Meteen naar de inhoud

Certificaten met een geldigheidsduur van 47 dagen komen eraan. Ben je klaar?

Handel nu →

  1. Blogs
    2. Cloud Key Management

Cloudgebaseerde PKI – GCP, AWS en Azure

Posted byParnashree Saha 7 Minuten
Public Key Infrastructure (PKI) draait voornamelijk om het beheer van veilige digitale identiteiten waarmee gegevens kunnen worden beschermd en de identiteit van de betrokkene (een betrokkene kan van alles zijn, zoals een computer, een persoon, een router of een dienst) kan worden achterhaald bij het delen van informatie via niet-vertrouwde netwerken. PKI is tegenwoordig essentieel voor de meeste bedrijven en hun toepassingen.
Inhoudsopgave

Publieke Sleutel Infrastructuur (PKI) gaat vooral over het beheren van veilige digitale identiteiten die het mogelijk maken om gegevens te beschermen en de identiteit van het subject (een subject kan van alles zijn, zoals een computer, een persoon, een router of een dienst) te achterhalen bij het delen van informatie via niet-vertrouwde netwerken. PKI is tegenwoordig essentieel voor de meeste bedrijven en hun toepassingen.

Nu de acceptatie van verschillende vormen van cloudmodellen (zoals publiek, privé en hybride) in meerdere sectoren toeneemt, is het cloud-buzzwoord populair. Klanten maken zich echter nog steeds zorgen over beveiligingsaspecten en stellen een veelvoorkomende vraag:
"Hoe kan ik de cloud vertrouwen?" Het meest voor de hand liggende antwoord op deze vraag is: "vertrouwen opbouwen rond de cloud", maar hoe? We bespreken een paar fantastische PKI-concepten die, mits correct gepland en geïmplementeerd, een goede oplossing kunnen zijn.
om het vertrouwen van klanten in een cloud op te bouwen. Voordat we in detail ingaan op cloudgebaseerde PKI-architectuurmodellen, herhalen we eerst de basisprincipes.

Wat is Public Key Infrastructure (PKI)?

Public Key Infrastructure combineert verschillende technologische componenten voor de authenticatie van gebruikers en apparaten binnen een digitaal ecosysteem. De primaire doelen van een PKI zijn vertrouwelijkheid en authenticatie, en maken het mogelijk om zeer privégesprekken te voeren via elk apparaat.
platform, terwijl individuele identiteiten beschikbaar blijven voor authenticatie. Cryptosystemen gebruiken wiskundige functies of programma's/protocollen om berichten te versleutelen en te ontsleutelen. Elk beveiligingsproces, elke laag of elke software moet de CIA-triade implementeren en dekken.

  • Vertrouwelijkheid:Dit heeft betrekking op het proces om ervoor te zorgen dat informatie die tussen twee partijen wordt verzonden, alleen vertrouwelijk is tussen hen beiden en niet door/aan anderen kan worden ingezien of bekendgemaakt.
  • Integriteit: Dit verwijst naar het proces om ervoor te zorgen dat het bericht tijdens de verzending zijn integriteit behoudt, d.w.z. dat de inhoud van het bericht niet mag worden gewijzigd. De integratie van gegevens wordt beveiligd door middel van hashing.
  • BeschikbaarheidBeschikbaarheid is het laatste onderdeel van de CIA-triade en verwijst naar de daadwerkelijke beschikbaarheid van uw gegevens. Authenticatiemechanismen, toegangskanalen en systemen moeten allemaal correct werken voor de informatie die ze beschermen en ervoor zorgen dat deze beschikbaar is wanneer dat nodig is.

Daarnaast zijn er nog enkele belangrijke parameters die hieronder worden beschreven:

  • authenticatie: Het proces van het bevestigen van iemands identiteit met de opgegeven parameters zoals gebruikersnaam en wachtwoord. PKI biedt dit via digitale certificaten.
  • autorisatie: Het proces waarbij toegang tot een bron wordt verleend aan de bevestigde identiteit op basis van hun machtigingen.
  • Niet-afwijzing: Een proces om ervoor te zorgen dat alleen het beoogde eindpunt het bericht heeft verzonden en het later niet kan ontkennen. PKI biedt onweerlegbaarheid via digitale handtekening.

