Der Montagmorgen bricht an, Sie trinken einen Kaffee, um den Tag zu beginnen. Seien wir ehrlich, Sie werden ihn brauchen.
Wenn Sie zum PKI-Team gehören (oderr einem einsamen Team), müssen Sie sich mit Zertifikatsanfragen befassen, die Inhaber von Anwendungen aufspüren und Zertifikate zu erneuern, bevor sie ablaufen ist einfach ein ganz normaler Tag im Leben.
Es gibt mehrere Möglichkeiten, wie Sie das Problem angehen können. Die meisten entscheiden sich für eine tabellenbasierte Verfolgung. Das PKI-Team pflegt und aktualisiert die Tabelle und prüft regelmäßig die Erneuerungen. Einige verwenden Tools, die von ihren Zertifizierungsstellen bereitgestellt werden. Selbst erstellte Skripte können sogar ein gewisses Maß an Automatisierung bieten.
Umstellung von manuell auf automatisiert
Wenn Sie diesen Blog lesen, haben Sie aber wahrscheinlich dass Sie mit diesem Instrumentarium nicht sehr weit kommen.
Das ist nicht nur zeitaufwändig, sondern auch frustrierend. Anwendungsteams vergessen ihre Zertifikate, ignorieren Benachrichtigungen und versäumen es regelmäßig, sie korrekt zu installieren. Es kann sogar vorkommen, dass sie ihre eigene Zertifizierungsstelle einrichten und ohne Ihr Wissen Zertifikate ausstellen (das passiert sehr oft). In der Zwischenzeit sind Sie am Haken, wenn ein abgelaufenes oder beschädigtes Zertifikat eine Anwendung zum Absturz bringt.
Unterm Strich: yoSie müssen Zertifikatsverwaltung in den Griff bekommen.
Das ist der Grund Automatisierung des Lebenszyklus von Zertifikaten Tools ins Spiel kommen. Sie wurden entwickelt, um Sie von manuellen Prozessen zu befreien, indem sie Dinge wie die Erkennung aller bekannten (und unbekannten) Zertifikate, Ablaufwarnungen, zentralisierte Berichte und eine automatisierte Lebenszyklusabwicklung bieten.
Die Argumentation für die Automatisierung von Zertifikaten in der Kette von command durchzusetzen, ist nie einfach. Es stehen mindestens ein Dutzend anderer IT-Projekte auf dem Plan, wie also soll man einen Business Case aufbauen, der Bestand hat?
5 Schritte zur Erstellung Ihres Business Case
Hier sind fünf (wenn auch vereinfachte) Schritte, um einen überzeugenden Business Case für die Verbesserung Ihrer Reifegrad der Zertifikatsverwaltung von manuell zu automatisiert.
- Bringt das A-Team herein
Wenn Sie verantwortlich sind für die PKI in der Organisation verantwortlich sindsind Sie typischerweise Sie kontrollieren oder verwalten die von ihr ausgestellten Zertifikate nicht - Ihr System und Netzwerk Administratoren tun dies. Aber diedie Teams die Ihnen am meisten zu schaffen machen, können Ihr größtes Kapital sein hier. Finden Sie heraus, wie sie Zertifikate erhalten (von einer autorisierten CA oder anderswo) und wie viel Zeit es braucht sie für die Bereitstellung, Installation und Erneuerung diese Zertifikate auf ihren Geräten und Anwendungen. - Erstellen Sie einen Plan und ermitteln Sie Ihre Lücken
Nehmen Sie, was Sie gelernt haben, und stellen Sie es dar. Nichts ist wirkungsvoller als eine Whiteboard-Sitzung mit Ihrem A-Team. Nehmen Sie sich die Zeit, Ihre CA-Infrastruktur, Anwendungen und Arbeitsabläufe für die Beantragung, Ausstellung und Erneuerung von Zertifikaten darzustellen. Sobald Sie den Prozess aus Ihrem Kopf auf ein Whiteboard übertragen haben, können Sie schnell Lücken und Ineffizienzen erkennen. - Definieren Sie Ihre Projektanforderungen
