Keyfactor Integration mit Google Cloud für die Automatisierung von Zertifikaten in der Cloud

Wir freuen uns, heute eine neue Partnerschaft zwischen Keyfactor und Google Cloud bekannt geben zu können. Die Integration kombiniert die hoch skalierbare Cloud-basierte Automatisierung des Zertifikatslebenszyklus von Keyfactormit dem Google Cloud Certificate Authority Service, um die Anforderungen moderner Sicherheits-, Infrastruktur- und Anwendungsteams zu erfüllen.

Bevor wir uns mit der Integration befassen, sollten wir ein wenig darüber sprechen, wie sich die Verwendung der Public Key Infrastructure (PKI) und von Maschinenidentitäten in den letzten Jahren verändert hat und warum dies einen neuen, cloudbasierten Ansatz für die PKI- und Zertifikatsverwaltung erfordert.

Digitale Zertifikate sind seit den Anfängen des Internets der De-facto-Standard für die Identität von Geräten und Maschinen. Mit der Normalisierung der identitätsgesteuerten Zero-Trust-Sicherheit und Multi-Cloud-Strategien ist jedoch die schiere Menge an Zertifikaten von Hunderten auf Hunderttausende (in größeren Unternehmen sogar Hunderte von Millionen) gestiegen.

Diese Zertifikate werden von verschiedenen Teams und Anwendungen im gesamten Unternehmen genutzt: von traditionellen Webservern und Load Balancern über mobile und IoT Geräte bis hin zu CI/CD-Tools und Cloud-basierter Infrastruktur.

Wenn wir es aufschlüsseln, gibt es drei Hauptanwendungsfälle, die hinter dem schnellen Wachstum von Zertifikaten im Unternehmen stehen, jeder mit seinen eigenen einzigartigen Herausforderungen:

Zertifikate werden routinemäßig eingesetzt, um vertrauenswürdige Identitäten für Computer und Benutzer im Unternehmensnetzwerk einzurichten. Dazu gehören häufig Server und Wi-Fi-Zugangspunkte, Netzwerkgeräte und Load Balancer sowie die Geräteauthentifizierung für Workstations und mobile Geräte.

In der Regel werden diese Anwendungsfälle von einem internen PKI-Team unterstützt, das eine private Zertifizierungsstelle vor Ort unterhält und Zertifikatsanfragen für andere IT-Funktionen manuell bearbeitet - eine Aufgabe, die im großen Maßstab nahezu unmöglich wird. Mit mehr Zertifikaten und kürzerer Lebensdauer ist der Aufwand für die manuelle Bearbeitung von Anfragen und die Verfolgung des Ablaufs von Zertifikaten einfach nicht mehr machbar.

Zertifikate haben sich auch in DevOps-Umgebungen als leistungsfähiges Tool zur Authentifizierung von Cloud-Workloads, Containern und Microservices sowie für Ingress und mTLS in Service-Mesh-Architekturen etabliert. Anders als in traditionellen IT-Infrastrukturen haben Entwickler und Anwendungsteams das Sagen, und die Sicherheit wird häufig vernachlässigt.

DevOps-Teams benötigen eine schnelle und umfangreiche Ausstellung von kurzlebigen Zertifikaten, um die On-Demand-Natur der Cloud-Infrastruktur zu unterstützen. Um manuelle PKI-Prozesse zu vermeiden, entscheiden sich viele für nicht konforme oder selbstsignierte Zertifizierungsstellen, die mehrere Risiken mit sich bringen. Sobald Sicherheitsteams involviert werden, verzögern sie oft Projekte oder stoppen sogar den Betrieb, bis die Vertrauensanforderungen erfüllt sind.

Auch Hersteller und Entwickler erkennen Zertifikate als ideale Lösung für die Identität in vernetzten/IoT Geräten an. Die Verwaltung von Millionen von Zertifikaten in einer Flotte verteilter Geräte vom Entwurf bis zum Lebenszyklus des Geräts ist jedoch keine leichte Aufgabe. Hardware Einschränkungen, unterbrochene Konnektivität und Skalierbarkeit tragen alle zur Komplexität der PKI für IoT bei.

Bei der schieren Menge an IoT Geräten, die heute auf dem Markt sind, ist eine manuelle Bereitstellung und Verwaltung von Zertifikaten unvorstellbar. Noch wichtiger ist, dass im Falle eines Sicherheitsvorfalls Millionen von Zertifikaten sehr schnell und ohne Unterbrechung für die Endbenutzer widerrufen und neu ausgestellt werden müssen. Das ist ohne einen automatisierten Ansatz einfach nicht machbar.