Uitdagingen bij het implementeren van een cloudgebaseerd PKI-model

Er zijn verschillende uitdagingen binnen PKI, afhankelijk van de branche en de trends in het bedrijfsleven. Hier bespreken we enkele van de meest voorkomende uitdagingen.

  • Gebrek aan begrip van PKI-concepten en ontwerpaspecten. Ook het voldoen aan nalevingsvereisten zoals NIST-800-57 (geeft aanbevelingen voor cryptografische sleutelbeheer) na de inzet is belangrijk.
  • Het negeren van het belang van HSM's . Wanneer u het gebruik van HSM's negeert, is uw PKI niet FIPS-140 Level 3-compatibel.
  • Kennis en inzicht in cloudproviders (AWS, Azure, GCP etc.) Er moet goed nagedacht worden over welke cloudprovider aan alle eisen van uw bedrijf kan voldoen.
  • Integratie met uw bestaande PKI-infrastructuur. Het kiezen van het juiste model voor uw organisatie is essentieel.
  • De juiste tools en processen kiezen voor uw beheer van de levenscyclus van certificaten.

Op maat gemaakte cloud-sleutelbeheerservices

Ontvang flexibele en aanpasbare adviesdiensten die aansluiten bij uw cloudvereisten.

Meer informatie

Overweeg cloudgebaseerde PKI

In tegenstelling tot on-premises PKI's zijn cloudgebaseerde PKI's extern gehoste PKI-diensten die PKI-functionaliteit op aanvraag leveren. De cloudgebaseerde aanpak vermindert de belasting voor individuele organisaties drastisch – financieel, qua middelen en qua tijd – doordat organisaties geen interne infrastructuur hoeven op te zetten.

De serviceprovider verzorgt al het lopende onderhoud van de PKI en garandeert tegelijkertijd schaalbaarheid en beschikbaarheid – een probleemloze en efficiënte service. Schaalbaarheid om te voldoen aan de groeiende behoeften van de organisatie is een ander voordeel. De serviceprovider verzorgt alle aanvullende vereisten – installatie van software, hardware, back-up, noodherstel en andere infrastructuur – die anders onhaalbaar zouden worden.
een last voor eigenaren van on-premises PKI-oplossingen.

Opties voor cloudgebaseerde PKI-modellen

PKI, of Public Key Infrastructure, kan op verschillende manieren worden ingezet om de organisatie te laten profiteren. Bij elke cloudgebaseerde PKI-optie is gegevensbeveiliging van het grootste belang; een goed functionerende PKI is een must. Hier volgen de volgende opties voor cloudgebaseerde PKI.

  • Eenvoudig model
  • Tweelaags hybride model
  • Drie-tier model
  • Drie-tier hybride model

Eenvoudig model

Dit is het eenvoudigste model voor cloudgebaseerde PKI om te implementeren en kan nuttig zijn voor kleinschalige bedrijfsmodellen. In deze aanpak Root CA wordt op dezelfde manier on-premise en offline geplaatst als de traditionele PKI. De uitgevende CA wordt in de cloud bewaard en functioneert
als primaire ondernemingscertificeringsinstantie (CA) die certificaten uitgeeft aan de eindentiteiten. Hierbij maken we gebruik van cloudproviders om het beheer en de beschikbaarheid van de virtuele machines en certificeringsinstanties te verzorgen.

Bijvoorbeeld: Als uw uitgevende CA op AWS staat Certificaatbeheer privé-CA (ACM PCA) en om de privésleutels op te slaan, worden AWS cloud HSM's gebruikt.

Eenvoudig model

NOTITIE: In het bovenstaande model is de beveiliging van de privésleutels voor de uitgevende CA volledig afhankelijk van de cloudproviders, omdat u gebruikmaakt van cloud-HSM's.

Tweelaags hybride model

In dit architectuurmodel breiden we het eenvoudige model uit voor meer veiligheid. Root-CA wordt bewaard on-premise en offline. Hier hebben we twee uitgevende CA's, er wordt één bewaard op locatie, en er wordt nog een andere bewaard op de wolk, en beide zijn online.Als u het vorige model bekijkt, zullen er problemen zijn met het adresseren van de apparaten van de on-premise-omgeving. In dit model bereiken we echter de hybride optie, omdat we beide bronnen (on-premise en cloud) adresseren.

