Zum Inhalt

47-Tage-Zertifikate sind in Planung. Bist du bereit?

Jetzt handeln →

  1. Blogs
    2. Fallstudie

Eine Erfolgsgeschichte darüber, wie wir die Sicherheit einer führenden US-amerikanischen Gesundheitsorganisation mit unserer PKI-Bewertung transformiert haben

Geschrieben vonAditi Goel 07 Minuten
Erfolgsgeschichten-Banner
Inhaltsverzeichnis

Unternehmen

Wir haben gerade eine der umfangreichsten Bewertung der Public-Key-Infrastruktur Projekte mit der führenden Gesundheitsorganisation mit Sitz in Minnesota, einem Branchenführer, beherbergen mehr als 7000 engagierte Fachkräfte, die sich der Entwicklung neuer Standards für Apotheken und der Entwicklung von Behandlungen widmen, um Heilmittel zu finden. Jahrzehnte sind vergangen, und diese Organisation hat sich zu einem vorbildlichen Namen entwickelt, der Komplexitäten vereinfacht und Millionen Menschen weltweit eine außergewöhnliche Plattform für Apothekendienste zu Hause bietet. Mit zunehmender Größe kamen auch Herausforderungen hinzu, insbesondere im Bereich der Verwaltung der Public-Key-Infrastruktur.

Challenges

Im Laufe der Jahre hatte sich ihre PKI ohne einen strukturierten Ansatz zur Implementierung entwickelt Zertifizierungsstellen (CA) und Aktualisierung von Zertifikatsperrlisten. Dieser Ad-hoc-Prozess entwickelte sich weniger zu einem Sicherheitssystem als vielmehr zu einem Flickenteppich, der zwar funktional, aber nicht skalierbar war.

Manuelle Verwaltung der Lebenszyklusprozesse, wie z. B. Ausgabe, Verlängerung und Widerruf Die Verwaltung von Tausenden von Zertifikaten war für die Organisationen schwierig, verzögerte den Betrieb und erhöhte das Risiko von Dienstausfällen durch im System verbliebene abgelaufene Zertifikate. Es entwickelte sich ein klassischer Fall von „Was Sie hierher gebracht hat, wird Sie in Zukunft nicht mehr nützen“, und sie erkannten, dass es Zeit für eine Veränderung war.

Unser Sicherheitsarchitekt brachte es treffend auf den Punkt: „Die PKI-Umgebung des Unternehmens wurde weiterentwickelt, um die unmittelbaren Sicherheitsanforderungen zu erfüllen, doch ohne eine Compliance-orientierte Strategie oder zentrale Aufsicht blieben kritische Lücken, die zu kostspieligen Strafen führen konnten.“ Durch diese Lücken wurden zertifikatsbezogene Risiken nicht erfasst.

Darüber hinaus gab es keine formellen Richtlinien wie Certificate Policy (CP) oder Certificate Practice Statement (CPS) zur Steuerung des PKI-Betriebs. Die privaten Schlüssel der Stammzertifizierungsstelle und der ausstellenden Zertifizierungsstelle wurden lokal in softwarebasierten Lösungen ohne strenge Zugriffskontrollen gespeichert.

In einer hybriden Umgebung ist Konsistenz schwer zu erreichen. Mit Operationen sowohl vor Ort als auch cloud-basierten Plattformen, die Organisation kämpfte mit den Herausforderungen der Verwaltung ständiger kryptographisch Kontrollen und Richtliniendurchsetzung mit unterschiedlichen Sicherheitsanforderungen.

Einer der wichtigsten Stakeholder teilte mit: „Jedes Mal, wenn wir dachten, wir hätten die Sicherheit unter Kontrolle, tauchte ein neuer blinder Fleck auf.“ Der Mangel an Transparenz und operative Herausforderungen, wie das Fehlen eines regelmäßigen Backup-Prozesses für Zertifizierungsstellendatenbanken, setzten sie dem Risiko aus, Data Loss und Zertifikatserkennung fand nie statt, weshalb Wildcard- und selbstsignierte Zertifikate unbemerkt in ihrer Umgebung lagen, was die Wahrscheinlichkeit von Zertifikatsausfällen erhöhte.

Ohne ein gepflegtes Zertifikatsinventar oder einen ordnungsgemäßen Zertifikatsermittlungsprozess Platzhalter und selbstsignierte Zertifikate blieben in der Umgebung verborgen. Solche Zertifikate führten zu blinden Flecken, die zu unbefugtem Zugriff, mangelnder Rechenschaftspflicht und der möglichen Ausnutzung ungenutzter Zertifikate führten.

