Sicherung einer Cloud-basierten IT-Infrastruktur für über 30.000 Geräte

20 Jan ‘23

Die Welt verändert sich rasant und die Beschleunigung nimmt mit jedem Jahrzehnt zu. Moderne Unternehmen und Organisationen stellen sich auf eine IT-Infrastruktur ein, die vollständig skalierbar und von überall über das Internet zugänglich ist, damit Mitarbeiter von überall auf der Welt zusammenarbeiten können.

Ein großer global agierender Kunde stand vor 3 Jahren vor der Herausforderung, ohne die Einrichtungen der Muttergesellschaft sicher zu agieren. Dies bedeutete den Aufbau einer flexiblen IT-Infrastruktur, die in kurzer Zeit mehr als 30.000 Benutzer weltweit unterstützen kann.

Angesichts dieser enormen Herausforderung entschied sich das Unternehmen für die Entwicklung einer neuen, vollständig „Cloud“-basierten IT-Infrastruktur, die allen Mitarbeitern zu Hause oder an einem der tausend Standorte auf der Welt schnell und sicher einen Arbeitsplatz bieten kann. Eine zentrale Herausforderung bestand darin, einen sicheren Netzwerkzugriff ohne umständliche Passwortverwaltung zu schaffen.

Das Unternehmen entschied sich für die zertifikatbasierte 802.1x EAP/TLS-Authentifizierung, bei der jedes zugelassene Unternehmensgerät auf der Grundlage eines kurzlebigen Authentifizierungszertifikats und eines kryptografischen Schlüsselpaars für einen sicher verschlüsselten Zugriff auf das globale Unternehmensnetzwerk zugreifen kann.

GlobalSign wurde als Anbieter von Zertifizierungsstellen sowohl für die privaten Authentifizierungs- und Serverzertifikate als auch für die öffentlich vertrauenswürdigen Serverzertifikate (TLS/SSL) ausgewählt, wobei alle Zertifikate von GlobalSigns moderner und vollständig zertifizierter, hochvolumiger Atlas-Ausstellungsplattform ausgestellt werden. Dadurch wird sichergestellt, dass das Unternehmen die strengen Kontroll- und Compliance-Regeln des CAB-Forums im Bereich PKI erfüllt. Durch die Wahl eines kurzlebigen Authentifizierungszertifikats stellte sie sicher, dass alle Geräte regelmäßig validiert werden, um einen sicheren Zugriff auf das Unternehmensnetzwerk zu gewährleisten.

Aber wie kann ein solches Authentifizierungszertifikat schnell und einfach auf dem richtigen Weg angefordert, auf das richtige Gerät ausgerollt und dann rechtzeitig verwaltet und ersetzt werden? Aufgrund der Erfahrung des IT-Teams mit MS Azure wurde Microsoft Intune sowohl für Unternehmens- als auch für Bring-Your-Own-Geräte (BYO) als Grundlage der Lösung ausgewählt.

Aber wie fordert ein von Intune verwaltetes Gerät ein Authentifizierungszertifikat von einer öffentlichen Zertifizierungsstelle wie GlobalSign an, damit jederzeit klar ist, welche Geräte;

• Erfolgreich ein Zertifikat erhalten;
• Voraussichtlich in den kommenden Tagen ihr Authentifizierungszertifikat erneuern;
• kein Zertifikat erhalten haben und warum nicht;
• ihr Authentifizierungszertifikat nicht rechtzeitig erneuert haben;
• Noch kein gültiges Authentifizierungszertifikat erhalten haben.

Dafür wurde das KeyTalk Certificate & Key Management System (CKMS), das auf der privaten Azure-Cloud-Plattform gehostet wird, als entscheidende Lösung für die Verarbeitung und Verwaltung der Zertifikatsanfragen von über 30.000 Geräten ausgewählt. Die KeyTalk CKMS-Server werden in einer N+1-Aktiv-Aktiv-Konfiguration über mehrere globale Regionen in Verbindung mit Azure LoadBalancern, Cloud-basierten Utimaco-HSMs und einer robusten und vollständig skalierbaren Azure MySQL-Datenbank installiert, die alle Informationen zur Verwaltung von Gerätezertifikaten verschlüsselt.

Nachdem alle Profile über MS Intune ausgerollt und auf die Geräte angewendet wurden, werden die Geräte angewiesen, ein Authentifizierungszertifikat von den KeyTalk-Servern basierend auf dem Intune-SCEP-Protokoll abzurufen. Der KeyTalk-Dienst verhält sich wie ein SCEP-Proxy für GlobalSign Atlas und verifiziert die Anfrage zunächst mit MS Intune. Sobald Intune die Autorisierung bestätigt, wird die ursprüngliche SCEP-basierte Certificate Signing Request (CSR) an GlobalSign Atlas gesendet, der dann ein signiertes Zertifikat oder eine Fehlermeldung zurücksendet, wenn die CSR die Anforderungen von GlobalSign nicht erfüllt.

Der KeyTalk-Dienst hat zwischenzeitlich eine Kopie des ausgestellten und signierten Zertifikats in der verschlüsselten KeyTalk-Datenbank gespeichert und leitet das Zertifikat an MS Intune weiter, das es wiederum an das entsprechende Gerät weiterleitet, wo der öffentliche Schlüssel wieder mit seinem eigenen privaten Schlüssel verknüpft wird eindeutiges Paar, bei dem für Windows-basierte Geräte der private Schlüssel auf dem lokalen TPM-Chip gespeichert wird und dann das richtige Wifi 802.1x EAP/TLS-Profil angewendet wird.

Dieser Kunde erhält vom KeyTalk-Service täglich automatisierte Berichte über den Fortschritt der Zertifikatsanträge und des Rollouts, sodass das Workplace-Team schnell eingreifen kann, wenn Berichte über erfolglose Anträge eingehen. Dies führt zu einem vollständig automatisierten Cloud-basierten Authentifizierungszertifikat-Verwaltungsprozess für alle Geräte, die sich sicher mit ihrem globalen IT-Netzwerk verbinden müssen. Wenn Sie Fragen zu dieser modernen und hervorragend funktionierenden Anwendung in der Cloud haben, kontaktieren Sie uns bitte.

Das KeyTalk-Team