Lebenszyklusverwaltung rund um Digital Trust

Einleitung

Das Problem: Zunahme von Komplexität und Risiken

Bei der Verwaltung des digitalen Vertrauens stehen moderne Unternehmen in jedem Aspekt der IT vor zwei grundlegenden Herausforderungen: steigender Komplexität und einer wachsenden Anzahl von Risiken. Die für die Infrastruktur verantwortlichen Mitarbeiter kämpfen mit kürzeren Gültigkeitsdauern bei Zertifikaten (und den damit einhergehenden häufigeren Erneuerungszyklen) sowie mit Veränderungen der IT-Infrastruktur. Teams, die für das Identitäts- und Zugriffsmanagement (IAM) zuständig sind, stellen auf Zero-Trust-Architekturen um und müssen ihre Umgebungen innerhalb kürzester Zeit an die neuen Modelle zur Unterstützung der Hybrid-Arbeit anpassen. SecOps-Teams sehen dem Quantenzeitalter entgegen und stellen sich auf Krypto-Flexibilität ein. Die verschiedenen Markttrends sind wichtige Faktoren für das steigende Interesse an Digital Trust als eine strategische Investition (im Gegensatz zu einem rein der Nützlichkeit dienenden Konzept).

Vor diesen Herausforderungen stehen die einzelnen Bereiche:

Infrastrukturteams

Die größte Herausforderung: Verhindern von Ausfällen und Reduzieren des
Risikos von Betriebsstörungen

Die kürzeren Laufzeiten von TLS-Zertifikaten setzen die für die IT-Infrastruktur verantwortlichen Teams unter Druck. Je häufiger Zertifikate erneuert werden müssen, desto höher ist die Wahrscheinlichkeit, dass ein Zertifikat übersehen oder falsch konfiguriert wird. Und das kann zu Ausfällen führen. Zudem kommen Zertifikate in mehr und mehr Anwendungsbereichen zum Einsatz und die Infrastrukturteams sind nicht immer ausreichend darüber informiert, wenn Zertifikate von anderen Abteilungen ausgestellt werden. Das kann dazu führen, dass die Kette der Zertifikatsausstellung unterbrochen wird oder, dass Zertifikate für kritische Geschäftssysteme nicht ordnungsgemäß verwaltet werden.

Identitätsprüfung und Zugriffsmanagement

Die größte Herausforderung: Umfassender Schutz von Benutzern und Geräten

Zero-Trust-Architekturen verändern, wie Unternehmen die Identitätsprüfung und das Zugriffsmanagement angehen. Zero Trust basiert auf dem Grundprinzip „niemals vertrauen – immer prüfen“ und das wirkt sich fundamental darauf aus, wie Benutzer, Geräte, Daten und E-Mails geschützt werden. Hinzu kommt, dass immer mehr Mitarbeiter nun im Homeoffice arbeiten und auch von dort aus reibungslosen, sicheren Zugriff auf Unternehmensressourcen benötigen. Vor diesem Hintergrund suchen Unternehmen nach Wegen, um a) das Nutzererlebnis zu verbessern, b) die Last für den IT-Support zu reduzieren, c) mehr Anwendungsbereiche zu unterstützen, d) Zero Trust unternehmensweit umzusetzen und e) durch die Eliminierung von Verzögerungen beim Ausstellen oder Widerrufen von Zertifikaten die Sicherheit zu stärken.

SecOps

Die größte Herausforderung: Krypto-Flexibilität und zeitnahe Behebung von Schwachstellen

Datenlecks treten immer häufiger auf. SecOps-Teams benötigen Architekturen, die auf digitalem Vertrauen basieren und sich schnell an neue Bedrohungen und Sicherheitslücken sowie an Änderungen von Kryptografie- und Regulierungsstandards anpassen lassen. Quantencomputer rücken in greifbare Nähe, weshalb Unternehmen schon jetzt in Strategien investieren müssen, mit denen sie den rapiden Modernisierungsanforderungen gewachsen sind, die sich stellen werden, sobald wir das Quantenzeitalter erreicht haben.

