In diesem Blog befassen wir uns mit der Integration von zwei Sicherheitstechnologien, PKI und Identity Federation, die das Business Enablement auf die nächste Stufe heben.
Geschäftsmodell: Globale Partnerschaft mit unabhängigen, lokalen Unternehmen.
Erfordernis: Nutzung der IT, um eine sichere Geschäftsumgebung für die Unterstützung von Ressourcen, Zusammenarbeit und gemeinsamer Nutzung zu schaffen.
Ziel: Identifizierung und Einrichtung eines eindeutigen Namespace für jedes einzelne lokale Unternehmen in einem bestimmten Gebiet bei gleichzeitigem Aufbau von Identitätsvertrauensbeziehungen zwischen diesen getrennten Namespaces, um Ressourcen über Gebiets- und Sicherheitsgrenzen hinweg gemeinsam zu nutzen.
Lösung: Public Key Infrastructure (PKI) mit föderierter Identität bewusst.
Empfohlene PKI-Ansicht:
Zertifikatsverwaltungssystem (CMS)
Nahtlose Ausstellung und Verwaltung von Zertifikaten für alle Geräte und Dienste
https://www.css-security.com/cms
Verwaltete PKI
Eine leistungsstarke digitale und sichere Lösung zu geringeren Kosten, als Sie je für möglich gehalten hätten.
Empfohlene Ansicht der Identity Federation-Infrastruktur:
Im Folgenden wird der Ansatz für die Lösungsarchitektur, das Design und die Implementierung beschrieben:
- Aufbau einer globalen vertrauenswürdigen Stammzertifizierungsstelle mit einer mehrstufigen Zertifizierungsstellenhierarchie zur Unterstützung einer PKI-Infrastruktur mit globalem Geltungsbereich bei gleichzeitiger Implementierung von Namespace-Beschränkungen für die Unterordnung, um die Ausstellung von Zertifikaten durch untergeordnete Zertifizierungsstellen innerhalb ihrer eigenen PKI-Verwaltung und -Verwaltung mit lokalem Geltungsbereich zu beschränken.
- Erleichterung eines End-to-End-Namensraum-Verknüpfungsmechanismus zwischen Gebiet, Global und Cloud, um die Bereitstellung/Synchronisierung von Kernidentitätsinformationen in verknüpften Namensräumen in jedem Identitätsspeicher zu ermöglichen.
- Binden Sie das Zertifikat an eine eindeutige Identitäts-ID, die mit dem Namespace verbunden ist, und ermöglichen Sie die Zuordnung des Zertifikats zur Identität.
- Implementieren Sie Richtlinien für die Zertifikatsausstellung (z. B. hohe Sicherheitsstufe ...) und Anwendungs-/Schlüsselverwendungsrichtlinien (z. B. Nichtabstreitbarkeit, Smartcard-Anmeldung ...) in den Zertifikatsinhalt, damit die vertrauende Partei diese für die Authentifizierung/Autorisierung/Zugangskontrolle nutzen kann, ohne das Rad neu zu erfinden.
- Ebenso wichtig ist, dass der STS (Security Token Service) diese Richtlinieneinstellungen aus dem Zertifikat in ein Sicherheitstoken übersetzen kann, das an die vertrauende Partei geliefert wird, die das Gleiche für die Zugriffskontrolle tun kann. Die Einstellungen zur Durchsetzung von Zertifikatsrichtlinien werden während der gesamten Lebensdauer des Zertifikats durchgängig ausgeführt.
- Verwenden Sie den Schlüssel nur für seinen Zweck. So ist beispielsweise die Nichtabstreitbarkeit eine sehr spezifische Schlüsselverwendung, die nicht überstrapaziert werden sollte. Sie setzt zumindest voraus, dass der private Schlüssel niemals von einem sicheren Ort aus exportiert wird, z. B. von einer Smartcard, einem TPM/einer virtuellen Smartcard, einem HSM usw.
- Aufgrund der Natur des nicht verbundenen Namespace zwischen globalen und territorialen Ressourcen erscheinen die meisten Windows-Clients beim Zugriff auf globale oder fremde Ressourcen als nicht domänenverbundene Geräte. Windows 2012 R2, Windows 8.1 und höher unterstützen die Registrierung von nicht-domänenverbundenen Zertifikaten und die schlüsselbasierte Erneuerung über CES/CEP.
