Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Cloud-Schlüsselverwaltung

Cloudbasierte PKI – GCP, AWS und Azure

Geschrieben vonParnashree Saha 7 Minuten
Bei der Public Key Infrastructure (PKI) geht es hauptsächlich um die Verwaltung sicherer digitaler Identitäten, die den Schutz von Daten und die Kenntnis der Identität des Subjekts (ein Subjekt kann beispielsweise ein Computer, eine Person, ein Router oder ein Dienst sein) beim Informationsaustausch über nicht vertrauenswürdige Netzwerke ermöglichen. PKI ist heute für die meisten Unternehmen und ihre Anwendungen unverzichtbar.
Inhaltsverzeichnis

Public-Key-Infrastruktur (PKI) Bei PKI geht es hauptsächlich um die Verwaltung sicherer digitaler Identitäten, die den Schutz von Daten ermöglichen und die Identität des Subjekts (ein Subjekt kann alles sein, z. B. ein Computer, eine Person, ein Router oder ein Dienst) beim Austausch von Informationen über nicht vertrauenswürdige Netzwerke ermitteln. PKI ist heute für die meisten Unternehmen und ihre Anwendungen unverzichtbar.

Da die Nutzung verschiedener Cloud-Modelle (öffentlich, privat und hybrid) in verschiedenen Branchen zunimmt, erfreut sich das Schlagwort „Cloud“ eines neuen Höhepunkts. Kunden haben jedoch weiterhin Sicherheitsbedenken und stellen häufig folgende Frage:
„Wie kann ich der Cloud vertrauen?“ Die einfachste Antwort auf diese Frage ist: „Vertrauen rund um die Cloud aufbauen“, aber wie? Wir werden einige wunderbare PKI-Konzepte diskutieren, die bei richtiger Planung und Implementierung eine gute Lösung sein können.
um das Vertrauen der Kunden in eine Cloud aufzubauen. Bevor wir im Detail über Cloud-basierte PKI-Architekturmodelle sprechen, wollen wir einige Grundlagen auffrischen.

Was ist eine Public Key Infrastructure (PKI)?

Public Key Infrastructure kombiniert verschiedene technologische Komponenten zur Authentifizierung von Benutzern und Geräten innerhalb eines digitalen Ökosystems. Die Hauptziele einer PKI sind Vertraulichkeit und Authentifizierung, d. h. die Ermöglichung sehr privater Gespräche über alle
Plattform, während einzelne Identitäten zur Authentifizierung verfügbar bleiben. Kryptosysteme verwenden mathematische Funktionen oder Programme/Protokolle zum Ver- und Entschlüsseln von Nachrichten. Jeder Sicherheitsprozess, jede Sicherheitsebene oder jede Software muss die CIA-Triade implementieren und abdecken.

  • Vertraulichkeit: Bezieht sich auf den Prozess, der sicherstellt, dass zwischen zwei Parteien gesendete Informationen nur zwischen ihnen vertraulich bleiben und von niemand anderem eingesehen oder weitergegeben werden.
  • Integrität: Bezieht sich auf den Prozess, der sicherstellt, dass die Integrität der Nachricht während der Übertragung erhalten bleibt, d. h. der Inhalt der Nachricht darf nicht verändert werden. Die Integration der Daten wird durch Hashing gesichert.
  • Verfügbarkeit: Verfügbarkeit ist die letzte Komponente der CIA-Triade und bezieht sich auf die tatsächliche Verfügbarkeit Ihrer Daten. Authentifizierungsmechanismen, Zugriffskanäle und Systeme müssen für die zu schützenden Informationen einwandfrei funktionieren und sicherstellen, dass diese bei Bedarf verfügbar sind.

Daneben gibt es einige wichtige Parameter, die im Folgenden beschrieben werden:

  • Authentifizierung: Der Prozess der Bestätigung der Identität einer Person mit den angegebenen Parametern wie Benutzername und Passwort. PKI bietet dies durch digitale Zertifikate.
  • Genehmigung: Der Vorgang, der bestätigten Identität basierend auf ihren Berechtigungen Zugriff auf eine Ressource zu gewähren.
  • Nicht-Zurückweisung: Ein Prozess, der sicherstellt, dass nur der beabsichtigte Endpunkt die Nachricht gesendet hat und diese später nicht abstreiten kann. PKI bietet Nichtabstreitbarkeit durch digitale Signatur.

Herausforderungen bei der Einführung eines Cloud-basierten PKI-Modells

Je nach Branchen- und Geschäftstrends ergeben sich im Bereich PKI verschiedene Herausforderungen. Hier werden einige der häufigsten Herausforderungen erläutert.

