Feiern Sie die PKI-Automatisierung
Certificate Lifecycle Management (CLM) und Public Key Infrastructure (PKI) sind Begriffe, bei denen oft selbst die erfahrensten IT-Veteranen die Augen verdrehen. Bei GlobalSign wissen wir das, weil wir regelmäßig über CLM und PKI diskutieren und es daher ständig erleben. Aber PKI ist unser Metier. Ehrlich gesagt, sind wir lausige Gäste bei Cocktailpartys, aber wie bei einem von einem Fall besessenen Anwalt oder einem übermäßig peniblen Buchhalter macht die Besessenheit uns erst richtig gut.
Außerdem wollen wir nicht zu einer Party bei Ihnen kommen, sondern Ihnen helfen, Ihre PKI zu optimieren und zu automatisieren. So wie wir es seit über 25 Jahren tun.
Jeder möchte bis zu einem gewissen Grad autark sein. Aber wenn Ihr Auto ein Problem hat, rufen Sie einen Mechaniker. Zu Beginn unserer beruflichen Laufbahn versuchen wir vielleicht, unsere Steuererklärungen selbst zu machen, aber wenn unsere Finanzen komplizierter werden, suchen wir einen Steuerberater auf.
Die Public Key Infrastructure (PKI) wurde noch nie so stark genutzt und war noch nie so komplex wie heute. Warum also sollte eine Organisation, vor allem ein Unternehmen, versuchen, das alles allein zu bewältigen? Es ist wichtig zu erkennen, wann man Hilfe von Experten einholen sollte.
GlobalSigns Auto-Enrollment Gateway (AEG) ist ein vielseitiges Tool zur Automatisierung des Lebenszyklus von Zertifikaten. Es erreicht das gesamte Netzwerk eines Unternehmens und jeden Endpunkt, der digitale Zertifikate benötigt, und kann die Verwaltung des gesamten Lebenszyklus automatisieren.
Uns ist klar, dass das viele Worte sind, die Erläuterungen benötigen. In diesem Blog sprechen wir über die Veränderungen in der PKI-Landschaft, die Auswirkungen auf die Unternehmen und werfen einen genaueren Blick auf das AEG. Das umfasst auch die Frage, wie sie das Netzwerk von Unternehmen sicherer, effizienter und flexibler machen kann.
Die aktuelle Lage in der PKI-Landschaft
Wenn wir sagen, dass PKI noch nie so stark genutzt wurde und so komplex war wie zur Zeit, dann meinen wir damit, dass Unternehmen noch nie so viele digitale Zertifikate verwalten mussten wie jetzt.
Der bekannteste Anwendungsfall für eine PKI ist SSL/TLS. Jede Website, die von modernen Webbrowsern angezeigt werden soll, benötigt heutzutage ein SSL/TLS-Zertifikat, das von einer öffentlich vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt wurde. Aber nicht nur für sichere Verbindungen zwischen Webservern und Kunden wird PKI genutzt, sondern auch für Folgendes:
- Verschlüsselung und Authentifizierung von E-Mails
- Verschlüsselung und Authentifizierung von E-Mails
- Zur Multi-Faktor-Authentifizierung
- Überprüfung der Identität von Mitarbeitern und Geräten
- Sicherung interner Netzwerkverbindungen
- Erleichterung von Smart-Card-Anmeldungen
Wenn man bedenkt, wie wir nach Covid-19 arbeiten – zunehmend von Zuhause aus und in hybriden Arbeitsumgebungen –, wird die PKI schnell zum Rückgrat des digitalen Arbeitsplatzes. Denn sie hilft, den Netzzugang zu sichern und gleichzeitig in verschiedenen Kontexten die Authentifizierung und Verschlüsselung zu erleichtern. Darüber hinaus gibt es jedoch zwei wichtige externe Faktoren, die die derzeitige explosionsartige Zunahme von PKI-Zertifikaten vorantreiben.
Verkürzte Zertifikatsgültigkeit
Das CA/Browser Forum legt die grundlegenden Anforderungen fest, die alle öffentlich vertrauenswürdigen CAs erfüllen müssen. Das Forum besteht aus mehreren Arbeitsgruppen, die sich ständig um die Verbesserung der Sicherheitsstandards für digitale Zertifikate bemühen. In den letzten zehn Jahren hat sich die Lebensdauer bzw. Gültigkeit dieser Zertifikate aufgrund verschiedener Sicherheitsvorfälle stetig verringert. Auch Bedenken darüber, wie lange den in ihnen enthaltenen Informationen vertraut werden kann, trugen dazu bei. Diese Änderungen begannen bei SSL/TLS-Zertifikaten, deren Gültigkeitsdauer auf nur 397 Tage (13 Monate) verkürzt wurde, bevor sie für andere Zertifikatstypen wie S/MIME und Code Signing in Kraft traten. Heutzutage ist es am besten, digitale Zertifikate mindestens einmal pro Jahr zu ersetzen. Viele Unternehmen entscheiden sich sogar dafür, dies häufiger zu tun, nämlich alle sechs Monate.
