GlobalSign Blog

07 jun. 2018

De evolutie van PKI bij Deutsche Post DHL gedurende vijf jaar: van "Wie heeft het nodig?" tot een bedrijfskritische vertrouwensdienst

Onlangs voltooiden we een project voor de architectuur en implementatie van een Public Key Infrastructure (PKI) met disaster recovery (DR) bij Deutsche Post DHL (450.000 werknemers, logistiek) dat na verloop van tijd evolueerde naar de basis van cryptografische en vertrouwensdiensten (beheer van cryptografische keys, cloud- en database-encryptie, PKI, ondertekening van documenten en tijdstempels, meervoudige verificatie en hardwarebeveiliging). In de volgende paragrafen geef ik meer uitleg over het belang van een centrale component voor de implementatie, een platform voor het levenscyclusbeheer van certificaten en illustreren we de evolutie van dergelijke diensten in een bedrijfsomgeving.

De evolutie van de Public Key Infrastructure tijdens de afgelopen vijf jaar

Het verhaal gaat terug tot 2012. Toen werd ik bij Deutsche Post DHL verantwoordelijk voor de PKI-infrastructuur, die al lang bestond voordat ik ermee aan de slag ging. Een "relatief kleine" en "bedrijfskritische" PKI-implementatie bestond toen uit drie certificeringsinstanties (CA's) – een combinatie van openbaar vertrouwde, door GlobalSign ondertekende verlenende CA's en een zelfondertekende persoonlijke CA, geen clustering of hoge beschikbaarheid, twee infrastructuurintegraties, beheerd door een intern ontwikkeld platform voor het levenscyclusbeheer van certificaten dat verantwoordelijk was voor ongeveer 300.000 digitale certificaten (SSL, S/MIME en VPN-authenticatie). Het volgende schema geeft de toestand van de PKI-infrastructuur in 2012 weer.

PKI 2012

Als enige verantwoordelijke werd ik snel nieuwsgierig naar het potentieel van de infrastructuur en was ik verrast over hoe weinig het bedrijf deze had benut. Of dat nu kwam doordat de implementatie voldeed aan de noden van het bedrijf op dat moment of doordat er gewoon geen aandacht aan was besteed, ik besloot om daar verandering in te brengen. De doelstelling was om van een kleine en "bedrijfskritische" infrastructuur een rendabele bedrijfskritische dienst te maken met mogelijkheden om nieuwe klanten en ondernemingskansen aan te trekken, een basis voor een cluster van diensten waarmee het bedrijf zijn voordeel zou kunnen doen, zelfs lang na mijn vertrek. De grootste uitdaging was om hier voldoende aandacht voor te krijgen. Mensen vroegen me: "waarom doe je dit?", "wie heeft dit nodig?" en "welk nut heeft dit?", maar ondanks dat alles werden doorzettingsvermogen, passie en visie de daaropvolgende jaren mijn metgezellen.

Tijdens mijn jaren bij Deutsche Post DHL kostte het mij veel geduld, verbale communicatie en tijd om de directie en het senior management te overtuigen van het potentieel van PKI, zijn talloze toepassingen en toegevoegde waarde. Bovendien leerden we dat een praktische demonstratie oneindig veel doeltreffender is dan levendige marketing.

We hebben vaak geprobeerd om het management te overtuigen van het belang van beveiliging, digitaal vertrouwen en reputatie, om uit te leggen aan beveiligingsteams waarom het belangrijk is om de levenscyclus van certificaten centraal te beheren, waarom het belangrijk is dat cryptografische keys beveiligd en beheerd worden,

Een cryptografische key is even waardevol als de totale waarde van de assets die met de encryptie beveiligd worden.

wat de impact op het bedrijf is van identiteitsdiefstal en man-in-the-middle-aanvallen en hoe de aantasting van reputatie en digitaal vertrouwen op lange termijn veel erger is dan financieel verlies, maar uiteindelijk zijn woorden niets waard en zegt een beeld meer dan duizend woorden. Voor een investering in beveiliging wordt al te vaak de volgende vergelijking gebruikt:

Winst = Return on investment – investering

Als Winst > Investering, is het goed; als Winst >> Investering is het heel goed. Als u een provider van PKI-services bent, zoals GlobalSign, kunt u heel eenvoudig uw winst berekenen. Als u echter een gebruiker van PKI-services bent, wordt het schatten van de financiële return on investment door het gebruik van bijvoorbeeld SSL – digitaal vertrouwen, beveiliging – een onbekende variabele of op zijn minst niet gemakkelijk meetbaar en dat is het knelpunt.

