Mittlerweile dürfte allen Verantwortlichen klar sein, warum ein zentraler Überblick über die kryptografischen Ressourcen im Unternehmen eine Grundvoraussetzung für digitales Vertrauen ist. Falls Ihnen aus irgendeinem Grund die ständigen Ausfälle und Datenlecks, die seit Jahren durch abgelaufene oder nicht ordnungsgemäß gesicherte Zertifikate verursacht werden, keine größeren Sorgen machen, dann sollte Sie zumindest die Unmenge von Zertifikaten, die Unternehmen in der Regel verwalten müssen, aufhorchen lassen: Laut einer DigiCert-Umfrage von 2021 verwalten Unternehmen im Schnitt etwa 50.000 Serverzertifikate.
Das ist für sich genommen schon eine beeindruckend hohe Zahl, doch hinzu kommen noch die ganzen Benutzer- und Gerätezertifikate, die ein typisches Unternehmen zusätzlich zu den Serverzertifikaten benötigt. Außerdem wächst die Vielfalt der Anwendungsbereiche für digitale Zertifikate – und damit die Gesamtmenge von TLS-Zertifikaten.
Zertifikate finden sich überall in Ihrer IT-Umgebung, zum Beispiel:
in öffentlichen Zertifizierungsstellen (CAs) wie DigiCert
in privaten, oft unbeaufsichtigten On-Premises-CAs, wobei es sich meist um Microsoft-CAs handelt
in privaten Cloud-CAs wie AWS Private CA
auf Webservern wie Microsoft IIS und Apache
auf Load-Balancern wie F5, Citrix, A10 und AWS Elastic Load Balancer (ELB)
in Tools für die Schwachstellenanalyse wie Qualys und Tenable
in cloudnativen Kubernetes-Clustern
Rund die Hälfte der befragten Unternehmen haben zu irgendeinem Zeitpunkt nicht konforme Zertifikate gefunden, also Zertifikate, die ohne das Wissen der IT-Abteilung implementiert wurden und daher nicht verwaltet werden. Es ist zu vermuten, dass es auch in Ihrem Unternehmen Zigtausende von Zertifikaten gibt, von denen Sie nichts wissen.
Daher ist es unerlässlich, dass Ihr Unternehmen ein vollständiges und kontinuierlich aktualisiertes Bestandsverzeichnis aller Zertifikate pflegt. Hierfür müssen Sie in der Lage sein, sämtliche Zertifikate zu identifizieren – und zwar unabhängig davon, wem sie zugeordnet sind, wie sie verwendet werden und wo sie abgelegt sind.
Eine Lösung für die Lebenszyklusverwaltung (Certificate Lifecycle Management, CLM) muss jedoch mehr können, als Zertifikate zu finden. Sie muss verschiedene Mechanismen für die Zertifikatsuche bieten, denn diese wichtige Aufgabe lässt sich nicht mit einer einzigen Methode erledigen.
Schauen wir uns also einmal an, welche Optionen eine effektive CLM-Lösung für die Erfassung von Zertifikaten bieten sollte.
Die naheliegendste Methode für die Zertifikatsuche ist die Verzahnung der CLM-Lösung mit der zugehörigen Zertifizierungsstelle (Certificate Authority, CA). Zum Beispiel kann DigiCert® Trust Lifecycle Manager öffentliche Zertifikate finden, die von DigiCert CertCentral® ausgestellt wurden, und private Zertifikate, die vom DigiCert ONE CA Manager stammen. Durch diese Integration wird das Management des Zertifikatslebenszyklus vom Zeitpunkt der Ausstellung bis hin zur zentralen Verwaltung vereinfacht und Sie können diese Zertifikate jederzeit identifizieren. Eine solche umfassende Funktionalität bieten CA-unabhängige CLM-Lösungen in der Regel nicht. Dieser Punkt ist eine Überlegung wert, wenn Sie CertCentral bereits nutzen.
