GlobalSign Blog

01 Okt 2019

Krypto-Agilität – der natürliche Spross einer PKI ?

Bei der diesjährigen Fachmesse für IT-Sicherheit konzentriert sich GlobalSign auf seine bewährten PKI-Sicherheitsplattformen für Verschlüsselung, die Authentifizierung von Benutzern und Geräten und digitale Signaturen.

Im Rahmen des it-sa-Vortragsprogramms gibt Sales Engineer Sebastian Schulz einen Einblick wie Public Key Infrastructure (PKI) im modernen Unternehmen funktioniert und welche Vorteile mit ihr verbunden sind. PKI ist die am häufigsten verwendete Lösung sowohl für die Einhaltung der DSGVO als auch für die Eindämmung von Bedrohungen der Cybersicherheit. Die Fähigkeit, eine skalierbare PKI-Infrastruktur zu integrieren, zu automatisieren und zu verwalten, scheint entmutigend, da die heutigen großen Unternehmensnetzwerke und Cloud Service Provider gegen eine ständig wachsende Anzahl von Bedrohungen kämpfen. Diese Bedrohungen können von Phishing über Ransomware bis hin zu Social Engineering reichen. Wir zeigen Ihnen, wie Sie diese Probleme lösen können, um die Sicherheits- und Compliance-Vorschriften in Ihrer Branche zu erfüllen.

Erfahren Sie mehr und besuchen Sie uns auf der it-sa in Nürnberg, vom 8. bis 10. Oktober 2019 in Halle 10.1 auf dem Stand 611. Besuchen Sie den Vortrag zum Thema „Crypto Agility - Identität und Authentifizierung“, mit Sebastian Schulz, am 9. Oktober um 15.30 Uhr im Forum 10.1.

Krypto-Agilität – der natürliche Spross einer PKI?

Krypto-Agilität und -Resilienz sind quasi natürliche Sprösslinge unseres Selbstverständnisses als Zertifizierungsstelle und unserer Technologieintegrationen als Cloud-basiertes Unternehmen.

So haben wir die Möglichkeit eine von GlobalSign verwaltete Public Key Infrastructure (PKI) einzubinden, die entweder rein Cloud-basiert ist oder sich über das sogenannte Auto Enrollment Gateway (AEG) mit dem Active Directory eines Unternehmens verbindet.

Viele Unternehmen haben im Laufe der Jahre eigene interne CAs eingerichtet, stoßen damit aber zunehmend an Grenzen. Insbesondere tauchen Probleme auf, wenn sich kryptographische Vorgaben, die jahrelang gültig waren, verändern oder weiterentwickeln.

Ein Beispiel ist die Umstellung von SHA1 auf SHA256 oder auf neue kryptographische Schlüssel wie ECC (Elliptic Curve Cryptography). In bestimmten Branchen werden gänzlich neue Standards erarbeitet wie der internationale IEEE 1609.2 in der Automobilbranche. Cloud-Lösungen, wie etwa von GlobalSign, verrichten bereits den Großteil der Arbeit und werden stets aktualisiert, um sie konform und gleichzeitig wettbewerbsfähig, also agil zu halten. Demgegenüber sind interne CAs oftmals sehr statische Umgebungen, und es ist nicht ganz einfach sich an verändernde Gegebenheiten anzupassen. Das kostet Zeit, Geld und vor allem Aufmerksamkeit. Firmen müssen in die Bereitstellung neuer Systeme investieren, um kryptografische Änderungen vorzunehmen.

Der Vorzug einer externen CA und Cloud-basierten Umgebung liegt darin, dass sich Änderungen sehr viel schneller und effizienter umsetzen lassen. Davon profitieren Kunden unmittelbar.

