GlobalSign Blog

06 Okt 2017

Warum sollten Sie uns vertrauen, Ihre CA zu verwalten? Ein Einblick in unsere Sicherheitspraktiken

Sie betreiben also Ihre eigene interne CA, oder denken zumindest darüber nach. Und Sie planen, alles hausintern zu machen?

Warum?

Für viele ist die Antwort ganz einfach: ‘Ich vertraue keinem Dritten, meine CA zu verwalten, da wir sehr sensible Daten haben, die wir lieber intern halten würden'.

Vielleicht sind Sie eine Bundesbehörde und Ihr Budget ist groß genug, um Ihre kryptografischen Daten und Infrastruktur sicher zu halten. Im Extremfall könnten Sie Ihre eigenen dedizierten CA-Serverräume mit Faradaykäfigen und Laserstrahlen für die Bewegungserkennung einrichten. Wenn sich das nach Ihrem Unternehmen anhört, sollten Sie nicht mehr weiter lesen, da dieser Blog wahrscheinlich nichts für Sie ist.

Ein weiterer Grund für den Betrieb Ihrer eigenen hausinternen CA ist es, zu vermeiden, dass diese Art von Daten in die Cloud gehen, vielleicht weil Sie der Cloud oder dem Drittanbieter, der die Cloud-Lösung für Sie verwaltet, nicht vertrauen.

Warum?

Was ist so beängstigend an der Cloud? Wir haben unser Twitter-Publikum gebeten, uns zu sagen, warum sie meinen, dass Unternehmen sich vor der Annahme der Cloud fürchten. Sie scheinen zu denken, dass Sicherheit ein großes Bedenken ist.

Ich bin nicht hier, um die Cloud zu entmystifizieren oder Ihnen Gründe zu nennen, warum die Cloud ein toller Ort zum Speichern Ihrer Daten ist. Es wurden dazu schon genügend Blogs geschrieben. Bei GlobalSign haben wir Texte veröffentlicht, in denen wir Ihnen einige Vorabfragen bereitstellen, die Sie potenziellen neuen Cloud- oder Managed Service Anbietern stellen sollten. Wir sind fest davon überzeugt, dass Sie nicht der Cloud, sondern dem Unternehmen, das die Cloud-Services und -Lösung liefert - in diesem Fall uns - vertrauen.

Jedes Unternehmen, das eine verwaltete Lösung in oder außerhalb der Cloud anbietet, ist dafür verantwortlich zu erklären, warum Sie ihm vertrauen können. Letzten Endes ist es, dank täglich neuer Verordnungen und dadurch, dass Daten immer mehr wert für ein Unternehmen werden, fast so gefährlich, die Verantwortung für die Verwaltung der Daten an einen Dritten zu geben, wie sein Neugeborenes einem Fremden zur Aufsicht zu überlassen - dies ist ein beängstigender Gedanke!

Wir legen unsere Karten auf den Tisch

Wie ich schon sagte, bin ich nicht hier, um die Cloud als Ganzes zu verteidigen, oder auch Managed Services von Drittanbietern ... Ich bin einfach hier, um zu erklären, warum das Betreiben einer privaten CA in der Cloud-Infrastruktur von GlobalSign etwas ist, vor dem Sie keine Angst haben müssen.

Hier sind also meine Argumente.

Die durchschnittliche Unternehmensumgebung

Die meisten Unternehmen betreiben ihre eigene Microsoft CA über Active Directory. Alle Mitarbeiter greifen über dieses Firmennetzwerk mit demselben Domaincontroller auf das Internet zu (externe und interne Websites). Wenn Sie eine dedizierte CA intern betreiben, auch angenommen, Sie verwenden separate Server, betreiben Sie sie wahrscheinlich im selben physischen Netzwerk oder Serverraum wie Ihre Datei- und Anwendungsserver, die indirekt mit dem Internet verbunden sind. Sehen Sie bisher einen Bedrohungsvektor?

Wenn ein Computer, der in der Lage ist, ein Zertifikat von der internen CA anzufordern, auch mit Malware infiziert ist, dann kennen Sie den Rest.

Selbst angenommen, Sie haben Ihre interne CA mit zwei FIPS-kompatiblen HSMs aufgebaut, haben Sie wahrscheinlich nur einem Root-Administrator Zugang und Authentifizierung gegeben.