Der PKI-Umgebung fehlte außerdem die nötige Flexibilität, um sich schnell an zukünftige Anforderungen anzupassen, da sie mit der Abhängigkeit von einer einzigen CA oder einer starren CA-Strategie aufgebaut war, wodurch das Unternehmen letztlich an einen einzigen Anbieter gebunden war und es schwierig wurde, auf neue Sicherheitstrends, regulatorische Änderungen oder Aktualisierungen der kryptografischen Standards zu reagieren, wie etwa den Übergang vom TLS 1.2-Protokoll zum TLS 1.3-Protokoll.

Lösung

Nach eingehender Prüfung verschiedener PKI-Bewertung Plattformen entschied sich das Unternehmen für unseren strukturierten und schrittweisen Ansatz als ideale Lösung zur Bewältigung seiner dringendsten Herausforderungen und erkannte dabei unsere nachgewiesene Erfolgsbilanz bei der Bereitstellung maßgeschneiderter, effizienter und skalierbarer Sicherheits- und Compliance-Dienste an.

Wir haben die Fähigkeit der PKI-Infrastruktur bewertet, Integrationen mit mehreren Zertifizierungsstellen zu unterstützen. Diese Flexibilität würde es dem Unternehmen ermöglichen, verschiedene Anwendungsfälle – von internen Zertifikaten bis hin zu externen Compliance-Anforderungen – zu erfüllen, ohne an einen einzigen Anbieter gebunden zu sein.

Nachdem der Projektumfang klar definiert war, begannen wir mit der Überprüfung der bestehenden Richtlinien und Standards, einschließlich der Richtlinien zur Datenklassifizierung, Zertifikats- und Schlüsselverwaltung. Wir erlangten ein klares Verständnis der betrieblichen Herausforderungen und Sicherheitsanforderungen, was uns bei der Festlegung der Anwendungsfälle half, darunter:

  • Sichern der Client- und Serverkommunikation
  • Aktivieren von Zugriffskontrollprinzipien mit geringsten Berechtigungen
  • Zentralisierte und automatisierte Zertifikats- und Schlüsselverwaltung
  • Implementierung starker und konformer kryptografischer Kontrollen und Standards

Wir führten Workshops mit den ausgewählten Stakeholdern durch, um deren bestehende PKI-Umgebung zu bewerten. Dazu gehörte auch eine detaillierte Lückenanalyse, um den Ist-Zustand der PKI mit dem Soll-Zustand der PKI zu vergleichen.

Die Analyse identifizierte Verbesserungsbereiche in Zertifikatslebenszyklusverwaltung Prozess, Schlüsselverwaltungspraktiken, Zertifikatsrichtlinie und Dokumentation der Zertifikatspraxis.

Diese Evaluierung wurde mithilfe eines benutzerdefinierten PKI-Frameworks durchgeführt, das in Übereinstimmung mit den Best Practices und Compliance-Standards der Branche entwickelt wurde, wie z. B. NIST 2.0 und FIPS 140-2 / 3.

Um Lücken und Verbesserungsbereiche zu identifizieren, diente es als Referenzmodell für die Erstellung eines strategischen Sanierungsfahrplans für eine zukunftsfähige PKI-Umgebung.

Nach der Durchführung der Bewertung haben wir eine maßgeschneiderte Strategie entwickelt, bei der die Einhaltung gesetzlicher Standards wie NIST SP 1800-16 im Vordergrund steht, die Schlüsselgenerierung sichergestellt wird (z. B. durch Verwendung einer Schlüsselbitgröße von 2048 oder mehr) und das Prinzip der Zugriffskontrolle mit geringsten Berechtigungen implementiert wird, um unbefugten Zugriff zu verhindern.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Unser PKI-Bewertungsansatz konzentrierte sich auf die Automatisierung von Zertifikats- und Schlüssellebenszyklus-Managementprozessen, die Reduzierung des manuellen Arbeitsaufwands und die Minimierung des Risikos von Zertifikatsausfällen. So helfen beispielsweise automatisierte Benachrichtigungen bei Zertifikatsablauf, die Beteiligten in Echtzeit zu informieren und so proaktive und automatisierte Verlängerungen zu gewährleisten.

Darüber hinaus empfahlen wir einen automatisierten Backup-Prozess für CA-Datenbanken, um eine Datenwiederherstellung mit verbesserter Transparenz zu gewährleisten. Wir standardisierte PKI-Richtlinien für ein konsistentes Zertifikatsmanagement mit dem Ziel, riskante selbstsignierte und nicht verwaltete Wildcard-Zertifikate auslaufen zu lassen.

