Eine Public-Key-Infrastruktur (PKI) besteht aus einer Reihe von hardware, software, Personen, Richtlinien und Verfahren, die für die Erstellung, Verwaltung, Verteilung, Speicherung und den Widerruf digitaler Zertifikate und die Verwaltung der Verschlüsselung öffentlicher Schlüssel erforderlich sind. Es wird oft gesagt (insbesondere in der Beratergemeinschaft), dass PKI-Implementierungen der 80/20-Regel folgen: 80 % Planung und 20 % Ausführung. Dieses Konzept kann nicht hoch genug eingeschätzt werden. Am häufigsten wird es jedoch auf PKI-spezifische, kryptografische Entscheidungspunkte wie Namensräume, Schlüssellängen, Signatur-Hash-Algorithmen usw. angewendet. Diese sind natürlich kritisch... und im Nachhinein schwer, wenn nicht gar unmöglich, zu ändern. Genauso wichtig - vor allem für mittlere und große Unternehmen - sind jedoch die nichttechnischen, organisatorischen Aspekte der PKI.
Dieser Blog-Beitrag konzentriert sich auf die Organisationen innerhalb des Unternehmens, die PKI-Stakeholder sind, ob sie es wissen oder nicht, und auf ihre Berührungspunkte, die für eine optimale Bereitstellung und damit letztlich für einen optimalen ROI genutzt werden können.
Politik
Bevor technische Design-Entscheidungen wie die oben genannten getroffen werden, sollten die Anwendungsfälle sorgfältig analysiert und eine Richtlinie entwickelt, eingeholt, überprüft, gegebenenfalls überarbeitet und schließlich veröffentlicht werden. In Anlehnung an den Standard "Certificate Policy/Certificate Practice Statement" in RFC3647 spezifizieren die Richtlinien - neben vielen anderen Dingen - Zertifikatsabonnenten, akzeptable Nutzung, Widerrufsanforderungen sowie physische und logische Zugangskontrollbedingungen. Die erfolgreiche Erstellung und Verabschiedung eines genehmigten CPS - und die Einhaltung dieses CPS - sind der Schlüssel zur Behauptung der PKI-Auditierbarkeit.
Wenn die fragliche PKI für die Öffentlichkeit bestimmt ist und ein gewisses Maß an Vertrauen zwischen Ihrer Organisation und anderen schafft, sollte bereits im Vorfeld des Projekts festgelegt werden, dass die Rechtsabteilung und die Abteilungen für Kontrolle und Audit/Compliance an einem formellen Überprüfungs- und Genehmigungsprozess beteiligt sind. Selbst bei einer rein internen PKI ist es unserer Ansicht nach eine bewährte Praxis, dass diese Gruppen an der Entwicklung, Überprüfung und Genehmigung der genannten Richtlinien beteiligt sind.
Umsetzung
Zwei Organisationen, die im Bereich der Unternehmens-PKI eine wichtige Rolle spielen können, sind das Änderungsmanagement und das Problemmanagement. Es ist zwar unwahrscheinlich, dass sie an den Entscheidungsprozessen für das technische Design beteiligt werden müssen, aber eine ein- oder zweistündige Übersicht über die PKI-Implementierung und eine anschließende Fragerunde mit diesen Gruppen kann von unschätzbarem Wert sein.
Änderungsmanagement
PKI-Diskussionen mit der Change Management-Gruppe sollten sich auf folgende Punkte konzentrieren:
- Für die Umsetzung erforderliche Änderungen in der Umgebung
- Definition und Terminierung von ständigen/wiederkehrenden Änderungen
- Arten von stationären Veränderungen und damit verbundene Risikoniveaus
Dies sind Beispiele für PKI-Ereignisse, die - in Übereinstimmung mit den formalen Change-Management-Standards des Unternehmens - eingereicht, geprüft, genehmigt und protokolliert werden sollten.
- Veröffentlichung von Root-CA-Zertifikaten und Einrichtung von ausstellenden CAs (diese Aufgaben erfordern in der Regel Zugriff auf Unternehmensadministrator-Ebene)
- Implementierung einer rollenbasierten PKI-Zugangskontrolle (z. B. für lokale Serveradministratoren, Änderungen der Auditprotokolleinstellungen, Delegation von Zertifikatsvorlagen usw.)
