{"id":18370,"date":"2021-03-09T11:32:00","date_gmt":"2021-03-09T10:32:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18370"},"modified":"2021-03-02T10:42:52","modified_gmt":"2021-03-02T09:42:52","slug":"it-sicherheit-vertrauen-aus-der-cloud","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18370","title":{"rendered":"IT-Sicherheit: Vertrauen aus der Cloud"},"content":{"rendered":"\n

Autor\/Redakteur: Andreas Philipp, Business Development Manager bei Primekey<\/a>\/gg<\/p>\n\n\n\n

\"\"<\/a>
Bild: Primekey<\/figcaption><\/figure>\n\n\n\n

Unternehmen setzten in vielen Anwendungsszenarien auf Cloud-Technologie und XaaS-Angebote. Der Gedanke, einen Kernbaustein der IT-Sicherheit in die Cloud zu verlagern, l\u00f6st bei vielen Verantwortlichen immer noch Schwei\u00dfausbr\u00fcche aus. Wer jedoch seine Public-Key-Infrastruktur (PKI) als Cloud-Plattform oder SaaS betreibt, sichert seine digitale Kommunikation wie bisher auf hohem Niveau ab. Zudem lassen sich die typischen Cloud-Vorteile genie\u00dfen, wenn Unternehmen die f\u00fcr sie geeignete Cloud-L\u00f6sung w\u00e4hlen.<\/p>\n\n\n\n\n\n\n\n

Eine Public-Key-Infrastruktur (PKI) ist aus einem guten Grund immer noch ein etablierter Sicherheitsstandard: Sie verk\u00f6rpert die einzige Technologie, die robuste, vertrauensw\u00fcrdige Sicherheitskontrollen von digitalen Identit\u00e4ten in unsere heutigen digital Kommunikationsinfrastruktur bietet. Andere universell einsetzbare Identit\u00e4tskontrollverfahren f\u00fcr die digitale Kommunikation, die \u00fcberall von der E-Commerce-Transaktion \u00fcber den Browser bis hin zum Abheben an einem Geldautomaten stattfinden k\u00f6nnen, fehlen. Dieses Alleinstellungsmerkmal paart die PKI mit globaler Verbreitung und einer Langlebigkeit, weswegen manche diese Technologie als veraltet betrachten.<\/p>\n\n\n\n

Wie falsch diese Ansicht ist, verdeutlicht das Internet of Things (IoT), deren Anwendungen sich rasant verbreiten. Die Maschine-zu-Maschine (M2M)-Kommunikation entwickelt sich zur dominierenden digitalen Transaktion. Die PKI schafft es auch in diesen Umgebungen am effektivsten, Ger\u00e4te die M\u00f6glichkeit der Authentifizierung und der gesicherten Kommunikation zu bieten.<\/p>\n\n\n\n

Der universelle Charakter vereinfacht das Adaptieren<\/strong><\/p>\n\n\n\n

Im Kern basiert eine PKI auf einer Kombination von kryptographischen Verfahren und detaillierten Prozessen, die das Erstellen und den Austausch von Schl\u00fcsseln und Zertifikaten regeln. Das Implementieren von beiden Aspekten erfordert grundlegendes technisches Fachwissen. Durch den universellen Charakter der PKI und deren bereitgestellten digitalen Identit\u00e4ten vereinfacht sich die \u00dcbertragung der Technologie und Prozesse auf andere Anwendungsf\u00e4lle.<\/p>\n\n\n\n

Nehmen wir als Beispiel einen gro\u00dfen Einzelh\u00e4ndler. Mittels einer PKI sollen die Smartcards ausgestellt werden, mit denen sich die Mitarbeiter Zugang zu den B\u00fcros und Gesch\u00e4ften verschaffen. Gleichzeitig k\u00f6nnen durch die PKI die Zertifikate ausgestellt werden, die den VPN-Zugang der Mitarbeiter absichern. Des Weiteren kann diese Sicherheitsl\u00f6sung ebenfalls f\u00fcr eine gesicherte Fernwartungsl\u00f6sung genutzt werden. Auch ist es m\u00f6glich, die gesamte E-Commerce-Infrastruktur f\u00fcr den Einzelh\u00e4ndler durch das Ausstellen von Serverzertifikaten durch die PKI abzusichern, einschlie\u00dflich Webserver, Load Balancer sowie Serverfarmen. Hinter den verschiedenen Anwendungsf\u00e4llen kann eine gleichbleibende skalierbare Public Key Infrastruktur stehen. Sind die Konzeption und die daraus folgende Implementierung richtig gew\u00e4hlt, dann erh\u00e4lt der Einzelh\u00e4ndler eine Sicherheitsplattform, die mit seinen Anforderungen wachsen kann.<\/p>\n\n\n\n

