¶ºÒõ¹Ý

Trust Lifecycle Manager 10-12-2023

So finden Sie die verborgenen Zertifikate in Ihrem Unternehmen

robyn-weisman
How Many Ways Can Your CLM Solution Discover Certificates?

Mittlerweile dürfte allen Verantwortlichen klar sein, warum ein zentraler Ãœberblick über die kryptografischen Ressourcen im Unternehmen eine Grundvoraussetzung ´Úü°ù digitales Vertrauen ist. Falls Ihnen aus irgendeinem Grund die ständigen Ausfälle und Datenlecks, die seit Jahren durch abgelaufene oder nicht ordnungsgemäß gesicherte Zertifikate verursacht werden, keine größeren Sorgen machen, dann sollte Sie zumindest die Unmenge von Zertifikaten, die Unternehmen in der Regel verwalten müssen, aufhorchen lassen: Laut einer ¶ºÒõ¹Ý-Umfrage von 2021 verwalten Unternehmen im Schnitt etwa 50.000ÌýServerzertifikate.

Das ist ´Úü°ù sich genommen schon eine beeindruckend hohe Zahl, doch hinzu kommen noch die ganzen Benutzer- und ³Ò±ð°ùä³Ù±ð³ú±ð°ù³Ù¾±´Ú¾±°ì²¹³Ù±ð, die ein typisches Unternehmen zusätzlich zu den Serverzertifikaten benötigt. Außerdem wächst die Vielfalt der Anwendungsbereiche ´Úü°ù digitale ZertifikateÌý– und damit die Gesamtmenge von TLS-Zertifikaten.

Zertifikate finden sich überall in Ihrer IT-Umgebung, zum Beispiel:

Rund die Hälfte der befragten Unternehmen haben zu irgendeinem Zeitpunkt nicht konforme Zertifikate gefunden, also Zertifikate, die ohne das Wissen der IT-Abteilung implementiert wurden und daher nicht verwaltet werden. Es ist zu vermuten, dass es auch in Ihrem Unternehmen Zigtausende von Zertifikaten gibt, von denen Sie nichts wissen.

Daher ist es unerlässlich, dass Ihr Unternehmen ein vollständiges und kontinuierlich aktualisiertes Bestandsverzeichnis aller Zertifikate pflegt. Hier´Úü°ù müssen Sie in der Lage sein, sämtliche Zertifikate zu identifizierenÌý– und zwar unabhängig davon, wem sie zugeordnet sind, wie sie verwendet werden und wo sie abgelegt sind.

Eine Lösung ´Úü°ù die Lebenszyklusverwaltung (Certificate Lifecycle Management, CLM) muss jedoch mehr können, als Zertifikate zu finden. Sie muss verschiedene Mechanismen ´Úü°ù die Zertifikatsuche bieten, denn diese wichtige Aufgabe lässt sich nicht mit einer einzigen Methode erledigen.

Schauen wir uns also einmal an, welche Optionen eine effektive CLM-Lösung ´Úü°ù die Erfassung von Zertifikaten bieten sollte.

Integration in CertCentral und ¶ºÒõ¹Ý® ONE CA Manager

Die naheliegendste Methode ´Úü°ù die Zertifikatsuche ist die Verzahnung der CLM-Lösung mit der zugehörigen Zertifizierungsstelle (Certificate Authority, CA). Zum Beispiel kann ¶ºÒõ¹Ý® Trust Lifecycle Manager öffentliche Zertifikate finden, die von ¶ºÒõ¹Ý CertCentral® ausgestellt wurden, und private Zertifikate, die vom ¶ºÒõ¹ÝÌýONE CAÌýManager stammen. Durch diese Integration wird das Management des Zertifikatslebenszyklus vom Zeitpunkt der Ausstellung bis hin zur zentralen Verwaltung vereinfacht und Sie können diese Zertifikate jederzeit identifizieren. Eine solche umfassende Funktionalität bieten CA-unabhängige CLM-³¢Ã¶²õ³Ü²Ô²µ±ð²Ô in der Regel nicht. Dieser Punkt ist eine Ãœberlegung wert, wenn Sie CertCentral bereits nutzen.

Verknüpfung mit anderen CAs

Natürlich nutzen Unternehmen nicht nur Zertifikate von ¶ºÒõ¹Ý und es gibt wohl kaum ein GlobalÌý2000-Unternehmen ohne eine Microsoft-CA. Aufgrund der verstärkten Cloud-Nutzung finden sich auch immer mehr Zertifikate, die von anderen Zertifizierungsstellen wie AWS Private CA ausgestellt werden. Sie benötigen also einen Ansatz, mit dem die Zertifikate dieser CAs gefunden und dann in Ihren zentralen Zertifikatsbestand importiert und dort katalogisiert werden.

