Für die meisten Menschen ist der Begriff „Verschlüsselung' geht Hand in Hand mit PKI, und das zu Recht. PKI, oder häufiger, SSL / TLS Zertifikate und Schlüssel werden seit über zwei Jahrzehnten eingesetzt und sichern Kommunikationskanäle durch die End-to-End-Verschlüsselung von Daten während der Übertragung. Unternehmen setzen typischerweise x.509-Zertifikate in ihrer gesamten IT-Infrastruktur ein, um ihre eigenen und vor allem die ihrer Kunden zu schützen. Der Wert eines robusten, lecksicheren PKI-Systems ist nicht zu unterschätzen. Schließlich hat die Geschichte gezeigt, dass ein einziges offline gegangenes Zertifikat für ein Unternehmen enorme Kosten verursachen kann. Millionen von Dollar.
Zurück in die Gegenwart – die digitale Transformation ist in vollem Gange, und manuelle Prozesse werden zunehmend automatisiert. Das bedeutet, dass immer mehr Geräte und virtuelle Dienste in Netzwerke integriert werden – Endpunkte, die durch die Installation von Zertifikaten geschützt werden müssen. Wichtiger noch: X.509-Zertifikate sind keine „Fit-and-forget“-Lösung. Sobald ein Zertifikat beispielsweise auf einem Server installiert ist, muss es kontinuierlich auf Probleme überwacht, nach Ablauf seiner Gültigkeit erneuert und durch ein neues ersetzt werden. Hier ist ein kurzer Überblick über die Aufgaben, die ein PKI-Experte bei der Verwaltung der Lebenszyklus eines Zertifikats.
Es ist offensichtlich, dass die Verwaltung von Zertifikaten mit manuellen Prozessen keine einfache Aufgabe ist. Mehrere Teams verfolgen einen manuellen, ticketbasierten Ansatz für Zertifikatsverwaltung, das auf Ad-hoc-Basis arbeitet. Das offensichtliche Problem bei der manuellen Verwaltung ist die Tatsache, dass die Handhabung Tausender von Zertifikaten äußerst fehleranfällig, unzuverlässig und zeitaufwändig sein kann. Es gibt jedoch auch einige versteckte Nachteile:
Ineffiziente Richtlinien und Prüfmechanismen: Da keine detaillierte Kontrolle darüber besteht, wer Zertifikate/Schlüssel ändert oder generiert, ist weder eine zuverlässige Auditverfolgung noch eine einheitliche Richtliniendurchsetzung im gesamten Netzwerk möglich.
Bewölkte Sicht: Zusätzlich zum vorherigen Problem schränken isolierte Prozesse die Transparenz von Vertrauensstrukturen erheblich ein. Dies kann dazu führen, dass zu viele Zertifikate undokumentiert bleiben. Dies erschwert die Suche und Pflege eines Zertifikats, um dessen unerwarteten Ablauf zu verhindern.
Unsichere Speicherung privater Schlüssel: Das Aufbewahren privater Schlüssel an ungesicherten Orten (Klartextdokumente, im Gegensatz zu HSMs) setzt ein Unternehmen dem Risiko von Datendiebstahl oder Datenlecks durch Man-in-the-Middle-Angriffe aus. Auch der menschliche Faktor bei der manuellen Verwaltung stellt einen ständigen Risikofaktor dar.
Diese Nachteile lassen sich in der Regel umgehen, indem von Anfang an strukturierte Zertifikatsverwaltungsprozesse implementiert werden und alle Betriebsteams über ausreichende Transparenz und Kontrolle über ihre PKI verfügen. Automatisieren Sie die manuellen Prozesse, um die Fehlerquote zu minimieren, und Sie verfügen über eine zuverlässige Sicherheitsinfrastruktur für Ihre Verschlüsselungsanforderungen.
Um dies zu erreichen, sollten Sie einige branchenübliche Best Practices befolgen. Die offiziellen Best Practices finden Sie im vom NCCoE veröffentlichten Leitfaden zu den NIST-Empfehlungen für das TLS-Zertifikatsmanagement. Wenn Sie jedoch eine kurze, prägnante Zusammenfassung der de facto vorgeschriebenen Grundsätze für das Management von TLS-Zertifikaten wünschen, finden Sie hier unsere fünf wichtigsten Best Practices für das Zertifikatslebenszyklusmanagement (in beliebiger Reihenfolge):
- Sichtbarkeit erlangen
Stellen Sie sicher, dass Sie stets alle Zertifikate in Ihrem Bestand im Blick haben. Dazu gehört das regelmäßige Scannen des Netzwerks, um CA-ausgestellte Zertifikate und deren Zuordnung zu den Endpunkten, auf denen sie installiert sind. Dies vereinfacht nicht nur zukünftige Zertifikatsvorgänge erheblich, sondern hilft Administratoren auch dabei, verwaiste, abgelaufene oder anderweitig unsichere Zertifikate auszusortieren.
