Zertifikats-basierte Ausfälle
Die Nadel im Heuhaufen
Fortsetzung des Artikels von Teil 1
Organisatorische und technische Maßnahmen
Ein anderer wichtiger Punkt sind Richtlinien. Richtlinien für TLS-Zertifikate und andere Maschinenidentitäten müssen Standardverfahren beinhalten, die unternehmensweit implementiert werden. Inkonsistenzen bei der Bereitstellung von Zertifikaten können zu Zertifikatsausfällen führen. Unternehmen können ohne gute, universelle Zertifikatsrichtlinien nicht sicher sein, dass alle Aspekte ihrer PKI- und Zertifikatsimplementierung kompatibel sind. Inkompatibilitäten können zu Ausfällen und Ausfallzeiten führen.
Häufig gibt es Anzeichen dafür, dass ein Zertifikatsausfall bald eintreten könnte, auffallen würde dies zum Beispiel bei der Überwachung der Lebensdauer und des Ablaufdatums eines Zertifikats. Unternehmen müssen über automatisierte Systeme verfügen, die sie warnen, wenn diese Ereignisse bevorstehen. Ebenso wichtig ist es, dass Maschinenidentitäts-Workflows gut in alle ihre Systeme integriert werden müssen, die sie verwenden. DevOps, IT-Service Management, Ticketing, dynamische Webanwendungsdatenbanken - all ihre entsprechenden Backends benötigen reibungslos funktionierende Systeme zur Bereitstellung von Zertifikaten. Jede Störung könnte einen Ausfall verursachen.
Den Teufelskreis des Schwarzen Peters durchbrechen
Empfehlenswert ist es, wenn die Menschen, die mit ihren Zertifikatsdiensten arbeiten, eine gründliche Dokumentation darüber erstellen, wie alles funktioniert. Sie sollten auch gut ausgebildet und bereit sein, Fehler zu beheben, falls etwas schief geht. Zertifikate benötigen ordnungsgemäß delegierte Eigentümer. Irgendwo muss der Schwarze Peter ja aufhören. Wenn Unternehmen nicht wissen, wer für ihre bestimmten Aktionen im Lebenszyklus ihrer Zertifikate verantwortlich ist, kann ein Chaos entstehen. Das kann natürlich zu Zertifikatsausfällen führen. Und wenn ein Zertifikatsinhaber nicht innerhalb eines akzeptablen Zeitrahmens Maßnahmen ergreift, müssen detaillierte Eskalationspfade definiert werden.
Unternehmen erzeugen Hunderte von Zertifikaten pro Tag, insbesondere in DevOps-Abteilungen. Ihre Zertifikatsprozesse können zu einem unüberschaubaren Durcheinander werden, ohne dass alle ihre Zertifikate richtig sichtbar sind. Es gilt die Maxime: Was sie nicht sehen können, können sie nicht reparieren.
Personalwechsel und Neueinstellungen oder Beförderungen können dazu führen, dass Zertifikatsinhaber manchmal on-the-job lernen. Und das ist in Ordnung und oft notwendig. Leider machen Menschen Fehler, und Menschen machen eher Fehler, wenn sie neu sind. Die Implementierung von Systemen, die die Aktionen von Zertifikatsinhabern automatisch validieren, kann ihren Anwendungen dabei helfen, wachsende Personalschwierigkeiten zu überwinden und Zertifikatsausfälle zu vermeiden.
Unternehmen sollten sich ihre Netzwerk- und Anwendungsprotokolle genau ansehen. Dazu gehört auch, die Administratoren zu befragen, was geschah, als der Ausfall entdeckt wurde. Die Verantwortlichen verfolgen ihre Schritte zurück und finden heraus, was schiefgelaufen ist. Die Zertifikatsimplementierung sollte repariert werden, um sicherzustellen, dass es nicht wieder passiert.
- Die Nadel im Heuhaufen
- Organisatorische und technische Maßnahmen
Lesen Sie mehr zum Thema
