-Aufruf oder einem Mausklick an einem oder mehreren Standorten bereitzustellen, und Sie können sogar LCNs zu dieser Anforderung hinzufügen. So können Sie dasselbe Zertifikat effizient über mehrere Endpunkte verteilen, die unterschiedliche DNS oder IPs verwenden, und dabei verschiedene Richtlinien (z. B. RFC 2818) durchsetzen. Keyfactor bietet auch mehrere Integrationen mit gängigen Plattformen, einschließlich Servicemeshes und Kubernetes-ähnlichen Bereitstellungen, die Sie innerhalb der AWS- und Azure-basierten Infrastruktur verwenden können.
Wichtig ist, dass Keyfactor auch das häufige DevOps-Dilemma zwischen Geschwindigkeit und Sicherheit berücksichtigt, bei dem Entwickler schnell Zertifikate benötigen und InfoSec-Teams sicherstellen müssen, dass diese Zertifikate konform sind. Konkret ermöglicht Keyfactor den Entwicklern den schnellen Zugriff auf Zertifikate, einschließlich deren Beschaffung und Bereitstellung bei konformen Zertifizierungsstellen, und bietet dem InfoSec-Team gleichzeitig die nötige Transparenz in Bezug auf die ausgestellten Zertifikate und die laufende Überwachung.
Wie alles zusammenhängt: Ein Blick in die Workflows der Zertifizierungsautomatisierung mit Keyfactor
Lassen Sie uns einen Blick auf die Realität werfen und sehen Sie sich an, wie all dies zusammenkommt, um Zertifikatsautomatisierungs-Workflows innerhalb von Keyfactor zu unterstützen.
Schritt 1: Melden Sie sich an bei Keyfactor Command
Wenn Sie sich bei Keyfactor anmelden, gelangen Sie direkt zu einem Dashboard, das eine umfassende Überwachung Ihrer PKI-Umgebung bietet. Zu den wichtigsten Dingen, die Sie in dieser Ansicht sehen, gehören Details zur ausstellenden Zertifizierungsstelle (die Sie für alle Zertifikatsanforderungen benötigen) und Zertifikatspeicheraufträge, die den Bestand an AWS- und Azure-Key-Vault-Instanzen darstellen.
Schritt 2: Anforderungen einrichten
Sobald Sie sich angemeldet haben, müssen Sie den Orchestrator in Ihre AWS- und Azure Key Vault-Instanzen integrieren. Sie können diese Instanzen lokal, per Fernzugriff oder sogar als verteiltes Modell bereitstellen. Für die Einrichtung müssen Sie lediglich Informationen über Ihre Installation und die aktivierten Zertifikatspeicher (in dieser Demo sind das AWS und Azure Key Vault) freigeben. Nachdem Sie alles durch diese Schritte registriert haben, können Sie zurück zu Keyfactor gehen, um die Integration zu genehmigen.
Schritt 3: Konfigurieren Sie Ihren Zertifikatsspeicher
Als Nächstes können Sie die Zertifikatspeicher einrichten, um sie mit Ihren AWS- und Azure Key Vault-Instanzen zu verbinden. Keyfactor bietet verschiedene Möglichkeiten, die Instanz und ihre Bestände zu authentifizieren, zum Beispiel durch Remote Forests und Client-Maschinen.
Sobald Sie eine Verbindung zu den Zertifikatspeichern hergestellt haben, können Sie nicht nur Zertifikate bereitstellen und deprovisionieren, sondern auch den Bestand aller ausgestellten Zertifikate einsehen - unabhängig davon, ob diese Zertifikate von innerhalb oder außerhalb von Keyfactor stammen. Keyfactor beispielsweise bezieht alles ein, einschließlich selbst signierter Zertifikate oder solcher, die von Zertifizierungsstellen stammen, mit denen Keyfactor nicht integriert ist, so dass Sie Einblick in alles haben, was in Ihrer Umgebung existiert.
Mit dieser Einrichtung können Sie Zertifikate innerhalb von Keyfactor auf einfache Weise validieren und Details wie z. B.:
- Eigenschaften von X.509-Zertifikaten
- Thema der Bescheinigung
- Gültigkeitsdauer
- Verwendung von Zertifikaten
- Name des Antragstellers
- Standort des Zertifikats
- Vollständiger Prüfungsverlauf
Darüber hinaus können Sie auch mit der rechten Maustaste auf ein Zertifikat klicken, um es zu erneuern.