Natürlich nutzen Unternehmen nicht nur Zertifikate von DigiCert und es gibt wohl kaum ein Global 2000-Unternehmen ohne eine Microsoft-CA. Aufgrund der verstärkten Cloud-Nutzung finden sich auch immer mehr Zertifikate, die von anderen Zertifizierungsstellen wie AWS Private CA ausgestellt werden. Sie benötigen also einen Ansatz, mit dem die Zertifikate dieser CAs gefunden und dann in Ihren zentralen Zertifikatsbestand importiert und dort katalogisiert werden.
Die meisten CA-basierten Lösungen können keine Zertifikate identifizieren, die nicht von ihnen ausgestellt wurden. Das ist eine Tatsache, die von den Anbietern CA-unabhängiger Lösungen immer wieder als Verkaufsargument angeführt wird. DigiCert Trust Lifecycle Manager hingegen unterstützt sowohl von DigiCert als auch von anderen Zertifizierungsstellen ausgestellte Zertifikate – ein besonderes Plus!
Doch DigiCert Trust Lifecycle Manager kann noch viel mehr: Wurden die Zertifikate anderer Anbieter erst einmal gefunden, dann werden sie in Ihren Zertifikatsbestand importiert. Anschließend können Sie sie für eine bessere Identifizierung mit Kennzeichnern versehen und vordefinierte Automatisierungs- und Filterfunktionen darauf anwenden.
Abbildung 1: So arbeitet DigiCert Trust Lifecycle Manager mit den CA-Servern von Microsoft zusammen
Port-Scans sind die einfachste Möglichkeit, Zertifikate zu identifizieren, die nicht direkt von einer Zertifizierungsstelle ausgestellt wurden. Dabei installiert die CLM-Lösung einen Sensor in Ihrer IT-Infrastruktur, den sie für die Zertifikatsuche nutzt. Sie können angeben, welche Ports oder IP-Adressbereiche (lokal oder in der Cloud) gescannt werden sollen, um Ressourcen wie aktive Dienste und einer IPV4-Adresse zugeordnete Zertifikate zu identifizieren. Mit diesem Verfahren wird sichergestellt, dass Ihre Zertifikate sicher sind, ordnungsgemäß verwaltet werden und den Branchenstandards entsprechen. Darüber hinaus können Sie mit Port-Scans für dafür sorgen, dass die Integrität im Unternehmensnetzwerk gewahrt wird.
DigiCert Trust Lifecycle Manager findet mithilfe von Port-Scans einen Großteil der Zertifikate, doch für bestimmte Zertifikate, wie Zertifikate auf Load-Balancern und Webservern, sind weitere Schritte erforderlich.
Mit einem Port-Scan lassen sich Services, die auf einem Load-Balancer ausgeführt werden, und offene Ports identifizieren. Was Sie damit nicht finden, sind TLS-Zertifikate, denn ein Load-Balancer beendet TLS-Verbindungen und leitet Datenverkehr dann an Backend-Server weiter. Da diese Ports nicht frei zugänglich sind, benötigen Sie Sensoren, um den Netzwerkverkehr an strategischen Punkten im Netzwerk zu überwachen und zu analysieren. Anhand dieser Handshake-Daten können die Zertifikate identifiziert werden, die auf den Ihren Load-Balancern nachgeschalteten Servern genutzt werden. So erhalten Sie einen Überblick über diese Zertifikate und können sie in Ihren zentralen Zertifikatsbestand aufnehmen.
DigiCert Trust Lifecycle Manager kann mithilfe der Sensoren Zertifikate hinter Load-Balancern automatisieren. Angesichts der großen Anzahl von Zertifikaten, die im Zusammenhang mit Load-Balancern zu erwarten sind, ist dies eine wichtige Funktion. So werden die Zertifikate nicht nur in Ihr Bestandsverzeichnis aufgenommen und dort verwaltet, sondern es werden auch zusätzliche Zertifikate gefunden, die unter Umständen in diesen unübersichtlichen Umgebungen vorhanden sind.