Teil II

Die Vor- und Nachteile der traditionellen Verwaltung des Zertifikatslebenszyklus

Die Verwaltung des Zertifikatslebenszyklus (Certificate Lifecycle Management; CLM) ermöglicht Unternehmen die zentrale Steuerung von Transparenz und Kontrolle in Bezug auf digitale Zertifikate. Doch die neuen Anforderungen und steigenden Risiken stellen die Wirksamkeit dieses Ansatzes in Frage. Vor der Einführung des DigiCert® Trust Lifecycle Manager hatten Unternehmen die Wahl zwischen zwei Optionen: Sie konnten den Zertifikatslebenszyklus entweder über die Funktionen einer Zertifizierungsstelle (Certificate Authority; CA) bzw. die für einen konkreten Anwendungsbereich konzipierten Tools verwalten oder eine Drittanbietersoftware für die CA-unabhängige Zertifikatsverwaltung nutzen.

Das Problem bei CA- oder anwendungsspezifischen Verwaltungstools ist, dass diese Lösungen naturgemäß nicht alle Digital-Trust-Assets eines Unternehmens abdecken. Dasselbe gilt für CA-unabhängige Produkte. Viele Unternehmen haben bei der Nutzung CA-unabhängiger Software festgestellt, dass diese nicht dasselbe Maß an Zuverlässigkeit und Resilienz bietet wie eine stärker integrierte Architektur. Wenn die Verwaltung CA-spezifischer Funktionen von der CA-Infrastruktur getrennt ist, lässt sich im Falle einer Störung nicht immer feststellen, wo genau die Problemursache liegt. Zudem enthalten viele dieser Produkte starre Workflows, die sich nicht an verschiedene Anwendungsbereiche anpassen lassen. In diesem Fall müssen Unternehmen teure Professional Services in Anspruch nehmen, um Abhilfe zu schaffen, und das führt zu einem untragbaren Kostenmodell.

Die zuvor genannten CLM-Systeme waren ein guter Anfang, reichen aber einfach nicht aus. Unternehmen suchen nach wie vor nach umfassenden Lösungen aus einer Hand, mit denen sie ihr gesamtes Digital-Trust-Portfolio einheitlich verwalten können und gleichzeitig die Zuverlässigkeit und Resilienz eines Full-Stack-Angebots erhalten. Konkret gesagt sind diese Unternehmen auf der Suche nach Folgendem: Sie möchten alle Zertifikate unternehmensweit zuverlässig verwalten, die individuellen Anforderungen verschiedener Anwendungsbereiche erfüllen können und gleichzeitig den Verwaltungsaufwand reduzieren und die Sicherheit verbessern. Damit verlangen sie viel und frühere CLM-Lösungen konnten diese Forderungen nicht erfüllen.

Teil III

Von der Verwaltung des Zertifikatslebenszyklus zum Digital-Trust-Management

Das Digital-Trust-Management, oder genauer gesagt die Lebenszyklusverwaltung rund um Digital Trust, erfüllt nicht nur die oben genannten Forderungen, sondern bietet noch weiteren Mehrwert:

1. Eng ineinander greifende, CA-unabhängige Verwaltung des Zertifikatslebenszyklus und Ausstellung von Zertifikaten. Warum dies so wichtig ist: Bei der Nutzung von Full-Stack-Lösungen haben Unternehmen einen zentralen Ansprechpartner (sprich: den Anbieter), den sie in Bezug auf Zuverlässigkeit und Resilienz geschäftskritischer Systeme zur Verantwortung ziehen können. Diese Lösungen lassen sich bei Bedarf auf andere Zertifizierungsstellen ausweiten und die Fachkenntnisse des Anbieters stellen sicher, dass sämtliche Integrationspunkte von erfahrenen Technikern konzipiert werden, die sich mit allen Aspekten rund um PKI auskennen.
2. Eine zentrale Konsole – sowohl für öffentliche als auch für private Zertifikate. Warum dies so wichtig ist: Unternehmen investieren zunehmend in Digital-Trust-Lösungen als einen strategischen Erfolgsfaktor und meistern die Probleme, die sich durch komplexe Infrastrukturen und zunehmende Risiken ergeben, mit einer einheitlichen Strategie. Vor diesem Hintergrund dürfen Lösungen nicht mehr nur auf die Anforderungen bestimmter Abteilungen oder auf einzelne Anwendungsbereiche ausgerichtet sein. Vielmehr müssen sie die zentralisierte, konsistente Verwaltung aller Digital-Trust-Aspekte im Unternehmen ermöglichen.
3. Einheitliche Verwaltung des Zertifikatslebenszyklus und der PKI-Services. Warum dies so wichtig ist: Wenn Systeme rein die Verwaltung des Zertifikatslebenszyklus unterstützen und die diversen Technologien der für die Identitätsprüfung und das Zugriffsmanagement verantwortlichen Teams oder die Workflows für Bereitstellungs- und Widerrufsabläufe außer Acht lassen, decken sie nur einen Teil der Digital-Trust-Anforderungen eines Unternehmens ab.

