4 PKI-Fehler, die Administratoren belasten können

Image by S. Hermann & F. Richter from Pixabay

PKI-Administratoren stehen durch die zunehmende Notwendigkeit mehr Netzwerkverkehr zu verschlüsseln unter starkem Druck die Sicherheit zu verbessern. In den meisten Unternehmen verwalten sehr kleine PKI-Experten-Teams Tausende von TLS-Schlüsseln und -Zertifikaten, sogenannte Maschinenidentitäten. Kleine Fehler können verheerende Folgen haben. Die richtige Technologie ist deshalb notwendig, um Änderungen, die sich auf kritische Sicherheitsressourcen auswirken, von Administratoren nachvollziehbar zu machen.

„Sie können sich nicht in der Cloud bewegen, Kubernetes nutzen, IoT-Netzwerke und mehr bereitstellen, ohne PKI zu verwenden; für die meisten IT-Profis sind Maschinenidentitäten jedoch eine dunkle Kunst mit wenigen Meistern“, sagt Kevin Bocek, Vice President of Security Strategy and Threat Intelligence bei Venafi. „CISOs können IAM-Programme nicht dem Zufall überlassen, daher muss PKI sicher betrieben werden. Letztendlich sollte PKI die Grundlage für robuste Programme zum Schutz der Maschinenidentität bilden; Unternehmen nutzen sie, um den Datenfluss zu vertrauenswürdigen Maschinen zu identifizieren und zu autorisieren.“

Laut Bocek gibt es vier häufige Fehler, die Unternehmen machen und damit Sicherheitsrisiken erhöhen oder die Zuverlässigkeit sowie Verfügbarkeit geschäftskritischer Netzwerkressourcen negativ beeinflussen. Zu diesen gehören:

 

Unternehmen sollten interne und mittlere private Zertifizierungsstellen vergessen

Wenn die Root-Signatur der Zwischenzertifizierungsstelle (CA) eines Unternehmens aus irgendeinem Grund offline geht, müssen Administratoren wissen, wo sie sich befindet. Es gibt Fälle, in denen Unternehmen eine Root-CA auf einer virtuellen Maschine eingerichtet haben und diese dann in den Ruhezustand versetzen konnten. Wenn IT-Ops-Teams die ruhenden virtuellen Maschinen aufräumen, deaktivieren sie versehentlich die gesamte PKI. Dies ist der Fall, da sie die virtuelle Maschine löschen, in der sich die vergessene Root- oder Zwischen-CA befand. Ohne die richtige Technologie könnte es Monate dauern, bis dieser Fehler behoben ist.

 

Nicht-Erlöschen von Zertifikaten und Entfernen von Schlüsseln 

Anwendungseigner und Systemadministratoren, die nicht mit Zertifikaten arbeiten, versuchen häufig, solche an der falschen Stelle zu installieren, Fehler in Anfragen zu machen oder zu vergessen und nicht benötigte oder nicht verwendete Zertifikate zu entfernen. Diese unnötigen Zertifikate dürfen nicht widerrufen werden und die entsprechenden Schlüssel werden nie entfernt. In einigen Unternehmen sind Tausende von unnötigen Maschinenidentitäten auf Hunderten von Servern verstreut. Dies bietet schlechten Akteuren viele Möglichkeiten, die legitimen Zertifikate zu finden und zu missbrauchen.

 

Kontinuierliche Verlängerung der Gültigkeitsdauer von Zertifikaten

Die manuelle Verwaltung von Zertifikaten kann sowohl zeit- als auch ressourcenintensiv sein, insbesondere wenn Unternehmen Tabellenkalkulationen, interne Skripte oder CA-Dashboards mit eingeschränkter Funktionalität verwenden. Es kann verlockend sein, dieses Problem durch eine Verlängerung der Gültigkeitsdauer von Zertifikaten zu reduzieren. Die Technik kann Unternehmen zwar kurzfristig einige Zeit sparen, erhöht aber auch das Sicherheitsrisiko in erheblich. Eine längere Zertifikats-Lebensdauer gibt Angreifern mehr Zeit, die privaten Schlüssel ins Visier zu nehmen.

 

Keine Verfolgung von Wildcard-Zertifikaten

Wildcart-Zertifikate sind so einfach zu verwenden, dass sie oft wahllos eingesetzt werden; viele Unternehmen verfolgen sie nicht einmal. Wenn PKI-Administratoren nicht wissen, auf welchen Rechnern Wildcard-Zertifikate verwendet werden, ist es fast unmöglich, jede Instanz zu erneuern, bevor sie abläuft. Wenn dies geschieht hört jede Maschine, auf der sie installiert wurde, gleichzeitig auf zu kommunizieren. Diese Eventualität kann den Betrieb stören und erfordert umfangreiche Ressourcen, um jede Installation zu verfolgen und neue Zertifikate neu zu installieren.

Kevin Bocek, Vice President Security Strategy & Threat Intelligence bei Venafi

„Es ist allzu einfach, häufige PKI-Fehler zu machen, die schwerwiegende Folgen für Unternehmen haben können“, schließt Bocek ab. „Indem sie einige der Dinge hervorheben, die schrecklich schief gehen können, können mehr PKI-Administratoren die oben beschriebenen Alpträume vermeiden. Der beste Weg, alle größeren Fehler bei PKI zu beseitigen, ist der Aufbau eines Programms zum Schutz der Maschinenidentität. Es sollte Transparenz, Intelligenz und Automatisierung bieten, um Sicherheitsrisiken zu reduzieren und die Zuverlässigkeit und Verfügbarkeit zu erhöhen.“

#Netzpalaver #Venafi