Hinweis: Es ist bewährte Praxis, mehreren Admins HSM-Zugang zu geben. Aber wir finden, dass allzu oft Unternehmen mit kleineren Teams oder Ressourcen nur einem Admin die Anmeldeinformationen, oder in manchen Fällen die gleichen Anmeldeinformationen einem ganzen Team, geben.

Wie erhält also der Root-Administrator Zugang? Ein Passwort? Vielleicht ein Token oder eine Smartcard? Der Root-Admin hat immer noch die Möglichkeit, ein Backup der Sicherheitswelt zu machen und sie zu Hause wiederherzustellen, vorausgesetzt, er hat ein ähnliches HSM und Original-Bedienerkarten. Aber dies ändert nichts daran, dass es eine Schwachstelle ist. Ein Admin hat auch die Möglichkeit, Zertifikate oder eine Sub-CA auszustellen und alle aufgezeichneten Protokolle zu löschen. Zum Glück haben wir einen Blog zu Best Practices für die Schlüsselspeicherung. Sie können ihn gerne nachlesen.

Oder was passiert, wenn ein Admin abtrünnig wird? Härten kann den Schaden begrenzen, den ein Admin anrichten kann. Aber dies kann nicht verhindern, dass Ihr Admin abtrünnig wird oder deutliche Auswirkungen auf das Vertrauen in Ihre PKI verursacht. Es ist auch erwähnenswert, dass Härten zusätzliche Kosten verursacht, egal ob Sie hausintern oder Drittanbieter wählen.

Alle diese Bedrohungsvektoren sind Löcher, die Geld kosten, um sie zu stopfen. Geld, das oft bisweilen für ein Unternehmen zu unrealistisch ist, das es sich auszahlen würde. Der Hauptgrund dafür ist eine Lücke zwischen dem Wissen einer IT-Abteilung, was benötigt wird, und der Bereitschaft der Vorstandsebene dieses Geld bereitzustellen.

Wenn es nur eine erschwingliche Lösung gäbe, die die benötigte physische und virtuelle Sicherheit bietet, von der sie wüssten, dass Sie sie brauchten ...

Hier kommt GlobalSigns CA-Umgebung ins Spiel

Stellen Sie sich ein großes Gebäude vor, das von hohen Zäunen und CCTV-Überwachungskameras umgeben ist, die rund um die Uhr von Sicherheitspersonal betrieben und überwacht werden. Die Sicherheit wird sowohl von einem Team vor Ort und einem Team von außerhalb überwacht, und alle Alarmglocken schrillen, je nach Art des Alarms, bei einem oder beiden Teams.

Alle Menschen im Gebäude müssen kontrolliert werden, außer Sie haben eine Zertifizierung bestanden. Wenn Sie Glück genug haben, ein regelmäßiger Besucher zu sein, der die Zertifizierung bestanden hat und verifiziert hat, dass er in einer vertrauenswürdigen Rolle arbeitet, können Sie das Gebäude mit einer Karte und Biometriedaten betreten.

Um in unseren Serverraum zu gelangen, müssen Sie bereits registriert sein und zwei Authentifizierungsfaktoren haben. Aber das gibt Ihnen keinen Zugang zu dem Serverraum, der eine der CAs beherbergt.

Wenn Sie in den CA-Serverraum gelangen wollen, der ein dedizierter sicherer Raum im Serverraum ist, müssen Sie in Begleitung eines Kollegen sein. Der Raum selbst verwendet nicht einfach eine simple Käfigkonstruktion, sondern ist von Wand zu Wand (von Betonboden zu Betondecke) aus starken und extra sicheren Materialien aufgebaut. Die gesamte Klimaanlage und Gasunterdrückung wurden so konzipiert, dass alle Wartungsarbeiten nicht innerhalb des Serverraums durchgeführt werden müssen, der alle unserer wichtigsten Materialien enthält. Jede Wand, Tür und Zoll des Raumes wird von mehreren Sensoren überwacht, um Bewegungen und/oder Eindringen zu erkennen.

