AVANTEC Know-how

Pragmatischer Einstieg in die PKI

Public Key Infrastructure (PKI) Projekte für den Einsatz von digitalen Zertifikaten sind umstritten. Ja, sie versetzen IT-Verantwortliche - zusammen mit dem CFO - manchmal geradezu in eine massive Abwehrhaltung. Sie seien zu komplex und ohne direkte Wertschöpfung, zumindest ist der Nutzen einer PKI als reine Infrastruktur-Investition und ohne klare Anwendungen oft nicht messbar. Und trotzdem ist die PKI bei vielen Unternehmen bereits im Hause, quasi durch die Hintertür angekommen. Zum Beispiel mit Windows Server 2003 stehen die standardmässig eingebauten Zertifikatsdienste bereits zur Verfügung. Oder beim sicheren Remote-Access per Client-VPN und einem USB-Token funktioniert die sichere Authentisierung auf Basis von Zertifikaten und den zugehörigen Schlüsseln. Jetzt müssen im Unternehmen neue Sicherheitsmassnahmen implementiert werden, welche nach der Verwendung von Zertifikaten verlangen. Was tun? Die PKI weiter aufschieben oder sich in ein umfassendes und teures PKI-Projekt stürzen? Wir möchten Ihnen im Folgenden den - wie wir finden - goldenen und pragmatischen Mittelweg aufzeigen: Die Nutzung der bereits vorhandenen PKI-Ressourcen zur raschen und effizienten Lösung anstehender Aufgaben. Wir betrachten im Folgenden ein fiktives Projekt, die aufgezeigten Erfahrungen entstammen aber durchaus dem realen IT-Leben.

Das Wünschenswerte und das Machbare

Unser Beispiel-Unternehmen hat vor einiger Zeit ein dickes Konzept zum Thema PKI-Einführung erstellen lassen. Alle Fachabteilungen, der Security-Officer und das Management haben ihre Anforderungen einfliessen lassen, viele gewünschte und auch zukünftige Anwendungen sind beschrieben worden. Nach einer aufwändigen Ausschreibung werden die zu erwartenden Kosten und Nutzen analysiert. Weil diese in keinem gesunden Verhältnis stehen, wird das Projekt enttäuscht abgeblasen. Das PKI-Konzept ruht seither in einer der dunklen unteren Schubladen des Projektarchivs.

Heute muss sich das Unternehmen aus konkretem Anlass aber wieder mit dem Einsatz von Zertifikaten befassen. Die Netzwerkabteilung muss die Zugangspunkte ihrer neuen drahtlosen Netzwerkumgebung (WLAN) sichern, und das geht am besten mit Zertifikaten. Die IT-Revision meldet das dringende Bedürfnis, den Zugriff auf die mächtigen System-Administratoren Accounts mit einer Zwei-Faktor Authentisierung zu sichern, die Vertraulichkeit der Kundendaten erfordert dies nun explizit. Aus dem gleichen Grund ist auch die Verschlüsselung der heiklen Daten auf den internen File-Servern angezeigt.

Jetzt sind Lösungen gefragt: Soll das grosse PKI Projekt reanimiert werden, oder ist allenfalls doch ein schrittweiser pragmatischer Einstieg zur Nutzung der Zertifikate möglich? Im Wissen der vorhandenen Möglichkeiten lässt man ein spezifisches Angebot für die Lösung der dringlichen Anforderungen auf Basis der bestehenden Windows Server 2003 Umgebung erstellen.

Aber wie steht es mit dem Investitionsschutz und der Ausbaubarkeit bei diesem pragmatischen Vorgehen, fragt die Geschäftsleitung? Die abschliessende Beantwortung dieser Frage verweist wieder auf das grosse PKI-Konzept und ist ausserdem abhängig von zukünftigen Unwägbarkeiten. In einem Befreiungsschlag erwirkt die IT-Leitung jetzt die Umsetzung der angebotenen Sofort-Massnahmen, denn die Begründung überzeugt:

Der Nutzen der konkreten Zertifikatsanwendungen der ersten Phase rechtfertigt die Kosten.
Die Ausbaubarkeit ist in einem vernünftigen Masse gegeben, ohne alle Eventualitäten zu berücksichtigen.
Die Anwendungen der ersten Phase sind erprobt und mit einem vernünftigen Aufwand zu betreiben.
Der Einstieg in zertifikatsbasierte Anwendungen schafft wichtiges Know-how für zukünftige Aufgaben.

