Het beveiligen van een cloud gebaseerde IT Infra voor 30.000+ apparaten

19 jan ‘23

De wereld verandert snel en de versnelling neemt elk decennium toe. Moderne bedrijven en organisaties passen zich aan naar een IT Infrastructuur die volledig schaalbaar en overal via internet bereikbaar is, zodat medewerkers waar ook maar ter wereld kunnen werken en samenwerken.

Een grote wereldwijd opererende klant, had 3 jaar geleden de uitdaging om de toekomst tegemoet te gaan zonder de faciliteiten van het moeder bedrijf. Dit betekende het bouwen van een flexibele IT Infrastructuur die in korte tijd in staat zou zijn 30.000+ gebruikers overal ter wereld te kunnen ondersteunen.

Gezien deze enorme uitdaging koos het bedrijf ervoor om een nieuwe volledig ‘Cloud’ gebaseerde IT Infrastructuur te ontwerpen die alle medewerkers, thuis of op één van de duizend locaties in de wereld snel en veilig te kunnen voorzien van een werkplek. Een belangrijke uitdaging was het creëren van veilige netwerktoegang zonder de rompslomp van lastig wachtwoordbeheer.

Het bedrijf koos voor 802.1x EAP/TLS certificaat gebaseerde authenticatie, waarbij elk goedgekeurd bedrijfsapparaat toegang krijgt tot het wereldwijde bedrijfsnetwerk op basis van een kort levend authenticatie certificaat en krypto sleutelpaar voor veilig versleutelde toegang.

GlobalSign werd gekozen als Certificaat Autoriteit leverancier van zowel de private authenticatie- en servercertificaten als de publiek vertrouwde server certificaten (TLS/SSL) waarbij alle certificaten worden uitgegeven door het moderne en volledig gecertificeerde, hoog volume Atlas uitgifte platform van GlobalSign.

Hierdoor is het bedrijf verzekerd van het voldoen aan strenge controle en nalevingsregels van het CAB Forum op het gebied van PKI.  Door het kiezen voor kort levende authenticatie certificate verzekerde zij zich ervan dat alle apparaten periodiek gevalideerd worden om zodoende veilige toegang tot het bedrijfsnetwerk te behouden.

Maar hoe wordt nu zo’n authenticatiecertificaat op de juiste manier snel en eenvoudig aangevraagd, uitgerold naar het juiste apparaat en daarna beheerd en op tijd weer vervangen?

Microsoft Intune voor zowel bedrijfs- als ‘Bring Your Own’ (BYO) apparaten, werd gekozen als fundament van de oplossing gezien de MS Azure ervaring van het IT team.

Maar hoe vraagt een door Intune beheerd apparaat dan een authenticatiecertificaat aan bij een publieke CA zoals GlobalSign, zodanig dat het op elk moment duidelijk is welke apparaten;

• Succesvol een certificaat hebben gekregen;
• Verwacht worden hun authenticatiecertificaat in de komende dagen te vernieuwen;
• Geen certificaat hebben gekregen en waarom niet;
• Hun authenticatiecertificaat niet op tijd hebben vernieuwd;
• Nog niet voorzien zijn van een geldig authenticatiecertificaat.

Hiervoor is het KeyTalk Certificate & Key Management System (CKMS), gehost op het private Azure cloud platform, gekozen als kritieke oplossing voor het verwerken en beheren van de certificaat verzoeken van 30.000+ apparaten.

De KeyTalk CKMS servers zijn geïnstalleerd in een N+1 Active-Active configuratie over meerdere globale regio’s in samenwerking met Azure LoadBalancers, Cloud gebaseerde  Utimaco HSMs, en een robuuste en volledig schaalbare Azure MySQL database waarin alle apparaat certificaat management informatie versleuteld wordt bewaard.

Nadat via MS Intune alle profielen op de apparaten zijn uitgerold en toegepast, krijgen de apparaten de opdracht om een authenticatiecertificaat op te halen bij de KeyTalk servers op basis van het Intune SCEP protocol.

De KeyTalk service gedraagt zich als een SCEP proxy voor GlobalSign Atlas, en verifieert eerst het verzoek bij MS Intune. Zodra Intune de authorisatie bevestigt, wordt het originele SCEP gebaseerde Certificate Signing Request (CSR) verstuurd naar GlobalSign Atlas, die vervolgens een gesigneerd certificaat retourneert, of een foutmelding, indien de CSR niet voldoet aan de door GlobalSign gestelde eisen.

De KeyTalk service heeft ondertussen een kopie van het uitgegeven en gesigneerde certificaat opgeslagen in de versleutelde KeyTalk database en stuurt het certificaat door naar MS Intune, die het weer doorstuurt naar het betreffende apparaat waar de publieke sleutel weer wordt verbonden met haar eigen private sleutel tot een uniek paar, waarbij voor Windows OS gebaseerde apparaten de private sleutel wordt opgeslagen op de locale TPM chip, en vervolgens het juiste Wifi 802.1x EAP/TLS profiel wordt toegepast.

Op dagelijkse basis ontvangt deze klant geautomatiseerde rapporten vanuit de KeyTalk service over de voortgang van de certificaat aanvragen en uitrol, zodat het Werkplek team snel kan ingrijpen indien er meldingen komen van niet succesvolle aanvragen.

Dit resulteert in een volledig geautomatiseerd cloud gebaseerd authenticatie certificaat beheer proces voor alle apparaten die veilig moeten aansluiten op hun wereldwijde IT netwerk.

Indien u vragen heeft over deze moderne en uitstekend werkende toepassing in de cloud, neem dan contact met ons op.

The KeyTalk team