Um dieser gut gebauten Festung noch mehr Sicherheit zu verleihen, hat jeder einzelne Server-Rack Türen, die eine Authentifizierung zum Öffnen erfordern. Wenn die Türen geöffnet sind, wissen wir, wer sie geöffnet hat, wann sie geöffnet wurden und ob sie gewaltsam geöffnet wurden. Natürlich sehen wir mit CCTV auch, wer tatsächlich die Tür öffnet. Sobald jemand im Server ist, werden alle Änderungen am Server selbst überwacht und neue Codeausführungen können nicht implementiert werden, ohne vorher überprüft zu werden.

Unsere CA ist von der Cloud aus erreichbar, aber das bedeutet nicht, dass sie von der Cloud aus erreichbar ist.

Sie sind verwirrt? Was wir damit meinen, ist, dass, obwohl wir sagen, dass unsere ausstellende CA in der Cloud ist, muss eine Anforderung immer noch über eine API gesendet werden. Diese Anforderung muss verarbeitet und verifiziert werden. Danach geht sie in die Warteschlange, bis die CA sagt "Alles OK, ich will jetzt das Zertifikat". Nach der Authentifizierung der Anforderung stellt die CA dann das Zertifikat aus und sendet es an die Warteschlange zurück, damit es dort aufgesammelt wird. Diese Verbindung ist als Air Gap bekannt. Und natürlich braucht die gesamte interne Kommunikation eine gegenseitige TLS-Authentifizierung.

Härten ist eine andere Technik, die wir verwenden, um sicherzustellen, dass nur bestimmte IP-Adressen mit mehreren Anmeldeinformationen Zugang zum System haben. Für unsere Kunden können wir sogar für mehr Zuverlässigkeit ein mehrfach gehostetes Set-up auf einer aktiven/aktiven Umgebung nutzen.

Die meisten Unternehmen betreiben eine aktive/Standby-Umgebung. Aber was passiert in diesem Szenario, wenn ein Fehler auftritt? Wie lange können Sie es sich leisten, dass Ihre CA nicht läuft?

GlobalSign investiert auch in die Überwachung und Auditierung. Alle Zertifikate können zurückverfolgt werden. Wenn also etwas schief geht, können wir es vollständig untersuchen und die Ursache des Problems sofort finden. Neben mehreren sehr teuren Audits ist unsere Festung komplett.

Letztlich sei noch angemerkt, dass wir sie nicht einfach nur sichern und sie dann sich selbst überlassen. Wir führen regelmäßige Hintergrundkontrollen für alle Mitarbeiter mit Zugang zu unseren Systemen durch, wir überprüfen kontinuierlich unsere Infrastruktur und nehmen Anpassungen aus physischer und virtueller Sicht vor und wir haben externe Unternehmen hinzugezogen, um unsere physische und virtuelle Sicherheit zu testen. Diese Fremdfirmen führen Schwachstellenüberprüfungen an allen externen Zugangspunkten durch, um kontinuierliche Sicherheit zu gewährleisten. Darüber hinaus überwachen wir unseren gesamten Netzwerkverkehr rund um die Uhr auf Anzeichen einer Anomalie durch Eindringen oder Übersehen eines abnormalen Verhaltens.

Unser Geschäft wäre nichts, wenn wir keine Sicherheit hätten. Also machen wir es zu unserem Geschäft, damit so gut zu sein, wie wir nur sein können. Um unseren Technology Solutions Director, Paul van Brouwershaven, zu zitieren:

Sicherheit hört nicht auf, wartet nicht oder vereinfacht keine Umgebung. Sie bewegt sich ständig und erfordert enorme Investitionen, Zeit und Ressourcen, um sie auf höchstem Niveau zu pflegen.

Letzten Endes haben wir keine Ahnung, wie Ihr Geschäftsumfeld aussieht. Vielleicht ist es sicherer oder so sicher wie unseres. Nur Sie kennen die Antwort darauf.

Aber lassen Sie mich Ihnen diese Frage stellen: Können Sie mit dem jetzigen Wissen immer noch sagen, dass Sie Ihrer eigenen Umgebung mehr als unserer vertrauen?

Bei allen anderen Antworten als einem vorbehaltlosen Ja, lassen Sie uns darüber reden, wie Sie Zeit, Geld und Ressourcen sparen können, indem Sie Ihre Umgebung zu uns übertragen.

Artikel teilen