Unsere Lückenanalyse betonte auch die Bedeutung einer Zentralisierung des Zertifikatsbestands, um Zertifikate in lokalen und Cloud-Umgebungen verfolgen und überwachen zu können. Das Ziel unseres leitenden Managers war es, eine zentrale Ansicht zu schaffen, die die Verfolgung und Überwachung von Zertifikatsstatus, -besitz und -abhängigkeiten ermöglicht, Schwachstellen beseitigt und die Verantwortlichkeit verbessert.

Auswirkungen

Während des gesamten Projekts konzentrierten wir uns darauf, die Ursachen ihrer Sicherheitsprobleme zu identifizieren und die Lücke zwischen ihrer aktuellen PKI-Umgebung und den langfristigen Sicherheitszielen zu schließen. Unser Ansatz konzentrierte sich auf die Bereitstellung einer Strategie und eines detaillierten Sanierungsplans bzw. Empfehlungen zur Automatisierung CLM Prozesse und integrieren Sie die besten Praktiken in den täglichen Betrieb.

Das Unternehmen konnte seine Sicherheitslage deutlich verbessern, indem es den Zertifikatslebenszyklus von der Ausstellung bis zur Erneuerung sowie die Schlüsselverwaltung automatisierte und so die Abhängigkeit manueller Eingriffe minimierte. Ein bemerkenswertes Ergebnis war die Fähigkeit, Zertifikatserneuerungen aktiv zu verwalten und so Serviceunterbrechungen durch abgelaufene Zertifikate zu vermeiden.

Durch automatisierte Warnmeldungen und einen Zertifikatserneuerungsprozess konnte die Organisation einen kontinuierlichen Betrieb ohne Serviceunterbrechungen erreichen.

Darüber hinaus wurden die privaten Schlüssel der Root- und ausstellenden CA sicher gespeichert und verwaltet, indem die Hardware-Sicherheitsmodul (HSM). Es wurden strenge Zugriffskontrollen mit klar definierten Moralvorstellungen und Verantwortlichkeiten innerhalb der Organisation sichergestellt, um das Vertrauen in den Zertifikatsbetrieb zu gewährleisten.

Als Ergebnis unserer Bewertung entschied sich das Unternehmen für einen passwortlosen Ansatz, um die Sicherheit zu erhöhen und die Benutzerauthentifizierung zu vereinfachen. Zertifikate wurden auf allen Endpunkten bereitgestellt, darunter Laptops, Mobiltelefone, interne Webserver und IoT-Geräte.

Die Organisation etablierte standardisierte und zentralisierte Prozesse für die Verwaltung ihrer PKI. Dazu gehörte auch die Verwaltung, wie Zertifikatsignieranforderungen Es wurden Zertifikate erstellt, Genehmigungen abgewickelt und Zertifikate im Zertifikatsbestand verfolgt und überwacht.

Die Organisation konzentrierte sich auf die Erstellung eines zentralen Zertifikatsverwaltungssystems, das dem Team hilft, sicherzustellen, welche Zertifikate aktiv sind, wem sie gehören und welche sofortige Aufmerksamkeit erfordern.

Indem das Unternehmen die bevorstehenden Ablaufdaten im Auge behält, vermeidet es unerwartete Probleme wie Dienstunterbrechungen.

Fazit

Digitales Vertrauen ist die Grundlage jeder Organisation. Daher ist die effektive Verwaltung einer PKI nicht nur eine Frage des reibungslosen Betriebs, sondern ein strategisches Gebot. Unsere umfassende PKI-Bewertung ermöglichte dem Gesundheitswesen den Übergang von einer fragmentierten zu einer sicheren und skalierbaren PKI.

Der Übergang der Organisation zu standardisierten PKI Die Umgebung hat eine verbesserte Transparenz in ihrer PKI, was ihnen hilft, bevorstehende Zertifikatsabläufe zu bewältigen und kostspielige Ausfälle zu vermeiden. Dieser Ansatz zeigt, wie ein einfaches, gut geplantes System einen großen Unterschied machen und Vertrauen und Sicherheit für die kommenden Jahre gewährleisten kann.

Für die Zukunft plant das Unternehmen, diese Funktionen durch die Automatisierung der Zertifikatsbereitstellung und -verwaltung, die Integration von PKI in bestehende Identitäts- und Zugriffsverwaltungssysteme und die Nutzung von PKI für neue Anwendungsfälle wie die Sicherheit von IoT-Geräten zu erweitern.

Entdecken

Weitere Themen