Wanneer we een investering aan het management probeerden te rechtvaardigen, kwamen we nergens, "...jullie zijn niet de eersten die ons vertellen dat deze nieuwe oplossing of dit nieuwe product beter en veiliger is; we gebruiken onze huidige oplossing al vele jaren en we zien geen toegevoegde waarde in deze investering...". De meest effectieve methode bleek een demonstratie te zijn, niet meer dan dat.

Zodra we hen toonden wat er gebeurt wanneer de website van een bedrijf een zwakke SSL-configuratie met een verlopen of ingetrokken certificaat heeft en gebruikers problemen ondervinden met fout- of beveiligingsmeldingen in plaats van probleemloos inhoud te kunnen downloaden, in combinatie met meer uitleg over de gevolgen van een gemanipuleerde cryptografische key, werd het veel eenvoudiger om het management te overtuigen van de risico's, de oplossingen en de toegevoegde waarde, en zo de broodnodige investeringen te laten goedkeuren. Het bovenstaande bepleit geen moedwillige vernietiging van een productieomgeving, maar eerder hoe je een technologische demonstratie kunt gebruiken om begrip te creëren in een gecontroleerde omgeving voor “wat zou er gebeuren als … en hoe kunnen we de risico's minimaliseren”.

Een demonstratie is veel krachtiger dan mondelinge uitleg; niemand kan aangetoonde feiten weerleggen.

Tegen 2014 was Deutsche Post DHL voldoende vertrouwd met PKI-services en hun impact op de dagelijkse activiteiten. Het thema digitale certificaten en PKI kreeg een plaats in ieders agenda. Vanwege de bedrijfskritische aard van de infrastructuur en de groeiende vraag naar PKI-services, werd het bedrijf zich bewust van het belang van redundantie om de continuïteit van het bedrijf te garanderen en van API-automatisering om aan de groeiende vraag te voldoen.

Op dat moment werd het PKI-team uitgebreid met één persoon en startte het PKI DR-project. Hoewel de doelstelling van 2012 dezelfde bleef, veranderde de uitdaging in het implementeren van een nieuwe generatie PKI, met redundantie, automatisering en innovatie als belangrijkste drijfveren.

Voordat mijn collega en ik Deutsche Post DHL verlieten in januari 2017, waren er twee belangrijke succesverhalen te vertellen. Het eerste was dat de mensen die me jaren eerder vroegen "Waarom doe je dit?", "Wie heeft dit nodig?" en "Welk nut heeft dit", me plots begonnen te vragen "Hoe heb je dit gerealiseerd?". Het tweede was dat de infrastructuur veel groter was geworden dan oorspronkelijk de bedoeling was – PKI DR – en was uitgegroeid tot wat ik achteraf een afdeling cryptografische en vertrouwensservices noem, bestaande uit:

  • Zes geclusterde CA's - een combinatie van openbaar vertrouwde, door GlobalSign ondertekende verlenende CA's, zelfondertekende persoonlijke CA's en een Managed PKI-platform van GlobalSign,
  • Gemalto HSM – beveiligingsvoorzieningen voor hardware om cryptografische keys voor ondertekening van de CA's veilig te bewaren,
  • 4.000.000 beheerde certificaten (SSL, S/MIME, mobiliteit en IoT, meervoudige verificatie, ondertekening van documenten, machinecertificaten [inclusief TPM-beveiliging voor hoogwaardige systemen]) met verschillende infrastructuurintegraties,
  • en nog veel meer...

