ADMIN

2021

06

2021-06-01T12:00:00

Storage-Management

PRAXIS

052

Cloud

Software as a Service

PKI in der Cloud

Schlüsselfertig

von Andreas Philipp

Veröffentlicht in Ausgabe 06/2021 - PRAXIS

Der Bedarf nach Skalierbarkeit sowie niedrigeren Investitionen oder Betriebskosten legt das Auslagern einer Public-Key-Infrastruktur in die Cloud nahe. IT-Sicherheitsadministratoren müssen dabei keine Sicherheitskompromisse eingehen. Zudem bleibt ihnen bei einer Erweiterung erspart, alles neu aufzusetzen, wie in einer lokalen Umgebung. Ob sich nun eine PKI als Cloudplattform oder SaaS besser eignet, hängt entscheidend von den Anwendungsfällen ab. Auch die Anpassungsfähigkeit an neue Regularien und neue Cloud-native Features können die Wahl beeinflussen.

In jeder Branche besteht die Notwendigkeit, die digitale Kommunikation zu authentifizieren und abzusichern. Das Thema, wie wir sicher kommunizieren, sei es via VPN oder TLS, bringt sofort die Public-Key-Infrastruktur (PKI) ins Spiel. Diese Sicherheitsinfrastruktur hat sich als die vertrauenswürdigste Technologie global verbreitet, um Personen und Geräte zu identifizieren sowie deren digitale Kommunikation zwischen den Teilnehmern abzusichern. Zurecht wird die PKI als die Instanz betrachtet, die einen Vertrauensanker bildet. Im Umkehrschluss heißt das: Eine kompromittierte PKI eines Unternehmens würde dessen gesamte digitale Kommunikation unsicher machen. Daher haben Organisationen ihre PKI bislang aus Sicherheitserwägungen vor Ort implementiert.
Klassische PKI ist aufwendig
Das Aufsetzen der Sicherheitsinfrastruktur einer PKI, vom Hardware-Sicherheitsmodul (HSM) bis zur Datenbank, sowie die Integration der detaillierten Prozesse erfordert technisches Expertenwissen, damit das Erstellen, Herausgeben und Austauschen von digitalen Identitäten in Form von Zertifikaten geregelt werden. Steht in einer lokalen Umgebung eine neue Implementierung eines weiteren Anwendungsfalles an, sind Erweiterungen an der bestehenden Infrastruktur bis hin zum Aufbau neuer Hardwaresysteme notwendig.
Auch im Betrieb kommen einige Herausforderungen auf den Sicherheits-Adminstrator zu. Das fällt denen leichter, die über die Netzwerkadministration hinaus bewandert sind. So lassen sich mögliche Hürden im Alltag wie das Verwalten von Betriebssystem-Patches, die Administration von Hardware-Sicherheitsmodulen sowie derer Backup- und Restore-Funktionen schneller überwinden. Aber was ist mit der zunehmenden globalen Erreichbarkeit von Unternehmensdiensten, sei es für interne Dienste als auch im operativen Bereich? Denn daraus ergeben sich spezielle Anforderungen an die PKI.
In jeder Branche besteht die Notwendigkeit, die digitale Kommunikation zu authentifizieren und abzusichern. Das Thema, wie wir sicher kommunizieren, sei es via VPN oder TLS, bringt sofort die Public-Key-Infrastruktur (PKI) ins Spiel. Diese Sicherheitsinfrastruktur hat sich als die vertrauenswürdigste Technologie global verbreitet, um Personen und Geräte zu identifizieren sowie deren digitale Kommunikation zwischen den Teilnehmern abzusichern. Zurecht wird die PKI als die Instanz betrachtet, die einen Vertrauensanker bildet. Im Umkehrschluss heißt das: Eine kompromittierte PKI eines Unternehmens würde dessen gesamte digitale Kommunikation unsicher machen. Daher haben Organisationen ihre PKI bislang aus Sicherheitserwägungen vor Ort implementiert.
Klassische PKI ist aufwendig
Das Aufsetzen der Sicherheitsinfrastruktur einer PKI, vom Hardware-Sicherheitsmodul (HSM) bis zur Datenbank, sowie die Integration der detaillierten Prozesse erfordert technisches Expertenwissen, damit das Erstellen, Herausgeben und Austauschen von digitalen Identitäten in Form von Zertifikaten geregelt werden. Steht in einer lokalen Umgebung eine neue Implementierung eines weiteren Anwendungsfalles an, sind Erweiterungen an der bestehenden Infrastruktur bis hin zum Aufbau neuer Hardwaresysteme notwendig.
