Zusammenfassung des Webinars: Bauen, kaufen oder Verstärkung für PKI holen

Während die meisten PKIs in den letzten zehn Jahren intern verwaltet wurden, haben die Zeit und die Technologie die Funktionalität und die Fähigkeiten erweitert, die für die ordnungsgemäße Bereitstellung und Verwaltung einer wirklich sicheren PKI erforderlich sind.

Damit eine unternehmensinterne PKI (entweder vor Ort oder in der Cloud) ordnungsgemäß funktioniert und skaliert werden kann, benötigen Sie ein umfassend geschultes Team mit den erforderlichen Fachkenntnissen und dem nötigen IT-Personal, um die PKI effektiv zu betreiben.

Weitere Voraussetzungen für den Erfolg und die Sicherheit einer vollständigen unternehmensinternen PKI sind Back-up und Disaster Recovery, Zertifikatsrichtlinien und -praktiken sowie hochsichere Einrichtungen und logische Kontrollen zum Schutz Ihrer Root- und Issuing-CAs.

Bevor Sie entscheiden, ob eine DIY-PKI die richtige Option für Ihr Unternehmen ist, sollten Sie die folgenden Fragen klären:

• Wie hoch sind die Kosten für die Bereitstellung und Wartung Ihrer PKI ( hardware, software, Betrieb, Schulung, Endbenutzer-Support usw.)?
• Kann Ihre Organisation den Betrieb der PKI in einem Umfang verwalten und kontrollieren, der den Skalierungsanforderungen und der Risikolage entspricht?
• Wird es einen Prozess geben, der sicherstellt, dass der Betrieb der PKI den Erwartungen der Organisation entspricht? Wie sieht das aus?

Wenn die Antworten auf diese Fragen nicht für Ihr Unternehmen geeignet sind, ist es an der Zeit, die Art und Weise, wie Sie Ihre PKI betreiben, zu überdenken.

Bei einer intern verwalteten PKI liegt der Schwerpunkt darauf, die Fähigkeiten und die Verfügbarkeit Ihres internen PKI- oder InfoSec-Teams mit dem richtigen Fachwissen zu ergänzen.

Die meisten Unternehmen, die mit dieser Option arbeiten, haben in der Vergangenheit beschlossen, dass es einen geschäftlichen Bedarf für eine interne PKI gibt, sei es für die Registrierung von Zertifikaten für interne Server, die Client-Authentifizierung für Wi-Fi und VPN, IPsec für verschlüsselte Tunnel usw. Aufgrund der Herausforderungen, die mit einer "DIY"-PKI verbunden sind, wie z. B. der Mangel an geeignetem Personal und Fachwissen zur Wartung dieser PKI-Lösung, haben sie sich stattdessen für die Verwaltung oder Mitverwaltung durch einen Drittanbieter entschieden.

Bei dieser Option wird die gesamte Infrastruktur, einschließlich der Zertifizierungs- und Widerrufsinfrastruktur, nach wie vor intern gehostet und betrieben, aber das Unternehmen kann sich nun stärker auf andere Prioritäten konzentrieren und einige der mit der PKI verbundenen Wartungsaufgaben auslagern.

Einige gute Fragen, die Sie sich stellen sollten, wenn Ihre Organisation diese Option in Betracht zieht, sind:

• Verfügt Ihr Team über die nötigen Fachkenntnisse und IT-Ressourcen, um PKI effektiv intern zu betreiben?
• Erfüllt Ihr derzeitiger Anbieter die Anforderungen an die Risikobewertung und -politik für die Anwendung/den Anwendungsfall?
• Sind Sie in der Lage, PKI im eigenen Haus so sicher und kostengünstig zu betreiben wie ein Drittanbieter?

Wenn Ihre Antworten auf diese Fragen nicht zufriedenstellend sind, ist es an der Zeit, eine Cloud-gehostete PKI-Lösung in Betracht zu ziehen.

Managed PKI, oder was Keyfactor als "PKI as a Service" bezeichnet, ermöglicht es unserem Expertenteam, eine ähnliche Erfahrung zu machen, wie wenn Sie ein "PKI-Dreamteam" mit der Entwicklung, Bereitstellung und dem Betrieb Ihrer PKI beauftragen würden.

Diese kombinieren wir dann mit unserem Zertifikatsmanagement software, das Ihrem Unternehmen den Zugriff auf eine speziell entwickelte, dedizierte PKI-Instanz und Ihre eigenen sicheren Root- und Issuing-CAs in einer mandantenfähigen Infrastruktur ermöglicht, die speziell für Sie entwickelt und von einem Expertenteam in Ihrem Namen verwaltet wird.

Wenn Ihr Unternehmen Fähigkeiten und Ressourcen für die Verwaltung Ihrer PKI benötigt, die Infrastrukturkosten und -komplexität reduzieren muss oder wenn Ihr Unternehmen eine Cloud-First-Initiative verfolgt, ist eine vollständig verwaltete PKI wahrscheinlich die beste und sicherste Option für Sie.

Die folgende Liste ist zwar nicht vollständig, enthält jedoch einige Fragen, die bei der Bewertung von verwalteten PKI-Lösungen zu stellen sind:

• Lohnt sich der interne Betrieb einer PKI aufgrund der Betriebskosten, der Infrastruktur und der Wartungsanforderungen?
• Bietet der Anbieter eine dedizierte, mandantenfähige Lösung für die PKI-Bereitstellung an? Oder wird sie auf einer gemeinsam genutzten Infrastruktur betrieben?
• Welche physischen und logischen Sicherheitskontrollen werden zum Schutz der Root- und Issuing-CAs eingesetzt? Sind Sie in der Lage, die Kontrolle über die Root-Schlüssel zu behalten?
• Ist das Serviceangebot in der Lage, Ihre Anforderungen an Skalierbarkeit und Verfügbarkeit zu erfüllen?

Unabhängig davon, wie Sie PKI einsetzen, müssen Sie die spezifischen Bedürfnisse und Anforderungen Ihres Unternehmens evaluieren und herausfinden, wie Sie die Nutzung von PKI mit dem Wachstum Ihres Unternehmens erweitern können.

Wenn Sie genauer wissen möchten, was für den effizienten Betrieb einer PKI erforderlich ist, lesen Sie unsere Checkliste zur Bewertung von PKI- und Zertifikatsmanagement-Tools: