Alles wat u moet weten over PKI-as-a-Service (PKIaaS)

PKI-as-a-service omvat het inzetten en beheren van de middelen van een organisatie Publieke Sleutel Infrastructuur (PKI) op een cloudgebaseerd platform. Deze service verzorgt de volledige PKI-levenscyclus, van het opzetten van een Certificate Authority (CA) voor het uitgeven, beheren en intrekken van eindentiteitscertificaten voor de apparaten of domeinen van gebruikers.

Functies zoals betere flexibiliteit, geautomatiseerde procedures en lagere overheadkosten maken het voor uw organisatie eenvoudig om sterke authenticatie in te stellen, data encryptieen integriteitscontrole over haar digitale activa en om gevoelige gegevens te beveiligen.

Laten we het belang van PKI-as-a-Service eens bekijken, rekening houdend met een scenario waarin uw organisatie, op kleine of grote schaal, gevoelige gegevens verwerkt, zoals PII (Persoonlijk Identificeerbare Informatie, Persoonlijke Gezondheidsinformatie), PCI (Persoonlijke Kaartgegevens), om ervoor te zorgen dat de gegevens beschermd zijn, moet de organisatie het volgende garanderen:

1. De gegevens die onderweg zijn, blijven ongewijzigd in het netwerk van de organisatie en creëren een veilige verbinding om de identiteit van de gebruiker te beschermen.
2. Een online webservercertificaat (bijvoorbeeld SSL / TLS certificaat) is vereist omdat de organisatie apparaten, gebruikers en interne bronnen die binnen deze applicatie toegankelijk zijn, om beveiligingsredenen moet verifiëren.
3. Geldige en veilige servercertificaten vormen een cruciale nalevingscontrole om aan wettelijke vereisten te voldoen (bijv. NIST, FIPS) zoals PCI DSS(Voor meer informatie over het belang van digitale certificaten, zie dit blog)
4. Het handmatig beheren van een groot aantal digitale certificaten is tijdrovend en gevoelig voor menselijke fouten. Hierdoor zijn automatische processen voor het uitgeven, verlengen en intrekken van certificaten noodzakelijk.

PKI-as-a-Service zorgt er niet alleen voor dat de kosten en fouten worden teruggedrongen, maar pakt ook alle bovengenoemde uitdagingen aan door het hele certificaatcyclusproces te automatiseren, van het uitgeven tot het registreren van een certificaat. Voordat we verder ingaan op PKI-as-a-Service, Laten we het concept van PKI en de relatie met PKI-as-a-Service eens nader bekijken.

Publieke Sleutel Infrastructuur (PKI)

PKI geeft het digitale certificaat (bijvoorbeeld SSL/TLS) uit om de datacommunicatie te verifiëren met behulp van asymmetrische encryptie, dat wil zeggen door het genereren van X.509-certificaten met behulp van openbare en privé-encryptiesleutels. Deze encryptiesleutels maken end-to-end encryptie mogelijk.

De verschillende componenten van PKI zijn:

1. Openbare en privésleutels

   Zoals hierboven vermeld, worden publieke en privésleutels gebruikt om asymmetrische encryptie uit te voeren. Wanneer een cliënt gevoelige informatie moet ontvangen, deelt hij zijn publieke sleutel met de afzender om de gegevens te versleutelen. Dit proces zorgt ervoor dat alleen de beoogde ontvanger de informatie kan ontsleutelen en openen met behulp van de bijbehorende privésleutel.

2. Digitale certificaten

   De privésleutel ondertekent de digitale certificatenDeze certificaten dienen niet alleen als identiteitsbewijs van de organisatie, maar bevestigen ook dat zij de rechtmatige eigenaar zijn van de bijbehorende openbare sleutel.

3. Certificate Authority

   De certificeringsinstantie ondertekent het digitale certificaat met haar privésleutel en geeft het certificaat uit. Dit zijn de vertrouwenscentra. Er zijn twee soorten CA's: root-CA's en uitgevende CA's.

   1. Root-CA
      • De hoogste certificeringsinstantie legt de basis voor vertrouwen in de PKI-hiërarchie.
      • Geeft certificaten uit en ondertekent deze voor tussenliggende CA's.
      • Meestal worden deze gegevens bewaard in een uiterst veilige, offline omgeving om ongeautoriseerde toegang te voorkomen en een vertrouwensrelatie op de lange termijn te garanderen.
   2. Uitgevende CA
      • Verwerkt en ondertekent aanvragen voor eindentiteitscertificaten (bijvoorbeeld SSL/TLS) van de MS CA-proxy of andere bronnen.
      • Beheert de levenscyclus van certificaten: geeft certificaten uit, verlengt ze en trekt ze in indien nodig voor verschillende toepassingen.
      • Werkt online en is verantwoordelijk voor de dagelijkse certificaatbeheeractiviteiten. Hierbij wordt de geldigheid en beveiliging van uitgegeven certificaten gewaarborgd.
4. Registratie Authoriteit

   De registratieautoriteit (Registration Authority) fungeert als brug tussen gebruikers en de certificeringsautoriteit (CA). Zij verifieert eerst de identiteit van de aanvragers van digitale certificaten en stuurt de gevalideerde aanvragen vervolgens door naar de CA voor uitgifte.

Wat is het beste voor u: PKI of PKIaaS?

De hierboven genoemde componenten worden gebruikt om een ​​PKI te bouwen, wat even belangrijk is voor certificaten die worden uitgegeven via PKI-as-a-Service als voor On-Prem PKI.

Wat maakt PKIaaS voordeliger dan traditionele PKI-oplossingen?

Factor	PKI-as-a-Service	Traditionele PKI
Deployment	De installatie verloopt snel en wordt beheerd. Vanuit uw organisatie is er door de serviceprovider slechts minimale infrastructuur vereist.	De implementatie vergt veel tijd, expertise en middelen, inclusief hardware, software en netwerkconfiguratie.
Management	Vermindert de operationele overhead omdat de uitgifte, vernieuwing en intrekking van digitale certificaten door de serviceprovider worden afgehandeld.	De werkzaamheden worden intern beheerd, waardoor speciaal personeel nodig is voor de lopende taken met betrekking tot digitale certificaten en het onderhoud daarvan.
Schaalbaarheid	Door gebruik te maken van de cloudinfrastructuur wordt de service automatisch aangepast aan uw certificaatvereisten naarmate uw organisatie groeit of fluctueert.	Voor opschalen zijn extra hardware, softwarelicenties en configuratiewijzigingen nodig, wat tijdrovend kan zijn.
Kosten	Doordat de kosten voor de aanschaf van hardware, de installatie van software en het voortdurende onderhoud verdwijnen, worden de operationele kosten aanzienlijk verlaagd. (Encryption Consulting biedt een abonnementsmodel aan, waardoor de initiële kosten tot een minimum beperkt blijven)	Traditionele PKI vereist hoge investeringen en middelen voor de aankoop van hardware, installatie van software en doorlopende beheerkosten.

PKI-as-a-Service is de voorkeurskeuze voor organisaties die prioriteit geven aan gebruiksgemak, kostenbesparing en snellere implementatie.

Workflow van PKI-as-a-Service

Uitgaande van het proces van het initiëren van de aanvraag voor certificaatondertekening voor het punt van centrale coördinatie en eindigend met de uitgifte van het digitale certificaat, werken een reeks PKIaaS-componenten samen in de hieronder genoemde stappen:

1. Certificaataanvragers starten op

   Elke organisatie (klant) kan digitale certificaten aanvragen (bijvoorbeeld SSL/TLS) met behulp van protocollen zoals ACME, SCEP of AfgestemdHet proces begint met het verzenden van de certificaataanvraag naar de Certificate Enrollment Gateway (CEG). De CEG bouwt met behulp van het clientcertificaat een beveiligde verbinding op met het servercertificaat van de Certificate Authority Gateway (CAGW).

2. Het verzoek verwerken

   De Certificate Authority Gateway (CAGW) die op een containersysteem wordt gehost, ontvangt certificaataanvragen en stuurt deze vervolgens via een beveiligde tussenpersoon of proxyserver door naar een of meer geschikte beheerde CA's. Zo worden alle certificaten opgeslagen en beheerd.

3. Verbinding met de uitgevende CA

   De intermediaire of proxyserver fungeert als brug tussen de Certificate Authority Gateway (CAGW) en de aangewezen uitgevende CA binnen de PKI-omgeving. De verbinding is beveiligd via een client- en servercertificaat (gehost op de online uitgevende CA).

4. Uitgifte van certificaten

   De uitgevende CA geeft het eindentiteitscertificaat uit volgens de certificaataanvraag die is ontvangen via Active Directory-certificaatservice (ADCS).

5. Certificaat levering

   Nadat het certificaat is uitgegeven, wordt het via MS CA Proxy teruggestuurd naar CAGW. Ten slotte stuurt CAGW dit certificaat, dat nu is ondertekend, naar CEG, die het terugstuurt naar de klant die het heeft aangevraagd.

Op deze manier wordt elke stap tussen het initiëren van de aanvraag en het moment dat uw certificaten aan de end-to-end-server worden geleverd, veilig afgehandeld door het server- en clientcertificaat. PKI-service (Public Key Infrastructure).

Kenmerken van PKI-as-a-Service

PKI als een service (PKIaaS) Biedt een uitgebreide set mogelijkheden voor het beheer van digitale certificaten en openbare-private sleutelparen, waardoor de beveiliging binnen de organisatie wordt versterkt. Hieronder volgen de belangrijkste kenmerken van PKIaaS:

1. PKI-infrastructuurbeheer
   • Vereenvoudigde en gecentraliseerde configuraties van beheerde PKI, waardoor eenvoudige implementatie van certificeringsinstanties (CA's) mogelijk is, aangepast aan de behoeften van de organisatie (bijvoorbeeld optionele scheiding van root-CA's).
   • Evalueert de volledige levenscyclus van root- en uitgevende CA's en zorgt ervoor dat de beste praktijken in de sector worden gevolgd (bijvoorbeeld door gebruik te maken van FIPS 140-2 HSM niveau 3 om de persoonlijke sleutels van certificaatautoriteiten (CA's) te beveiligen met hoge beschikbaarheid.
2. Beveiliging van certificeringsinstanties
   • Zorgt ervoor dat Root CA-sleutels (openbare-privé sleutelparen) veilig en transparant worden aangemaakt voor de gebruikers.
   • Automatiseert de uitgifte en vernieuwing van certificaten door automatische inschrijvingsprotocollen te implementeren, zoals SCEP (Simple Certificate Enrollment Protocol), EST (Inschrijving via beveiligd transport) en ACME (Automatische Certificaatbeheeromgeving) en REST API's.
3. Beleids- en nalevingsbeheer
   • Het definiëren en implementeren van certificaatbeleid en -praktijken, zoals certificaatprofielen, geldigheidsperioden en beperkingen voor sleutelgebruik, die zijn afgestemd op de beveiligingsvereisten van uw organisatie.
   • Zorgen voor naleving van de best practices en wettelijke vereisten in de sector (bijv. NIST, FIPS, GDPS).
4. Integratie en automatisering
   • Gebruik RESTful API's om PKI-services te integreren met andere applicaties en systemen binnen uw organisatie om certificaatbeheer en -implementatie te vereenvoudigen.
   • Scripts en hulpmiddelen voor het automatiseren van certificaatuitgifte- en beheerprocessen.

Use cases

1. Ondersteunde protocollen

   Om het proces van het inschrijven van gebruikers en apparaten voor digitale certificaten te automatiseren en er tegelijkertijd voor te zorgen dat alle beveiligingsmaatregelen correct worden toegepast in uw organisatie, bespreken we de ondersteunde protocollen die het proces van certificaatinschrijving en -uitgifte automatiseren:

   1. Geautomatiseerde omgeving voor certificaatbeheer (ACME)
      • Dit protocol automatiseert de communicatie tussen certificeringsinstanties (CA's) en clients die servercertificaten voor een domein willen uitgeven.
      • Het protocol valideert het domeineigendom voor de certificaataanvragen. Dit omvat doorgaans uitdagingen zoals HTTP-01 (het plaatsen van een bestand op de webserver) of DNS-01 (het aanmaken van een DNS-record) om domeincontrole aan te tonen.
      • ACME-clients en -servers communiceren via HTTPS, waardoor het certificaatbeheerproces veilig is en beschermd tegen manipulatie.
      • Dankzij de eenvoudige integratie met CA-systemen wordt het beheer van SSL/TLS-certificaten vereenvoudigd.
   2. Eenvoudig certificaatinschrijvingsprotocol (SCEP)
      • SCEP automatiseert het proces voor de registratie van digitale certificaten, waardoor er minder handmatige handelingen nodig zijn en het certificaatbeheerproces voor apparaten zoals routers, switches, enz. eenvoudiger wordt.
      • Het protocol implementeert veilige methoden voor certificaataanvragen en -uitgifte, zoals het gebruik van PKCS#10 (Standaarden voor openbare sleutelcryptografie) voor certificaataanvragen.
      • SCEP biedt authenticatietools om de geldigheid van certificaataanvragen te garanderen. Het verifieert de identiteit van het aanvragende apparaat of de gebruiker voordat een certificaat wordt uitgegeven.
      • SCEP is ontworpen om grootschalige implementaties efficiënt af te handelen en is daardoor geschikt voor omgevingen met veel apparaten waarvoor certificaten vereist zijn.
      • SCEP is een PKI-communicatieprotocol waarmee beheerders automatisch en veilig certificaten kunnen uitgeven aan mobiele apparaten die het protocol implementeren.
   3. WSTEP
      • Een Windows-inschrijvingsclient kan verbinding maken met een domeincontroller via de webservice voor certificaatinschrijvingsbeleid en certificaten aanvragen bij meerdere certificeringsinstanties (CA's).
      • Met digitale certificaten van WSTEP krijgen alleen geautoriseerde apparaten toegang tot bepaalde services of netwerkbronnen, waardoor de algehele beveiliging wordt verbeterd.
      • Veilige kanalen en encryptie beschermen gevoelige informatie die wordt uitgewisseld tijdens certificaatinschrijving proces.
2. Microsoft Intune-integratie
   • Certificate Enrollment Gateway kan SCEP-aanvragen met een CSR (Certificate Signing Request) van Windows-clients ontvangen en de CSR ter validatie naar Intune sturen. Dit kan worden gebruikt om de toegang van gebruikers tot bedrijfsbronnen te beheren en app- en apparaatbeheer te stroomlijnen op honderden mobiele apparaten, desktops en virtuele eindpunten.
   • Beheer cryptografische beleidsregels/algoritmen effectief om te voldoen aan regelgeving en naleving.
   • Snellere ongeldigmaking van certificaten met automatische intrekking in Intune, wat leidt tot een beter plan voor herstel na een ramp.
3. Eindpuntauthenticatie (UEM/MDM)
   • Controleer of de certificaten zijn uitgegeven met sterke beveiligingsinstellingen, zodat u overzicht hebt op het gebruik en de geldigheid van de certificaten.
   • Het protocol biedt authenticatie via gebruikersnaam en wachtwoord.
   • Clients zoals de Mobile Device Management (MDM)-software moeten zich bij Certificate Enrollment Gateway verifiëren met geldige inloggegevens en wachtwoorden.
   • Deze instelling bevat onderliggende instellingen voor het definiëren van gebruikersnaam en wachtwoordgegevens die clients gebruiken voor verificatie bij Certificate Enrollment Gateway voor het MDM-protocol.
   • Voor het MDM-protocol moet de gebruiker minimaal één gebruikersnaam en wachtwoord definiëren.
   • Omdat alleen geautoriseerd personeel gevoelige certificaatfuncties mag beheren, zijn gedetailleerde toegangscontrole en op rollen gebaseerde machtigingen belangrijke nalevingscriteria (NIST, FIPS 140-2).
   • Gedetailleerde toegangscontrole en rolgebaseerde machtigingen zijn essentieel voor het beheer van gevoelige certificaatfuncties die voldoen aan NIST- en FIPS-vereisten.
   • Nadat zowel integriteitscontroles als beveiligingspatchniveaus zijn beoordeeld, kunnen certificaten worden uitgegeven.
4. S / MIME
   • End-to-end-encryptie van e-mailberichten.
   • Scheiding van de ondertekenings- en versleutelingsfunctionaliteit, S/MIME-certificaten maken het mogelijk dat beide in één keer worden uitgevoerd en garanderen onweerlegbaarheid.
   • Beheer van de sleutelgeschiedenis en automatische back-up zorgen voor ononderbroken opslag van cryptografische sleutels.
   • Werkt met meerdere apparaten en besturingssystemen, zoals Windows, macOS, iOS en Android.
5. Beheerde PKI
   • Veilige configuratie voor uw root-CA-infrastructuur die voldoet aan de ISO 27001-normen, ter bescherming van uw cryptografische activa.
   • Behoud de volledige controle over uw privésleutels en zorg dat u volledig toezicht hebt op uw digitale certificaten en cryptografische bewerkingen.
   • Privésleutels worden opgeslagen in FIPS 140-2 Level 3-gecertificeerde Hardware-beveiligingsmodules (HSM's) om ongeautoriseerde toegang of manipulatie te voorkomen.
   • CRL (Certificaat Intrekkingslijst) en OCSP (Online Certificaat Status Protocol) diensten om de geldigheid en status van certificaten te verifiëren en zo het vertrouwen in uw PKI-ecosysteem te behouden.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Waarom Encryption Consulting LLC?

