In der heutigen komplexen Unternehmenslandschaft und der zunehmend digitalen Welt haben Organisationen aller Art mit den universellen Herausforderungen zu kämpfen, Vertrauen aufzubauen und die Einhaltung von Vorschriften zu gewährleisten. Dies gilt insbesondere für Finanzdienstleistungsunternehmen.
Dennoch sind Vertrauen und Einhaltung der Vorschriften für einen dauerhaften Erfolg unerlässlich. Was ist also nötig? Wir haben uns kürzlich zusammengesetzt, um zu erörtern, wie Finanzdienstleister eine skalierbare, flexible PKI einführen können, um strenge gesetzliche Auflagen zu erfüllen und gleichzeitig Innovationen und verbesserte Kundenerfahrungen zu fördern, ein robustes Sicherheits-Framework auf der Grundlage branchenüblicher Best Practices aufzubauen und Identitäts- und Zugriffsmanagementprozesse zu optimieren. Lesen Sie hier eine Zusammenfassung unseres Gesprächs, oder klicken Sie hier, um das gesamte Webinar anzusehen.
Maschinenidentitäten und deren Verwaltung
Die Welt um uns herum verändert sich: Während viele Unternehmen früher ihre eigenen Rechenzentren betrieben und alles innerhalb einer physischen Umgebung sicherten, ist das heute nicht mehr der Fall. Immer mehr Unternehmen verlassen sich auf die Cloud, zum Beispiel über Azure, um Ressourcen sowohl innerhalb als auch außerhalb der vier Wände eines Büros zu sichern. Und dieser neue Ansatz erfordert, dass Unternehmen Benutzer und Geräte leicht identifizieren können, wo auch immer sie sich befinden - selbst wenn sie sich in einem völlig ungeschützten Bereich befinden - und ihnen gerade so viel Zugang gewähren, dass sie ihre Aufgaben ausführen können und nicht mehr. Die Verwendung von identitätsbasierten Zertifikaten unterstützt diese neue Welt.
All dies wird besonders wichtig, wenn wir uns die Geräteidentitäten ansehen, die heute überall zu finden sind (man denke an Desktops, Telefone, IoT ). Die Verwaltung von Geräteidentitäten ist jedoch aus mehreren Gründen schwierig:
- Maschinenidentitäten sind oft unsichtbar, obwohl sie eine wichtige Rolle bei der Gewährleistung der Integrität und Vertraulichkeit kritischer Kommunikation spielen.
- Auch bei den Maschinenidentitäten gibt es keine klaren Eigentumsverhältnisse, Viele Teams sind sich oft nicht bewusst, wie viele es gibt, wem sie gehören, wie und wo sie genutzt werden.
- Maschinelle Identitäten sind kurzlebig, aber sie müssen auch zuverlässig und vertrauenswürdig sein, da sie Finanztransaktionen und Kundendaten schützen.
Trotz dieser Herausforderungen ist die richtige Verwaltung von Geräteidentitäten von entscheidender Bedeutung, da sie zur Stärkung der Sicherheit von Finanzdienstleistungen beitragen, indem sie Vertrauen schaffen. Wenn sie durch Zertifikate und PKI richtig verwaltet werden, können wir einem Gerät vertrauen - wir können sicher sein, dass es derjenige ist, für den es sich ausgibt, und dass es kein gefälschtes Zertifikat verwendet.
Was braucht es also? Bei Zertifikaten und PKI für Maschinenidentitäten gibt es drei wesentliche Aspekte:
- Ausstellen von digitalen Zertifikaten: Hier geht es los. Sie müssen die richtigen Zertifikate ausstellen , um die Identitäten von Nutzern und Geräten angemessen zu verwalten. Sie müssen sicherstellen, dass sie für die richtigen Personen oder Geräte ausgestellt werden und dass diese Personen und Geräte autorisiert und vertrauenswürdig sind.
- Automatisierung der Verwaltung des Lebenszyklus von Zertifikaten: Was tun Sie als Nächstes, nachdem ein Zertifikat ausgestellt wurde? Es hat einen gesamten Lebenszyklus, der verwaltet werden muss - Installation, Bindung, Verwendung und Widerruf des Zertifikats - und der beste Weg, dies zu erreichen, ist durch Automatisierung.
- Verwaltung digitaler Signaturen: Schließlich können Zertifikate zur Unterstützung digitaler Signaturen beitragen, sei es für das Signieren von Code, Dokumenten oder anderen Dingen.
