¶ºÒõ¹Ý

Neue Technologien und immer bessere Konnektivität erleichtern vielen Menschen die Arbeit. Für die meisten Netzwerkadministratoren gilt jedoch das Gegenteil.ÌýÌý

Unternehmen halten es für selbstverständlich, dass ihre Netzwerkadministratoren die Web-Server und Load-Balancer (die sowohl für Redundanz als auch für Hochverfügbarkeit sorgen) am Laufen halten und das Unternehmen gleichzeitig vor Cyberkriminellen schützen. Außerdem sollen sie sicherstellen, dass die Anwendungen und Daten auf den Servern und Load-Balancern des Unternehmens stets sicher sindÌý– ohne sie außer Betrieb zu nehmen.Ìý

Jahrelang haben Netzwerkadministratoren die Lebenszyklen der TLS-Zertifikate, mit denen die Verbindungen und die Kommunikation geschützt werden, mit einer Kombination aus Tabellen, Skripten und Punktlösungen verwaltet. Diese manuelle Zertifikatsverwaltung war von jeher sehr zeitaufwendig. Nun wird sie zusehends unhaltbar.Ìý

Wie lässt sich diese Herausforderung bewältigen? Mit einer Plattform für die Verwaltung des TLS-Zertifikatslebenszyklus vom Erwerb über die Erneuerung bis hin zurWiderrufung.ÌýÌý

Sehen wir uns an, warum eine automatisierte Verwaltung des Zertifikatslebenszyklus vom netten Extra zur Grundvoraussetzung wird und welche Funktionen sie bieten muss, damit Netzwerkadministratoren die riesige Anzahl der Zertifikate, für die sie heute verantwortlich sind, erfolgreich verwalten können.Ìý

Kürzere Zertifikatslaufzeiten, mehr Zertifikate zu verwalten

Die maximale Gültigkeitsdauer öffentlicher Zertifikate wird seit über 10ÌýJahren immer wieder reduziert, von fünf Jahren im JahrÌý2012 auf 398ÌýTage im JahrÌý2020 und möglicherweise bald auf nur 90ÌýTage, wenn Google das durchsetzen kann.Ìý

Zertifikate laufen also viel schneller ab als früher. Bei manueller Verwaltung kann man das Ablaufdatum eines Zertifikats nur zu leicht vergessen, was zu AusfällenÌý– und sogar zu DatenlecksÌý– führen kann.Ìý

Erschwerend kommt hinzu, dass viele große Unternehmen statt weniger herkömmlicher Rechenzentren nun eine komplexe, verteilte IT-Umgebung betreiben, zu deren Sicherung sehr viel mehr TLS-Zertifikate erforderlich sindÌý– die natürlich alle verwaltet werden müssen. Der Begriff „digitales Zertifikat“ wird inzwischen häufig als Synonym für „Maschinenidentität“ gebraucht, zumal die Definition einer „Maschine“ in unserer hybriden IT-Welt sehr viel weiter gefasst ist als früher.Ìý

Vom herkömmlichen physischen Server oder PC über ein Mobil- oder ±õ´Ç°Õ-³Ò±ð°ùä³Ù bis hin zu einer Website oder einer aus Microservices zusammengesetzten Online-App, die in Containern oder auf Cloud-Instanzen laufen, kann damit buchstäblich alles gemeint sein. Eine der wenigen Gemeinsamkeiten all dieser Maschinen ist, dass sie eine eindeutige Maschinenidentität benötigen, um mit anderen Maschinen kommunizieren zu können. Und für die immer umständlichere Verwaltung jeder einzelnen Identität sind wieder die Netzwerkadministratoren verantwortlich.Ìý

Drei Merkmale einer effektiven Managementplattform für den Zertifikatslebenszyklus

Sie wissen sicher bereits, dass eine gute Lösung für die ZertifikatsverwaltungÌý(CLM-Lösung) die gesamte Infrastruktur Ihres Unternehmens abdecken sollte. Aber welche spezifischen Funktionen erleichtern Netzwerkadministratoren die Verwaltung einer großen Anzahl von Zertifikaten?

Die folgenden drei Aspekte sollten Sie im Hinterkopf behalten.

1. Native Integration der ±·±ð³Ù³ú·É±ð°ù°ì²µ±ð°ùä³Ù±ð Dritter

In einem Cluster aus Web-Servern und Load-Balancern werden oft Tausende von Anwendungen gehostet, die jeweils aus Hunderten von Microservices bestehen. Jeder einzelne Server, jede Anwendung und jeder Microservice benötigt eine eigene Maschinenidentität, um sich bei den anderen zu authentifizieren und so dazu beizutragen, dass das Netzwerk sicher bleibt.

Um all diese Maschinenidentitäten im Auge zu behalten, benötigen Sie ein vollständiges, aktuelles Verzeichnis sämtlicher Zertifikate. Doch da nicht alle CLM-³¢Ã¶²õ³Ü²Ô²µ±ð²Ô die native Integration von ±·±ð³Ù³ú·É±ð°ù°ì²µ±ð°ùä³Ù±ðn unterstützen, müssen mancherorts mehrere verschiedene Methoden zur Automatisierung der Zertifikatsverwaltung parallel genutzt werden.

