Technisches Gespräch: Ersetzen der alten Microsoft CAs durch eine moderne PKI

Die PKI gilt heute als kritische Infrastruktur für Unternehmen. 

Weltweit stufen Unternehmen ihre PKI-Plattform als einen der grundlegendsten und wichtigsten Bestandteile ihrer Cybersicherheitsstruktur ein. Diese Anerkennung der Wichtigkeit ist für Sicherheitsteams ein großer Schritt in die richtige Richtung, stellt sie aber auch vor gewisse Herausforderungen, da sich die Sicherheitslandschaft in Unternehmen weiterentwickelt.

Folglich müssen sich Unternehmen ernsthaft mit der Modernisierung ihrer PKI-Infrastruktur auseinandersetzen. Dies war der Schwerpunkt eines kürzlich stattgefundenen Tech Talks, an dem Eric Clauss, Area Vice President bei Keyfactor, und Alex Gregory, VP of Marketplace Products bei Keyfactor. Sie können die gesamte Sitzung hier ansehenoder lesen Sie weiter für die Highlights.

Herkömmliche PKI-Prozesse sind übermäßig komplex und kostspielig und lassen sich einfach nicht auf alle neuen Anwendungsfälle skalieren. Dies sind ernsthafte Herausforderungen angesichts der kritischen Natur der PKI in den heutigen Unternehmen.

Zu den größten Herausforderungen der traditionellen PKI gehören:

• Schritthalten mit neuen Anwendungsfällen: Vor nicht allzu langer Zeit ging es bei PKI um die Ausstellung digitaler Zertifikate für unternehmenseigene Geräte. Heute ist das nur noch ein kleiner Teil dessen, was PKI abdecken muss. Neue Anwendungsfälle entwickeln sich schnell und schaffen eine Nachfrage nach PKI-Programmen, die Zertifikate für alles Mögliche ausstellen, von Cloud-Migrationen über DevOps-Prozesse bis hin zu IoT Geräten.

• CA-Wildwuchs: Da immer mehr Anwendungsfälle auftauchen, verbrauchen Unternehmen jetzt Zertifikate in einem unglaublich hohen Tempo. Diese Situation hat wiederum zu einer Ausweitung der Zertifizierungsstellen geführt, da Teams neue Zertifizierungsstellen ohne standardisierte Richtlinien oder Sichtbarkeit einrichten, um neue Zertifikate nach Belieben bereitstellen zu können. Dieser Wildwuchs tritt häufig in DevOps-Umgebungen auf, ist aber nicht nur auf diese Teams beschränkt.

• Langsame, manuelle Prozesse: Die Ausbreitung von Zertifizierungsstellen ist für Sicherheitsteams deshalb so schwer in den Griff zu bekommen, weil die traditionellen PKI- und Zertifikatsprozesse langsam und komplex sind. In einer Zeit, in der Teams ein hohes Volumen an Zertifikaten in rasantem Tempo benötigen, reichen diese langsamen, manuellen Prozesse einfach nicht mehr aus - sie zwingen die Teams geradezu dazu, Umgehungslösungen zu finden.

• Begrenztes Fachwissen: Schließlich ist PKI eine sehr spezialisierte Branche, und es ist schwierig, Teammitglieder mit den richtigen Fähigkeiten für die Verwaltung dieser Programme zu finden. Noch schwieriger ist es, sie zu halten.

Diese Herausforderungen werden durch die weit verbreitete Einführung von Microsoft CA noch vergrößert. Leider ist es so, dass diese Lösung für eine Welt entwickelt wurde, die nicht mehr existiert.

So hat beispielsweise Microsoft CA betriebliche Nachteile, da es nur eine Zertifizierungsstelle pro Server zulässt. Dies funktionierte gut, als die Anwendungsfälle für PKI noch begrenzt waren, aber in der heutigen Welt, in der Tausende von Zertifikaten bereitgestellt werden müssen, führt dies zu einem übermäßig komplexen Fußabdruck, wenn PKI-Programme erweitert werden. Viele Unternehmen haben jetzt Hunderte von Servern nur für die Bereitstellung von Zertifikaten, was in keiner Weise effizient ist.

