Die Migration zur Cloud hat den Sicherheitsschwerpunkt schnell von Grenzen auf Identitäten verlagert. In diesem Modell ohne Grenzen ist nichts von Natur aus vertrauenswürdig, solange es nicht mit einer eindeutigen Identität authentifiziert und autorisiert wurde - eine Idee, die als Zero-Trust-Sicherheit bekannt ist.
Die Public-Key-Infrastruktur (PKI) und Maschinenidentitäten sind wichtige Bestandteile der Zero-Trust-Sicherheit. Ob virtuelle Maschinen, Container, Anwendungen, Container-Orchestrierung oder Service-Mesh-Plattformen - alle sind auf Schlüssel und Zertifikate angewiesen, um sich zu authentifizieren und sicher miteinander zu kommunizieren.
Zu wissen, was in welchen Umgebungen wann vertrauenswürdig ist, hängt von digitalen Zertifikaten und der dahinter stehenden Public Key Infrastructure (PKI) ab.
Traditionelle vs. dezentrale PKI
Hinter jedem Zertifikat steht eine Zertifizierungsstelle (CA). Microsoft Active Directory Certificate Services (ADCS), oft auch als Microsoft CA bezeichnet, ist seit langem die erste Wahl für viele Unternehmen. Es ist gut in die Microsoft-Infrastruktur integriert und unterstützt Standardanwendungsfälle wie Benutzer- und Geräteauthentifizierung.
Der Weg in die Cloud bringt jedoch neue Herausforderungen mit sich. Zunächst einmal sind die meisten PKI-Implementierungen vor Ort einfach nicht für das Volumen und die Geschwindigkeit der heutigen Zertifikatsnutzung ausgelegt. Ganz zu schweigen von der fehlenden sofortigen Integration mit Infrastrukturen, die nicht von Microsoft stammen, und von häufig übersehenen Fehlkonfigurationen, die zu ernsthaften Sicherheitsrisiken führen.
Unternehmen stehen jetzt vor einem Dilemma - sie sind aus ihrer traditionellen PKI herausgewachsen. Folglich müssen viele von ihnen ihre PKI neu aufbauen oder umgestalten, um dieser neuen Realität gerecht zu werden. Das fängt damit an, dass man sich die vielen verschiedenen CAs ansieht, die heute das Rückgrat der PKI bilden.
Was ist der Grund für dezentrale PKI?
Die Realität ist, dass die PKI nicht mehr nur aus einer oder zwei CAs hinter den vier Wänden Ihres Rechenzentrums besteht. Die heutigen hybriden und Multi-Cloud-Operationen umfassen verschiedene öffentliche, private, open-source und Cloud-basierte CAs, die jeweils von verschiedenen Teams implementiert werden, um bestimmte Anwendungsfälle zu erfüllen.
Die neue Realität ist ein dezentralisiertes PKI-Modell - ein Netz des Vertrauens, das sich über On-Premise- und Cloud-Umgebungen erstreckt. Mit anderen Worten: PKI ist überall, Zertifikate sind überall, Ihre Maschinen sind überall, und das alles wird gesteuert von:
- Hybrides Vertrauen: Jede Organisation verlässt sich auf eine Mischung aus vertrauenswürdigen Drittanbieter-CAs und internen privaten CAs, um Vertrauensmodelle innerhalb und außerhalb der Organisation zu erfüllen.
- Hybride und Multi-Cloud: Die meisten Unternehmen nutzen mehrere Cloud-Dienste wie AWS, Azure und Google Cloud Platform, die jeweils über eigene integrierte Funktionen für die Ausstellung von Zertifikaten verfügen.
- Verfügbarkeit: Betriebszeit ist Geld. Die PKI-Infrastruktur wird in geclusterten, georedundanten oder hochverfügbaren Architekturen bereitgestellt, um einen Single Point of Failure zu vermeiden und die Betriebszeit für die Sperrung und Ausstellung von Zertifikaten zu gewährleisten.
- Spezialisierte Anwendungsfälle: CI/CD-Toolchains und containerisierte Umgebungen erfordern kurzlebige SSL/TLS Zertifikate im Gegensatz zu herkömmlichen Webservern und Geräten, die ein oder zwei Jahre lang Zertifikate nutzen können.
- Verteilte Teams: Verschiedene Teams und Abteilungen innerhalb des Unternehmens bevorzugen unterschiedliche Zertifizierungsstellen aufgrund von Kosten, Anforderungen, Zertifikatstypen, Sicherheitsstufen usw.
