Bisher wurde die IT-Infrastruktur in der Regel vor Ort, also in Büros des Unternehmens oder in speziellen Rechenzentren, untergebracht. Die Verwaltung dieser Geräte und Endpunkte war einfach, da die IT-Abteilung direkten Zugriff auf alle Geräte hatte und die Benutzer hauptsächlich in ihren Büros arbeiteten. Die IT-Abteilungen führten umfassende Aufzeichnungen über alle Geräte innerhalb ihrer Infrastruktur, damit sie den genauen Standort und Status jedes Geräts kannten. Die größte Herausforderung bestand meist darin, diese Geräte mit Patches und Updates zu versorgen. Diese Aufgabe konnte mit einfachen Verwaltungslösungen effizient bewältigt werden.
In diesem Szenario verlief auch die Bereitstellung und Verwaltung digitaler Zertifikate relativ einfach. Höchstens die Anzahl der Bereiche und die geografische Verteilung der Organisation konnte problematisch sein. Komplexe Unternehmen benötigten möglicherweise mehrere Teams und Verfahren, um eine ordnungsgemäße Zertifikatsverwaltung für alle Benutzer und Geräte zu gewährleisten. Da die meisten Benutzer jedoch in einer zentralisierten Büroumgebung arbeiteten, blieb die Bereitstellung der Benutzerzertifikate eine überschaubare Aufgabe.
Eine schöne neue Welt
In den letzten 10 bis 15 Jahren hat sich die Welt jedoch rasant weiterentwickelt. Und aufgrund der weit verbreiteten Verfügbarkeit kostengünstiger privater und öffentlicher Cloud-Dienste hat man sich von den alten Vor-Ort-Infrastrukturen weit entfernt. Das Nutzungsspektrum ist breit. Unternehmen kombinieren Vor-Ort-Lösungen, Öffentliche Clouds oder Private Clouds (ausschließlich für ein einzelnes Unternehmen) und Community Clouds, um ihre Dienste und Anwendungen bereitzustellen und Mitarbeitern im Büro und an entfernten Standorten zu unterstützen. Diese Kombination von Infrastrukturen wird als hybrides Cloud-Modell bezeichnet. Allerdings scheinen viele Beteiligte zu ignorieren, dass Vor-Ort-Dienste weiterhin ein integraler Bestandteil der Lösung sind.
Herausforderungen bei der Verwaltung von virtuellen Maschinen und Zertifikaten beim Cloud Computing
Herkömmliche Vor-Ort-Hardware kann zwar teuer in der Anschaffung, Implementierung und Wartung sein, bietet Unternehmen aber auch direkten Zugang, wenn es um Anpassung, Verwaltung, Sicherheit und allgemeine Kontrolle geht. Früher ließ sich der genaue Standort von Servern und Anwendungen einfach erkennen, so dass es unwahrscheinlich war, sie aus den Augen zu verlieren. Cloud Computing ist zwar sehr kosteneffizient und flexibel, aber die schnelle Erstellung virtueller Maschinen durch verschiedene Anbieter hat zu einem Wildwuchs an virtuellen Maschinen und Ressourcen geführt, was deren Verfolgung und Wartung erschwert. Die schnelle Erstellung und Löschung virtueller Maschinen durch verschiedene Abteilungen, Auftragnehmer und aktive Produktionsanwendungen verschärft dieses Problem noch. Folglich kann man leicht den Überblick über die ganzen virtuellen Maschinen oder Container, ihre Anbieter, die von ihnen ausgeführten Dienste und ihren Sicherheitsstatus verlieren.
Die Verwaltung digitaler Zertifikate in einer Cloud-Computing-Infrastruktur ist zwar weit verbreitet, birgt jedoch einige Herausforderungen. Die Identifizierung des Standorts virtueller Maschinen wird durch den zunehmenden Einsatz von Containern erschwert, der die herkömmliche „Infrastructure as a Service“ (IaaS) ersetzt. Der Einsatz von Containern kann aufgrund der Komplexität von Pods, Diensten und Knoten zu unvorhergesehenen Verwaltungsproblemen führen, wenn es um die Beantragung, Bereitstellung und Erneuerung von Zertifikaten geht. Container werden je nach Bedarf schnell erstellt und gelöscht. Da viele Teams und Container im Einsatz sind, sind die Sicherung privater Schlüssel und der ständige Aufwand, um Zertifikate in einer dynamischen Umgebung bereitzustellen, zu widerrufen und zu konfigurieren, ein ziemliches Problem.
Die Risiken einer hybriden Cloud-Umgebung
Wenn Sie die Verwaltung digitaler Zertifikate in einer reinen oder hybriden Cloud-Umgebung in Betracht ziehen, sind folgende potenzielle Probleme zu beachten:
- Fragmentierte und doppelte Dienste: In der Regel werden Anwendungen und Dienste während der Migration vorhandener Dienste oder der Entwicklung neuer Projekte über einen längeren Zeitraum in der Cloud bereitgestellt. Mit der Zeit werden jedoch neue Dienste oder lastverteilte Instanzen wahrscheinlich von verschiedenen Teams, entweder Softwareanbieter, Integratoren oder professionelle Dienstleister, über mehrere Cloud-Anbieter in unterschiedlichen Regionen verteilt. Viele von ihnen haben eigene bevorzugte Cloud-Anbieter, Cloud-Technologien und -Prozesse, was zu einer unüberschaubaren Umgebung führt. Daher ist es für die Aufrechterhaltung eines hohen Sicherheitsniveaus ein Mechanismus zur automatischen Überwachung und Verwaltung all dieser Instanzen unerlässlich, und zwar unabhängig von ihrem Standort.
