Das PKI-System der M&T Bank war zwar sicher, konnte aber mit dem Wachstum der Bank nur schwer Schritt halten. Da die Anzahl der Geräte und Zertifikate zunahm, wurde die Verwaltung und Nachverfolgung schwierig, was zu einem Mangel an Transparenz und Kontrolle führte.
KUNDENGESCHICHTE
M&T Bank erreicht sichere Agilität mit Automatisierung des Zertifikatslebenszyklus
Interview mit Joshua Nash, Technology Manager und SVP, Security Engineering, M&T Bank
DIE HERAUSFORDERUNGEN
Skalierung der Sicherheit mit Agilität
Überblick über das Unternehmen
Die M&T Bank ist eine amerikanische Fortune-500-Bank mit Sitz in Buffalo, New York, und einer Bilanzsumme von mehr als 155 Milliarden. Die 1856 gegründete M&T Bank ist seit ihren Anfängen ein gemeinschaftsorientiertes Unternehmen, das ursprünglich für Hersteller und Handwerker tätig war und heute mehr als 780 Filialen im Osten der USA betreibt. Im Jahr 2021 stellte die Bank den M&T Tech Hub vor, eine neue Initiative zur Förderung der Zusammenarbeit und Innovation mit den Menschen und Unternehmen, für die sie tätig ist.
Herausforderungen
Agilität und Wandel ohne Unterbrechung zulassen
"Unser Ziel ist es, mit unserem Sicherheitskonzept flexibler zu werden. Wir wollen eine neue Denkweise fördern - effizienter sein, die Automatisierung vorantreiben, wo immer es möglich ist, und unsere Mitarbeiter in guten Sicherheitsgrundsätzen schulen", sagt Joshua Nash, Technology Manager for Security Engineering bei der M&T Bank.
Die Public-Key-Infrastruktur (PKI) bildet die Grundlage für Vertrauen und Authentifizierung, und die Bedeutung von Flexibilität ist keine Ausnahme. Die M&T Bank verlässt sich auf PKI und digitale Zertifikate, um Geräte und Anwendungen in ihrem digitalen Umfeld sicher zu verbinden. Doch im Laufe der Jahre haben sich sowohl die Technologie als auch die Kryptografie erheblich weiterentwickelt und neue Herausforderungen geschaffen.
M&T ging 2010 eine Partnerschaft mit Keyfactor ein - damals ein PKI-Beratungsdienst, der unter dem Namen Certified Security Solutions (CSS) bekannt war -, um bei der gewaltigen Aufgabe der Migration von SHA-1 auf SHA-2 und dem Neuaufbau der gesamten PKI von Grund auf zu helfen.
"Wir haben uns bei M&T dazu entschlossen, die Art und Weise, wie wir PKI handhaben, zu überdenken", sagt Nash. "Keyfactor half uns dabei, unsere PKI richtig aufzubauen, einschließlich einer richtigen CA-Hierarchie mit Aufgabentrennung. Außerdem haben wir drei Roots of Trust auf eine einzige Root reduziert und diese mit unseren ausstellenden CAs verbunden, was die Verwaltung und Wartung wesentlich vereinfacht hat."
Da die Anzahl der Geräte und Arbeitslasten jedoch rasch zunahm, stieg auch die Anzahl der in der gesamten Umgebung benötigten Zertifikate. Das zunehmende Volumen und die Geschwindigkeit, mit der Zertifikate ausgestellt wurden, machten es schwierig, den Überblick zu behalten. Nash sagt: "Die Schaffung der Grundlage für unsere PKI war ein Schritt in die richtige Richtung, aber als wir wuchsen, wurde es viel schwieriger, den Überblick und die Kontrolle über die von unserer PKI und anderen CAs ausgestellten Zertifikate zu behalten. Wir hatten nicht wirklich einen guten Überblick darüber, welche Zertifikate wir ausgestellt hatten."
Lösung
Eine Plattform für Zertifikatstransparenz und Automatisierung
Das M&T-Team wusste, dass es eine Lösung für die Zertifikatsverwaltung brauchte, und Keyfactor wurde auf sie aufmerksam, weil sie ihre PKI mühelos neu aufbauen konnten. Als sich das Team an Keyfactor wandte, hatten sie genau die richtige Lösung.
Wir sind von 2.000 Zertifikaten auf mehr als 350.000 Zertifikate gestiegen. Das ist eine Menge, die man im Auge behalten muss, aber Keyfactor hilft uns, alles im Blick zu behalten, und es hat uns ermöglicht, massiv zu skalieren.
Joshua Nash, Technologie-Manager und SVP, Sicherheitstechnik, M&T Bank
Die Suche nach Zertifikaten und die Bestandsaufnahme hatten oberste Priorität. "Wir können nicht verwalten, was wir nicht sehen können", sagt Nash. Der zweite Punkt war die kontinuierliche Sichtbarkeit von Zertifikaten über mehrere Plattformen und Zertifizierungsstellen hinweg, nicht nur von automatisch registrierten Zertifikaten aus der internen PKI. Und schließlich brauchte das Team eine Lösung, die skalierbar war. "Sie musste mit unseren Anforderungen skalieren, und wir haben eine Menge Zertifikate - eine ganze Menge", sagt Nash.
Im Jahr 2014 führte M&T Keyfactor Command ein, um einen besseren Überblick über den Zertifikatsbestand zu erhalten und grundlegende Warnmeldungen einzurichten, die die Benutzer daran erinnern, ihre Zertifikate zu einem festgelegten Zeitpunkt vor Ablauf zu erneuern. Im Zuge der Weiterentwicklung des Produkts führte M&T weitere neue Funktionen ein, zu denen nun Netzwerkerkennung, Self-Service-Registrierung, APIs und automatisierte Workflows für die Zertifikatserneuerung und -bereitstellung gehören.
