Aufrüstung Ihrer PKI: Wie Sie grenzenloses Vertrauen aufbauen können

Die Public Key Infrastructure (PKI) ist eine seit langem etablierte Lösung für den Aufbau von Vertrauen in der digitalen Welt. Aber die Anwendungsfälle für PKI haben sich in den Jahrzehnten, in denen es sie gibt, erheblich verändert - und sie entwickeln sich weiterhin in rasantem Tempo weiter.

So hat beispielsweise die Zunahme von Multi-Cloud- und Remote-Arbeitsrichtlinien dazu geführt, dass sich der Sicherheitsschwerpunkt vom Schutz des Perimeters auf die Absicherung aller Bereiche durch vertrauenswürdige Identitäten verlagert hat. Leider können ältere PKI-Implementierungen mit dieser Verlagerung nicht mithalten.

Was müssen Unternehmen vor diesem Hintergrund über die Aufrüstung ihrer PKI wissen, um modernen Anwendungsfällen gerecht zu werden? Um mehr darüber zu erfahren, haben wir uns kürzlich zusammengesetzt mit Harry Haramis, SVP of Cloud & SaaS Marketplaces bei Keyfactor, und Steven Duckworth, Chief Microcomputer Tech Support Specialist bei Erie 1 BOCES .

Klicken Sie hier, um das gesamte Gespräch zu verfolgenoder lesen Sie weiter für die Highlights.

PKI ist eine wichtige Infrastruktur in modernen Unternehmen, die Vertrauen in eine Vielzahl von digitalen Anwendungsfällen schafft, die nicht nur Menschen, sondern auch Maschinen umfassen. Einige der häufigsten Anwendungsfälle in modernen Unternehmen sind:

• SSL/TLS Zertifikate für Webserver
• Gegenseitige Authentifizierung und Verschlüsselung für Geräte im Internet der Dinge (IoT)
• Authentifizierung bei Wifi-Netzwerken
• Kurzlebige Zertifikate für Multi-Cloud-Dienste wie Container und Workloads
• Digitale Signaturen und Verschlüsselung für sichere E-Mails auf allen Geräten
• Vertrauenswürdiger Zugang für mobile Anwendungen und mobile Geräte
• Authentifizierung zwischen Routern und Firewalls für Netzwerkgeräte
• Signaturen auf Containern und software Builds für DevOps-Teams

Zwei Bereiche, in denen die PKI-Aktivitäten am stärksten zunehmen, sind DevOps und mobile Geräte, da Unternehmen ihre Cloud-Infrastruktur modernisieren und immer mehr Mitarbeiter von unterwegs aus mit einer Vielzahl von Geräten arbeiten.

Leider sind die alten PKI-Implementierungen, die die meisten Unternehmen immer noch verwenden, übermäßig komplex und kostspielig und können nicht skaliert werden, um diese neuen Anwendungsfälle zu erfüllen. Sie stützen sich auf eine veraltete Infrastruktur, die langsam ist und die Anforderungen neuer Anwendungsfälle wie Cloud-Migrationen, hybrides Arbeiten und IoT Geräte nicht erfüllen kann. Außerdem stützen sie sich in der Regel auf unterschiedliche Tools, die den Einblick der Sicherheitsteams in Zertifikate und Richtlinien im gesamten Unternehmen einschränken, was die Verwaltung von Zertifikaten und die Vermeidung von Problemen wie Ausfällen erschwert.

Zusätzlich zu den infrastrukturellen Herausforderungen fehlt es vielen Teams an den notwendigen Ressourcen, um diese PKI-Programme aufrechtzuerhalten, da Mitarbeiter mit den richtigen PKI-Fachkenntnissen schwer zu finden und noch schwerer zu halten sind.

Eine der häufigsten Herausforderungen, mit denen sich Unternehmen bei der Modernisierung ihrer PKI konfrontiert sehen, ist die fortgesetzte Abhängigkeit von der veralteten Microsoft-Zertifizierungsstelle (CA), auch bekannt als Active Directory Certificate Services (ADCS).

Microsoft CA gibt es seit dem Jahr 2000, und obwohl es im Laufe der Jahre mehrere Versionen davon gab, hat sich seit der ersten Veröffentlichung nicht viel geändert. Wenn Unternehmen versuchen, die mehr als 20 Jahre alte Lösung für moderne PKI-Anforderungen zu nutzen, stoßen sie auf ernsthafte Hindernisse, darunter:

• • Betriebliche Herausforderungen: Microsoft CA Nur eine CA pro Server ist zulässig. In einer Zeit, in der Unternehmen täglich neue Zertifikate von einer Vielzahl von Zertifizierungsstellen ausstellen müssen, führt dies zu einem übermäßig komplexen Fußabdruck in großem Maßstab.
  • Begrenzte Integrationen: Microsoft CA lässt sich zwar gut in die Microsoft-Infrastruktur vor Ort integrieren, aber das war's dann auch schon. Dieser Mangel an Integrationsunterstützung ist nicht gut, wenn Unternehmen zu einer Multi-Cloud-Umgebung wechseln.
  • Fehlende Unterstützung: Microsoft ist sich dieser Einschränkungen sehr wohl bewusst und unterstützt oder entwickelt Microsoft CA nicht mehr aktiv weiter, was bedeutet, dass die Kluft zwischen den Einschränkungen der Lösung und modernen Anwendungsfällen nur noch größer wird.