Auch im Betrieb kommen einige Herausforderungen auf den Sicherheits-Adminstrator zu. Das fällt denen leichter, die über die Netzwerkadministration hinaus bewandert sind. So lassen sich mögliche Hürden im Alltag wie das Verwalten von Betriebssystem-Patches, die Administration von Hardware-Sicherheitsmodulen sowie derer Backup- und Restore-Funktionen schneller überwinden. Aber was ist mit der zunehmenden globalen Erreichbarkeit von Unternehmensdiensten, sei es für interne Dienste als auch im operativen Bereich? Denn daraus ergeben sich spezielle Anforderungen an die PKI.
Ein Beispiel dafür ist der Auskunftsdienst OCSP-Responder (Online Certificate Status Protocol) als grundlegender Bestandteil einer PKI. Damit dieser Service weltweit angefragt werden kann, ob ein Zertifikat widerrufen oder gesperrt ist, gilt es, die Transaktionsauslastung zu berücksichtigen. Es nützt nichts, wenn das Code-Signing-Zertifikat bei der Installation eines Softwarepaketes geprüft wird, aber der OCSP-Responder überlastet ist und nicht antworten kann.
Lokale PKI bei komplexen Individualisierungen
Anderseits lässt sich aus dem universellen Charakter einer PKI auch in der Anwendung ein Vorteil ziehen. Denn einmal durch die etablierte Unternehmens-PKI bereitgestellte digitale Identitäten für einen Anwendungsfall erlauben es, zusätzliche Anwendungsfälle abzusichern. Beispielsweise würde ein Unternehmen zunächst eine PKI einrichten, die die digitalen Identitäten für den Zugang zu den Büros und Geschäftsräumen ausstellt. Hier können unter anderem auch Smartcard oder andere Token-Technologien zum Einsatz kommen. Im nächsten Schritt ließen sich diese Zertifikate für den gesicherten VPN-Zugang der Mitarbeiter einsetzen und anschließend könnte die Integration der Mitarbeiter im Support erfolgen, die eine gesicherte Fernwartungslösung benötigen.
Auch sind Server-Zertifikate für die gesamte E-Commerce-Infrastruktur, einschließlich Webserver, Loadbalancer sowie Serverfarmen, als Erweiterung der PKI vorstellbar. Die Voraussetzung für dieses Vorgehen bildet eine skalierbare Unternehmens-PKI, die entsprechend den Anwendungsfällen ausgebaut werden kann.
IoT-Szenarien prädestiniert für Cloud-PKI
Mit den immer weiter zunehmenden IoT-Szenarien wachsen ebenfalls die Anforderungen an die Skalierbarkeit und Flexibilität sowie die planbaren Kostenmodelle. Hier spielt die cloudbasierte PKI ihre Stärken aus und bildet die zentrale Instanz, wenn es um Anwendungen im Bereich der M2M-Kommunikation, Gerätezertifikate oder TLS-Verschlüsselungen im IoT Bereich geht.
Ein Beispiel dafür ist die Gesundheitsbranche. Hier gibt es unzählige IoT-Anwendungsfälle, die den Bedarf nach PKI-as-a-Service oder einer PKI aus der Cloud illustrieren. So müssen die Patientenakten vermehrt digital bereitstehen, die nach einer sicheren Authentifizierung und einem geschützten Zugriff im Krankenhaus verlangen. Auf den Stationen sind auch Gegenstände wie Infusionspumpen im Einsatz, bei denen Software die Medikamenteneinnahme über Tropfinfusion steuert. Die einzige Möglichkeit, mit der die Software jede intravenöse Therapie sicher identifiziert, besteht im Authentifizieren über ein digitales Zertifikat. Die Maschine wiederum, auf der die Software läuft, muss dafür sorgen, dass niemand diese Anwendung manipuliert. Allein dafür, dass ein Patient die richtige Dosis seiner Medikamente verabreicht bekommt, müssen mehrere digitale Zertifikate und PKI-basierte Prozesse erfolgreich ineinandergreifen. Erst dann lässt sich eine Manipulation der Daten, Geräte und Kommunikationswege ausschließen.
In einem modernen Krankenhaus stellen sich vergleichbare Anforderungen zudem an chirurgische Roboter, Kühleinheiten und Schlüsselkarten für Sicherheitsbereiche wie Medizinschränke. In solch einer IT-Umgebung zahlt sich ein Vorteil einer PKI aus der Cloud besonders aus: Ihre zentrale Bereitstellung können mehrere Einrichtungen eines Klinikträgers gemeinsam nutzen. Die lokalen IT-Teams müssen keine lokale Serverhardware und Anwendungen zusätzlich aufsetzen und verwalten. Grundsätzlich stehen sie vor der Entscheidung, entweder ihre Sicherheitsarchitektur als SaaS oder als eine vollständige PKI-Plattform zu betreiben. Letztgenannte Variante wird innerhalb einer Cloudinstanz bereitgestellt.