Eine kürzere Gültigkeitsdauer bedeutet natürlich, dass häufiger neue Zertifikate ausgestellt werden müssen, um die alten zu ersetzen. Und auch, dass sie an allen erforderlichen Endpunkten installiert werden müssen. Die einmalige Durchführung alle paar Jahre war bereits eine Belastung, aber die jährliche Durchführung bedeutet für Ihr IT-Personal einen erheblichen Mehraufwand, insbesondere wenn die Termine sich über das Jahr verteilen.
Erweiterte Schlüsselverwendung
Die erweiterte Schlüsselverwendung (Extended Key Usage, EKU) ist ein weiterer Bereich, den das CA/B Forum überarbeitet hat. Vereinfacht ausgedrückt, beziehen sich EKUs auf die Arten von kryptografischen Funktionen, die ein bestimmtes Schlüssel- oder Zertifikatspaar ausführen kann. In den vergangenen Jahren konnten Unternehmen ihren Mitarbeitern digitale Zertifikate ausstellen, die mehrere Funktionen ausüben konnten. Sie können damit beispielsweise eine Client-Authentifizierung durchführen, E-Mails signieren und verschlüsseln sowie Dokumente signieren. Leider birgt der Komfort, den mehrere EKUs bieten, auch ein gewisses Risiko. Denn ein kompromittierter Schlüssel ist weitaus gefährlicher, wenn er für mehr als nur für einen Zweck verwendet werden kann. Daher schreiben die verschiedenen Arbeitsgruppen des CA/B Forums vor, dass jedes Zertifikat nur eine einzige EKU haben darf.
In der Praxis bedeutet das, dass Sie einem neuen Mitarbeiter nicht einfach ein digitales Mehrzweckzertifikat ausstellen können, das für alles gilt. Sie müssen für ihn drei verschiedene Zertifikate mit der passenden EKU ausstellen.
Und damit die Sache noch komplizierter wird...
Nicht jedes IT-Team verfügt über die Bandbreite oder das Fachwissen, um die PKI in großem Umfang zu verwalten
Derzeit gibt es in der Cybersicherheitsbranche eine große Qualifikationslücke. Eine Studie von (ISC)2 aus dem Jahr 2023 ergab eine Zunahme des Mangels an Cybersecurity-Fachkräften im Jahr 2022 um 26 %. Und wenn Ihr Unternehmen zu den 43 % gehört, die schon aktiv nach IT-/Cybersecurity-Fachkräften suchen, ist Ihnen das längst bewusst.
Die Sicherheitsteams sind ohnehin schon überlastet, und laut Gartner betreibt und verwaltet ein durchschnittliches Unternehmen zwischen 50 und 70 verschiedene Programme. Und da Unternehmen so verzweifelt nach Fachkräften suchen, wird die PKI, die ohnehin schon eine Nische ist, zu einer „erwünschten“ Qualifikation, nicht zu einer „notwendigen“. Das ändert jedoch nichts an der Tatsache, dass die PKI für den täglichen Betrieb von entscheidender Bedeutung ist und die entsprechende Arbeitsbelastung mit dem Wachstum Ihres Unternehmens wächst. So schwierig es ist, gute Sicherheitskräfte zu finden und einzustellen, so schwierig ist es laut der (ISC)2-Studie auch, sie zu halten.
Wenn Sie die Zertifikatsverwaltung nicht automatisieren und die Arbeitslast und den Zeitaufwand reduzieren, können Sie in Ihrem IT-Büro genauso gut eine Drehtür einbauen. Denn der Hauptgrund, warum Sicherheitsmitarbeiter ein Unternehmen verlassen, sind zu viele langweilige E-Mails und Aufgaben.
Aber es gibt da noch etwas...
Die Kosten für die Verwaltung Ihrer eigenen PKI
Abgesehen von den Problemen mit der zunehmenden Arbeitsbelastung und der Schwierigkeit, das richtige Personal für die Verwaltung des Ganzen zu finden, stellt sich auch die Frage nach den Kosten für die Verwaltung einer eigenen PKI. Aber das ist ein ganz anderes Thema, so dass wir ein ganzes E-Book darüber geschrieben haben. Sehen Sie es sich am besten selbst an.