In einem ganzheitlichen Zusammenhang betrachtet und mit Blick auf die Veränderungen der Branche innerhalb der letzten Jahre, kommt das Thema Krypto-Resilienz ins Spiel. Aus unserer Sicht als CA bedeutet Krypto-Resilienz, nicht von einem einzigen externen Anbieter abhängig zu sein. Vielmehr sollten Unternehmen ohne Schwierigkeiten verschiedene öffentliche Zertifizierungsstellen nutzen können. Tritt etwa mit einer CA ein Problem auf, sollte man zeitnah zu einem anderen Anbieter wechseln können. Zertifikate selber mögen zwar in Dollar oder Euro beziffert geringwertig sein., das gilt aber nicht, wenn sie an kritischen Stellen in einer Infrastruktur eingesetzt werden. Ein Beispiel sind Verbindungen zwischen einzelnen Systemen und Maschinen in zum Beispiel SCADA-Kontrollsystemen. Oder Kunden erleben unliebsame Überraschungen mit einem Browser, es kann aber nicht schnell zu einem anderen Anbieter gewechselt werden. Sollte es sogar nötig sein, etwas zu widerrufen, entsteht schnell ein nicht zu unterschätzender Schaden in Reputation und Ausfall von Umsatz.

Unternehmen kämpfen aber nicht nur mit den Anwendungsfällen in der eigenen Firma. Stichwort: DevOps. In diesem Bereich finden Anwendungsentwicklung und Bereitstellung mit enormem Tempo statt. Das weckt Begehrlichkeiten, und Unternehmen wollen ausreichend agil sein, um je nach Anwendungsfall verschiedene CAs zu nutzen und gegebenenfalls auszutauschen. Das ist einer der Gründe, warum wir Anfang dieses Jahres eine Integration mit Venafi Cloud angekündigt haben. DevOps-Teams wollen nicht auf nur eine Zertifizierungsstelle angewiesen sein, wenn es Probleme mit dem Anbieter gibt. In den DevOps-Ökosystemen wurden bisher vor allem Open Source CAs wie Let's Encrypt eingesetzt, häufig in der Anfangsphase der Entwicklung. Der Ausbau von Geschäftsaktivitäten und die zunehmend komplexer werdenden Abläufe kollidieren aber mit Mengenbeschränkungen und Begrenzungen bei den Durchsatzraten. Diesen Ansprüchen sind kostenlose Open Source CA nicht immer gewachsen. Kommerzielle Cloud-PKI-Services hingegen sind heute nahezu unbegrenzt skalierbar und eignen sich somit für Anwendungsfälle mit hohem Datenaufkommen wie IoT und DevOps.

Wenn wir uns die Entwicklung der IT und Unternehmen mit traditionellen On-Premises-Systemen ansehen, findet auch eine Hybridisierung der Cloud mit On-Premises-Umgebungen statt. Unternehmen, die vollständig in der Cloud zu Hause sind, haben eine komplette Transformation der IT durchlaufen. Das ist der Grund, warum diese Unternehmen besonders gerne mit Cloud-Sicherheitsanbietern (wie GlobalSign) zusammenarbeiten. Einfach um die nötige Agilität, Resilienz, Skalierbarkeit und zugleich eine einfache Bereitstellung zu gewährleisten.

Sowohl in Europa als auch in den USA gibt es das Trusted Root-Modell. Bei diesem Vorgehen werden On-Premises CAs von Unternehmen durch öffentliche Zertifizierungsstellen als vertrauenswürdig eingestuft. Unternehmen können dadurch dann eigene interne CAs betreiben und im eigenen Rechenzentrum halten. Davon wird oft profitiert wo durch regulatorische Vorgaben kaum Infrastruktur ausgelagert werden darf. Dieses Modell ist allerdings keine Option mehr. Alle CAs, einschließlich GlobalSign, signieren keine externen CAs mehr. Der Grund: Es besteht die Gefahr, dass das Schlüsselmaterial nicht ausreichend kontrolliert wird. Im konkreten Fall stellt GlobalSign alle Kunden vom On-Premises-Modell auf Cloud-PKI-Services um.

Unser Ziel ist es, alle Lösungen zu bieten, die mit zur Krypto-Agilität von Unternehmen beitragen. Und bei jedem Unternehmen liegt der Fall etwas anders. Man muss sich also jede Infrastruktur im Einzelnen und sehr genau ansehen. Welche Dienste befinden sich in der Cloud, welche On-Premise und mit welchen Hardwaresystemen? Weil es so viele unterschiedliche Unternehmensanforderungen und Infrastrukturumgebungen gibt, suchen wir ständig nach weiteren geeigneten Partnern um Krypto-Agilität und -Resilienz für unsere Kunden wirklich umzusetzen.

Artikel teilen

IoT: Anschub für das Güterkraftverkehrsgewerbe