Die meisten CA-basierten ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô können keine Zertifikate identifizieren, die nicht von ihnen ausgestellt wurden. Das ist eine Tatsache, die von den Anbietern CA-unabhängiger ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô immer wieder als Verkaufsargument angeführt wird. ¶ºÒõ¹Ý Trust Lifecycle Manager hingegen unterstützt sowohl von ¶ºÒõ¹Ý als auch von anderen Zertifizierungsstellen ausgestellte ZertifikateÌý– ein besonderes Plus!

Doch ¶ºÒõ¹Ý Trust Lifecycle Manager kann noch viel mehr: Wurden die Zertifikate anderer Anbieter erst einmal gefunden, dann werden sie in Ihren Zertifikatsbestand importiert. Anschließend können Sie sie ´Úü°ù eine bessere Identifizierung mit Kennzeichnern versehen und vordefinierte Automatisierungs- und Filterfunktionen darauf anwenden.Ìý

How Trust Lifecycle Manager works with Microsoft CA servers

Abbildung 1: So arbeitet ¶ºÒõ¹Ý Trust Lifecycle Manager mit den CA-Servern von Microsoft zusammen

Port-Scans

Port-Scans sind die einfachste Möglichkeit, Zertifikate zu identifizieren, die nicht direkt von einer Zertifizierungsstelle ausgestellt wurden. Dabei installiert die CLM-Lösung einen Sensor in Ihrer IT-Infrastruktur, den sie ´Úü°ù die Zertifikatsuche nutzt. Sie können angeben, welche Ports oder IP-Adressbereiche (lokal oder in der Cloud) gescannt werden sollen, um Ressourcen wie aktive Dienste und einer IPV4-Adresse zugeordnete Zertifikate zu identifizieren. Mit diesem Verfahren wird sichergestellt, dass Ihre Zertifikate sicher sind, ordnungsgemäß verwaltet werden und den Branchenstandards entsprechen. Darüber hinaus können Sie mit Port-Scans ´Úü°ù da´Úü°ù sorgen, dass die Integrität im Unternehmensnetzwerk gewahrt wird.

¶ºÒõ¹Ý Trust Lifecycle Manager findet mithilfe von Port-Scans einen Großteil der Zertifikate, doch ´Úü°ù bestimmte Zertifikate, wie Zertifikate auf Load-Balancern und Webservern, sind weitere Schritte erforderlich.

Nutzung von Sensoren ´Úü°ù die Zertifikatsuche auf Load-Balancern

Mit einem Port-Scan lassen sich Services, die auf einem Load-Balancer ausgeführt werden, und offene Ports identifizieren. Was Sie damit nicht finden, sind TLS-Zertifikate, denn ein Load-Balancer beendet TLS-Verbindungen und leitet Datenverkehr dann an Backend-Server weiter. Da diese Ports nicht frei zugänglich sind, benötigen Sie Sensoren, um den Netzwerkverkehr an strategischen Punkten im Netzwerk zu überwachen und zu analysieren. Anhand dieser Handshake-Daten können die Zertifikate identifiziert werden, die auf den Ihren Load-Balancern nachgeschalteten Servern genutzt werden. So erhalten Sie einen Überblick über diese Zertifikate und können sie in Ihren zentralen Zertifikatsbestand aufnehmen.

¶ºÒõ¹Ý Trust Lifecycle Manager kann mithilfe der Sensoren Zertifikate hinter Load-Balancern automatisieren. Angesichts der großen Anzahl von Zertifikaten, die im Zusammenhang mit Load-Balancern zu erwarten sind, ist dies eine wichtige Funktion. So werden die Zertifikate nicht nur in Ihr Bestandsverzeichnis aufgenommen und dort verwaltet, sondern es werden auch zusätzliche Zertifikate gefunden, die unter Umständen in diesen unübersichtlichen Umgebungen vorhanden sind.

Importieren über Agenten

Bestimmte Zertifikate, zum Beispiel auf MicrosoftÌýIIS- oder Apache-Webservern installierte Zertifikate, können mit Port-Scans nicht erkannt werden. Vielmehr müssen Sie direkt auf diesen Servern Agenten installieren, die gewisse Informationen (wie Ablaufdaten und verbundene Domains) über solche Zertifikate sammeln und diese dann an Ihr zentrales Bestandsverzeichnis weiterleiten.