PKI als Service oder als Cloudplattform
Cloud ist heutzutage nicht gleich Cloud. Wie in vielen anderen Cloudbereichen stellt sich auch im Bereich der PKI aus der Cloud die Frage: PKI als Service (PKIaaS) oder als Cloudplattform? Die PKIaaS bietet einen festen Satz von Funktionen. Abgerechnet wird pro Zertifikat oder pro Gerät. Der Ansatz drängt sich auf, wenn es nur wenig Spezialfälle gibt und Standardszenarien dominieren, die kaum angepasst werden müssen. Eine vollständige Individualisierung ist ausgeschlossen, die tiefe Integration der PKI schwierig. Im Bereitstellen von Standard-Zertifikaten für Server, TLS oder VPN spielt der SaaS-Ansatz seine Stärken aus und rechnet sich wegen der preiswerten Implementierung sofort.
Für eine umfangreiche PKI-Implementierung oder bei einem sehr speziellen Anwendungsfall empfiehlt es sich, auf eine vollständige Cloudplattform zu setzen. Diese sollte über eine tiefgreifende API-Unterstützung verfügen. Genauso wichtig ist, darauf zu achten, dass die Abrechnung nach einer Einzellizenz für unbegrenzt viele Zertifikate erfolgt. Dann kostet das System weniger, zudem skaliert es besser, etwa um die schnell zunehmenden IoT-Anwendungsfälle abzudecken. Ein Administrator hat die volle Kontrolle über seine PKI-Cloudplattform und kann jede PKI-Funktionalität und Komponente in der Cloud abbilden.
Die digitale Kommunikation ist ebenfalls von nationalen und internationalen Regulierungen beeinflusst. Sich an diese Vorgaben anzupassen und entsprechende Sicherheitsaspekte zu integrieren, zählt zu den Stärken einer PKI aus der Cloud. Gerade was Anforderungen an die Betriebsumgebung und den Einsatz der zugelassenen Systemkomponenten betrifft, gibt es Cloudanbieter, die genau diese Aspekte abdecken. Das Unternehmen nutzt wie gewohnt seine PKI aus der Cloud und erspart sich aufwendige und zeitraubende Auditierungs- und Zertifizierungsprozesse.
Neue Funktionen für die Cloudzukunft
Die technologische Weiterentwicklung setzt sich natürlich fort. Zu den jüngsten nativen Cloudfunktionen gehört eine dedizierte externe Validation Authority (VA), die das OCSP effizient skaliert. Kostensenkung verspricht ein Feature, das den "AWS Key Management Service" unterstützt. Administratoren freuen sich vor allem über eine vereinfachte Konfiguration für Clustering, Clouddatenbanken und die Integration eines Cloud-HSM.
Auf welchem Niveau die Integration in die Cloud bereits stattfindet, veranschaulicht das Skalieren von Kapazität und Durchsatz bei Bedarf. Diese Fähigkeit zahlt sich aus, wenn die Anforderungen an die Zertifikatsvalidierung plötzlich hochschnellen, weil der PKI-Nutzer neue Dienste oder Produkte einführt. Ein weiterer wichtiger Fortschritt betrifft die Fähigkeit, eine PKI-Umgebung bei mehreren Cloudanbietern laufen zu lassen. Die Notwendigkeit kann sich aus rechtlichen Vorgaben ergeben. Die Verbesserung besteht nun darin, die PKI über eine Verwaltungsschnittstelle zu managen, obwohl sie über verschiedene Clouds genutzt wird.
Fazit
Eine PKI war und ist in der Lage, die anspruchsvollsten Anwendungsfälle für die gesicherte digitale Kommunikation abzubilden. Das gilt für die Zukunft erst recht, wenn wir an das IoT- und M2M-Umfeld oder neue Szenarien denken, etwa vernetzte Autos oder im Gesundheitswesen. Diese Beispiele stehen auch dafür, dass eine PKI im Cloudbetrieb die Komplexität reduziert. Bisher war das Gegenteil aus Sicht der Kritiker der Fall. Eine cloudbasierte Umsetzung bietet nun den erfrischenden Ansatz, die Qualitäten einer bewährten Sicherheitsarchitektur in die nächste Dekade zu transformieren.
(dr)
Andreas Philipp ist Business Development Manager bei Primekey.