DigiCert Trust Lifecycle Manager bietet Funktionen, die all diese Anforderungen erfüllen, und ist damit die erste Lösung, die sämtliche Aspekte des Digital-Trust-Managements erfüllt, nach denen Unternehmen verlangen. DigiCert Trust Lifecycle Manager ist mehr als nur ein Produkt für die Verwaltung des Zertifikatslebenszyklus – es ist eine Lösung, mit der Unternehmen ihre strategischen, zentralisierten Initiativen für digitales Vertrauen in die Praxis umsetzen können.

Teil IV

Vorteile und Funktionen vom DigiCert Trust Lifecycle Manager

Um den modernen Herausforderungen rund um Komplexität und Sicherheit gerecht zu werden,
bedarf es einer Reihe bestimmter Funktionen.
 

Funktionen für die Verwaltung des Zertifikatslebenszyklus

Zertifikatsuche
Ein zentralisiertes Verzeichnis aller öffentlichen und privaten Zertifikate bietet detaillierte Einblicke und ermöglicht eine nuancierte Kontrolle betrieblicher Abläufe.

Zudem hilft Ihnen ein solches Verzeichnis, den Überblick über Ihre gesamte Zertifikatslandschaft zu behalten. So können Sie sich jederzeit über den Status jedes einzelnen Zertifikats informieren, unabhängig davon, wo es gespeichert ist und was es schützt. Davon profitiert das ganze Unternehmen. Die Zertifikatsuche bildet das Fundament für alle vernetzten Komponenten Ihrer Infrastruktur, vom unternehmenseigenen Gerät bis hin zu den dynamischen Grenzen zur Außenwelt.

Verwaltung & Benachrichtigungen
Ein Benachrichtigungssystem mit Handlungsempfehlungen für erforderliche Maßnahmen verhindert das unbeabsichtigte Ablaufen von Zertifikaten und hilft beim Beheben von Sicherheitslücken.

Indem Sie alle Zertifikate rund um die Uhr überwachen, können Sie Betriebsstörungen verhindern, die durch abgelaufene Zertifikate, Schwachstellen oder unbefugte Aktivitäten entstehen.

Automatisierung
Automatisierte Abläufe ermöglichen eine aufwandsarme Bereitstellung und Erneuerung von Zertifikaten, mindern die Komplexität und reduzieren das Risiko von Bedienfehlern.

Zudem befreien sie Ihre Teams von Routineaufgaben und helfen, Bereitstellungen zu skalieren. Zu den wichtigsten Features gehören die Zero-Touch-Bereitstellung, vordefinierte Zertifikatsvorlagen sowie Zugriffsregeln, die für die Einhaltung von Sicherheitsrichtlinien sorgen.

Integration
Integrationen sorgen für Governance bei Zertifizierungsstellen und Geschäftssystemen.

DigiCert Trust Lifecycle Manager bietet Integrationen für Verzeichnisdienste und Hardware-Sicherheitsmodule, für Änderungsmanagement-, Case-Management- und UEM-/MDM-Systeme sowie für Technologien zur Verwaltung von Benutzern, Servern, Dokumenten, Geräten und DevOps-Umgebungen. Integrationstools sollten Anpassungsmöglichkeiten über eine REST-API bieten.