Branchentrends: Häufige Probleme mit Maschinenidentitäten
Laut dem 2023 State of Machine Identity Management Report von Keyfactorsind die größten Probleme und Herausforderungen im Zusammenhang mit maschinellen Identitäten für viele Organisationen, einschließlich Finanzdienstleistungsunternehmen, folgende:
- Dezentralisierte PKI-Modelle: Oftmals entstehen neue Anwendungsfälle, und verschiedene Teams beginnen, die Dinge auf ihre eigene Weise zu erledigen. Das ist zwar als Notlösung in Ordnung, um die Dinge schneller voranzutreiben, aber mit der Zeit summiert es sich und führt zu einem Wildwuchs, der für eine Person oder sogar ein Team nur noch schwer zu bewältigen ist. Schließlich ist es sehr schwierig, die zentrale Kontrolle über die Vorgänge wiederzuerlangen, wenn die PKI überall unterschiedlich gehandhabt wird, ganz zu schweigen davon, dass man einen Überblick über die Vorgänge hat.
- Kurzlebige Zertifikate: Die Lebensdauer von Zertifikaten wird immer kürzer, und es ist absehbar , dass die Lebensdauer von TLS -Zertifikaten auf 90 Tage begrenzt sein wird. Diese kürzere Lebensdauer bedeutet, dass die Zertifikate häufiger überwacht und verwaltet werden müssen.
- Anforderungen an die Schlüsselbescheinigung: Die neuen Regeln für die Schlüsselbescheinigung des Certificate and Browser Authority (CA/B)-Forums zum Schutz von Code-Signatur-Schlüsseln erfordern ebenfalls mehr Aufmerksamkeit von Sicherheitsteams.
- Post-Quantum-Revolution: Die Vorbereitung auf den Übergang zu NIST-Kandidaten für quantensichere Algorithmen nimmt jetzt viel Zeit und Energie in Anspruch, zumal wir immer noch nicht genau wissen, wann und wie das aussehen wird.
Und die Komplexität der heutigen PKI-Umgebungen verschlimmert diese Herausforderungen eher noch, als dass sie die Dinge einfacher macht. Einige der größten PKI-Hindernisse sind:
- CA und PKI-Wildwuchs: Viele Unternehmen haben unterschiedliche Lösungen für die Ausstellung und Verwaltung von Zertifikaten für jeden potenziellen Anwendungsfall (von denen viele auch veraltet sind). Wenn dies geschieht, vor allem in großen Organisationen, haben die Teams am Ende mehrere, unterschiedliche PKI-Implementierungen, was zu großer Komplexität und eingeschränkter Sichtbarkeit führt. Dies wird zu einem ernsten Problem, wenn Unternehmen durchschnittlich 256.000 Zertifikate in neun verschiedenen PKI-Lösungen haben.
- Selbstsignierte Zertifikate: Viele Unternehmen verwenden für einige ihrer Anwendungsfälle nicht einmal eine PKI-Lösung und verwenden stattdessen selbstsignierte Zertifikate. Sie stellen zum Beispiel ein 10-Jahres-Zertifikat aus, nur um ein Kästchen anzukreuzen und eine Anwendung zum Laufen zu bringen, und vergessen es dann. Dies kann jedoch im Nachhinein zu großen Problemen führen - sowohl im Hinblick auf Sicherheitslücken als auch auf Audit-Risiken.
- Mangelnde Kontrolle: Wenn Unternehmen zu viele PKI-Lösungen haben und/oder gar keine verwenden, wird es fast unmöglich, die Kontrolle zu behalten. Angenommen, es gab eine Punktlösung, die von einem bestimmten Mitarbeiter eingeführt wurde, der nun aber nicht mehr im Unternehmen tätig ist, und es kommt zu einem Ausfall, weil etwas abgelaufen ist - hat dann jemand Zugang, um die Kontrolle zu übernehmen? Oft lautet die Antwort nein.
- Mangel an Fachwissen: Viele Unternehmen haben Schwierigkeiten, PKI-Experten zu finden, und delegieren diese Aufgaben schließlich an Personen, die nur wenig Erfahrung mit PKI haben, was noch mehr Risiken mit sich bringt.
Die Lösung: Korrekte Verwaltung von Maschinenidentitäten für Finanzdienstleistungen mit einer skalierbaren, flexiblen PKI
Was ist also die Lösung für all diese Probleme? Eine skalierbare und flexible PKI, die eine Vielzahl von Anwendungsfällen unterstützt, neue Anwendungen, Mitarbeiter, Geräte und Infrastrukturen schützt und die Komplexität insgesamt reduziert. Letztendlich bietet die richtige PKI-Einrichtung volle Transparenz und Kontrolle über Ihre Umgebung.
