AUTOMATED-CERTIFICATE-LIFECYCLE-MANAGEMENT
Die drei Schlüsselfunktionen für eine automatisierte Verwaltung des Zertifikatslebenszyklus
Neue Technologien und immer bessere Konnektivität erleichtern vielen Menschen die Arbeit. Für die meisten Netzwerkadministratoren gilt jedoch das Gegenteil.
Unternehmen halten es für selbstverständlich, dass ihre Netzwerkadministratoren die Web-Server und Load-Balancer (die sowohl für Redundanz als auch für Hochverfügbarkeit sorgen) am Laufen halten und das Unternehmen gleichzeitig vor Cyberkriminellen schützen. Außerdem sollen sie sicherstellen, dass die Anwendungen und Daten auf den Servern und Load-Balancern des Unternehmens stets sicher sind – ohne sie außer Betrieb zu nehmen.
Jahrelang haben Netzwerkadministratoren die Lebenszyklen der TLS-Zertifikate, mit denen die Verbindungen und die Kommunikation geschützt werden, mit einer Kombination aus Tabellen, Skripten und Punktlösungen verwaltet. Diese manuelle Zertifikatsverwaltung war von jeher sehr zeitaufwendig. Nun wird sie zusehends unhaltbar. Wie lässt sich diese Herausforderung bewältigen? Mit einer Plattform für die Verwaltung des TLS-Zertifikatslebenszyklus vom Erwerb über die Erneuerung bis hin zur Widerrufung.
Sehen wir uns an, warum eine automatisierte Verwaltung des Zertifikatslebenszyklus vom netten Extra zur Grundvoraussetzung wird und welche Funktionen sie bieten muss, damit Netzwerkadministratoren die riesige Anzahl der Zertifikate, für die sie heute verantwortlich sind, erfolgreich verwalten können.
Kürzere Zertifikatslaufzeiten, mehr Zertifikate zu verwalten
Die maximale Gültigkeitsdauer öffentlicher Zertifikate wird seit über 10 Jahren immer wieder reduziert, von fünf Jahren im Jahr 2012 auf 398 Tage im Jahr 2020 und möglicherweise bald auf nur 90 Tage, wenn Google das durchsetzen kann. Zertifikate laufen also viel schneller ab als früher. Bei manueller Verwaltung kann man das Ablaufdatum eines Zertifikats nur zu leicht vergessen, was zu Ausfällen – und sogar zu Datenlecks – führen kann. Erschwerend kommt hinzu, dass viele große Unternehmen statt weniger herkömmlicher Rechenzentren nun eine komplexe, verteilte IT-Umgebung betreiben, zu deren Sicherung sehr viel mehr TLS-Zertifikate erforderlich sind – die natürlich alle verwaltet werden müssen. Der Begriff „digitales Zertifikat“ wird inzwischen häufig als Synonym für „Maschinenidentität“ gebraucht, zumal die Definition einer „Maschine“ in unserer hybriden IT-Welt sehr viel weiter gefasst ist als früher. Vom herkömmlichen physischen Server oder PC über ein Mobil- oder IoT-Gerät bis hin zu einer Website oder einer aus Microservices zusammengesetzten Online-App, die in Containern oder auf Cloud-Instanzen laufen, kann damit buchstäblich alles gemeint sein. Eine der wenigen Gemeinsamkeiten all dieser Maschinen ist, dass sie eine eindeutige Maschinenidentität benötigen, um mit anderen Maschinen kommunizieren zu können. Und für die immer umständlichere Verwaltung jeder einzelnen Identität sind wieder die Netzwerkadministratoren verantwortlich.
Drei Merkmale einer effektiven Managementplattform für den Zertifikatslebenszyklus
Sie wissen sicher bereits, dass eine gute Lösung für die Zertifikatsverwaltung (CLM-Lösung) die gesamte Infrastruktur Ihres Unternehmens abdecken sollte. Aber welche spezifischen Funktionen erleichtern Netzwerkadministratoren die Verwaltung einer großen Anzahl von Zertifikaten?
Die folgenden drei Aspekte sollten Sie im Hinterkopf behalten.
