PKI-Grundlagen – Die moderne PKI kennenlernen

Public-Key-Infrastrukturen (PKIs) sind notwendig, um die Identität verschiedener Personen, Geräte und Dienste zu überprüfen. Kurz gesagt: PKIs gehen weit über die Verwendung von Benutzer-IDs und Passwörtern hinaus. Sie nutzen kryptografische Technologien wie digitale Signaturen und digitale Zertifikate, um eindeutige Anmeldeinformationen zu erstellen, die zweifelsfrei und in großem Umfang validiert werden können.
Bevor wir uns eingehend mit den Anforderungen moderner PKI befassen, sollten wir Folgendes verstehen:

Was ist PKI?

PKI steht für Public Key Infrastructure. Public Key Infrastructure ist eine Lösung, bei der anstelle einer E-Mail-ID und eines Passworts Zertifikate zur Authentifizierung verwendet werden. PKI verschlüsselt auch die Kommunikation mit asymmetrische Verschlüsselung, die öffentliche und private Schlüssel verwendet. PKI verwaltet Zertifikate und Schlüssel und schafft eine hochsichere Umgebung, die auch von Benutzern, Anwendungen und anderen Geräten genutzt werden kann. PKI verwendet X.509-Zertifikate und öffentliche Schlüssel, wobei der Schlüssel für die Ende-zu-Ende-verschlüsselte Kommunikation verwendet wird, sodass beide Parteien Vertrauen zueinander aufbauen und ihre Authentizität prüfen können.

Private und öffentliche PKI

Organisationen, die einen Plan für eine Public Key Infrastructure (PKI) entwickeln möchten, stehen häufig vor der Wahl zwischen einer öffentlichen und einer privaten PKI.
Heutzutage verfolgen die meisten Organisationen einen hybriden Ansatz und verwenden eine Mischung aus digitalen Zertifikaten öffentlicher und privater Zertifizierungsstellen. Dadurch ist es deutlich schwieriger geworden, den Überblick über die Anzahl der vorhandenen Zertifikate, ihren Speicherort und ihre Konformität zu behalten. Obwohl die Einhaltung bewährter Methoden bei der Bereitstellung einer Lösung obligatorisch ist, ist dies nahezu unmöglich, wenn man zu sehr damit beschäftigt ist, Anwendungsbesitzer zu kontaktieren, um Zertifikate zu erneuern oder den letzten Ausfall zu beheben.

Früher musste das IT-Team einer Organisation zusammensitzen und die CA Hierarchie (zwei- oder dreistufige Hierarchie) ihrer PKI-Infrastruktur. In der modernen Welt mit so vielen erfolgreich implementierten und verwalteten PKIs ist es einfacher geworden zu verstehen, welche Hierarchie für ein Unternehmen basierend auf seinen Geschäftsanforderungen implementiert werden sollte. Heute sind die meisten PKI-Implementierungen zweistufig. Die dreistufige Architektur kommt nur dann zum Einsatz, wenn es eine spezifische technische/industrielle Anforderung des Unternehmens gibt. Heutzutage ist es gemäß gängiger Praxis auch wichtig, HSMs zu implementieren, um private Schlüssel zu speichern und CAs zu schützen, da Angreifer den Wert privater Schlüssel zum Eindringen in Unternehmensnetzwerke erkannt haben.

In diesem Artikel sprechen wir über die modernen Anforderungen an PKI, z. B. ob Ihre PKI alle Ihre Anforderungen erfüllt, wofür Sie sie verwenden usw.

Modernisieren Sie Ihre PKI

PKI ist eines der wichtigsten Sicherheitstools für Unternehmen. Da die Anwendungsfälle immer zahlreicher werden, ist es wichtig, dass Unternehmen über das richtige Fachwissen verfügen, um die PKI sicher am Laufen zu halten.
Encryption Consulting verfügt über das richtige Fachwissen und unterstützt Kunden bei der Bereitstellung oder Migration von herkömmlicher PKI zu einer vollständig verwalteten PKI oder zu einer hoch skalierbaren PKI-as-a-Service-Plattform in der Cloud.

Ein neuer Cloud-basierter Ansatz für PKI

Die Verschlüsselungsberatung unterstützt den Aufbau und die Verwaltung einer PKI-Infrastruktur in der Cloud entsprechend den Geschäftsanforderungen des Kunden. Bei einem zweistufigen PKI-Modell ist die Stammzertifizierungsstelle offline und wird vor Ort aufbewahrt, während die ausstellende Zertifizierungsstelle in der Cloud residiert. Im unten beschriebenen Ansatz ist die Stammzertifizierungsstelle offline und wird vor Ort aufbewahrt. Es wurden außerdem zwei ausstellende Zertifizierungsstellen eingesetzt, eine vor Ort, die andere in der Cloud. Die lokale Zertifizierungsstelle konzentriert sich auf die Sicherheit von Nicht-Cloud-Ressourcen (wie z. B. Workstation-Authentifizierung usw.), die andere ausstellende Zertifizierungsstelle auf die Cloud-Ressourcen. Schlüssel werden in HSMs gesichert.