- Veröffentlichung der Root-CA-CRL: Für diese Aufgabe kann eine "ständige" oder wiederkehrende Änderungsanforderung eingerichtet werden. Wenn die CRL einer Offline-Stammzertifizierungsstelle manuell erstellt und veröffentlicht werden muss, was häufig der Fall ist, bietet ein formeller Änderungsmanagementprozess eine Reihe von Vorteilen.
- Es ermöglicht die Nachverfolgung und Benachrichtigung der entsprechenden Parteien (im Falle einer erforderlichen mehrteiligen Authentifizierung und getrennten physischen Zugangskontrollen für das kryptografische Material)
- Es ermöglicht einen unternehmensweiten "Blick" auf den Prozess und verringert die Gefahr, dass die Aufgabe übersehen wird, wenn sie z. B. in den Kalendern von ein oder zwei Personen verwaltet wird.
- Entzug einer Zertifizierungsstelle in der PKI-Hierarchie
- Änderungen am Sicherheitsmodell der PKI oder an den Zugangskontrollen
- Alle Änderungen an der Vertrauensgrenze der PKI (in beide Richtungen)
- Alle unternehmensweiten Änderungen, die für den PKI-Betrieb erforderlich sind, wie z. B. die Aktivierung der automatischen Zertifikatsregistrierung für die Richtlinie "Default Domain Controllers".
- Bereitstellung neuer Zertifikatsvorlagen; Änderungen an (oder Entfernung von) bestehenden Vorlagen
Im Allgemeinen fallen alltägliche PKI-Vorgänge wie Zertifikatsanfragen und -ausstellungen nicht in den Bereich des Änderungsmanagements für Unternehmen, es sei denn, besondere Umstände erfordern etwas anderes.
Problem-Management
Das Problemmanagement-Team weiß in der Regel genau, wer in der gesamten IT-Organisation für was zuständig ist. Der Grund für die Teilnahme an einer PKI-Übersicht/Q&A (wie oben erwähnt) ist, dass dies auch für die PKI-Umgebung gelten soll.
Wenn eine Unternehmens-PKI ohne die vorherige Beteiligung dieser Organisation implementiert wird, kann es zu erheblichen Verzögerungen bei der Problemlösung und Ursachenanalyse kommen. Wenn beispielsweise die Wi-Fi-Umgebung eines Unternehmens von einer durchgängigen Zertifikatsauthentifizierung abhängt, sollte das Unternehmen wissen, dass es ein Microsoft NPS-RADIUS-Server-Zertifikat auf seine Gültigkeit überprüfen kann, falls ein ganzer Standort von einem Wi-Fi-Ausfall betroffen ist.
Dies kann auch auf andere Bereiche ausgedehnt werden (was den Rahmen dieses Blogs sprengen würde), wie z. B. die Helpdesk- und Desktop-Support-Organisationen des Unternehmens, insbesondere dort, wo die PKI und ihre Komponenten für den Endbenutzer immer wichtiger werden.
Schlussfolgerungen
In den Bereichen Politik, Entwurf, Umsetzung, Erprobung und Unterstützung sind Einbeziehung und Bewusstsein der Schlüssel. Die Dokumentation (und deren Aktualisierung) ist entscheidend. Zum Abschluss könnte der PKI-Projektverantwortliche des Unternehmens eine PKI-E-Mail-Verteilerliste einrichten, die sich über alle diese Organisationen erstreckt, um regelmäßig zu erfahren, was bereits eingeführt wurde, welche Probleme aufgetreten sind (und wie sie gelöst wurden) und was in Zukunft ansteht... werden alle internen Webserver bis zu einem bestimmten Datum SSL benötigen? Werden im nächsten Quartal Client-Zertifikate für Wi-Fi oder Direct Access erforderlich sein? Ist es gegen Ende der Gültigkeitsdauer einer Zertifizierungsstelle an der Zeit, den Wagen zu wenden und mit der Planung für die Erneuerung zu beginnen?
Alles Fragen, bei denen Certified Security Solutions (CSS) Ihnen bei der Definition Ihrer Anforderungen, der Planung und dem Implementierungsansatz helfen kann.