1. Native Integration der Netzwerkgeräte Dritter
In einem Cluster aus Web-Servern und Load-Balancern werden oft Tausende von Anwendungen gehostet, die jeweils aus Hunderten von Microservices bestehen. Jeder einzelne Server, jede Anwendung und jeder Microservice benötigt eine eigene Maschinenidentität, um sich bei den anderen zu authentifizieren und so dazu beizutragen, dass das Netzwerk sicher bleibt.
Um all diese Maschinenidentitäten im Auge zu behalten, benötigen Sie ein vollständiges, aktuelles Verzeichnis sämtlicher Zertifikate. Doch da nicht alle CLM-Lösungen die native Integration von Netzwerkgeräten unterstützen, müssen mancherorts mehrere verschiedene Methoden zur Automatisierung der Zertifikatsverwaltung parallel genutzt werden.
Für Web-Server, Load-Balancer und andere Netzwerk-Appliances benötigen Sie vor Ort installierte Agenten und API-Integrationen (Sensoren), die jedes Gerät zuverlässig mit der CLM-Plattform verbinden. Wenn Ihre Lösung nicht dafür sorgen kann, dass diese Integrationen reibungslos funktionieren, besteht die Gefahr, dass Sie mehr Zeit in die Fehlersuche und behebung investieren müssen, als Sie durch Automatisierung einsparen.
Eine effektive CLM-Lösung sollte native Integrationen für jedes Gerät beinhalten, sodass Sie alle in Ihrer Infrastruktur genutzten Zertifikate zuverlässig verwalten können, und idealerweise eine eigene, umfassende Architektur zur Automatisierung des Zertifikatslebenszyklus bereitstellen, die nahtlos mit Web-Servern und Load-Balancern zusammenarbeitet.
2. Profile zur Automatisierung der Zertifikatsbereitstellung
Flexibilität spielt bei der Automatisierung der Verwaltung des Zertifikatslebenszyklus eine wichtige Rolle. Vielleicht sollen beispielsweise die Zertifikate interner (privater) Web-Server eine längere Gültigkeitsdauer haben als die externer (öffentlicher) Web-Server. Die meisten Netzwerkadministratoren sind jedoch nicht so gut mit der Konfiguration von Public Key Infrastructures (PKI) vertraut, dass sie dies einrichten können.
Profile können die Aufgabe erleichtern. Profile legen anhand einer Reihe vordefinierter Regeln fest, wie digitale Zertifikate ausgestellt, verwaltet und verwendet werden. Eine effektive CLM-Lösung enthält Vorlagen mit vordefinierten Konfigurationen, die Sie anwenden können, um Zertifikatsmerkmale wie Typ, Gültigkeit und Vertrauenshierarchie zu definieren und somit die Nutzung verschiedener Konfigurationen in verschiedenen Anwendungsbereichen durchzusetzen. Sie können beispielsweise Profile erstellen, um unterschiedliche Konfigurationen für die Zertifikate öffentlicher Web-Server, interne Geräte und die Service-Authentifizierung sowie den Zugriff Ihrer Mitarbeitenden auf Anwendungen im Unternehmens-WLAN zu definieren.
3. Kontinuierliche Verfügbarkeit
Netzwerkadministratoren wissen, dass die Sicherheit eine Grundvoraussetzung für den Erhalt der Geschäftskontinuität ist. Doch ohne eine CLM-Plattform, die die Zertifikatsverwaltung automatisiert, wird 100-prozentige Verfügbarkeit ein unerreichbares Ziel bleiben, denn dazu ist die Anzahl der digitalen Zertifikate – und damit die Wahrscheinlichkeit, dass Ihnen bei manueller Verwaltung Fehler unterlaufen – inzwischen einfach zu hoch.
Eine gute CLM-Plattform unterstützt die Automatisierung des gesamten Stacks, von der Erkennungsphase bis zur Verwaltung des gesamten TLS-Zertifikatslebenszyklus. Durch die Straffung dieser zahllosen Prozesse und die Vermeidung von Fehlkonfigurationen können Netzwerkadministratoren auch das Risiko senken, dass Pannen bei der Zertifikatsverwaltung Ausfälle verursachen. Zudem gewinnen sie durch die Reduzierung des Verwaltungsaufwands und die gleichzeitige Stärkung der Sicherheit mehr Zeit für ihre eigentlichen Aufgaben.