Im Gegensatz zu lokalen PKIs handelt es sich bei Cloud-basierten PKIs um extern gehostete PKI-Dienste, die PKI-Funktionen bedarfsgerecht bereitstellen. Der Cloud-Ansatz reduziert den Aufwand für einzelne Organisationen drastisch – finanziell, ressourcen- und zeitmäßig, da keine eigene Infrastruktur aufgebaut werden muss. Der Dienstanbieter übernimmt die gesamte laufende Wartung der PKI und gewährleistet Skalierbarkeit und Verfügbarkeit – für einen reibungslosen und effizienten Service.
Ein weiterer Vorteil ist die Skalierbarkeit, die den wachsenden Anforderungen des Unternehmens gerecht wird. Der Serviceanbieter übernimmt alle zusätzlichen Anforderungen – Installation von Software, Hardware, Backup, Disaster Recovery und anderer Infrastruktur –, die sonst für Besitzer von lokalen PKI-Lösungen zur Belastung werden würden.

www.encryptionconsulting.com/cloud-based-public-key-infrastructure-architecture/

Die Vorteile von PKI-as-a-Service

1. Reduziert Kosten und Komplexität

   Mit PKI-as-a-Service werden eine schnellere Bereitstellung Ihrer PKI-Infrastruktur, weniger Probleme während der Arbeitszeit, geringere Ausgaben für interne PKI sowie regelmäßige PKI-Bewertungen und -Schulungen angeboten.

   Verbessern Sie Ihre Sicherheitslage mit einer vertrauenswürdigen, privat verwurzelten PKI, die nach den Best Practices der Branche bereitgestellt wird.
2. Engagierter Sicherheitsexperte

   Dem Service werden Sicherheitsexperten zugewiesen, die konsistente und flexible Unterstützung bieten, um die Anforderungen und Ansprüche der Kunden zu erfüllen.

   Ein engagierter Sicherheitsexperte sorgt außerdem für weniger Zeitaufwand und Frustration bei PKI-bezogenen Aufgaben wie der CA- und CRL-Wartung.
3. Skalierbarkeit und Flexibilität

   Bietet Beobachtungen und Empfehlungen zu aktuellen und zukünftigen Initiativen, um die gewünschten Fähigkeiten für den zukünftigen Zustand zu erreichen.

   Integrieren Sie Ihre PKI mithilfe von REST-APIs, Plug-In-Integrationen und Standardregistrierungsprotokollen in Geräte und Anwendungen.

Zusätzliche Leistungen

Encryption Consulting kann auch weitere Dienstleistungen im Zusammenhang mit der Root-CA anbieten, wie zum Beispiel:

• Sub-CA-Unterzeichnungen
• Beratung zum Lebenszyklusmanagement von Root-CA- und Sub-CA-Zertifikaten (z. B. Hashing-Algorithmen/kryptografische Algorithmen)
• Richtlinien-/Zertifikatsprofilberatung
• Wurzelpflege
  • Root-Migration/Rollover

Managed PKI von Encryption Consulting

Encryption Consulting LLC (EC) wird die Public Key Infrastructure-Umgebung vollständig auslagern, was bedeutet, dass EC sich um den Aufbau der PKI-Infrastruktur kümmert, um die PKI-Umgebung (vor Ort, PKI in der Cloud, Cloud-basierte hybride PKI-Infrastruktur) Ihres Unternehmens zu leiten und zu verwalten.

Encryption Consulting implementiert und unterstützt Ihre PKI mit einem vollständig entwickelten und getesteten Satz von Verfahren und geprüften Prozessen. Administratorrechte für Ihr Active Directory sind nicht erforderlich, und die Kontrolle über Ihre PKI und die damit verbundenen Geschäftsprozesse bleibt stets bei Ihnen. Aus Sicherheitsgründen werden die CA-Schlüssel außerdem in FIPS140-2 Level 3 HSMs, die entweder in Ihrem sicheren Rechenzentrum oder in unserem Encryption Consulting-Rechenzentrum in Dallas, Texas, gehostet werden.

Fazit

Mit PKI-as-a-Service (Managed PKI) von Encryption Consulting profitieren Sie von allen Vorteilen einer effizienten PKI, ohne den Aufwand und die Kosten für den Betrieb der erforderlichen Soft- und Hardware tragen zu müssen. Ihre Teams behalten die nötige Kontrolle über den täglichen Betrieb, während Backend-Aufgaben an ein vertrauenswürdiges Team von PKI-Experten ausgelagert werden.