Introducing the 2024 PKI & Digital Trust Report     | Download the Report

  • Startseite
  • Blog
  • PKI
  • Vier Tipps zur Lösung von Zertifikatsproblemen - ohne neue Probleme zu schaffen

Vier Tipps zur Lösung von Zertifikatsproblemen - ohne neue Probleme zu schaffen

PKI

Die Zahl der Geräteidentitäten nimmt in dem Maße zu, wie Unternehmen in die Cloud wechseln, die Containerisierung einführen und mehr mobile und IoT Geräte verwenden. Falsch verwaltete Zertifikate verursachen schmerzhafte Ausfälle und Unterbrechungen verursachen, wird die Verwaltung digitaler Zertifikate für viele Unternehmen und Führungskräfte zu einer kritischen Aufgabe.

KeyfactorDer Bericht "2023 State of Machine Identity Management zeigt, dass die Unterstützung der Geschäftsführung für Zertifikatsverwaltung Dennoch geben immer mehr Unternehmen an, dass sie nicht über genügend Personal verfügen, um ihre Public-Key-Infrastruktur einzurichten und zu pflegen.

Selbst im Sicherheitsbereich sind die Verwaltung von Kryptographie und Public-Key-Infrastrukturen Nischenspezialitäten. Das Fehlen geeigneter Werkzeuge erschwert die Verwaltung des Lebenszyklus von Zertifikaten (CLM) für allgemeine Sicherheits- und IT-Teams und lenkt erheblich von ihren primären Verantwortlichkeiten und Aufgaben ablenkt.

Keyfactorder neue Leitfaden für die Automatisierung des Lebenszyklus von Zertifikaten hilft Unternehmen, sich auf dem Markt der CLM Lösungen zurechtzufinden, um Lösungen zu finden, die ihre Zertifikatsverwendung auf Kurs halten.

Die Last der manuellen Zertifikatsverwaltung

Die tägliche Büroarbeit fast aller Abteilungen eines Unternehmens läuft über einen Flickenteppich von Tools und Schatten-IT die von den Benutzern zur Unterstützung ihrer Arbeitsabläufe zusammengestellt wurden. Das ist nicht ihre Schuld. Sie versuchen, so produktiv wie möglich zu sein. Sie sind zu sehr damit beschäftigt, sich über der Arbeitsflut zu halten, um einen Schritt zurückzutreten und einen besseren Weg zu finden.

Die Teams, die Zertifikate verwalten, sind oft nicht anders. Sie verwenden wahrscheinlich eine Kombination aus diesen Lösungen:

Tabellenkalkulationen

Obwohl es sich um ein digitales Tool handelt, sind Tabellenkalkulationen immer noch sehr manuell und mühsam, wenn es darum geht, Tausende von Zertifikaten zu verfolgen. Außerdem erfassen Tabellenkalkulationen nur die Zertifikate, die Ihrem Team bekannt sind - sie berücksichtigen nicht die unbekannten Zertifikate, die in den Weiten der Systemlandschaft lauern. Und obwohl Tabellenkalkulationen weit verbreitet sind, fehlt ihnen jede Art von intelligentem Benachrichtigungsprozess oder jedes Konzept der PKI-Automatisierung.

Tools der Anbieter von Zertifizierungsstellen

Eine Zertifizierungsstelle (CA) ist eine Einrichtung, die digitale Zertifikate erstellt, signiert und ausstellt. Oft bietet ein CA-Anbieter ein Tool zur Verwaltung der Zertifikate dieser speziellen CA an. Die meisten Unternehmen verwenden jedoch mehrere CAs. Die Befragten von KeyfactorBericht "2023 State of Machine Identity verwendeten im Durchschnitt neun Zertifizierungsstellen - die Verwaltung von neun verschiedenen Tools ist kaum ein Fortschritt gegenüber der Verwendung von Tabellenkalkulationen.

Open-source Werkzeuge

Während open-source CA-Tools flexibel und kostengünstig sein können, decken sie selten das gesamte Spektrum der Anwendungsfälle innerhalb eines Unternehmens ab. Sie bieten immer noch keine zentrale Sichtbarkeit und Kontrolle über alle im Unternehmen verwendeten CAs und Zertifikate.

Bessere Verwaltung der Lebenszyklen von Zertifikaten

Es gibt bessere Lösungen, und diejenigen, die sie suchen, müssen zwei wichtige Wahrheiten über das Lebenszyklusmanagement von Zertifikaten verstehen, um die richtige Wahl für ihr Unternehmen zu treffen. 

  • Jedes Zertifikat ist wichtig: Laut dem Bericht "2023 State of Machine Identity Management" verfügt ein durchschnittliches Unternehmen über eine Viertelmillion Zertifikate. Jedes einzelne von ihnen könnte einen Ausfall verursachen, wenn es unerwartet abläuft.
  • Ihre Lösung muss perfekt passen: Ein Tool, das nur 90 % der Anforderungen erfüllt, ist zu 100 % falsch. Wenn eine Lösung Ihnen keine vollständige Transparenz bietet, nicht die Grundlage für die Automatisierung der Lebenszyklen von Zertifikaten schafft und nicht so eingesetzt werden kann, dass sie zu Ihrer Umgebung passt, wird sie mehr Probleme schaffen als lösen.

Jedes Unternehmen hat seine eigenen Bedürfnisse. Doch bei der Suche nach einer Lösung für die Verwaltung des Lebenszyklus von Zertifikatengibt es einige universelle Fallstricke, die es zu vermeiden gilt.