  • Mangelndes Verständnis der PKI-Konzepte und Designaspekte. Auch die Erfüllung von Compliance-Anforderungen wie NIST-800-57 (gibt Empfehlungen für kryptografische Schlüsselverwaltung) nach der Bereitstellung ist wichtig.
  • Ignorieren der Bedeutung von HSMs . Wenn die Verwendung von HSMs ignoriert wird, müssen Sie damit rechnen, dass Ihre PKI nicht FIPS-140 Level 3-kompatibel ist.
  • Cloud-Anbieter kennen und verstehen (AWS, Azure, GCP usw.) Sie müssen sich darum kümmern, welcher Cloud-Anbieter alle Anforderungen Ihres Unternehmens erfüllen kann.
  • Integration in Ihre vorhandene PKI-Infrastruktur. Die Auswahl des richtigen Modells für Ihr Unternehmen ist ein Muss.
  • Die Wahl der richtigen Tools und Prozesse für Ihre Zertifikatslebenszyklusverwaltung.

Maßgeschneiderte Cloud-Schlüsselverwaltungsdienste

Erhalten Sie flexible und anpassbare Beratungsdienste, die auf Ihre Cloud-Anforderungen abgestimmt sind.

Mehr erfahren

Überlegungen zu Cloud-basierter PKI

Im Gegensatz zu lokalen PKIs handelt es sich bei Cloud-basierten PKIs um extern gehostete PKI-Dienste, die PKI-Funktionen auf Abruf bereitstellen. Der Cloud-basierte Ansatz reduziert den Aufwand für einzelne Organisationen drastisch – finanziell, ressourcenmäßig und zeitlich, da die Organisation keine eigene Infrastruktur aufbauen muss.

Der Service-Provider übernimmt die gesamte laufende Wartung der PKI und gewährleistet Skalierbarkeit und Verfügbarkeit – für einen reibungslosen und effizienten Service. Die Skalierbarkeit, die den wachsenden Anforderungen des Unternehmens gerecht wird, ist ein weiterer Vorteil. Der Service-Provider übernimmt alle zusätzlichen Anforderungen – Installation von Software, Hardware, Backup, Disaster Recovery und anderer Infrastruktur – die sonst
eine Belastung für Besitzer von lokalen PKI-Lösungen.

Optionen für Cloud-basierte PKI-Modelle

PKI (Public Key Infrastructure) kann auf vielfältige Weise zum Nutzen des Unternehmens eingesetzt werden. Bei jeder Cloud-basierten PKI-Option ist Datensicherheit von größter Bedeutung, eine einwandfrei funktionierende PKI ist ein Muss. Hier sind die folgenden Optionen für Cloud-basierte PKI.

  • Einfaches Modell
  • Zweistufiges Hybridmodell
  • Drei-Ebenen-Modell
  • Dreistufiges Hybridmodell

Einfaches Modell

Dies ist das einfachste Modell für die Bereitstellung einer Cloud-basierten PKI und kann für kleine Geschäftsmodelle nützlich sein. Bei diesem Ansatz Root CA wird vor Ort und offline auf die gleiche Weise wie bei der traditionellen PKI platziert. Die ausstellende CA wird in der Cloud gespeichert und fungiert
als primäre Unternehmenszertifizierungsstelle, die Zertifikate an die Endteilnehmer ausstellt. Dabei nutzen wir die Cloud-Anbieter, um die Verwaltung und Verfügbarkeit der virtuellen Maschinen und Zertifizierungsstellen sicherzustellen.

Beispielsweise: Wenn sich Ihre ausstellende Zertifizierungsstelle auf AWS befindet Zertifikatsverwaltung private CA (ACM PCA), dann werden zum Speichern der privaten Schlüssel AWS-Cloud-HSMs verwendet.

Einfaches Modell

Anmerkungen: Im obigen Modell liegt die Sicherheit der privaten Schlüssel für die ausstellende Zertifizierungsstelle vollständig bei den Cloud-Anbietern, da Sie Cloud-HSMs verwenden.

Zweistufiges Hybridmodell

In diesem Architekturmodell erweitern wir das einfache Modell für mehr Sicherheit. Die Stammzertifizierungsstelle wird gehalten vor Ort und offline. Hier haben wir zwei ausstellende CAs, man wird gehalten vor Ort, und ein weiteres wird auf dem Wolke, und beide sind online.Wenn Sie das vorherige Modell sehen, wird es Probleme bei der Adressierung der Geräte vor Ort geben. In diesem Modell erreichen wir jedoch die Hybridoption, da wir beide Ressourcen (vor Ort und in der Cloud) ansprechen.