Darüber hinaus verfügt Microsoft CA nur über begrenzte Integrationsmöglichkeiten über die Microsoft-Infrastruktur hinaus, was sich als ziemlich einschränkend erweist, da immer mehr Unternehmen zu einer Multi-Cloud-Strategie übergehen.

Nicht zuletzt wird Microsoft CA von Microsoft nicht mehr aktiv unterstützt oder weiterentwickelt, was bedeutet, dass es sich nie an die sich ändernden Anforderungen anpassen wird. Und da sich die PKI-Landschaft weiter verändert, wird die Diskrepanz zwischen dem, was Unternehmen brauchen, und dem, was Microsoft CA bieten kann, nur noch größer.

Glücklicherweise gibt es einen Weg nach vorne. Die Zukunft erfordert eine leistungsstarke und flexible PKI-Plattform, und Keyfactor's EJBCA Enterprise bietet genau das.

Während Microsoft CA in der Vergangenheit verwurzelt ist - perfekt geeignet für lokale, statische Rechenzentren und Teams, die ein geringes Volumen an Zertifikaten mit langer Lebensdauer ausstellen müssen - ist EJBCA eine zukunftsorientierte, regelmäßig weiterentwickelte Lösung, die für Teams entwickelt wurde, die eine dynamische, cloudbasierte Umgebung haben und ein hohes Volumen an Zertifikaten mit kurzer Lebensdauer ausstellen müssen.

Eine moderne PKI-Lösung wie EJBCA hilft bei der Bewältigung der Herausforderungen, mit denen Unternehmen derzeit konfrontiert sind, indem sie diese bietet:

• CA-, VA- und RA-Funktionalität für eine vollständige PKI-Lösung in einer einzigen Plattform, die eine zentrale Verwaltung für alle alle Anwendungsfälle
• Unbegrenzte Anzahl von Zertifizierungsstellen und Zertifikaten in einer einzigen Instanz, ohne zusätzliche Infrastruktur bereitstellen zu müssen, was die Skalierbarkeit für moderne PKI-Programme deutlich erhöht
• Flexible Unterstützung aller wichtigen Arten von Zertifikaten, Algorithmen und Protokollen sowie HSMs für ein Programm, das es Unternehmen ermöglicht, Zertifikate auf verschiedene Weise zu nutzen
• Größere Erweiterbarkeit mit einer robusten API und vorgefertigten Integrationen, die eine nahtlose Erweiterung des PKI-Programms über mehrere verschiedene Clouds hinweg ermöglichen
• Hohe Skalierbarkeit mit Unterstützung für Clustering und hohe Verfügbarkeit

Besonders hervorzuheben ist, dass EJBCA auch die Möglichkeit bietet, die Lösung auf verschiedene Weise einzusetzen. Dazu gehören eine vorgefertigte, vorkonfigurierte software appliance , die mit HSMs integriert werden kann, eine hardware appliance für schlüsselfertige Bereitstellungen, die alle für die Unterstützung einer PKI-Umgebung erforderlichen Dienste bietet, die Verfügbarkeit auf den Cloud-Marktplätzen Microsoft Azure und AWS für eine schnelle Bereitstellung sowie eine SaaS-Lösung für eine voll funktionsfähige PKI-Plattform, die von einem Cloud-HSM unterstützt wird und in wenigen Minuten bereitgestellt werden kann.

Keyfactor bietet auch eine PKIaaS-Bereitstellungsoption für EJBCA an, bei der der gesamte Betrieb und die Verwaltung an das Expertenteam Keyfactor übertragen werden, so dass Unternehmen Zertifikate nutzen können, ohne sich mit der Programmverwaltung beschäftigen zu müssen.

Die Nachrüstung von Microsoft CA - oder eines anderen älteren PKI-Programms - für ein modernes Unternehmen reicht einfach nicht mehr aus. Dadurch entstehen übermäßig komplexe PKI-Architekturen, die kostspielig und nicht annähernd so skalierbar sind, wie sie sein müssten, und die die kurze Lebensdauer der heutigen Zertifikate einfach nicht unterstützen können.

Eine moderne Lösung wie Keyfactor EJBCA löst diese Probleme und mehr. Einen genaueren Einblick in die Funktionsweise und eine Live-Demo erhalten Sie hier, klicken Sie hier, um den vollständigen Tech Talk anzusehen.