Wenn Sie Ihre PKI nicht überwachen, wer dann?
So ominös der Titel auch klingen mag, in diesem Blog geht es tatsächlich um die Parteien, die ein Auge auf Ihre Public Key Infrastructure (PKI) haben sollten, und nicht um die "bösen Akteure", die das nicht sollten. Letztere sind jedoch nicht weniger wichtig, und das könnte leicht das Thema eines zukünftigen Blogs sein.
Abbildung 1: Inputs und Outputs der Unternehmens-PKI
Entsprechend dem oben gezeigten logischen Diagramm gehören zu den gemeinsamen geschäftlichen und technischen Bereichen häufig:
- Unternehmenssicherheit: Oft in Verbindung mit den Kontroll- und Audit-Organisationen des Unternehmens, die für die Definition von Richtlinien und die Fähigkeit, diese zu überprüfen, verantwortlich sind.
- IT-Sicherheit: IT-Sicherheitsteams sind häufig mit der Ausstellung und Verwaltung von digitalen Zertifikaten sowie mit der operativen Unterstützung der PKI selbst betraut.
- Systemtechnik: PKI-spezifische Systeme unterliegen fast immer den gleichen lokalen Sicherheitsverwaltungs-, Betriebssystem-Patching- und Wartungsfensteraktivitäten wie alle anderen Systeme im Unternehmen. Dies ist einer der Hauptgründe für den Bedarf an genau definierten und gut implementierten Sicherheits- und Prüfmodellen innerhalb der PKI.
Zu den häufigsten PKI-Problemen gehören nachteilige Bedingungen, die sich im Laufe der Zeit aufbauen, wie z. B. eine allgemeine Fehlkonfiguration, eine Verschlechterung des Sicherheitsmodells, die Nichteinhaltung von Vorschriften und Sicherheitsschwachstellen. Sehr oft sind diese Zustände auf einen Mangel an Transparenz und angemessener Überwachung durch die zuständigen Stellen zurückzuführen. Diese Zustände können zu kostspieligen Unternehmensausfällen führen, und das ist auch oft der Fall. Wer sollte also was überwachen? Im Folgenden werden einige praktische Beispiele genannt.
- Plattformen wie Intranet-Webserver und Netzwerk-Zugangskontrollsysteme benötigen einen konsistenten Einblick in den Zertifikatsstatus, um betriebsbereit zu bleiben. Ein nicht überwachtes RADIUS-Server-Authentifizierungszertifikat könnte beispielsweise ablaufen und die Authentifizierung für die gesamte WiFi-Infrastruktur eines Unternehmens deaktivieren. Mit der automatisierten digitalen Zertifikats- und PKI-Betriebsmanagementplattform CMS Enterprise von Certified Security Solutions können Sie Zertifikatsammlungen konfigurieren und Metadaten anhängen, um Ihre Plattformteams über bevorstehende Abläufe zu informieren, damit sie Maßnahmen ergreifen können, um erhebliche Produktivitäts- und/oder Umsatzverluste zu verhindern.
- Angesichts zahlreicher gesetzlicher Vorschriften wie PCI, Sarbanes-Oxley und Gramm-Leach-Bliley verlassen sich die Kontroll- und Prüfungsabteilungen von Unternehmen - ebenso wie unabhängige Prüfstellen - zunehmend auf Daten zur Sicherheitslage, die von der physischen Sicherheit über Passwortrichtlinien bis hin zur Stärke von Signieralgorithmen für Zertifikate reichen. CMS wird beispielsweise häufig eingesetzt, um einen Einblick in SHA1-Zertifikate zu geben, die in den Computerumgebungen von Unternehmen aktiv sind.
Abbildung 2: Monatlicher CMS-Algorithmus-Stärkebericht
In diesem Blog wurden nur einige Beispiele für die Anforderungen an die Transparenz Ihrer Unternehmens-PKI behandelt. CSS kann mit Ihnen an einer automatisierten Zertifikats- und PKI-Managementlösung, CMS Enterprise, oder einem umfassenden PKI Managed Service, CMS Sapphire, arbeiten, um sicherzustellen, dass die richtigen Teams in Ihrem Unternehmen die richtigen Daten im Blick haben.