Bestimmte Zertifikate, zum Beispiel auf Microsoft IIS- oder Apache-Webservern installierte Zertifikate, können mit Port-Scans nicht erkannt werden. Vielmehr müssen Sie direkt auf diesen Servern Agenten installieren, die gewisse Informationen (wie Ablaufdaten und verbundene Domains) über solche Zertifikate sammeln und diese dann an Ihr zentrales Bestandsverzeichnis weiterleiten.
DigiCert Trust Lifecycle Manager stellt diese Agenten bereit, damit Sie auch solche Zertifikate identifizieren können, die mit anderen Methoden nicht gefunden werden. Darüber hinaus ermöglichen die Agenten von DigiCert Trust Lifecycle Manager die interne Authentifizierung – eine wichtige Sicherheitsmaßnahme, die den unbefugten Zugriff auf Ihre Server verhindert.
Beim Aufbau und der Pflege eines zentralen Bestandsverzeichnisses für Zertifikate spielen alle zuvor erwähnten Mechanismen eine wichtige Rolle. Doch viele Unternehmen, insbesondere die Fortune 500, nutzen bereits Lösungen für das Schwachstellenmanagement, zum Beispiel Qualys oder Tenable, um Schwachstellen bei den am stärksten vernetzten Ressourcen aufzudecken (etwa bei physischen und virtuellen Servern, Routern und Switches, Cloud-Instanzen, Containern und sogar IoT-Geräten wie Multifunktionsdruckern). Daher möchten sie diese bereits vorhandene Infrastruktur natürlich auch bei der Suche nach digitalen Zertifikaten nutzen.
Derartige Tools für die Schwachstellenerkennung durchsuchen bereits jeden Winkel des Netzwerks, um ein komplettes Bestandsverzeichnis der Ressourcen und der Umgebungsstruktur anzulegen und zu pflegen. Anstatt also die Netzwerkauslastung weiter zu erhöhen und das Zugriffsmanagement noch komplizierter zu machen (wovon Ihre SecOps-Teams ein Lied singen können), baut DigiCert Trust Lifecycle Manager auf diesen vorhandenen Daten auf und ermöglicht Ihnen das Anlegen eines vollständigen Verzeichnisses Ihres Zertifikatsbestands. Auf diese Weise wird auch sichergestellt, dass alle kryptografischen Ressourcen erfasst werden, was mit herkömmlichen CLM-Lösungen nicht möglich ist.
Kryptografische Ressourcen wie Schlüssel und Zertifikate finden sich überall in Ihrer IT-Umgebung, vom physischen Rechenzentrum bis zur Cloud. Sie zu identifizieren und in ein zentrales, laufend aktualisiertes Bestandsverzeichnis aufzunehmen, ist ein unglaublich komplexes Unterfangen. Wenn Ihnen verschiedene, nutzerfreundliche Suchmechanismen zur Verfügung stehen, haben Sie die Gewissheit, dass Ihre Bestandsliste vollständig ist und die enthaltenen Informationen in der Praxis genutzt werden können.
Genau das – plus regelmäßig neu hinzugefügte Methoden zur Ressourcenidentifizierung – bietet Ihnen DigiCert Trust Lifecycle Manager. Mit DigiCert Trust Lifecycle Manager erhalten Sie einen beispiellos umfassenden Überblick über Ihre kryptografischen Ressourcen und die Gewissheit, dass Ihr Bestandsverzeichnis (das wir als „Central Book of Record“ oder zentrales Inventar bezeichnen) jederzeit auf dem aktuellen Stand ist. So sorgen Sie in Ihrem Unternehmen für Schutz, Geschäftskontinuität und eine schnelle Behebung sicherheitsrelevanter Vorfälle – abgestimmt auf die individuellen Anforderungen Ihres Unternehmens.
Abbildung 2: Trust Lifecycle Manager nutzt eine Vielzahl von Methoden für die Zertifikatsuche in einer Unternehmensumgebung.
Weitere Informationen über DigiCert® Trust Lifecycle Manager erhalten Sie unter https://www.digicert.com/de/trust-lifecycle-manager.