AEG ist ein System zur Zertifikatautomatisierung
Nachdem wir nun das Problem umrissen haben, sollten wir über die Lösung sprechen: AEG.
Das Auto-Enrollment Gateway wird mit dem Active Directory Ihres Unternehmens verbunden. Dann nutzt es eine Reihe von Protokollen und Integrationen mit verschiedenen Mobile Device Management (MDM)-Plattformen, um Ihr gesamtes Netzwerk zu erreichen und digitale Zertifikate an allen Endpunkten zu verwalten.
Zu den Endpunkten gehören:
- Personen- und Geräteidentitäten
- Sichere E-Mail-Zertifikate (S/MIME)
- Digitales Signieren
- SSL/TLS
- Multi-Faktor-Authentifizierung (MFA)
- Schlüsselkarten
Alles wird über ein benutzerfreundliches Dashboard verwaltet, in dem der gesamte Zertifikatslebenszyklus für jeden einzelnen Endpunkt in Ihrem Netzwerk zentral gesteuert und überwacht werden kann.
AEG wird von Atlas angetrieben, GlobalSigns digitaler Identitätsplattform, mit der Sie private Zertifikate flexibel über eine dedizierte Zwischen-Root ausstellen oder öffentlich vertrauenswürdige digitale Zertifikate ausstellen können. Dies ist einer der Hauptgründe, direkt mit einer vertrauenswürdigen CA zu arbeiten. Mit über 25 Jahren PKI-Erfahrung und als weltweiter Marktführer im Bereich des digitalen Signierens kann GlobalSign diese Zertifikate liefern. Andere Drittanbieter können einen Rahmen für die Verwaltung digitaler Zertifikate anbieten, aber Sie benötigen immer noch eine CA-Pipeline, um sie alle auszustellen, insbesondere SSL/TLS und S/MIME. Das erhöht gewöhnlich die Kosten und die Komplexität.
AEG bietet nicht nur den Rahmen zur Verwaltung Ihres Portfolios digitaler Zertifikate, sondern ist auch diese Pipeline.
Darüber hinaus sind wir stolz darauf, dass wir gerade die Version 7.9 veröffentlicht haben!
Was gibt es Neues bei AEG 7.9?
Eine der größten Herausforderungen für Unternehmen ist heutzutage das Konzept „Bring Your Own Device (BYOD)“. Immer mehr Mitarbeiter greifen mit mobilen Geräten, Tablets, PCs usw. auf Unternehmensnetze zu. Viele Unternehmen haben zwar eine strenge Richtlinie dagegen, aber es wird immer schwieriger, diese einzuhalten.
In AEG 7.9 sind wir nun vollständig in Microsoft InTune integriert, so dass Schlüssel und Zertifikate auch mit mobilen Geräten verwendet werden können. So können Mitarbeiter mit ihren mobilen Geräten sicher auf Netzwerkressourcen zugreifen und verschlüsselte E-Mails lesen, ohne dass weitere Zertifikate hinzugefügt werden müssen. In früheren Versionen hatten wir bereits eine Integration mit JAMF vorgenommen, wodurch AEG digitale Zertifikate vollständig auf jedem mobilen Gerätetyp verwalten konnte, sei es iOS, Android oder Windows.
Darüber hinaus haben wir die Benutzerfreundlichkeit verbessert und den Administratoren einen besseren Überblick über ihre PKI-Implementierung gegeben, indem wir regelmäßig geplante Berichte hinzugefügt haben. Die manuelle Berichterstattung war bereits über das Dashboard möglich. Aber nun können Berichte per Skript erstellt und in regelmäßigen Abständen an die zuständigen Administratoren gesendet werden.
AEG hat die Werkzeuge, um Sie bei der Verwaltung Ihrer PKI zu unterstützen – und die Automatisierung war noch nie so dringend notwendig. Die Automatisierung der PKI spart Unternehmen erhebliche Kosten, reduziert den Arbeitsaufwand und verbessert die Krypto-Agilität sowie die Sicherheitslage. Und das Beste ist, dass Sie mit GlobalSign zusammenarbeiten, einem global führenden PKI-Anbieter, einer öffentlich vertrauenswürdigen CA und einem qualifizierten Vertrauensdiensteanbieter (QTSP).
Noch nicht ganz überzeugt?
Lesen Sie unser E-Book über die versteckten Kosten von AEG.
Weitere Einzelheiten finden Sie in unserem Datenblatt.
Oder kontaktieren Sie uns und sagen Sie uns, was Sie tun müssen, und wir zeigen Ihnen, wie AEG Sie dabei unterstützt.