Eine skalierbare und flexible PKI-Lösung ermöglicht Administratoren die einfache Verfolgung, Überwachung und Aktualisierung von Zertifikaten für verschiedene Geräte und Produktlinien. Sie unterstützt das Lebenszyklusmanagement, automatische Erneuerungsprozesse und die Möglichkeit, gefährdete oder veraltete Zertifikate zu widerrufen und zu ersetzen. Darüber hinaus lässt sich die Lösung in bestehende Sicherheitsframeworks und -tools integrieren, um Arbeitsabläufe zu optimieren und eine nahtlose Funktionsfähigkeit zu gewährleisten - insbesondere für das Code Signing, das das Risiko der Ausführung bösartiger software minimiert und alle neuen Versionen für kundenorientierte Anwendungen absichert. Und, was vielleicht am wichtigsten ist, es nutzt die Automatisierung, um Schritt zu halten, da die manuelle Bereitstellung und Verwaltung von Zertifikaten im großen Maßstab unpraktisch und fehleranfällig wird.
Natürlich geht es nicht nur darum, die richtige PKI-Lösung einzusetzen: Unternehmen brauchen auch eine angemessene Verwaltung. Hier sehen wir, wieTeams die PKI als zentrale Funktionzurückerobern und sie zu einem internen gemeinsamen Dienst machen, um allen Mitarbeitern im Unternehmen kontrollierte, zuverlässige und automatisierte Dienste zur Verfügung zu stellen, die sich leicht überwachen lassen. Dieser Ansatz verringert nicht nur das Risiko, sondern spart auch Zeit und Geld.
All dies ist besonders wichtig für Finanzdienstleistungen, wo Unternehmen nicht nur typische IT-Anwendungsfälle wie E-Mail, sondern auch interne Bankanwendungen, Transaktionen, Zahlungsverarbeitung und vieles mehr sichern müssen.
Fallstudie: EQ Bank sorgt für schnellere Sicherheit und DevOps
Die EQ Bank wickelt viel elektronisch ab und hat PKI als einen wichtigen Sicherheitspfeiler für ihr Unternehmen identifiziert. Leider verfügte das Unternehmen über eine sehr verstreute PKI-Infrastruktur, die aus schwer zu verwaltenden Einzellösungen bestand. Insbesondere hatte man Schwierigkeiten, einen genauen Bestand an Zertifikaten zu erhalten, interne Anfragen zu bearbeiten und sah sich nicht in der Lage, Audits zu bestehen.
Um die Situation zu ändern, implementierte die EQ Bank Keyfactor als zentralen Shared Service, um das gesamte Lebenszyklusmanagement ihrer Zertifikate zu unterstützen. Keyfactor ermöglichte es ihnen, den Prozess der Ausstellung von Zertifikaten zu rationalisieren, indem sie alles von der Inbetriebnahme von Zertifikaten bis hin zu deren Rotation und Erneuerung automatisierten. Dadurch entfällt die manuelle Nachverfolgung und Ausfälle durch abgelaufene Zertifikate wurden vermieden. Darüber hinaus kann das DevOps-Team die Ausstellung und Rotation von Zertifikaten für Docker-Container, Azure Kubernetes Service und Istio Service Mesh-Bereitstellungen automatisieren. Jetzt betrachtet die Bank PKI als eine viel stärkere Sicherheitsebene und weiß, dass sie in einer guten Position ist, um Audits zu bestehen.
Zugang zu wichtigen PKI-Funktionen für Finanzdienstleistungen
Finanzdienstleistungsunternehmen müssen potenziellen Sicherheitsrisiken zuvorkommen, indem sie ein skalierbares, flexibles PKI-Programm eher früher als später implementieren. Proaktives Handeln in diesem Bereich, insbesondere bei der Durchführung eigener Audits und der Behebung etwaiger Probleme, ist für die Risikominimierung von entscheidender Bedeutung.
Diese Proaktivität beginnt damit, dass statische, manuelle Prozesse durch dynamische, automatisierte Sicherheit ersetzt werden, die die Identifizierung und Verwaltung von Zertifikaten während ihres gesamten Lebenszyklus erleichtert. Außerdem ist das richtige Team für die Verwaltung dieser Lösung erforderlich, damit Sie sicherstellen können, dass jeder Workload, jedes Gerät und jedes software Angebot authentifiziert ist und Sie die Transparenz und Zuverlässigkeit aufrechterhalten können, die Sie benötigen, um Ausfälle zu vermeiden.
Möchten Sie mehr darüber erfahren, worauf es ankommt und wie Keyfactor Finanzdienstleistern helfen kann, PKI zu priorisieren? Klicken Sie hier, um das vollständige Webinar zu sehen, das eine tiefergehende Diskussion sowie einen detaillierten Einblick in Keyfactor Signum bietet. Diese Lösung ist jetzt auf Microsoft Azure verfügbar, damit Entwickler Code und Container einfach und sicher signieren können, ohne die Produktivität zu beeinträchtigen.