PKI 2017

Klik op de afbeelding om deze op volledige grootte te zien.

De opportuniteiten nemen toe door ze te onderzoeken: de nood aan levenscyclusbeheer van certificaten en automatisering

Op Wikipedia staat:

Een public key infrastructure (PKI) is een systeem waarmee uitgifte en beheer van digitale certificaten kan worden gerealiseerd.

Dit is helemaal juist, maar er zijn twee belangrijke aspecten die van groot belang zijn. Het eerste is het veilige beheer van private keys en hun levenscyclus:

  • "Waar worden de keys gegenereerd en opgeslagen?"
  • "Wie heeft toegang tot de keys?"
  • "Hoe worden de keys gearchiveerd en verwijderd?"

Het tweede is het beheer van de levenscyclus van certificaten:

  • "Hoe worden de Certificate Signing Requests gegenereerd?"
  • "Hoe worden certificaten geïnstalleerd?"
  • "Hoe wordt de geldigheid van certificaten gecontroleerd?"
  • "Hoe worden de certificaten verlengd?"
  • "Verloopt het registratieproces van certificaten conform?"

Wij zijn van mening dat het beheer van de private keys en de levenscyclus van certificaten zeer belangrijk zijn en vaak over het hoofd worden gezien bij een PKI-implementatie.

Het platform voor het levenscyclusbeheer van certificaten vormt de schakel tussen de clientzijde van PKI en de serverzijde van PKI, evenals een toegangspoort waardoor gebruikers, beheerders, klanten en bedrijven de PKI zien. Het is ook de enige plaats waar de supportteams de achterliggende processen centraal kunnen beheren, en tegelijk automatisering mogelijk maken met behulp van interessante API-integraties om nieuwe bedrijfsopportuniteiten aan te trekken en de dagelijkse PKI-activiteiten veel efficiënter te maken.

Door de aard en gevoeligheid van de PKI-infrastructuur, gekoppeld aan de strenge Duitse wetgeving en intern veiligheidsbeleid, was een platform voor infrastructuurbeheer van een externe leverancier geen optie. We overwogen een aantal lokale oplossingen en de voor- en nadelen van elke oplossing met betrekking tot de omgeving waarin we werkten en kozen het CMS van CSS.

De homogene aard van de infrastructuur en het immense volume van infrastructuurapparaten, mobiele apparaten, gebruikers, SSL-eindpunten en potentiële integraties vroegen om automatisering. De implementatie van gecentraliseerd levenscyclusbeheer van certificaten zorgde ervoor dat we op een elegante manier een evenwicht konden bieden tussen de implementatie van nieuwe services en de mogelijkheid om deze te ondersteunen. Hieruit vloeiden een aantal andere projecten voort, waaronder,

  • Mobiliteit en het internet der dingen.
  • SSL-automatisering.

De volgende twee voorbeelden zijn twee van de vele PKI DR-integraties bij Deutsche Post DHL, waarbij het levenscyclusbeheer van certificaten een centrale rol speelde vanwege de grote diversiteit en het volume van de betrokken eindpunten. We hebben het niet over hoe we dit realiseerden, maar over de uitdagingen waarmee we geconfronteerd werden en waarom het beheer van de levenscyclus van de certificaten de beste keuze was.

Mobiliteit en het internet der dingen

Voor mobiliteit en het internet der dingen was de grootste uitdaging het op een veilige manier genereren, opslaan, verwijderen en registreren van cryptografisch materiaal op het apparaat. Bovendien maakten het volume en de diversiteit van de mobiele PKI-implementatie,

  • Meer dan 20.000 mobiele apparaten,
  • Apple iOS, Android, Windows, BlackBerry; zowel bestaande als nieuwe mobiele apparaten,
  • Verschillende cryptografische parameters (handtekeningalgoritmen, certificaatdoelstellingen, vertrouwensniveaus, geldigheid),
  • Verschillende conformiteitsvereisten en apparaatcategorieën (BYOD, COPE),
  • Meerdere beheerplatformen voor mobiele apparaten,
  • Infrastructuurintegraties.

Het nog moeilijker om een redelijke mate van controle te krijgen over de levenscyclus van certificaten uitgerold op de mobiele apparaten.

  • Een eenvoudige mobiele PKI-configuratie bestaat uit een mobiel apparaat, een MDM-platform (Mobile Device Management) en PKI, maar er zijn meerdere valkuilen.
  • Mobiele apparaten gebruiken geen hardwarebeveiliging om private keys te beveiligen en de huidige softwarebesturingselementen bieden amper beveiliging.
  • Mobile Device Management-platformen maken gebruik van een SCEP-protocol, dat oorspronkelijk ontwikkeld werd voor mobiele apparaten en daardoor geen meetbare beveiligingsmaatregelen bevat.
  • Geen enkel Mobile Device Management-platform ondersteunt elk mobiel besturingssysteem en daardoor zijn het afdwingbeleid en de "beveiligingsmaatregelen" inconsistent.
  • De PKI in de wereld van mobiele apparaten is zeker waardevol, maar tenzij eindpuntbeveiliging en antimalwaredetectie worden geïmplementeerd en streng worden afgedwongen, is de PKI het minste van uw problemen.

Er is ook een verschil tussen wat gebruikers willen (BYOD) en wat een bedrijf wil (COPE).

Vanuit het standpunt van een gebruiker (BYOD):

  • Meerdere mobiele apparaten; verschillende besturingssystemen, doorgaans Android en iOS.
  • Bedrijfsinstellingen afdwingen op apparaten die geen eigendom zijn van het bedrijf is een juridisch mijnenveld.
  • Certificaten registreren via "quarantine" WiFi, externe VPN, handmatige .PFX-registratie.
  • Kortlopende certificaten; gebruikerscertificaten.

Vanuit het standpunt van een bedrijf (COPE):

  • Een of twee mobiele apparaten, doorgaans BlackBerry, iOS of Windows Phone.
  • Afgedwongen bedrijfsinstellingen; toegestane toepassingen via Mobile Device Management.
  • Vooraf geregistreerde certificaten; apparaatcertificaten + gebruikerscertificaten.

Er zijn veel inspanningen nodig om de situatie te verbeteren, een vervanger voor SCEP komt eraan - EST en Metrarc voor innovatie in de beveiliging van cryptografische keys.

Een mobiele PKI-implementatie van deze schaal is absoluut geen sinecure en vereist een constante, strenge controle bij het integreren en beheren van mobiele apparaten, of het nu BYOD of COPE is.

SSL-automatisering

SSL-automatisering was een belangrijke stap bij het converteren van een handmatig proces van SSL-certificaten installeren en SSL-eindpunten configureren naar een semiautomatisch en gestandaardiseerd proces. Door een mengeling van verouderde en moderne systemen konden we niet één configuratieprofiel implementeren omdat dit tot problemen met achterwaartse compatibiliteit zou leiden. Zelfs met semiautomatische instellingen was de automatisering echter efficiënt genoeg om de risico's aanzienlijk te beperken en kosten te besparen. Een generische configuratie zou de volgende instellingen bevatten en de volgende operationele taken uitvoeren:

  • coderingssuites en ondersteunde SSL/TLS-versie(s),
  • configuratie van SSL-sessies of TLS-tickets, heronderhandelingsinstellingen;
  • HSTS of HPKP en OCSP stapling,
  • SSL-certificaat en optioneel een certificaatketen,
  • de geldigheid van het SSL-eindpunt controleren en waarschuwen indien nodig,
  • verlengen met een nieuwe key of een bestaande key (automatisch of handmatig).

Met 50 SSL-eindpunten is dat geen probleem en kan dat handmatig gebeuren, maar in een omgeving met,

  • meer dan 100.000 SSL-eindpunten bestaande uit een mengeling van verouderde en moderne systemen,
  • verschillende infrastructuurintegraties (F5, Citrix, Juniper, Cisco, Bluecoat, Apache, Windows, Linux),

wordt een handmatige aanpak inefficiënt en risicovol omdat mensen fouten kunnen maken. Downtime is vooral schadelijk voor bedrijfskritische financiële SSL-toepassingen waarbij elke minuut downtime tot een aanzienlijk verlies leidt. Als puntje bij paaltje komt is eigenlijk alle downtime "kritisch"; het hangt ervan af wie er in uw nek ademt.

