PKI – Public Key Infrastruktur

Wir alle wissen, Zertifikate sind oftmals ein leidiges Thema. Die Erfahrung zeigt, dass viele sich an das Thema nicht so recht ran trauen. In der heuten Zeit kommt man aber an einer sauber konfigurierten PKI-Infrastruktur nicht mehr vorbei.

Leider ist uns im Zuge unserer Tätigkeiten immer wieder aufgefallen, dass es sich bei den genutzten Zertifizierungsstellen oftmals um eine „Quick & Dirty“ Lösung handelt. Das bedeutet, dass die Rolle der Zertifizierungsstelle nicht per Best Practice aufgebaut wurde, sondern einfach als zusätzliche Rolle auf einem bestehenden Server, oder noch schlimmer, auf einem der Domänencontroller installiert wurde. Auch die Konfiguration der Sperrlisten ist allzu oft nicht korrekt durchgeführt worden.

Der ein oder andere wird sich jetzt eventuell Fragen: Ist das denn so schlimm?

Ja, ist es!

Abgesehen davon, dass eine Zertifizierungsstelle und die damit ausgestellten Zertifikate eine immer größere Rolle in der Absicherung der eigenen Infrastruktur spielen und somit natürlich auch dementsprechend abgesichert werden müssen, führen auch grade die auf einem Domänencontroller installierten PKI’s zu Problemen sobald man den Domänencontroller einmal ersetzen möchte. Denn, wer schon mal vor so einer Situation stand, weiß, dass sich ein Domänencontroller nicht herunterstufen lässt, sobald dort eine Zertifizierungsstelle läuft. Spätestens dann kommt man in die Bedrängnis, die PKI zu migrieren.

Wie sollte also eine PKI-Infrastruktur aussehen?

Die minimale Konfiguration einer abgesicherten sogenannten 2-stufigen Zertifizierungsstellen-Infrastruktur beinhaltet eine Offline ROOT CA und eine Online ISSUING CA. Optional bietet ein OCSP eine weitere Möglichkeit, Sperrlisten abzugleichen und diese z.B. für extern genutzte Zertifikate erreichbar zu machen.

Offline ROOT CA

Die Offline ROOT CA wird als eigenständige Maschine installiert und darf kein Mitglied der bestehenden Domäne sein. Da die restliche Struktur der PKI auf der ROOT CA aufbaut, muss diese natürlich so sicher wie möglich aufgebaut werden. Das bedeutet in diesem Fall, dass die CA nur die Zertifikate für die ISSUING CA’s ausstellt. In kleineren Unternehmen wird das vermutlich nur ein einziges sein. Nachdem die ROOT CA das Zertifikat ausgestellt hat und alle weiteren Konfigurationen durchgeführt wurden, wird die Maschine ausgeschaltet. Nur bei Aktualisierung der Sperrlisten oder Erneuerung des ISSUING CA Zertifikates wird das System wieder hochgefahren (kleiner Tipp: Dieser Zeitpunkt bietet sich dann natürlich auch super für Windows Updates an).

Dadurch, dass das System also eigentlich dauerhaft ausgeschaltet ist, ist ein Angriff und somit eine Kompromittierung des Systems nahezu unmöglich. Allein diese Tatsache führt zu einem hohen Anstieg der Sicherheit der gesamten PKI-Infrastruktur.

ISSUING CA

Neben der Offline ROOT CA wird dementsprechend eine ISSUING CA konfiguriert. Diese wird als Teil der bestehenden Domäne installiert und dient als Zertifikatsherausgeber für die benötigten Zertifikate im Unternehmen. Sie dient als erste Anlaufstelle für sämtliche Zertifikatsanforderungen und bietet meist ebenfalls die Sperrlisten an.

OCSP

Eine dritte Komponente ist der sogenannte OCSP – Online Certificate Status Protocol. Hierbei handelt es sich um eine Web-Komponente, über die Clients die Abfrage der Sperrlisten durchführen lassen können. Der OCSP dient als Mittelsmann und gibt den Clients die Rückmeldung, ob ein Zertifikat noch gültig ist oder dieses bereits gesperrt wurde. Das verlagert die Last von den Clients hin zum OSCP Server. Aussehen kann eine korrekt eingerichtete PKI-Infrastruktur also wie folgt:

So sollte eine minimale PKI Infrastruktur aufgebaut sein.

Application Protection

Ein weiterer wichtiger Schritt hin zu einer Zero-Trust-Implementierung ist es, sämtliche Anwendungen zu schützen. Azure AD (AAD), als zentrales IAM ermöglicht es einfach, die strengen Benutzerzugriffskontrollen, welche mit MFA und dem bedingten Zugriff (Conditional Access) eingerichtet wurden, für weitere Anwendungen durchzusetzen.

Um Ihre Anwendungen zu schützen, sollten Sie daher zunächst AAD für alle Ihre SaaS-Anwendungen mit SAML, OAuth oder OIDC konfigurieren.

Für Anwendungen, welche diese modernen Protokolle nicht unterstützen, verbinden Sie Ihre VPN-Lösung mit der Azure AD Authentifizierung. Dadurch können Sie die erweiterte Geräte- und Benutzervalidierung nutzen, um so die Sicherheit signifikant zu erhöhen.

Der nächste Schritt besteht darin, Anwendungen von VPNs weg zu verlagern, indem bestehende On-Prem-Geschäftsanwendungen und IaaS-Anwendungen über Azure App Proxy, Kemp Loadbalancer oder NetScaler veröffentlicht werden.

Bedingter Zugriff in Verbindung mit Kemp als Reverse Proxy

Dies schützt nicht nur die Anwendung, sondern ermöglicht es Ihnen auch, Benutzerkonten den Zugriff auf eine einzelne Anwendung zu beschränken. Im Gegensatz zu herkömmlichen VPNs, welche häufig Zugriff auf alle Ports und Protokolle in einem Netzwerk bieten. Und somit eher der Vergangenheit angehören.

Wir erinnern uns, ein wichtiger Ansatz von einer Zero-Trust-Implementierung ist es:

Benutzerkonten erhalten keinen pauschalen Zugriff auf Anwendungen, Dienste und Dateien, sondern lediglich Zugriff auf die Ressourcen, welche diese für die jeweilige Aufgabe benötigen.

Cookie Consent mit Real Cookie Banner