1. Lassen Sie sich nicht einschließen.

Die Verwendung mehrerer CAs ist kein Fehler, sondern eine Funktion. Die Verwendung mehrerer CA-Anbieter bietet Redundanz, falls eine CA ausfällt oder kompromittiert wird. Mehrere CAs bieten mehr Flexibilität bei der Erstellung von Widerrufsprozessen und mehr Serviceoptionen, die den besonderen Sicherheitsanforderungen eines Unternehmens entsprechen.

Das heißt, Unternehmen müssen eine Plattform CLM finden, die Zertifikate aus allen Ländern ausstellen und verwalten kann. allen CAs ausstellen und verwalten kann, die von der Organisation verwendet werden - und die die Organisation in Zukunft verwenden könnte.

Andernfalls müssen mehrere Tools eingesetzt werden, was nicht zu einer Zentralisierung führt und unnötige Redundanzen, Wartungsarbeiten und Kosten verursacht.

2. Verwechseln Sie das Protokoll nicht mit einer Plattform.

Mehrere Protokolle beschleunigen die Ausstellung und Erneuerung von Zertifikaten, sind aber bei weitem keine vollständige Lösung. ACME, EST, SCEP und andere Protokolle sind im Grunde Prozessrahmen, die die Kommunikation mit Zertifizierungsstellen ermöglichen. Man kann sich diese Protokolle als verschiedene Sprachen vorstellen, die von verschiedenen Zertifizierungsstellen verwendet werden.

Diese Protokolle helfen zwar bei der grundlegenden Automatisierung, bieten aber keine unternehmensweite Transparenz. Sie bieten auch nicht die Funktionalität, die erforderlich ist, um Zertifikate massenhaft zu widerrufen oder Endpunktkonfigurationen zu automatisieren, die die Zertifikate und die Wurzeln der Vertrauensverwaltung verbinden. 

3. Seien Sie vorsichtig mit "Middleware".

Vermeiden Sie Middleware-Architekturen, die zwischen CAs und Endgeräten angesiedelt sind. Diese Anbieter verwalten nur die von ihrer Plattform ausgestellten Zertifikate und nicht die bereits in Ihrer Umgebung vorhandenen Zertifikate. Dies würde die Neuverteilung aller Zertifikate über ihr Tool und die Umstellung der Arbeitsabläufe auf ihre Lösung erfordern. 

Dieser Weg ist riskant und mühsam. Denken Sie daran, dass es gut ist, mehrere Zertifizierungsstellen zu verwenden, aber diese Methode zwingt Organisationen dazu, nur eine einzige zu verwenden, wenn sie eine vollständig zentralisierte Sichtbarkeit erreichen wollen.

Suchen Sie stattdessen nach modularen, lose gekoppelten Lösungen, die als Zertifikatsorchestratoren und nicht als Transaktionspipelines oder Flaschenhälse fungieren. 

4. Kaufen Sie passend zu Ihrer Umgebung ein.

Die Art und Weise, wie eine Lösung bereitgestellt werden kann (oder auch nicht), ist ebenso wichtig wie ihre Funktionen. Unabhängig davon, ob ein Unternehmen vor Ort oder in der Cloud, in einer Multi-Cloud- oder Hybrid-Architektur arbeitet, sollte die Lösung flexibel genug sein, um dort ohne Änderungen eingesetzt zu werden. 

Viele Unternehmen haben sich die Cloud bereits zu einem gewissen Grad zu eigen gemacht, ältere PKI-Infrastrukturen wahrscheinlich immer noch vor Ort gehostet werden. Die meisten Unternehmen müssen in der Lage sein, Teile, wenn nicht sogar die gesamte Infrastruktur von CLM in der Cloud zu betreiben, während sie gleichzeitig ihre Ressourcen vor Ort verwalten.

Es lohnt sich, Ihre Infrastruktur und Ihre Wachstumsanforderungen zu bewerten, wenn Sie ein Bereitstellungsmodell evaluieren. Eine ideale Lösung wird mit dem Wachstum Ihres Unternehmens und den kryptografischen Anforderungen im Laufe der Zeit wachsen.

Lösen Sie das Problem CLM - tauschen Sie es nicht einfach gegen ein anderes aus.

Denken Sie daran, dass die größte Herausforderung für Unternehmen, die den CLM Reifegrad erreichen wollen, die Transparenz ist. Das bedeutet, dass sie bei der Suche nach Lösungen nicht den vollen Umfang ihrer Zertifikatslandschaft kennen. Sicherheitsverantwortliche wollen vermeiden, dass sie ein Tool kaufen und dann feststellen, dass sie etwas anderes brauchen oder dass ihre neue Lösung nur 90 % ihrer Anforderungen abdeckt (oder eine drastische Umstellung der aktuellen Prozesse und Arbeitsabläufe erfordert). 

Um zu erfahren, was Unternehmen sonst noch in Betracht ziehen sollten - und nach welchen Schlüsselfunktionen sie suchen sollten - lesen Sie unseren neuen Leitfaden zur Automatisierung des Lebenszyklus von Zertifikaten (Buyer's Guide).

Es gibt ein paar grüne Fähnchen, die jede Lösung bieten sollte.

  • Es sollte proaktiv jedes Zertifikat im gesamten Unternehmen erkennen, protokollieren und überwachen, um das Risiko unentdeckter Zertifikate vollständig auszuschließen.
  • Sie sollte die Verwaltung aller Zertifikate zentralisieren. Das bedeutet, dass sie in der Lage sein sollte, alle Zertifikate von einem einzigen Knotenpunkt aus zu kontrollieren.
  • Es sollte die Lebenszyklen von Schlüsseln und Zertifikaten automatisieren und die manuelle Pflege von Tabellenkalkulationen, CA-Tools verschiedener Hersteller und open-source Lösungen überflüssig machen.