De cloud-uitgevende CA richt zich op zaken die buiten de on-premises omgeving uitgegeven en beschikbaar moeten zijn, terwijl de on-premises omgeving zich richt op de beveiliging van niet-cloudbronnen, zoals werkstationauthenticatie, domeincertificaten, etc.
Ook de andere PKI-componenten Zoals CDP, AIA en OCSP kunnen in de cloud worden geplaatst met een hoge beschikbaarheid. Hierdoor kunnen cloudproviders worden gebruikt voor intrekkingsinformatie. Voor dit model worden de ondertekeningssleutels beschermd door zowel on-premises als cloud-HSM's.

Hybride model met twee niveaus

Drie-tier model

In dit model is de root-CA on-premises en offline en wordt een Policy-CA of Intermediate-CA toegevoegd aan de hiërarchie (die offline en veilig wordt bewaard), waar u expliciet uitgifte- en toepassingsbeleid kunt definiëren. De Policy-CA bepaalt welk beleid wordt toegepast.
moet worden uitgegeven en hoe het uitgegeven gaat worden door een uitgevende CA. Als u de uitgifte van uw certificaten strikt wilt controleren en tegelijkertijd gebruik wilt maken van cloudproviders, dan is het de juiste manier om dit model te gebruiken: de Policy CA on-premises plaatsen en de Issuing CA in de cloud.

Drie-tier model

In dit model kan de uitgevende CA echter geen certificaten uitgeven voor andere doeleinden dan de doeleinden die expliciet in de Policy CA worden genoemd.

Drie-tier hybride model

Dit model lijkt bijna op de vorige drielaagse optie. De root-CA en de policy-CA worden zowel on-premises als offline bewaard. Er zijn twee uitgevende CA's, één on-premises en één in de cloud, om verschillende use cases aan te pakken. Het expliciete beleid wordt vermeld.
In de Policy CA en de uitgevende CA's geven certificaten uit op basis daarvan. In dit model worden HSM's zowel on-prem (voor de on-prem uitgevende CA) als in de cloud (voor de cloud uitgevende CA) gebruikt om de ondertekeningssleutels op te slaan. Als u echter een on-prem HSM voor uw cloud uitgevende CA wilt gebruiken om sleutels op te slaan, kunt u dit doen door uw Microsoft CA op de AWS EC2-instantie te plaatsen.

Drie-tier hybride model

De kosten van een cloudgebaseerde PKI

Cloudgebaseerde PKI legt een lagere financiële last op de organisatie vergeleken met
On-premises PKI. Terwijl on-premises PKI zowel verborgen als traditionele kosten met zich meebrengt, hebben cloudgebaseerde PKI-services slechts één maandelijkse vergoeding, waardoor alle uitgaande PKI-kosten gedekt zijn.
zijn vast. On-premises PKI kost organisaties ongeveer $ 305,000 meer dan de cloudgebaseerde Managed PKI-service.

Conclusie

Cloud-based PKI-diensten stellen organisaties in staat om een ​​deel van de dure kosten die gepaard gaan met PKI-implementatie te verlagen, waaronder infrastructuur en personeelstraining. Cloudgebaseerde PKI-services zijn een kosteneffectieve oplossing voor alle kritieke bedrijfstransacties, waardoor organisaties niet langer hoeven te kiezen tussen dure beveiliging of een kostbare inbreuk.

Ontdek onze

Gerelateerde blogs

Microsoft Azure is een van de drie grootste cloud service providers die organisaties tegenwoordig gebruiken. De andere twee die het meest door organisaties worden gebruikt, zijn Amazon Web Services (AWS) en Google Cloud Platform (GCP). Gezien de huidige situatie verplaatsen veel bedrijven hun diensten naar een gedeeltelijk of volledig cloudgebaseerd platform zoals Azure of AWS.

Hoe kunt u ervoor zorgen dat organisaties meer klachten gaan indienen met Microsoft Azure?

2 februari 2022
Inleiding tot crypto-shredding

Maak kennis met het nieuwe concept van Crypto-Shredding

August 20, 2021

Verschillen tussen AWS KMS Azure Key Vault en GCP KMS

AWS KMS versus Azure Key Vault versus GCP KMS

July 23, 2021

Ontdek het hier

Meer onderwerpen