"Wir sind jetzt seit mehr als 10 Jahren Kunde von Keyfactor ", sagt er. "Als Keyfactor sich von seinen Wurzeln in der PKI-Beratung zu einer umfassenden Plattform für PKI und Zertifikatsmanagement entwickelte, haben auch wir uns weiterentwickelt. Von der Neugestaltung unserer PKI bis hin zur vollständigen Transparenz und Automatisierung aller unserer Zertifikate ist Keyfactor eine wichtige Komponente unserer Sicherheitsinfrastruktur."
Auswirkungen auf die Wirtschaft
Beseitigung von Blindpots bei Zertifikaten
Zunächst wurde Keyfactor direkt in die Microsoft CAs der M&T Banks integriert, um Transparenz und Echtzeitüberwachung für alle von der internen PKI ausgestellten Zertifikate zu gewährleisten. Diese anfängliche Entdeckung bot ihnen eine viel effizientere Möglichkeit, ihre Zertifikatslandschaft zu inventarisieren und zu prüfen.
"Vor Keyfactor mussten wir manuell eine Excel-Tabelle aus unserer Zertifizierungsstelle exportieren und dann einen riesigen Bestand an automatisch registrierten Zertifikaten durchsuchen, um Anomalien zu finden", sagt Nash. "Jetzt können wir alle unsere Zertifikate an einem Ort sehen und innerhalb von Sekunden ein einzelnes Zertifikat aus Hunderttausenden von Zertifikaten suchen und identifizieren.
Nach der Integration mit Microsoft CA half das Team von Keyfactor M&T, unbekannte Zertifikate in ihrem Netzwerk zu entdecken. Mithilfe der in Keyfactor Orchestrator integrierten Netzwerk-Scan-Funktionen erhielt das Team schnell einen detaillierten Einblick in alle Zertifikate, einschließlich Details wie Eigentümer, Ablaufdatum und alle Standorte, an denen sie installiert waren.
Nash erklärt: "Wir konnten auf Anhieb 50 % der selbstsignierten Zertifikate in unserer Umgebung identifizieren und eliminieren. Jetzt jagen wir keine Geister mehr, und wir konnten die Benutzer proaktiv darüber aufklären, warum sie sich für von einer Zertifizierungsstelle ausgestellte und nicht für selbst signierte Zertifikate entscheiden sollten. Das hat unsere Fehlerquote erheblich gesenkt."
Optimierte Prozesse für Cybersicherheit und Entwickler
Wie bei vielen Unternehmen ist auch bei der M&T Bank das Team, das für die Verwaltung von öffentlich vertrauenswürdigen SSL/TLS Zertifikaten verantwortlich ist, ein anderes als das interne PKI-Team. Keyfactor überbrückte die Lücke durch die Integration mit Entrust CA, um dem Cybersicherheitsteam die gleiche nahtlose Erfahrung für die Zertifikatsregistrierung und das Lebenszyklusmanagement zu bieten.
Jetzt kann das Cybersicherheitsteam Zertifikate mit eindeutigen Metadaten versehen, sie effizient organisieren und die Besitzer von Anwendungen benachrichtigen, bevor ihre Zertifikate ablaufen. Nash: "Die Metadatenfunktion in Keyfactor Command ist unglaublich leistungsstark. Jetzt können wir Zertifikate mit relevanten Daten wie E-Mails von Zertifikatsbesitzern und Genehmigern kennzeichnen, sodass wir sie viel genauer verfolgen können."
Gleichzeitig arbeitete Nash mit den Entwickler- und Betriebsteams von M&T zusammen, um manuelle Prozesse im Zusammenhang mit der Anforderung und Bereitstellung von Zertifikaten zu reduzieren. "Unsere Entwickler können einfach die Keyfactor Swagger API-Schnittstelle nutzen, um Zertifikate viel schneller und ohne Reibungsverluste bereitzustellen. Sie verwenden mehr Zertifikate als je zuvor, weil der Prozess jetzt viel schneller und effizienter ist."
Anstatt Entwickler und Systemadministratoren mit Wildcard-Zertifikaten zu belästigen, die nicht mit den internen Richtlinien übereinstimmen, können sie eine einfache Alternative für kurzlebige Zertifikate bieten, die immer noch mit ihren Richtlinien übereinstimmen.
Skalierung auf mehr als 350.000 Zertifikate, ohne einen Schritt zu übersehen
Heute verfügt die M&T Bank über mehr als 350.000 aktive Zertifikate im gesamten Unternehmen, einschließlich der automatischen Registrierung sowie der Zertifikate für mobile Geräte, Webserver, Netzwerk- und Cloud-Infrastruktur. Um eine Zertifikatsverwaltung in dieser Größenordnung zu erreichen, war laut Nash die Leistung und Skalierbarkeit der Plattform Keyfactor Command entscheidend.
"Wir waren nicht darauf aus, die Kosten zu senken; obwohl wir das taten, war es unser Ziel, zu skalieren. Und genau das ist es, was Keyfactor uns ermöglicht hat", erklärt Nash. "Es gibt uns die Möglichkeit, mehr Zertifikate zu verwenden, um Geräte und Workloads besser zu schützen. Es gibt wirklich keine Grenzen für das, was wir mit der Plattform erreichen können."
Machen Sie den
nächsten Schritt
Erfahren Sie, wie wir Ihnen helfen können, digitales
Vertrauen mit einer hoch skalierbaren, zuverlässigen PKI-Lösung