Mit der zunehmenden Nutzung von PKI und digitalen Zertifikaten ergeben sich zwei grundlegende Herausforderungen: (1) die effektive Verwaltung und Skalierung von PKI, um den gestiegenen Anforderungen gerecht zu werden, und (2) die Verwaltung von vielen Tausend Zertifikaten in allen Ihren verschiedenen Teams und Anwendungen.

Die Einrichtung einer PKI ist mehr als nur die Erstellung einer privaten Zertifizierungsstelle und die Ausstellung von Zertifikaten. Sie erfordert hochqualifiziertes Personal, eine spezielle Infrastruktur und Sicherheitskontrollen sowie eine kontinuierliche Wartung, um sicher und betriebsbereit zu bleiben. Herkömmliche private CAs wie Microsoft ADCS sind auch nicht gut für die Integration mit Cloud-Plattformen und DevOps-Tools geeignet.

Betrachten Sie nun die Tausenden von Zertifikaten, die in diesen kombinierten Umgebungen von Unternehmens-IT, DevOps und IoT ausgestellt werden. Jedes Zertifikat muss einzeln bereitgestellt, installiert und schließlich erneuert werden, bevor es abläuft, und jede Anwendung hat einen anderen Prozess, um dies zu ermöglichen. Bei dieser Größenordnung können die Dinge schnell außer Kontrolle geraten.

Um in der Ära der hybriden und Multi-Cloud-Infrastrukturen erfolgreich zu sein, müssen IT- und Sicherheitsteams ernsthaft überdenken, wie sie ihre PKI einsetzen und digitale Zertifikate verwalten. Der Schlüssel zum Erfolg sind einfache, wiederholbare Prozesse für die Zertifikatsverwaltung über alle Plattformen und Geräte hinweg.

Mit dem Certificate Authority Service (CAS) von Google Cloud Platform können Teams die Bereitstellung und Verwaltung privater CAs für ihre Cloud-nativen Workloads und Anwendungen vereinfachen. Kunden von Keyfactor können jetzt direkt auf Google CAS zugreifen, um Cloud-basierte private CAs nahtlos in ihre gesamte Unternehmens-PKI-Strategie zu integrieren.

Mit dem flexiblen AnyCA ^GatewayTM synchronisiert Keyfactor in Echtzeit über die Google Certificate Authority Service API, um jedes ausgestellte Zertifikat kontinuierlich zu inventarisieren. Mit einem vollständigen Inventar haben PKI-Teams einen zentralen Überblick über den Zustand und Status aller Zertifikate, unterstützt durch eine leistungsstarke protokollbasierte und sofort einsatzbereite Automatisierung.

• Multi-CA, Multi-Cloud: Keyfactor bietet einen umfassenden Überblick über alle Rechneridentitäten in einer einzigen Konsole über öffentliche und private CA-Integrationen, netzwerkbasierte Erkennung und authentifizierte Erkennung von Schlüssel- und Zertifikatspeichern.

• Selbstbedienung: Anwendungseigentümer können über eine benutzerfreundliche Self-Service-Schnittstelle oder RESTful-APIs schnell Zertifikate anfordern und automatisch bereitstellen.
• Automatische Einschreibung: Von Google ausgestellte Zertifikate können über protokollbasierte Automatisierung, wie SCEP oder ACME, unter Verwendung von in die Keyfactor Plattform integrierten Proxys automatisch registriert werden.

• Automatisierte Bereitstellung: Keyfactor Orchestratoren erneuern und verteilen Zertifikate automatisch an mehrere Server, Geräte und Netzwerkendpunkte.

• DevOps & IoT Integrationen: Native Integrationen und Plugins machen es Teams leicht, die Zertifikatsbereitstellung für beliebte Tools wie HashiCorp Vault, Jenkins, Kubernetes, Istio Service Mesh und andere zu automatisieren.
• Flexible Bereitstellung: Kunden können Certificate Lifecycle Automation (CLA) in ihrem Rechenzentrum, in der Google Cloud oder als Service (CLAaaS) einsetzen.

In unserem Integrations-Hub erfahren Sie mehr über unsere Plugins mit Google Cloud Certificate Authority Service (CAS) und Google Cloud Load Balancer.

Sind Sie bereit, mit Keyfactor zu sprechen? Fordern Sie noch heute eine 1:1-Demo mit einem Lösungsingenieur an.