Schritt 4: Bereitstellung der Registrierung
Nach dem Einrichten des Zertifikatsspeichers ist es an der Zeit, mit der Registrierung von Zertifikaten zu beginnen. Dieser Prozess ist so einfach wie das Ausfüllen des Common Name des Zertifikats für PFX-Zertifikate. Keyfactor füllt die restlichen Felder automatisch aus, einschließlich DNS, das auf CA-Ebene über die Compliance-Einstellungen von Keyfactordurchgesetzt wird. Von dort aus können Sie mit ein paar Klicks angeben, was das Ziel sein soll (z. B. AWS oder Azure Key Vault). Und das war's - alles in allem dauert die Einrichtung, Installation und Bereitstellung mit Keyfactor nur Minuten, wenn nicht sogar Sekunden.
All dies verschafft Ihnen einen umfassenden Überblick. Sie können geplante Aufträge für neue Zertifikatsanforderungen sowie eine vollständige Auftragshistorie leicht einsehen.
Jedes Zertifikat zeigt auch einen Status an (den Sie auch überprüfen können, indem Sie in AWS oder Azure Key Vault gehen, um sicherzustellen, dass Sie alle abgeschlossenen Zertifikate sehen), wo es bereitgestellt wurde, den Namen des Antragstellers und zusätzliche Informationen, wie Metadaten, um das Zertifikat zu kennzeichnen (ein Feld, das nur auf Keyfactor zu finden ist).
Schritt 5: Sammlungen erstellen
Und schließlich ist es angesichts all dieser Nuancen, der noch unausgereiften Vorschriften und des allgemeinen Mangels an Standardisierung nicht einfach, die Sicherheit von IoT zu gewährleisten. Dies gilt ganz besonders. Die Sicherheit von IoT unterscheidet sich deutlich von der traditionellen Unternehmenssicherheit und ist ein neuer Bereich, in dem selbst die Hersteller dieser Geräte über fundierte Fachkenntnisse verfügen.
Am besten gehen Sie Schritt für Schritt vor, indem Sie sich zunächst genau ansehen, welche Art von Sicherheitsarchitektur für Ihre Geräte, Ihr Unternehmen und die speziellen Anforderungen Ihrer Kunden am besten geeignet ist. Von dort aus können Sie mit der Bewertung der verschiedenen Technologien beginnen, die für Schlüsselelemente wie Authentifizierung, Verschlüsselung, Code Signing usw. zur Verfügung stehen. Eine bewährte Praxis, die Sie dabei im Auge behalten sollten, ist die Verwendung bereits vorhandener Lösungen, die bei den grundlegenden Lebenszyklusphasen von IoT Geräten helfen können, wo immer dies möglich ist, da Sie so auf eine Fülle von Wissen und Erfahrung zurückgreifen können, anstatt etwas selbst zu entwickeln.
Schließlich können Sie Sammlungen erstellen, die Zertifikate mit Gemeinsamkeiten zusammenfassen. Sammlungen sind das Arbeitspferd der Plattform, denn Sie können sie äußerst flexibel definieren und dann auf verschiedene Weise aktivieren.
So können Sie beispielsweise verschiedenen Gruppen die Berechtigung erteilen, mit Zertifikaten in einer bestimmten Sammlung zu arbeiten, und Berichte über eine Teilmenge von Zertifikaten für eine Sammlung planen. Außerdem können Sie auf einen Blick Details zu allen Zertifikaten in einer Sammlung anzeigen, einschließlich Zertifikats-Metadaten, Ablaufdaten und Zustandsmetriken.
Eines der wichtigsten Elemente dieser Sammlungen ist, dass sie dynamische Berichte erstellen. In Verbindung mit der Automatisierung von Keyfactorbietet dies Ihrem Team eine beispiellose Transparenz und Kontrolle. Sie können zum Beispiel eine Logik einführen, die Keyfactor anweist, bestimmte Empfänger 10 Tage vor Ablauf eines Zertifikats in einer bestimmten Sammlung zu benachrichtigen.
Dies automatisiert nicht nur die Benachrichtigung bei ablaufenden Zertifikaten, um sicherzustellen, dass Ihr Team diese proaktiv erneuern kann, sondern bietet auch Kontrolle und Flexibilität, damit Sie die richtigen Teammitglieder benachrichtigen können.
Sind Sie an weiteren Informationen interessiert?
Um mehr darüber zu erfahren, wie Keyfactor Command gängige Herausforderungen bei der Automatisierung und Verwaltung von Zertifikaten in einer Multi-Cloud-Welt löst, und um eine Live-Demo zu sehen, sehen Sie sich hier das vollständige Webinar an.