Idealerweise werden Subnetz-Scans durchgeführt, um Zertifikate und Hostnamen zu finden. Achten Sie dabei auf kontrollierte Scans, indem Sie die Subnetzliste stapelweise verarbeiten und zwischen den Scans Ruhephasen einplanen, um eine Netzwerkbelastung zu vermeiden. Tipp: Planen Sie Scans über Nacht oder während Zeiten mit geringem Netzwerkverkehr, um die besten Ergebnisse zu erzielen!
- Bestandsführung
Mit dem Scannen ist es nicht getan! Achten Sie darauf, dass die Scan-Ergebnisse in Ihrem bestehenden Inventar gespeichert oder aktualisiert werden. Die Kategorisierung der gefundenen Zertifikate trägt maßgeblich zur Vereinfachung der Abläufe bei. Sie können Zertifikate beispielsweise danach gruppieren, ob sie in Test- oder Produktionsumgebungen verwendet werden.
Sie können sie auch nach Eigentümerhierarchie gruppieren, um die Nachverfolgung und Eskalation von Warnungen zu vereinfachen. Schließlich ist es unerlässlich, sicherzustellen, dass die Richtlinien gruppenübergreifend einheitlich umgesetzt werden. Doch dazu kommen wir noch.
- Richtlinie erzwingen
Obwohl die vom NIST vorgeschriebenen Unternehmensrichtlinien möglicherweise bereits vorhanden sind, benötigen Sie eine Möglichkeit, diese automatisiert durchzusetzen. Beispielsweise können Sie Erneuerungsmechanismen für Zertifikate definieren, die automatisch erneuert werden, wenn 80 % ihrer Gültigkeitsdauer überschritten sind. Solche Regeldefinitionsfunktionen zur Richtliniendurchsetzung ermöglichen Ihnen eine schnelle Wiederherstellung nach potenziellen Katastrophen.
Zum Beispiel: Wenn Sie Verträge mit Backup-CAs und Mechanismen zur automatischen Implementierung eines Massenaustauschs haben, sichern Sie sich gegen das Risiko einer CA-Kompromittierung ab.
- Private Schlüssel schützen
Unabhängig von der Methode, die zum Speichern privater Schlüssel verwendet wird (HSMs, Software-Tresore, Schlüsselspeicher oder sogar Dateien), sollte Ihre oberste Priorität darin liegen, den menschlichen Faktor aus dem Schlüsselverwaltung Übung. Wenn Sie Einzelpersonen den direkten Zugriff auf private Schlüssel verwehren, eliminieren Sie die Möglichkeit eines Diebstahls und vereinfachen die Suche nach potenziellen Kompromittierungen. Dieser Zustand der automatisierten Schlüsselorchestrierung wird durch Automatisierungs-Workflows erreicht, um Zertifikate und deren Schlüssel an Netzwerkendpunkte zu übertragen. Und wenn der Schlüsselzugriff unbedingt erforderlich ist, muss ein rollenbasierter, privilegierter Ansatz verfolgt werden.
Allerdings haben zusätzliche Sicherheitsebenen noch nie jemandem geschadet. Weisen Sie Ihre Teams an, sich bewusst um die Verschlüsselung ruhender Schlüssel zu bemühen und kritische Daten mithilfe von Instrumenten zu schützen, die den FIPS 140-2-Standard.
- Aktivieren Sie die End-to-End-Überwachung
Trotz vollautomatischer Zertifikatsverwaltung müssen PKI-Infrastrukturen ständig auf Schwachstellen überwacht werden. Sie benötigen ein System, das alle Aspekte Ihrer Zertifikate über mehrere Zertifizierungsstellen und Netzwerksicherheits-/Automatisierungssoftware hinweg berücksichtigt. Dashboards zur Überwachung von Ablauf und Redundanz sind äußerst praktisch, ebenso wie Benachrichtigungen an Zertifikatsinhaber vor Ablauf.
Eine weitere Möglichkeit, den Überwachungs-/Wartungszyklus zu vertiefen, besteht darin, Berichte über den Status von Zertifikatsgruppen zu planen, die nur deren Besitzer erreichen. Dies dient dazu, die Teams über den Status auf dem Laufenden zu halten und Störungen zu vermeiden.
Als Sicherheitsbeauftragter oder Mitglied eines Sec/Net/DevOps-Teams, das mit TLS-Zertifikaten und -Schlüsseln arbeitet, sollten Sie sicherstellen, dass Ihr Unternehmen diese Richtlinien einhält, falls Sie dies nicht bereits getan haben. Wie heißt es so schön: Vorsicht ist besser als Nachsicht – jedes einzelne Zertifikat kann eine Schwachstelle in einem ansonsten soliden Sicherheits-Setup sein. Zertifikatsausfälle zu verhindern ist viel einfacher, als sie im Nachhinein zu beheben. Viel Erfolg!
Wenn Sie Hilfe bei der Einrichtung und Verwaltung Ihrer PKI benötigen, können Sie uns gerne unter folgender Adresse kontaktieren: www.encryptionconsulting.com, und um mehr über die Implementierung vollwertiger, skalierbarer Automatisierungssysteme für den Zertifikatslebenszyklus in Ihrem Unternehmen zu erfahren, besuchen Sie appviewx.com.