Zum Glück gibt es mehrere Wege zu einer modernen PKI-Infrastruktur in der Cloud:

• Verwaltete PKI: Die PKI-Infrastruktur wird von einem erfahrenen Drittanbieter in der Cloud bereitgestellt, gehostet und verwaltet. Die Übergabe der Infrastruktur und der Verwaltung an einen Dritten bedeutet, dass sich die Unternehmen keine Gedanken über ihr eigenes PKI-Fachwissen machen müssen und einfach die Zertifikate aus dem Programm nutzen können.

• SaaS/Cloud PKI: Die PKI-Infrastruktur wird von dem Unternehmen in der Cloud bereitgestellt, gehostet und verwaltet. In diesem Fall wird die Backend-Infrastruktur von einem Dritten gehostet und gewartet, aber das Unternehmen verwaltet sein eigenes Programm in Bezug auf die Ausstellung von Zertifikaten, die Entwicklung von Richtlinien und die Leitung des laufenden Lebenszyklusmanagements.

• Hybride PKI: Die PKI-Infrastruktur wird vor Ort bereitgestellt, gehostet und verwaltet und in Cloud-Dienste integriert. Dieser Ansatz erfordert internes Fachwissen bei der PKI-Konfiguration sowie das Eigentum an Servern und anderen Infrastrukturkomponenten. Die hybride PKI eignet sich am besten für Situationen wie die Fertigung, in denen Unternehmen nicht auf eine Internetverbindung in einer entfernten Fabrik angewiesen sein wollen, dann aber Zugang zu diesen Geräten (über das Internet) benötigen, um Zertifikate zu erneuern und laufende Firmware-Updates bereitzustellen, sobald sie im Einsatz sind.

Selbst für Unternehmen, die mit Microsoft Azure in die Cloud wechseln, stellen diese Herausforderungen eine große Hürde dar, da Microsoft keine eigene PKI-Lösung in der Cloud anbietet.

Als Teil des Evaluierungsprozesses ist es für Unternehmen wichtig, Anforderungen wie Vertrauensanforderungen für öffentliche und private Zertifizierungsstellen, Sicherheits- und Zuverlässigkeitsniveaus, zu unterstützende Anwendungsfälle, Skalierbarkeit und Verfügbarkeit von PKI-Lösungen sowie das erforderliche Fachwissen für die Implementierung und Wartung des PKI-Programms zu berücksichtigen. Ebenso wichtig ist es, den aktuellen Reifegrad des Unternehmens in Bezug auf die Cloud (sowie zukünftige Pläne) zu berücksichtigen, um zu verstehen, was hinter einer Firewall bleiben sollte und was in die Cloud verlagert werden kann.

Erie 1 BOCES ist ein öffentlicher Schulverbund in New York. Als COVID aufkam, entstand durch die Nachfrage nach einer Fernverwaltung für Laptops von Schülern und Mitarbeitern ein völlig neuer Bedarf. Erie 1 BOCES nutzte bereits Azure Active Directory und Office 365, so dass der nächste logische Schritt die Einführung von Microsoft Intune für die Geräteverwaltung im Unternehmen war.

Allerdings Das Team erkannte jedoch schnell, dass es eine Lösung eines Drittanbieters für die Ausstellung und Verwaltung von Zertifikaten zur Authentifizierung von Remote-Geräten, z. B. in Wifi-Netzwerken, benötigte. Dieser Bedarf führte das Erie 1 BOCES-Team zu PrimeKey EJBCA Enterpriseeine umfassende PKI-Lösung, die im Azure Marketplace erhältlich ist.

Wie Steven Duckworth, Chief Microcomputer Tech Support Specialist bei Erie 1 BOCES, mitteilt, war EJBCA die richtige Lösung für die Bedürfnisse des Teams, da es die folgenden Funktionen bietet:

• Ermöglichung eines gemeinsamen Dienstes für Endnutzer, einschließlich Erie 1 BOCES und anderer Schulbezirke
• Reduzierung der PKI-Komplexität mit Unterstützung für mehrere Domänen
• Bieten Sie ein hohes Maß an Skalierbarkeit für die Ausstellung von Zertifikaten für Tausende von Geräten (ohne Gebühren pro Zertifikat)
• Gewährleistung der Kontinuität in virtualisierten und Cloud-Umgebungen
• Aktive Unterstützung von Anbietern, um mit der sich verändernden Cloud-Infrastruktur Schritt zu halten

Das Team fand auch die Tatsache sehr wertvoll, dass EJBCA es ihnen ermöglichte, ihr PKI-Programm intern zu implementieren und zu pflegen, während sie gleichzeitig auf das Fachwissen eines Partners zurückgreifen konnten.

Jetzt bietet Erie 1 BOCES PKI als gemeinsam genutzten Service an, indem es EJBCA in seinem Rechenzentrum nutzt. Das Team hat auch einen großen Nutzen in der direkten Integration mit Intune gefunden, die es ermöglicht, Zertifikate für Endbenutzer-Workstations auszustellen, so dass sie sich einfach in den internen drahtlosen Netzwerken von Erie 1 BOCES validieren können. Am Backend verwalten dedizierte EJBCA -Knoten außerdem die Dienste der Validierungsstelle und den Widerruf von Zertifikaten, um den gesamten Lebenszyklus der Zertifikate abzudecken.

Wenn Sie mehr darüber erfahren möchten, wie ein modernes PKI-Programm Ihnen dabei helfen kann, grenzenloses Vertrauen aufzubauen, und wie Organisationen wie Erie 1 BOCES diese Vision in die Tat umgesetzt haben, klicken Sie hier, um sich das vollständige Webinar über die Modernisierung Ihrer PKI mit Keyfactor und Erie 1 BOCES.