- Abgeschottete Teams und Auftragnehmer: Wenn mehrere Teams und kurzzeitige Auftragnehmer Cloud-basierte Anwendungen erstellen und dabei keine einheitlichen Verfahren oder Aufzeichnungen nutzen, werden möglicherweise Zertifikate von verschiedenen Zertifizierungsstellen (CAs), einschließlich selbst signierter Zertifikate, erstellt und bereitgestellt, die nicht verwaltet und überwacht werden können. Schlimmer noch ist es, dass es dann keinen Standardprozess gibt und verschiedene manuelle Aktionen durchgeführt werden müssen. Das stellt ein erhebliches Risiko von ungesicherten Endpunkten oder abgelaufenen Zertifikaten dar.
- Verzögerungen bei der automatisierten Cloud-Skalierung: In vielen Cloud-Umgebungen werden die meisten virtuellen Maschinen und natürlich alle Container programmatisch erstellt und gelöscht, so wie es für eine flexible und skalierbare Lösung erforderlich ist. Die manuelle Beantragung und Bereitstellung von Zertifikaten würde den Prozess jedoch erheblich verzögern, so dass die Vorteile der automatischen Cloud-Skalierung wegfallen würden. Aufgrund der Verzögerungen durch manuelle Verfahren umgehen Entwickler häufig wesentliche Praktiken der Zertifikatsverwaltung und nutzen zum Zweck der Flexibilität nicht vertrauenswürdige Zertifizierungsstellen oder selbstsignierte Zertifikate. Das vergrößert die Gefahr von Schwachstellen bei der Cybersicherheit weiter, einschließlich des Risikos von Fehlkonfigurationen.
- Mangelnde Transparenz: Selbst in einem Szenario mit nur einem Cloud-Anbieter ist es bei der großen Anzahl von virtuellen Maschinen und Containern, die täglich erstellt und gelöscht werden, praktisch unmöglich, den Überblick zu behalten. Sei es darüber, wo Zertifikate benötigt werden, wo sie bereitgestellt wurden, wer die ausstellende CA ist und wann sie ablaufen. Der fehlende Überblick führt dann zu ungesicherten Anwendungen, Ausfällen, Sicherheitsmängeln und Dienstunterbrechungen. Die Compliance-Abteilung kann diese Mengen und Arten an Zertifikaten nicht mehr prüfen und protokollieren, um sicherzustellen, dass sie vertrauenswürdig und gültig sind. Das Ergebnis sind Probleme durch die Nichteinhaltung von Vorschriften führt, zum Beispiel schwache Krypto-Standards, die Verwendung anfälliger selbstsignierter Zertifikate oder Zertifikate, die von nicht zugelassenen CAs stammen.
Erfahren Sie mehr über die Risiken der internen Verwaltung von CAs
Verwaltung von Zertifikaten in einer hybriden Cloud-Umgebung
GlobalSign ist der Ansicht, dass sich die Lösung der Probleme bei der Verwaltung von Zertifikaten in einer hybriden Cloud-Umgebung nicht von derjenigen für eine Vor-Ort-Umgebung unterscheidet.
Unsere Lösung namens Certificate Automation Manager ermöglicht es Unternehmen nicht nur den automatischen Erhalt von Anfragen und die Bereitstellung von Zertifikaten für jede verbundene Domäne, sondern auch deren Verfolgung sowie die Sicherstellung, dass sie bei Bedarf erneuert, widerrufen oder ersetzt werden.
Dieser Manager ist flexibel an die Bedürfnisse jedes Kunden anpassbar. Und das unabhängig davon, ob er eine Vor-Ort-Infrastruktur mit nur einer Domäne oder eine große hybride Cloud-Infrastruktur mit mehreren Anbietern, Cloud-Technologien, Domänen und Zeitzonen betreibt.
Obwohl derzeit nicht als SaaS verfügbar, kann Certificate Automation Manager auf virtuellen Maschinen installiert werden und muss nicht vor Ort oder in derselben physischen Umgebung wie das Active Directory installiert sein. Um möglichst anpassungsfähig zu sein, kann er entweder vor Ort, als Hybridlösung oder in der Cloud implementiert werden – je nachdem, welche Cloud-Lösung Sie nutzen.
Aber auch, wenn Sie noch nicht in die Cloud migriert haben, kann Certificate Automation Manager ausschließlich vor Ort installiert werden. Die Migration zu einer hybriden oder vollständigen Cloud-Implementierung kann dann erfolgen, sobald Sie bereit dazu sind.
Als Ergebnis lassen sich Anwendungen und Projekte auf Cloud-Plattformen bereitstellen und dennoch schnell und effizient mit GlobalSign-Zertifikaten absichern, ohne dass ein Risiko von Ausfallzeiten oder Sicherheitsverletzungen besteht.
Certificate Automation Manager kann Geräte und Server überwachen und verwalten, unabhängig davon, ob es sich um physische oder virtuelle Geräte handelt. Unsere vollautomatische Lösung zur Zertifikatsverwaltung bietet Folgendes:
- Automatische Bereitstellung von Zertifikaten für neue Geräte, Server, Container oder Benutzer ohne manuelles Eingreifen und unter Verwendung festgelegter Richtlinien
- Gewährleistung einer ständigen Überwachung
- Planmäßige Berichterstattung für die umfassende Transparenz in Bezug auf Zertifikate
- Durchführung der wichtigsten Maßnahmen, einschließlich Erneuerung und Widerruf von Zertifikaten
- Verwaltung von Zertifikaten in einer dynamischen Umgebung, z.B. einer aktiven IaaS- oder Container-basierten Infrastruktur, in der sich die Anzahl der virtuellen Maschinen oder Container und deren Bedarf an Zertifikaten ständig ändert