Ihre PKI-Implementierung - was ist damit verbunden?
Eine strikte Verwaltung der Public Key Infrastructure (PKI) ist nicht optional, sondern notwendig. Ganz gleich, ob Ihr Unternehmen im Bereich der drahtlosen Kommunikation tätig ist, eine BYOD-Initiative umsetzt oder die Umstellung auf SHA-2 in Angriff nimmt - die Verwaltung eines PKI-Projekts ist kein einfacher Prozess. Es gibt jedoch eine Reihe von Best Practices, die Ihr Unternehmen anwenden kann, um eine erfolgreiche Implementierung zu gewährleisten.
Wenn Sie planen, eine PKI mit internen Ressourcen aufzubauen, sollten Sie sich über die möglichen Hürden im Klaren sein, die auftreten können, wenn Sie sich bei der Einrichtung einer PKI auf Ihre Mitarbeiter verlassen:
- Angemessenes Niveau und Verfügbarkeit von internem Fachwissen.
Verfügbare, sachkundige Mitarbeiter, die über das nötige Fachwissen verfügen, um eine PKI einzurichten, zu implementieren und aufrechtzuerhalten, sind entscheidend. Wie von Microsoft empfohlen, benötigen Sie Spezialisten, die in der Lage sind:
-Zertifikate ausstellen und widerrufen.
-Erledigung von Aufgaben der Serververwaltung: hardware Einspielen von Patches und Backups.
-Veröffentlichung von Zertifikatswiderrufslisten und Verwaltung der CA selbst.
- Äußerste Sensibilität für Politiken und Praktiken.
Eine PKI kann nicht willkürlich implementiert werden. Um die PKI langfristig aufrechtzuerhalten und das Vertrauen zu gewährleisten, dass sie nicht gefährdet ist und auch nicht gefährdet werden wird, müssen solide Richtlinien und Praktiken vorhanden sein.
Bewährte Praktiken für eine erfolgreiche Implementierung
Die größte Hürde für ein erfolgreiches PKI-Projekt ist das Verständnis dafür, dass das gesamte Projekt, von der Anfangsphase bis zur Implementierung, entsprechend vorbereitet werden muss. Darüber hinaus sind laut Michael Thomas, Director of Delivery bei CSS, die folgenden Best Practices gute Überlegungen für den Beginn der Implementierung:
- Ein häufiger Fehler, den Unternehmen vor Beginn eines PKI-Projekts begehen, besteht darin, nicht vollständig zu verstehen, was in das Design einfließt. Auf dem Papier mag es einfach aussehen, aber der Prozess der Entwicklung eines Designs, das Ihren geschäftlichen Anforderungen und Anwendungsfällen entspricht, muss vor dem Start unbedingt überprüft werden. Kennen Sie Ihre Anforderungen und Anwendungsfälle im Voraus.
- Erstellen Sie eine solide Erklärung zu Richtlinien und Praktiken, damit Ihr Sicherheitsteam eine Grundlage hat, um sicherzustellen, dass die PKI während ihres Lebenszyklus gesund ist.
- Die Zeremonie der Wurzelunterzeichnung muss geplant und berücksichtigt werden. Die Überwachungskette muss von der ersten Minute an über die gesamte Lebensdauer intakt sein. Wenn zufällig Malware auf einem Rechner installiert wird oder die Sicherheit einer Stammzertifizierungsstelle beeinträchtigt wird, ist Ihre PKI bereits nicht mehr vertrauenswürdig.
- Wenn Sie in einen stabilen Zustand übergehen, sollten Sie sicherstellen, dass alle Komponenten ordnungsgemäß in Betrieb genommen werden. Wenn eine PKI Teil der Unternehmensinfrastruktur wird und es kein Projektteam mehr gibt, muss sichergestellt werden, dass eine ordnungsgemäße laufende Wartung stattfindet.
Intern oder in Zusammenarbeit mit einem PKI-Partner?
Es spricht nichts dagegen, eine PKI-Einführung intern durchzuführen, solange Sie über das nötige Fachwissen und die Werkzeuge verfügen, die für die korrekte Ausführung aller Aspekte des Projekts erforderlich sind. Die größten Fallstricke sind das Fehlen der richtigen Fachkenntnisse und das Versäumnis, den Vorbereitungsschritten Glauben zu schenken. PKI ist komplex, aber wenn Ihr Sicherheitsteam umfassend und mit Kenntnissen über alle Aspekte der PKI ausgestattet ist, kann das Projekt erfolgreich durchgeführt werden.
Der Vorteil der Zusammenarbeit mit einer externen Partei besteht darin, dass sie Zugang zu branchenüblichen Best Practices für den Umgang mit einer komplexen Infrastruktur hat und über das Wissen und die Sensibilität von Richtlinien verfügt, um sicherzustellen, dass Ihre PKI nicht gleich nach dem Start gefährdet ist. Wenn Sie sich nicht sicher sind, ob Sie über die richtigen internen Spezialisten verfügen, sollten Sie eine PKI-Implementierung nicht allein versuchen.
Drücken Sie nicht auf "Go" ohne die Fakten
Unabhängig davon, ob Sie Ihr PKI-Projekt intern implementieren oder mit einem seriösen Anbieter zusammenarbeiten, muss es richtig gemacht werden. Treffen Sie die beste Entscheidung für Ihr Unternehmen auf der Grundlage der Ihnen zur Verfügung stehenden Ressourcen.