¶ºÒõ¹Ý Trust Lifecycle Manager stellt diese Agenten bereit, damit Sie auch solche Zertifikate identifizieren können, die mit anderen Methoden nicht gefunden werden. Darüber hinaus ermöglichen die Agenten von ¶ºÒõ¹Ý Trust Lifecycle Manager die interne AuthentifizierungÌý– eine wichtige Sicherheitsmaßnahme, die den unbefugten Zugriff auf Ihre Server verhindert.

Nutzung vorhandener Tools ´Úü°ù die Schwachstellenerkennung

Beim Aufbau und der Pflege eines zentralen Bestandsverzeichnisses ´Úü°ù Zertifikate spielen alle zuvor erwähnten Mechanismen eine wichtige Rolle. Doch viele Unternehmen, insbesondere die FortuneÌý500, nutzen bereits ³¢Ã¶²õ³Ü²Ô²µ±ð²Ô ´Úü°ù das Schwachstellenmanagement, zum Beispiel Qualys oder Tenable, um Schwachstellen bei den am stärksten vernetzten Ressourcen aufzudecken (etwa bei physischen und virtuellen Servern, Routern und Switches, Cloud-Instanzen, Containern und sogar IoT-Geräten wie Multifunktionsdruckern). Daher möchten sie diese bereits vorhandene Infrastruktur natürlich auch bei der Suche nach digitalen Zertifikaten nutzen.

Derartige Tools ´Úü°ù die Schwachstellenerkennung durchsuchen bereits jeden Winkel des Netzwerks, um ein komplettes Bestandsverzeichnis der Ressourcen und der Umgebungsstruktur anzulegen und zu pflegen. Anstatt also die Netzwerkauslastung weiter zu erhöhen und das Zugriffsmanagement noch komplizierter zu machen (wovon Ihre SecOps-Teams ein Lied singen können), baut ¶ºÒõ¹Ý Trust Lifecycle Manager auf diesen vorhandenen Daten auf und ermöglicht Ihnen das Anlegen eines vollständigen Verzeichnisses Ihres Zertifikatsbestands. Auf diese Weise wird auch sichergestellt, dass alle kryptografischen Ressourcen erfasst werden, was mit herkömmlichen CLM-³¢Ã¶²õ³Ü²Ô²µ±ð²Ô nicht möglich ist.

Haben Sie alle erforderlichen Tools, um digitales Vertrauen in Ihren Betrieb zu integrieren?

Kryptografische Ressourcen wie Schlüssel und Zertifikate finden sich überall in Ihrer IT-Umgebung, vom physischen Rechenzentrum bis zur Cloud. Sie zu identifizieren und in ein zentrales, laufend aktualisiertes Bestandsverzeichnis aufzunehmen, ist ein unglaublich komplexes Unterfangen. Wenn Ihnen verschiedene, nutzerfreundliche Suchmechanismen zur Verfügung stehen, haben Sie die Gewissheit, dass Ihre Bestandsliste vollständig ist und die enthaltenen Informationen in der Praxis genutzt werden können.

Genau dasÌý– plus regelmäßig neu hinzugefügte Methoden zur RessourcenidentifizierungÌý– bietet Ihnen ¶ºÒõ¹Ý Trust Lifecycle Manager. Mit ¶ºÒõ¹Ý Trust Lifecycle Manager erhalten Sie einen beispiellos umfassenden Ãœberblick über Ihre kryptografischen Ressourcen und die Gewissheit, dass Ihr Bestandsverzeichnis (das wir als „Central Book of Record“ oder zentrales Inventar bezeichnen) jederzeit auf dem aktuellen Stand ist. So sorgen Sie in Ihrem Unternehmen ´Úü°ù Schutz, Geschäftskontinuität und eine schnelle Behebung sicherheitsrelevanter VorfälleÌý– abgestimmt auf die individuellen Anforderungen Ihres Unternehmens.

How Trust Lifecycle Manager can discover certificates across your enterprise

Abbildung 2: Trust Lifecycle Manager nutzt eine Vielzahl von Methoden ´Úü°ù die Zertifikatsuche in einer Unternehmensumgebung.

Weitere Informationen über ¶ºÒõ¹Ý® Trust Lifecycle Manager erhalten Sie unter  /de/trust-lifecycle-manager.

UP NEXT
5 Min