IT-Sicherheit: Vertrauen aus der Cloud

Autor/Redakteur: Andreas Philipp, Business Development Manager bei Primekey/gg

Bild: Primekey

Unternehmen setzten in vielen Anwendungsszenarien auf Cloud-Technologie und XaaS-Angebote. Der Gedanke, einen Kernbaustein der IT-Sicherheit in die Cloud zu verlagern, löst bei vielen Verantwortlichen immer noch Schweißausbrüche aus. Wer jedoch seine Public-Key-Infrastruktur (PKI) als Cloud-Plattform oder SaaS betreibt, sichert seine digitale Kommunikation wie bisher auf hohem Niveau ab. Zudem lassen sich die typischen Cloud-Vorteile genießen, wenn Unternehmen die für sie geeignete Cloud-Lösung wählen.

Eine Public-Key-Infrastruktur (PKI) ist aus einem guten Grund immer noch ein etablierter Sicherheitsstandard: Sie verkörpert die einzige Technologie, die robuste, vertrauenswürdige Sicherheitskontrollen von digitalen Identitäten in unsere heutigen digital Kommunikationsinfrastruktur bietet. Andere universell einsetzbare Identitätskontrollverfahren für die digitale Kommunikation, die überall von der E-Commerce-Transaktion über den Browser bis hin zum Abheben an einem Geldautomaten stattfinden können, fehlen. Dieses Alleinstellungsmerkmal paart die PKI mit globaler Verbreitung und einer Langlebigkeit, weswegen manche diese Technologie als veraltet betrachten.

Wie falsch diese Ansicht ist, verdeutlicht das Internet of Things (IoT), deren Anwendungen sich rasant verbreiten. Die Maschine-zu-Maschine (M2M)-Kommunikation entwickelt sich zur dominierenden digitalen Transaktion. Die PKI schafft es auch in diesen Umgebungen am effektivsten, Geräte die Möglichkeit der Authentifizierung und der gesicherten Kommunikation zu bieten.

Der universelle Charakter vereinfacht das Adaptieren

Im Kern basiert eine PKI auf einer Kombination von kryptographischen Verfahren und detaillierten Prozessen, die das Erstellen und den Austausch von Schlüsseln und Zertifikaten regeln. Das Implementieren von beiden Aspekten erfordert grundlegendes technisches Fachwissen. Durch den universellen Charakter der PKI und deren bereitgestellten digitalen Identitäten vereinfacht sich die Übertragung der Technologie und Prozesse auf andere Anwendungsfälle.

Nehmen wir als Beispiel einen großen Einzelhändler. Mittels einer PKI sollen die Smartcards ausgestellt werden, mit denen sich die Mitarbeiter Zugang zu den Büros und Geschäften verschaffen. Gleichzeitig können durch die PKI die Zertifikate ausgestellt werden, die den VPN-Zugang der Mitarbeiter absichern. Des Weiteren kann diese Sicherheitslösung ebenfalls für eine gesicherte Fernwartungslösung genutzt werden. Auch ist es möglich, die gesamte E-Commerce-Infrastruktur für den Einzelhändler durch das Ausstellen von Serverzertifikaten durch die PKI abzusichern, einschließlich Webserver, Load Balancer sowie Serverfarmen. Hinter den verschiedenen Anwendungsfällen kann eine gleichbleibende skalierbare Public Key Infrastruktur stehen. Sind die Konzeption und die daraus folgende Implementierung richtig gewählt, dann erhält der Einzelhändler eine Sicherheitsplattform, die mit seinen Anforderungen wachsen kann.

Bereitstellung aus der Cloud

Gerade im Hinblick auf den Einsatz der PKI im Bereich des IoT ist es wesentlich, die Infrastruktur in die Cloud zu verorten. Nur so ist es möglich, den globalen und weltweiten Einsatz und die Bereitstellung von Sicherheitsdiensten der PKI zu gewährleisten. Das ermöglicht, Zertifikate für die gesicherte Kommunikation von M2M sowie von Mensch zu Maschine bereitzustellen und zu verwalten.

Für eine Cloud-PKI kommt einerseits Software as a Service (SaaS) in Frage, der einen festen Satz von Funktionen bietet. Abgerechnet wird pro Zertifikat oder pro Gerät. Die Alternative dazu ist die Möglichkeit, eine vollständige PKI-Plattform als Cloud-Instanz bei dem bevorzugten Cloud-Provider eines Unternehmens bereitzustellen. Beide Cloud-Varianten setzen den Service-Gedanken konsequent um, etwa bei der Skalierbarkeit und Ausfallsicherheit für jeden Anwender.

Die SaaS-Alternative oder die vollständige Cloud-Option?

Welches Cloud-Modell für eine Firma am besten geeignet ist, hängt von ihrer Größe und Situation ab. Als Faustregel gilt: Wer mit seiner PKI nur wenig Spezialfälle abdecken und deswegen wenig anpassen muss, macht mit SaaS alles richtig. Da eine SaaS-Lösung mit der grundlegenden PKI-Architektur aufwartet, stellt sie für standardisierte Anwendungsfälle wie Webserver- oder TLS oder VPN-Zertifikate oder ähnliche Services für Verbraucher eine gute Wahl dar. Diese macht sich durch eine preiswerte Implementierung sofort bezahlt.