Bereitstellung aus der Cloud<\/strong><\/p>\n\n\n\n

Gerade im Hinblick auf den Einsatz der PKI im Bereich des IoT ist es wesentlich, die Infrastruktur in die Cloud zu verorten. Nur so ist es m\u00f6glich, den globalen und weltweiten Einsatz und die Bereitstellung von Sicherheitsdiensten der PKI zu gew\u00e4hrleisten. Das erm\u00f6glicht, Zertifikate f\u00fcr die gesicherte Kommunikation von M2M sowie von Mensch zu Maschine bereitzustellen und zu verwalten.<\/p>\n\n\n\n

F\u00fcr eine Cloud-PKI kommt einerseits Software as a Service (SaaS) in Frage, der einen festen Satz von Funktionen bietet. Abgerechnet wird pro Zertifikat oder pro Ger\u00e4t. Die Alternative dazu ist die M\u00f6glichkeit, eine vollst\u00e4ndige PKI-Plattform als Cloud-Instanz bei dem bevorzugten Cloud-Provider eines Unternehmens bereitzustellen. Beide Cloud-Varianten setzen den Service-Gedanken konsequent um, etwa bei der Skalierbarkeit und Ausfallsicherheit f\u00fcr jeden Anwender.<\/p>\n\n\n\n

Die SaaS-Alternative oder die vollst\u00e4ndige Cloud-Option?<\/strong><\/p>\n\n\n\n

Welches Cloud-Modell f\u00fcr eine Firma am besten geeignet ist, h\u00e4ngt von ihrer Gr\u00f6\u00dfe und Situation ab. Als Faustregel gilt: Wer mit seiner PKI nur wenig Spezialf\u00e4lle abdecken und deswegen wenig anpassen muss, macht mit SaaS alles richtig. Da eine SaaS-L\u00f6sung mit der grundlegenden PKI-Architektur aufwartet, stellt sie f\u00fcr standardisierte Anwendungsf\u00e4lle wie Webserver- oder TLS oder VPN-Zertifikate oder \u00e4hnliche Services f\u00fcr Verbraucher eine gute Wahl dar. Diese macht sich durch eine preiswerte Implementierung sofort bezahlt.<\/p>\n\n\n\n\n\n\n\n

Anders sieht es bei einer gro\u00dfen PKI-Implementierung und einem speziellen Anwendungsfall aus, bei denen jeweils viel anzupassen ist. F\u00fcr beide Szenarien stellt wom\u00f6glich eine vollst\u00e4ndige Cloud-Plattform, die eine tiefgreifende API-Unterst\u00fctzung wie die Primekey EJBCA Cloud bietet, die bessere Variante dar. Wer diese Cloud-Option zieht, sollte das Abrechnungsmodell darauf pr\u00fcfen, ob es auf einer Einzellizenz f\u00fcr unbegrenzt viele Zertifikate beruht. In dem Fall zahlt der Anwender nicht nur weniger, sondern seine L\u00f6sung skaliert besser.<\/p>\n\n\n\n

Mit einer Plattform skalieren und die gesamte PKI-Funktionalit\u00e4t abbilden<\/strong><\/p>\n\n\n\n

Relevant ist das Skalieren zum Beispiel f\u00fcr eine Firma, die eine gro\u00dfe Menge an Anwendungsf\u00e4llen im IoT-Umfeld abdecken will. In einer vergleichbaren Situation befinden sich unter anderem Unternehmen in der Medizintechnik oder in der Automobilbranche. Die Organisationen haben dann die volle Kontrolle, was das Bereitstellen ihrer PKI-Cloud-Plattform anbelangt. Unerheblich ist, wie speziell ihr Anwendungsfall ist. Beispielsweise zum Absichern \u00fcber Zertifikate, die nicht auf dem TLS-(Transport Layer Security)-Protokoll basieren, nutzen Entwickler den gesicherten API-Zugriff. Diese M\u00f6glichkeit steht auch dem DevOps-Team eines Herstellers offen, das einen PKI-Layer in ein Produkt integrieren muss. Die gesch\u00fctzte API-Unterst\u00fctzung ist der Sch\u00fcssel, um aus der Cloud-Plattform eine ma\u00dfgeschneiderte PKI-Anwendung zu machen.<\/p>\n\n\n\n