Door de recente uitbraak van SSL-kwetsbaarheden (bv. Heartbleed, BEAST, BREACH, CRIME, SSL-heronderhandeling, zwakke keys en hashing algoritmes, onveilige SSL/TLS stacks), wordt er steeds meer aandacht besteed aan beveiligingsbeoordelingen van bestaande SSL-implementaties, hardwarebeveiliging, de ontwikkeling van TLS 1.3 en mensen bewustmaken van de gevolgen van identiteitsdiefstal en man-in-the-middle-aanvallen. Dit is echter allemaal voor niets, tenzij bedrijven leren dat certificaten meer zijn dan bestanden die ergens op een server zijn opgeslagen, maar middelen zijn die digitaal vertrouwen, reputatie en beveiliging beschermen, waarop we elke dag vertrouwen, zowel in de digitale als in de echte wereld.

Kortom, de toegevoegde waarde het van levenscyclusbeheer van certificaten is:

  • Een centrale plaats om de levenscyclus van digitale certificaten te beheren,
  • Beter zicht op de Public Key Infrastructure voor de supportteams,
  • Rapporteringsmogelijkheden voor het bedrijf en derden (indien van toepassing),
  • Strengere controle van conformiteit,
  • Automatisering via API-integratie met beveiligingsinfrastructuurservices en beheerde platformen,
  • Integratie met workflows van ticketingsystemen (bv. Service Now).

Conclusie

Wanneer een bedrijf groeit, neemt ook de vraag naar PKI en digitale certificaten toe. Het is soms moeilijk om de betekenis van abstracte definities zoals authenticatie, integriteit, encryptie, digitaal vertrouwen en reputatie te vertalen naar het bedrijf omdat de termen zelf niet naar iets concreets verwijzen. Ze worden echter wel concreet wanneer gegevenslekken ontstaan en daarom is het belangrijk dat bedrijven hun toegevoegde waarde vooraf begrijpen.

En omdat sneller, beter, goedkoper, veiliger, gebruiksvriendelijker, meer klantgericht, geen downtime, geen impact – hoewel ze elkaar soms uitsluiten – belangrijk zijn voor bedrijven, zou het levenscyclusbeheer van certificaten een verplicht onderdeel moeten zijn van een grootschalige PKI-implementatie, omdat het supportteam dit kan ondersteunen en omdat het bedrijf zo controle heeft over een cruciale infrastructuurservice van het bedrijf. Uiteindelijk staat of valt alles met de volharding, passie en visie van één man of vrouw met een idee.

Over de auteur

Lukáš is een voormalig Security Engineer verantwoordelijk voor cryptografische services en de Public Key Infrastructure bij Deutsche Post DHL. Hij is medeoprichter van PKI TECHNOLOGY, waar hij gespecialiseerd is in cryptografische technologieën zoals cryptomunten en blockchain, PKI, het beheer van cryptografische keys en authenticatie.

Hij heeft ook interesse in reverse engineering, de beveiliging van besturingssystemen en digitaal forensisch onderzoek, en hij draagt bij aan cyberbeveiliging door op conferenties te spreken en artikelen te publiceren.

Verbinden op LinkedInVerbinden op Twitter.

Bio van PKI TECHNOLOGY

pki technology

PKI TECHNOLOGY werd opgericht in 2016 door voormalige werknemers van Deutsche Post DHL en is gespecialiseerd in cryptografische services, virtualisatie en infrastructuurbeveiliging.

Opmerking: Dit blogartikel werd geschreven door een externe medewerker om onze lezers een verscheidener aanbod te geven. De standpunten uiteengezet in dit artikel van een externe medewerker zijn enkel die van de medewerker en komen niet noodzakelijk overeen met die van GlobalSign.

Share this Post