Für Web-Server, Load-Balancer und andere Netzwerk-Appliances benötigen Sie vor Ort installierte Agenten und API-IntegrationenÌý(Sensoren), die jedes Gerät zuverlässig mit der CLM-Plattform verbinden. Wenn Ihre Lösung nicht dafür sorgen kann, dass diese Integrationen reibungslos funktionieren, besteht die Gefahr, dass Sie mehr Zeit in die Fehlersuche und ‑behebung investieren müssen, als Sie durch Automatisierung einsparen.

Eine effektive CLM-Lösung sollte native Integrationen für jedes Gerät beinhalten, sodass Sie alle in Ihrer Infrastruktur genutzten Zertifikate zuverlässig verwalten können, und idealerweise eine eigene, umfassende Architektur zur Automatisierung des Zertifikatslebenszyklus bereitstellen, die nahtlos mit Web-Servern und Load-Balancern zusammenarbeitet.

Eine Lösung wie ¶ºÒõ¹Ý® Trust Lifecycle Manager unterstützt die unterschiedlichen Workflows und Ziele, die Netzwerkadministratoren berücksichtigen müssen. Dies ist angesichts der Tatsache, dass ±·±ð³Ù³ú·É±ð°ù°ì²µ±ð°ùä³Ù±ð ununterbrochen verfügbar sein müssen, von sehr großer Bedeutung.

Ìý

2. Profile zur Automatisierung der Zertifikatsbereitstellung

Flexibilität spielt bei der Automatisierung der Verwaltung des Zertifikatslebenszyklus eine wichtige Rolle. Vielleicht sollen beispielsweise die Zertifikate interner (privater) Web-Server eine längere Gültigkeitsdauer haben als die externer (öffentlicher) Web-Server. Die meisten Netzwerkadministratoren sind jedoch nicht so gut mit der Konfiguration von Public Key Infrastructures (PKI) vertraut, dass sie dies einrichten können.

Profile können ihnen die Aufgabe erleichtern. Profile legen anhand einer Reihe vordefinierter Regeln fest, wie digitale Zertifikate ausgestellt, verwaltet und verwendet werden. Eine effektive CLM-Lösung enthält Vorlagen mit vordefinierten Konfigurationen, die Sie anwenden können, um Zertifikatsmerkmale wie Typ, Gültigkeit und Vertrauenshierarchie zu definieren und somit die Nutzung verschiedener Konfigurationen in verschiedenen Anwendungsbereichen durchzusetzen. Sie können beispielsweise Profile erstellen, um unterschiedliche Konfigurationen für die Zertifikate öffentlicher Web-Server, interne Geräte und die Service-Authentifizierung sowie den Zugriff Ihrer Mitarbeitenden auf Anwendungen im Unternehmens-WLAN zu definieren.

Zudem können Sie sich durch die Automatisierung von Workflows die Erkennung und Behebung von Sicherheits- und Compliance-Verstößen erleichtern. Durch Automatisierung kann beispielsweise zutage treten, dass ein Zertifikat bei einer von Ihrem Unternehmen nicht bewilligtenZertifizierungsstelle wie Let‘s Encrypt erworben wurde, sodass Sie es durch ein ¶ºÒõ¹Ý-Zertifikat ersetzen können, bevor es Probleme verursacht. Sie können auch festlegen, dass Aktivitäten wie Zertifikatserneuerungen nur bei niedriger Netzwerkbelastung stattfinden sollen, sodass etwaige Service-Unterbrechungen nicht ausgerechnet auf einen verkaufsoffenen Sonntag fallen.

3. Kontinuierliche VerfügbarkeitÌý

Netzwerkadministratoren wissen, dass die Sicherheit eine Grundvoraussetzung für den Erhalt der Geschäftskontinuität ist. Doch ohne eine CLM-Plattform, die die Zertifikatsverwaltung automatisiert, wird 100-prozentige Verfügbarkeit ein unerreichbares Ziel bleiben, denn dazu ist die Anzahl der digitalen ZertifikateÌý– und damit die Wahrscheinlichkeit, dass Ihnen bei manueller Verwaltung Fehler unterlaufenÌý– inzwischen einfach zu hoch.

Eine gute CLM-Plattform unterstützt die Automatisierung des gesamten Stacks, von der Erkennungsphase bis zur Verwaltung des gesamten TLS-Zertifikatslebenszyklus. Durch die Straffung dieser zahllosen Prozesse und die Vermeidung von Fehlkonfigurationen können Netzwerkadministratoren auch das Risiko senken, dass Pannen bei der Zertifikatsverwaltung Ausfälle verursachen. Zudem gewinnen sie durch die Reduzierung des Verwaltungsaufwands und die gleichzeitige Stärkung der Sicherheit mehr Zeit für ihre eigentlichen Aufgaben.

Die neuesten Entwicklungen im Bereich digitale Vertrauenslösungen

Sie möchten mehr über Themen wie Zertifikatsverwaltung, Unternehmenssicherheit und PKI erfahren? Dann abonnieren Sie den ¶ºÒõ¹Ý-Blog, um keinen Beitrag zu verpassen.