Auf technischer Ebene l\u00e4sst sich jede der PKI-Komponenten, einschlie\u00dflich der Certificate Authority (CA), der Registration Authority (RA) und der Validation Authority (VA) mit dem OCSP (Online Certificate Status Protocol) und der CRL (Certificate Revocation List), in die Cloud verlagern. Dar\u00fcber hinaus kann ein Unternehmen die gesamte PKI-Funktionalit\u00e4t, \u00fcber die eine On-Premises-Implementierung verf\u00fcgt, auch in der nativen Cloud-L\u00f6sung verwirklichen. Selbst ein Hardware-Sicherheitsmodul (HSM) kann in der Cloud umgesetzt werden.<\/p>\n\n\n\n

Kontrolle und Integration in die Cloud<\/strong><\/p>\n\n\n\n

Die Kontrolle im Cloud-Betrieb h\u00e4ngt davon ab, wie eine Firma ihre PKI organisiert. So kann sie f\u00fcr ihre Plattform mehrere CAs einrichten, sodass sich die L\u00f6sung \u00fcber mehrere PKI-Hierarchien mit den jeweils zugeh\u00f6rigen Zertifizierungsstellen verwalten l\u00e4sst. Das funktioniert selbst f\u00fcr den Fall, bei dem jede CA ihre eigenen Administratorgruppen hat. Dar\u00fcber hinaus gewinnen Unternehmen enorm an Flexibilit\u00e4t, da eine ausgereifte L\u00f6sung Tausende OCSP-Anfragen pro Sekunde und g\u00e4ngige PKI-Protokolle verarbeitet. Diese Performance funktioniert \u00fcber verschiedene Ger\u00e4te, Betriebssysteme und Standorte hinweg. Diese F\u00e4higkeit beruht darauf, dass eine native Cloud-PKI-Plattform Millionen Optionen zum Konfigurieren erlaubt. Den Integrationsprozess vereinfacht eine vollst\u00e4ndige REST API noch weiter, was letztendlich gestattet, die Plattform bei mehreren Cloud-Anbietern laufen zu lassen.<\/p>\n\n\n\n

Mehr als den Trumpf der Flexibilit\u00e4t f\u00fcr die PKI ausspielen<\/strong><\/p>\n\n\n\n

Eine PKI sichert im On-Premises- und Cloud-Betrieb die digitale Kommunikation auf demselben Niveau ab. Allerdings fallen bei der Cloud-Option nur CAPEX-Kosten an, die wegen fehlender Hardware und Software-Appliances sogar noch sinken. Weitere Vorteile sind geringe Entwicklungs- und Einf\u00fchrungszeit, um eine PKI voll funktionsf\u00e4hig einzustellen. Ihre St\u00e4rke, die einfache Skalierung, spielt eine PKI im Cloud-Hosting vor allem aus, wenn eine Firma w\u00e4chst oder umstrukturieren muss. Ebenso schnell lassen sich \u00c4nderungen wie der Widerruf von Zertifikaten, Umstellungen der Verschl\u00fcsselungsschemata oder der Wechsel \u2013 auf Verwaltungsebene \u2013 zu einem Managed-Security-Services-Modell realisieren. Jedoch unterscheiden sich die Cloud-Modelle. Gegen\u00fcber einer SaaS-L\u00f6sung punktet eine PKI-Cloud-Plattform insbesondere damit, dass sie die Kontrolle f\u00fcr jeden Aspekt des PKI-Einsatzes und der verwendeten Zertifikate bietet. Sobald eine Organisation beispielsweise die genutzten kryptographischen Algorithmen \u00e4ndern m\u00f6chte, liegt dieser Prozess vollst\u00e4ndig in ihrer Hand. Au\u00dferdem entstehen keine zus\u00e4tzlichen Kosten wie bei einem SaaS-Modell.<\/p>\n","protected":false},"excerpt":{"rendered":"

Unternehmen setzten in vielen Anwendungsszenarien auf Cloud-Technologie und XaaS-Angebote. Der Gedanke, einen Kernbaustein der IT-Sicherheit in die Cloud zu verlagern, l\u00f6st bei vielen Verantwortlichen immer noch Schwei\u00dfausbr\u00fcche aus. Wer jedoch seine Public-Key-Infrastruktur (PKI) als Cloud-Plattform oder SaaS betreibt, sichert seine digitale Kommunikation wie bisher auf hohem Niveau ab. Zudem lassen sich die typischen Cloud-Vorteile genie\u00dfen, wenn Unternehmen die f\u00fcr sie geeignete Cloud-L\u00f6sung w\u00e4hlen.<\/p>\n","protected":false},"author":1,"featured_media":18371,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[6257,3764,2869,5263,12262,555,11447],"class_list":["post-18370","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-cloud","tag-iot","tag-m2m","tag-pki","tag-primekey","tag-saas","tag-xaas"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18370","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18370"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18370\/revisions"}],"predecessor-version":[{"id":18373,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18370\/revisions\/18373"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18371"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18370"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18370"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18370"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}