PKI mit Windows Server 2003 realisieren

Das Projekt wird gestartet, mit einem überraschend kleinen und vernünftigen Budget! Zuerst wird die einfache PKI-Architektur auf Basis der Certificate Services von Windows Server 2003 realisiert, dies sind die wichtigsten Schritte:

Am bestehenden Active Directory (AD) auf Basis von Windows Server 2003 muss nichts modifiziert werden.

Die PKI wird als zweistufige Hierarchie mit Root CA und Issuing CA erstellt.
Die Root CA schliesst auch die Policy CA mit ein, da keine organisatorische oder politische Trennung der CA Hierarchie vorgesehen ist. Sie wird nur zur Erstellung und zum Zurückziehen von CA Zertifikaten und zur Aktualisierung der Certificate Revocation List (CRL) benötigt. Nur für diese Aktionen wird die Root CA online geschalten. Zum erweiterten Schutz wird die komplette Festplatte der Root CA verschlüsselt.
Die Issuing CA wird als Online CA in das Active Directory integriert. Das gewährleistet einen automatischen Roll-out der Client-Zertifikate und reduziert den Verwaltungsaufwand. Der Server wird gehärtet und hochverfügbar konfiguriert.
Zum Schutz des CA Zertifikats und der wichtigen Private Keys der Issuing CA werden diese in einem externen Hardware Security Module (HSM, z.B. Eracom Protect Server Orange) abgelegt. Diese Appliance stellt dann über das Netzwerk die kryptografischen Dienste allen internen Zertifikatsanwendungen zentral zur Verfügung. Die Sicherheit des HSM ist durch seine FIPS 140-2 Level 3 Zertifizierung gewährleistet, das ist ein wichtiger Punkt auch für die IT-Revision.
Zum manuellen Erstellen der Zertifikate wird eine Enrollment Workstation vorbereitet. Der kritische Private Key und das Zertifikat für den Enrollment Agent werden aus Sicherheitsgründen auf einem USB-Token (oder Smartcard) gespeichert. Der Einsatz eines Token Management Systems ist in der ersten PKI Ausbauphase noch nicht notwendig.

Die ersten Anwendungen aufschalten

Die Zertifikats-Dienste in unserem Beispiel-Unternehmen sind nun also live und können den Anwendungen zur Verfügung gestellt werden:

Zur Authentisierung für das WLAN Segment werden die benötigten Zertifikate für die Arbeitsplatz-Rechner ausgestellt. Die zugehörigen Profile sind in den Standard Templates der Issuing CA vorbereitet und das Roll-out wird per Group Object Policies (GPO) im Active Directory definiert.
Die Zertifikate für die Administratoren werden manuell erstellt und persönlich übergeben. Für die Speicherung und eine sichere Zwei-Faktor-Authentisierung werden die bestehenden USB-Token (z.B. Aladdin eToken) eingesetzt. Über die Windows User-Verwaltung wird diese starke Authentisierung für alle Administratoren erzwungen.
Für die File-Verschlüsselung kritischer Datenbereiche im LAN wird ein entsprechendes PKI-fähiges Produkt eingesetzt (z.B. Eracom ProtectFile Premium). Der Zugriff wird mit der zertifikatsbasierten Authentisierung über das USB-Token maximal geschützt. Die User/Gruppen-Berechtigungen werden bequem über die Windows-Domäne verwaltet.

Ausblick und Schlussfolgerungen

Wie geht es nun weiter? Folgende weitere Szenarien werden in unserem Beispiel-Unternehmen diskutiert und vorbereitet:

Die Erweiterung der PKI-Dienste auf weitere eigenständige Organisationseinheiten (z.B. Ländergesellschaften) wird notwendig. Dies ist einfach möglich in Form von weiteren parallelen Issuing CAs unter der bestehenden Root CA.
Als weitere interne Sicherheitsmassnahme wird die Abgabe eine USB-Tokens oder einer Smartcard an alle Mitarbeiter erwogen. Zusammen mit Windows Secure Domain Logon lässt sich so einfach die Sicherung von unbeaufsichtigten Arbeitsplätzen realisieren. Ausserdem kann schrittweise die starke Authentisierung für kritische interne Applikationen eingeführt werden.

Die PKI-Basis wurde also erfolgreich gelegt, die ersten Anwendungen erfolgreich eingeführt. Die Investitionen waren relativ gering, da nur wenig Server-Hardware und einige ergänzende Security-Produkte beschafft werden mussten. Der externe Dienstleistungsaufwand für die Detailspezifikation und die gemeinsame Umsetzung war mit drei Personenwochen vernünftig. Und das grosse PKI-Konzept harrt weiter in seiner Schublade.

AVANTEC berät Sie gerne für einen auf Ihr Unternehmen massgeschneiderten Vorschlag für die erfolgreiche Einführung von zertifikatsbasierten Anwendungen.