Sysbus
ArtikelSecurity

IT-Sicherheit: Vertrauen aus der Cloud

gg

Anders sieht es bei einer großen PKI-Implementierung und einem speziellen Anwendungsfall aus, bei denen jeweils viel anzupassen ist. Für beide Szenarien stellt womöglich eine vollständige Cloud-Plattform, die eine tiefgreifende API-Unterstützung wie die Primekey EJBCA Cloud bietet, die bessere Variante dar. Wer diese Cloud-Option zieht, sollte das Abrechnungsmodell darauf prüfen, ob es auf einer Einzellizenz für unbegrenzt viele Zertifikate beruht. In dem Fall zahlt der Anwender nicht nur weniger, sondern seine Lösung skaliert besser.

Mit einer Plattform skalieren und die gesamte PKI-Funktionalität abbilden

Relevant ist das Skalieren zum Beispiel für eine Firma, die eine große Menge an Anwendungsfällen im IoT-Umfeld abdecken will. In einer vergleichbaren Situation befinden sich unter anderem Unternehmen in der Medizintechnik oder in der Automobilbranche. Die Organisationen haben dann die volle Kontrolle, was das Bereitstellen ihrer PKI-Cloud-Plattform anbelangt. Unerheblich ist, wie speziell ihr Anwendungsfall ist. Beispielsweise zum Absichern über Zertifikate, die nicht auf dem TLS-(Transport Layer Security)-Protokoll basieren, nutzen Entwickler den gesicherten API-Zugriff. Diese Möglichkeit steht auch dem DevOps-Team eines Herstellers offen, das einen PKI-Layer in ein Produkt integrieren muss. Die geschützte API-Unterstützung ist der Schüssel, um aus der Cloud-Plattform eine maßgeschneiderte PKI-Anwendung zu machen.

Auf technischer Ebene lässt sich jede der PKI-Komponenten, einschließlich der Certificate Authority (CA), der Registration Authority (RA) und der Validation Authority (VA) mit dem OCSP (Online Certificate Status Protocol) und der CRL (Certificate Revocation List), in die Cloud verlagern. Darüber hinaus kann ein Unternehmen die gesamte PKI-Funktionalität, über die eine On-Premises-Implementierung verfügt, auch in der nativen Cloud-Lösung verwirklichen. Selbst ein Hardware-Sicherheitsmodul (HSM) kann in der Cloud umgesetzt werden.

Kontrolle und Integration in die Cloud

Die Kontrolle im Cloud-Betrieb hängt davon ab, wie eine Firma ihre PKI organisiert. So kann sie für ihre Plattform mehrere CAs einrichten, sodass sich die Lösung über mehrere PKI-Hierarchien mit den jeweils zugehörigen Zertifizierungsstellen verwalten lässt. Das funktioniert selbst für den Fall, bei dem jede CA ihre eigenen Administratorgruppen hat. Darüber hinaus gewinnen Unternehmen enorm an Flexibilität, da eine ausgereifte Lösung Tausende OCSP-Anfragen pro Sekunde und gängige PKI-Protokolle verarbeitet. Diese Performance funktioniert über verschiedene Geräte, Betriebssysteme und Standorte hinweg. Diese Fähigkeit beruht darauf, dass eine native Cloud-PKI-Plattform Millionen Optionen zum Konfigurieren erlaubt. Den Integrationsprozess vereinfacht eine vollständige REST API noch weiter, was letztendlich gestattet, die Plattform bei mehreren Cloud-Anbietern laufen zu lassen.

Mehr als den Trumpf der Flexibilität für die PKI ausspielen

Eine PKI sichert im On-Premises- und Cloud-Betrieb die digitale Kommunikation auf demselben Niveau ab. Allerdings fallen bei der Cloud-Option nur CAPEX-Kosten an, die wegen fehlender Hardware und Software-Appliances sogar noch sinken. Weitere Vorteile sind geringe Entwicklungs- und Einführungszeit, um eine PKI voll funktionsfähig einzustellen. Ihre Stärke, die einfache Skalierung, spielt eine PKI im Cloud-Hosting vor allem aus, wenn eine Firma wächst oder umstrukturieren muss. Ebenso schnell lassen sich Änderungen wie der Widerruf von Zertifikaten, Umstellungen der Verschlüsselungsschemata oder der Wechsel – auf Verwaltungsebene – zu einem Managed-Security-Services-Modell realisieren. Jedoch unterscheiden sich die Cloud-Modelle. Gegenüber einer SaaS-Lösung punktet eine PKI-Cloud-Plattform insbesondere damit, dass sie die Kontrolle für jeden Aspekt des PKI-Einsatzes und der verwendeten Zertifikate bietet. Sobald eine Organisation beispielsweise die genutzten kryptographischen Algorithmen ändern möchte, liegt dieser Prozess vollständig in ihrer Hand. Außerdem entstehen keine zusätzlichen Kosten wie bei einem SaaS-Modell.

Ähnliche Beiträge:

  1. Frage der Woche: Software as a Service
  2. Sichere Kommunikation in Multi-Vendor- und verteilten Fertigungsumgebungen
  3. Sysbus-Trends 2020 Teil V
  4. Sysbus Trend-Thema “Sicherheit”

Das könnte dir auch gefallen

ThreatDefend-Plattform sieht Angreiferverhalten voraus

gg

IT-Sicherheit im deutschen Mittelstand – Zu viele Lösungen für eine Menge Probleme

gg

Expertenkommentar zum Thema “Sicherheit im Wandel”

gg