Implementeer PKI-as-a-Service in uw omgeving.

Encryption Consulting biedt een zeer flexibele, betrouwbare en zeer betrouwbare PKIaaS-oplossing Met verhoogde schaalbaarheid en consistente ondersteuningsfuncties, waardoor het beheer en de functionaliteit van digitale certificaten binnen uw organisatie verder worden verbeterd. Hier is een kort overzicht van de belangrijkste functies:

1. Aanpasbare en schaalbare oplossingen
   • Flexibele integratie: Wij breiden een op maat gemaakt raamwerk uit op basis van de specifieke beveiligingsvereisten van uw organisatie, met een breed scala aan mogelijkheden en uitgebreide ondersteuning voor verschillende certificeringsinstanties (CA's), waardoor de aanpasbaarheid wordt vergroot.
   • schaalbaarheid: Zorg voor een evenwichtige groei van certificaten en gebruikers zonder dat dit ten koste gaat van de prestaties.
2. Consistente ondersteuningsfuncties
   • Hoge zekerheid: Wij bieden sterke beveiligingsfuncties van PKIaaS en zorgen voor naleving van normen zoals HIPAA, PCI-DSS en AVG. Het helpt bij het controleren en beheren van certificaatbeleid (risicobeperking en verbetering van de digitale beveiliging).
   • Ondersteuningsversterking: Ontvang de nodige ondersteuning bij eventuele dagelijkse problemen, zodat alles soepeler verloopt.

Verschillende implementatiemethoden:

Om de implementatie in de omgeving van uw organisatie te vereenvoudigen, bieden wij de PKIaaS-oplossing aan die op verschillende platforms kan worden geïmplementeerd:

• OnPrem PKI: Beheerde PKI moet worden geïmplementeerd binnen de infrastructuur van uw organisatie. Dit betekent dat PKI-componenten, zoals root en uitgevende certificeringsinstanties (CA's), worden gehost op een on-premises platform.
• SaaS-PKI: De PKI-configuratie voor certificaatlevenscyclusbeheer kan worden geconfigureerd op het cloudgebaseerde platform van uw organisatie, waardoor de beveiliging wordt verbeterd en digitale identiteiten voor de gebruikers worden vastgelegd.
• PKIaaS: Geautomatiseerd beheer van de levenscyclus van certificaten en aangepaste ManagedPKI worden gehost en beheerd in de cloudomgeving van Encryption Consulting, met de flexibiliteit om de PKI aan te passen op basis van uw domein- en beveiligingsvereisten.

Conclusie

PKIaaS is een nieuwe, krachtige versie van de traditionele PKI-oplossing die in het datacenter wordt gehost. Ongeacht hoe groot of klein uw organisatie is, iedereen werkt met gevoelige gegevens, zoals persoonlijk identificeerbare informatie (PII) en beschermde gezondheidsinformatie (PHI). PKI's zijn daarom onmisbaar voor veilige communicatie. PKIaaS voldoet aan al deze eisen door een Cloud-based service die de volledige levenscyclus van certificaten beheert en zorgt voor beveiliging, naleving en operationele efficiëntie.

Deze veilige en gebruiksvriendelijke oplossing is ontworpen om certificaatbeheer te optimaliseren en uw beveiligingsmogelijkheden te vergroten, terwijl de kosten laag worden gehouden. PKIaaS is uitgegroeid tot een ideale oplossing voor bedrijven die te maken hebben met digitale beveiliging en compliance. Het biedt geavanceerde mogelijkheden om certificaten veilig op te slaan en tegelijkertijd veilige communicatie over alle functionele grenzen heen te faciliteren.