Funktionen für PKI-Services

Schnelle Einrichtung von CAs und ICAs
Konfiguration unter Berücksichtigung der unterschiedlichen Anforderungen einzelner Abteilungen

Vorkonfigurierte, anpassbare Zertifikatsprofile
Für Benutzer, Geräte und Server

Flexible Registrierungs- und Authentifizierungsmethoden
Unterstützung von manuellen und automatisierten Abläufen

Integration in IAM-Technologien
Einbindung in UEM/MDM-Systeme, CMS, Active Directory und andere

Die Feinheiten der Integrationsarchitektur

Der Aspekt der Integration verdient besondere Aufmerksamkeit, da Integrationen unerlässlich für jede Digital-Trust-Strategie sind, die die diversen Technologien und Anwendungsbereiche eines Unternehmens berücksichtigt. Welche Rolle die verschiedenen Integrationsmethoden bei den einzelnen Anwendungs-Workflows spielen, wird anhand der folgenden Beispiele deutlich:

Protokollunterstützung
Protokolle ermöglichen Unternehmen, die Branchenstandards für den Datenaustausch zu berücksichtigen. Zum Einbinden von Zertifikatsprogrammen in verschiedene Technologien sind zum Beispiel SCEP, EST, ACME oder CMPv2 erforderlich. Werden die entsprechenden Protokolle unterstützt, können Unternehmen vorhandene Systeme, in die sie bereits investiert haben, weiterhin nutzen und in ihr Digital-Trust-Programm integrieren.

Clients
Client-Anwendungen helfen Unternehmen bei der letzten Installationsphase und der Automatisierung. Viele Anwendungen auf den Workstations und Laptops der Endbenutzer sind auf die individuellen Anforderungen eines Unternehmens zugeschnitten. Client-Tools stellen sicher, dass die IT-Teams benutzerdefinierte Installationsskripte bei Bedarf unternehmensweit verteilen und die letzten Installationsschritte bzw. Erneuerungsprozesse automatisieren können. Zudem ermöglichen Client-Tools die Durchsetzung von Sicherheitsrichtlinien bei der MFA- bzw. passwortbasierten Authentifizierung. Dies verbessert die Nutzerlebnis und stellt sicher, dass die Installation und Erneuerung anwendungszentrierter Zertifikate unkompliziert und im Hintergrund abläuft.

Gateways
Gateways dienen als Unterstützung für On-Premises-Architekturen, wenn eine direkte Verbindung zwischen den Benutzern bzw. Servern und externen Ressourcen nicht erlaubt ist. In diesen Umgebungen fungiert der Gateway als Proxy für eine sichere Übertragung der Anfragen.

Native Integrationen
Native Integrationen bieten vielfältigere, vorkonfigurierte Funktionen. Arbeitsintensive Anpassungsvorgänge bei der PKI-Entwicklung entfallen dadurch. Bei DigiCert werden vorkonfigurierte Zertifikatsvorlagen mit nativen Integrationen unter Nutzung von Technologien wie Intune, Windows Hello for Business und ServiceNow gekoppelt. Administratoren müssen daher keine eigenen Zertifikatsintegrationen recherchieren und konzipieren.

APIs
APIs ermöglichen die Entwicklung eigener Integrationen, oft für Kundensysteme oder zur Unterstützung von Automatisierungsinitiativen.

Damit eine Verwaltungslösung alle Varianten und Einzelfälle der einzelnen Workflows in einem Unternehmen abdeckt, muss sie zuverlässige und flexible Integrationen mit nativer Unterstützung verbinden können.

Fazit

Lebenszyklusverwaltung rund um Digital Trust – ein neuer Ansatz für die Verwaltung des Vertrauens im Unternehmen

Alle mit Sicherheit betrauten Personen profitieren davon, wenn die Verwaltung des digitalen Vertrauens als strategische Initiative betrachtet wird. Das gilt für Administratoren, denen die Zertifikatserneuerung Sorgen bereitet, genauso wie für das IAM-Team, das sich um Authentifizierungsvorgänge und Sicherheitslücken kümmert, und die SecOps-Manager, denen die Behebung von Schwachstellen am Herzen liegt.

Die Lebenszyklusverwaltung rund um Digital Trust ist viel mehr als ein simples Tool oder eine Aufgabenliste für die Verwaltung von Zertifikaten und PKI-Services. Vielmehr geht es um den Schutz der Unternehmensressourcen, das Straffen von Abläufen und den unternehmensweiten Aufbau von Krypto-Flexibilität. Es ist ein neues Modell für den Umgang mit Zertifikaten.