Jetzt, da Sie das Problem erkannt haben, ist es an der Zeit, Ihre Erfolgskriterien und die Kernfunktionen einer idealen Lösung zu umreißen und zu überlegen, wie diese mit den vorhandenen internen Ressourcen und nicht mit einem neuen Produkt erreicht werden können. Beschränken Sie Ihre Anforderungen nicht auf einen einzigen Anwendungsfall (wir sehen das viel zu oft bei PKI-Teams). Denken Sie über alle Ihre Zertifikatsanforderungen jetzt und in der Zukunft. - Wissen, womit man es zu tun hat
Laut den Analysten von Gartner sind sich die Verantwortlichen für das Sicherheits- und Risikomanagement oft nicht über den Umfang oder den Status ihrer X.509-Zertifikatsbereitstellungen bewusst.. "* Aufgrund dieser Unkenntnis sind Sie nicht in der Lage, Ihre Arbeit zu erledigen. Selbst wenn Sie noch keinen SEV1-Ausfall erlebt haben, müssen Sie die Risiken und Betriebskosten Kosten von Ausfällen oder Zertifikat Schwachstellen in Ihrem Netzwerk. - Nagel den ROI
Lassen Sie nicht zu, dass das Budget ein Hindernis ist. Definieren Sie die Kosten für den Kauf einer Lösung gegenüber Verzögerung des Projekts. Wenn Sie heute in die Automatisierung des Lebenszyklus von Zertifikaten investieren, wie viel werden Sie in den nächsten fünf Jahren sparen? Wie viel Produktivität geht verloren, wenn Sie das Projekt auf das nächste Jahr verschieben? Wenn Sie versuchen, sich von stundenlanger manueller Arbeit zu befreienfür die Verwaltung von Zertifikatendann ist dies der Schlüssel zu Ihrem Erfolg.
Wie man den ROI der Automatisierung des Lebenszyklus von Zertifikaten misst
Nach Angaben von Gartner haben Unternehmen, die Tools zur Zertifikatsverwaltung 90 % weniger Probleme im Zusammenhang mit Zertifikaten haben und die Hälfte der Zeit für die Verwaltung dieser Probleme aufwenden Probleme.* Allerdings ist dieranslating risk into dollars and cents is not easy.
Im Folgenden finden Sie einige reale Beispiele für Kennzahlen, die unsere Kunden zur Messung des ROI und zur Erstellung des Business Case für Automatisierung des Lebenszyklus von Zertifikaten.
Ausfälle/Ausfallzeiten
- Untätigkeit: Schätzen Sie den Umsatzverlust, der durch die Ausfallzeit der Website oder Anwendung pro Stunde und den Verlust von IT-Ressourcen zur Behebung des Problems entsteht (z. B. Anzahl der IT/PKI-Administratoren x Gehalt/Stunde x 4-8 Stunden).
- Aktion: Zertifikat Lebenszyklus Automatisierungswerkzeuge ermöglichen es Ihnen, Ausfälle zu verhindern mit Zertifikatsermittlung, kontinuierlicher Überwachung und Ablaufwarnungen, um Zertifikate zu erneuern, bevor sie ablaufen.
Zertifikatsanfragen
- Untätigkeit: Schätzen Sie die Anzahl der Stunden pro Woche, die Sie bzw. Ihr Team mit der Bearbeitung von Zertifikatsanträgen und der Bestandsverfolgung verbringen (z. B. Anzahl der Mitarbeiter x Gehalt/Stunde x 2-3 Stunden pro Woche).
- Aktion: Selbstbedienung Portale und APIs können die Zeitspanne zwischen Zertifikatsanforderung undZertifikatsanforderung und Ausstellung drastisch reduzieren. Es kann auch nicht schaden, alle Zertifikate von einem einzigen Dashboard aus zu verfolgen.
Zertifikatsbereitstellung
- Untätigkeit: Schätzen Sie die Anzahl der Stunden pro Woche, die Netzwerk-/Systemadministratoren lieber nicht mit der Installation/Überprüfung von Zertifikaten auf Geräten (z. B. 10-15 Minuten/Zertifikat x Anzahl der F5-Geräte).
- Aktion: Automatisierung der Arbeitsabläufe Ausstellung, Erneuerung, Bereitstellung und Bindung von Zertifikaten an die richtigen Stellen können manuelle Schritte reduzieren oder ganz vermeiden. Schritte Schritte im Prozess reduzieren oder ganz eliminieren.
Los geht’s!
*Technology Insights for X.509 Certificate Management, Oktober 2019, David Mahdi, David Collinson (Gartner)