- Fehlende Integrationen: ADCS eignet sich gut für die Microsoft-Infrastruktur, bietet aber keine native Unterstützung für andere Anwendungen, so dass die Entwicklung eigener Skripte und Nachverfolgungsmechanismen eine große Belastung für die Teams darstellt.
- Unternehmenswachstum: Fusionen und Übernahmen in wachstumsstarken Unternehmen führen zu gemischten CA-Umgebungen, oft mit widersprüchlichen Regeln und Sicherheitsrichtlinien.
Unabhängig davon, ob Sie bereits mehrere Zertifizierungsstellen in Betrieb haben oder ganz neu anfangen, gibt es eine Menge zu beachten. PKI-Systeme sind komplex und erfordern eine angemessene Planung und Implementierung, um Vertrauen und Verfügbarkeit im gesamten Unternehmen zu gewährleisten.
Wichtige Überlegungen für eine moderne PKI-Implementierung
Und was nun? Richten Sie eine neue Cloud-CA ein? Erweitern Sie Ihre bestehende PKI auf die Cloud? Erlauben Sie den Teams die Verwendung eines integrierten Ausstellers? Wie verwalten Sie eine dezentralisierte PKI? Es gibt viele wichtige Fragen und Diskussionen, die vor Ihnen liegen, aber es beginnt mit diesen fünf Schlüsselüberlegungen.
Anforderungen an das Vertrauen
Bestimmen Sie von Fall zu Fall, wo öffentliche und private Zertifikate am besten geeignet sind, um eine Verwischung der Vertrauensgrenzen zu vermeiden. Überlegen Sie dann, welche PKI-Infrastruktur Sie zur Unterstützung dieses Vertrauensmodells benötigen und wie Sie das Vertrauen über verschiedene Silos hinweg delegieren und verwalten wollen.
Sicherheitsebenen
Berücksichtigen Sie die physischen und digitalen Sicherheitsvorkehrungen rund um Ihre Root- und ausstellenden CAs. Für Testzwecke kann es akzeptabel sein, Zertifikate von einer PKI mit geringer Sicherheit auszustellen, während Produktionszertifikate ein höheres Maß an Sicherheit erfordern.
Erforderliche Fachkenntnisse
Stellen Sie fest, ob Sie über das richtige Fachwissen, die richtige Bandbreite, hardware und die richtigen Sicherheitskontrollen verfügen, um eine sichere interne PKI, einschließlich einer Offline-Air-Gapped-Root-CA, zu implementieren und über einen Zeitraum von 10 bis 20 Jahren zu pflegen.
Anwendungsfälle
Identifizieren Sie Anwendungsfälle für Infrastruktur-, Sicherheits-, Netzwerk- und Anwendungsteams. Bestimmen Sie die Zertifikatstypen, Vorlagen, Ausstellungsvolumen, Protokolle, Integrationen, Selbstbedienungs- und Automatisierungsfunktionen, die diese Teams zur Unterstützung ihrer spezifischen Anwendungsfälle benötigen.
Geschäftskontinuität
Fusionen, Übernahmen, Veräußerungen und allgemeines Unternehmenswachstum werden Ihre PKI im Laufe der Zeit verändern. Stellen Sie sicher, dass Sie in der Lage sind, diese unterschiedlichen Geschäftsumgebungen zu berücksichtigen und das Vertrauen in alle Bereiche angemessen zu übertragen.
Krypto-Agilität
Bereiten Sie sich auf die eventuelle Umstellung auf neue Schlüsselgrößen und Algorithmen vor, oder kurzfristig auf einen möglichen Ausfall der Zertifizierungsstelle oder eine Schwachstelle. Die Fähigkeit, Zertifikate in großem Umfang zu widerrufen und neu auszustellen, ist entscheidend für Ihren Erfolg.
Los geht's
Laden Sie den Beginner's Guide to Scaling PKI in Hybrid and Multi-Cloud Operations herunter, um die wichtigsten Unterschiede und Implementierungsanforderungen zwischen verschiedenen CAs in Ihrer Umgebung zu erfahren.
Sind Sie bereit für den Start? Informieren Sie sich über unsere flexiblen Bereitstellungsoptionen, um Zero-Trust mit End-to-End-Governance und Automatisierung in dezentralen PKI-Umgebungen zu erreichen.