Die Cloud Issuing CA konzentriert sich auf die Dinge, die außerhalb des lokalen Bereichs ausgestellt werden müssen und verfügbar sein müssen, während sich die On-Premise Issuing CA auf die Sicherheit von Nicht-Cloud-Ressourcen konzentriert, z. B. Workstation-Authentifizierung, Domänenzertifikate usw.
Auch die anderen PKI-Komponenten wie CDP, AIA und OCSP können in einem hochverfügbaren Zustand in der Cloud platziert werden. Auf diese Weise können die Cloud-Anbieter für Widerrufsinformationen genutzt werden. Bei diesem Modell werden die Signaturschlüssel sowohl durch lokale als auch durch Cloud-HSMs geschützt.

Zweistufiges Hybridmodell

Drei-Ebenen-Modell

In diesem Modell ist die Root-CA vor Ort und offline. In der Hierarchie wird eine Policy-CA oder Intermediate-CA hinzugefügt (offline und sicher), in der Sie explizit Ausgabe- und Anwendungsrichtlinien definieren können. Die Policy-CA entscheidet, welche Richtlinien
auszustellen ist und wie es in einer ausstellenden Zertifizierungsstelle ausgestellt wird. Wenn Sie die Ausstellung Ihrer Zertifikate streng kontrollieren und gleichzeitig Cloud-Anbieter nutzen möchten, ist die Platzierung der Richtlinien-Zertifizierungsstelle vor Ort und der ausstellenden Zertifizierungsstelle in der Cloud die richtige Anwendung dieses Modells.

Drei-Ebenen-Modell

Allerdings kann die ausstellende Zertifizierungsstelle in diesem Modell keine Zertifikate für andere Zwecke ausstellen als die, die in der Richtlinien-Zertifizierungsstelle ausdrücklich genannt sind.

Dreistufiges Hybridmodell

Dieses Modell ähnelt stark der vorherigen dreistufigen Option. Die Stammzertifizierungsstelle und die Richtlinienzertifizierungsstelle werden vor Ort und offline verwaltet. Es gibt zwei ausstellende Zertifizierungsstellen, eine vor Ort und eine in der Cloud, um unterschiedliche Anwendungsfälle abzudecken. Die expliziten Richtlinien werden erwähnt
In der Richtlinie stellen die CAs und ausstellenden CAs Zertifikate entsprechend aus. In diesem Modell werden HSMs sowohl vor Ort (für die lokale ausstellende CA) als auch in der Cloud (für die Cloud-ausstellende CA) verwendet, um die Signaturschlüssel zu speichern. Wenn Sie jedoch ein lokales HSM für Ihre Cloud-ausstellende CA zum Speichern von Schlüsseln verwenden möchten, können Sie dies tun, indem Sie Ihre Microsoft CA auf der AWS EC2-Instanz platzieren.

Dreistufiges Hybridmodell

Die Kosten einer Cloud-basierten PKI

Cloud-basierte PKI stellt eine geringere finanzielle Belastung für die Organisation dar als
On-Premises-PKI. Während bei On-Premises-PKI sowohl versteckte als auch herkömmliche Kosten anfallen, fällt für Cloud-basierte PKI-Dienste nur eine einzige monatliche Gebühr an – so werden alle ausgehenden PKI-Kosten abgedeckt.
sind festgelegt. Die Kosten für eine lokale PKI betragen für Unternehmen etwa 305,000 US-Dollar mehr als für den Cloud-basierten Managed PKI-Dienst.

Fazit

Cloud-basiert PKI-Dienste Unternehmen können die hohen Kosten für die PKI-Bereitstellung (Infrastruktur und Personalschulung) reduzieren. Cloudbasierte PKI-Dienste sind eine kostengünstige Lösung für alle kritischen Geschäftstransaktionen. Unternehmen müssen sich nicht mehr zwischen teurer Sicherheit und einem kostspieligen Sicherheitsverstoß entscheiden.

Entdecken Sie unsere

Verwandte Blogs

Microsoft Azure ist einer der drei größten Cloud-Service-Anbieter, die heute von Unternehmen genutzt werden. Die beiden anderen, die hauptsächlich von Unternehmen genutzt werden, sind Amazon Web Services (AWS) und Google Cloud Platform (GCP). Angesichts der aktuellen Lage verlagern viele Unternehmen ihre Dienste auf eine teilweise oder vollständig Cloud-basierte Plattform wie Azure oder AWS.

Wie können Sie mit Microsoft Azure die Produktivität Ihrer Organisationen steigern?

2. Februar 2022
Einführung in das Krypto-Shreddern

Machen Sie sich mit dem neuen Konzept des Crypto-Shredding vertraut

August 20, 2021
Unterschiede zwischen AWS KMS Azure Key Vault und GCP KMS

AWS KMS vs. Azure Key Vault vs. GCP KMS

Juli 23, 2021

Entdecken

Weitere Themen