Machine Identity Management

Was ist Machine Identity Management?

Identitätsmanagement für Maschinen (Machine Identity Management) konzentriert sich auf die Geräte, die mit einem Netzwerk verbunden sind und auf Ressourcen in diesem Netzwerk zugreifen. Es unterstützt die Bereitstellung von Netzwerkauthentifizierung und -autorisierung für Geräte und Endpunkte – Geräte im Internet der Dinge, Server, Anwendungen und Workloads – in lokalen, Multi-Cloud- und Hybrid-Cloud-Umgebungen.

Das Konzept der Identität ist für viele Arten von IT-Vorgängen und -Anwendungen entscheidend, um einen Benutzer oder eine Entität zu verstehen. Eine Maschine ist aus der Perspektive der Identität eine nicht-menschliche Entität. Die herkömmliche Identitäts- und Zugriffsverwaltung (IAM) regelt die Identitäten der Benutzer als Funktion der Gewährung angemessener Zugriffsrechte auf der Grundlage des Benutzers. Manchmal ist die Maschinenidentität Teil eines großen IAM-Systems, das sowohl menschliche als auch nicht-menschliche Identitäten verwaltet.

Eine Maschinenidentität ist eine eindeutige Kennung für ein Gerät, die über digitale Zertifikate bereitgestellt wird, beispielsweise ein digitales Zertifikat, das kryptografische Schlüssel zur Verifizierung einer bestimmten Entität verwendet. Das Management der Maschinenidentität ist ein fortlaufender Prozess, der mit der Erkennung beginnt und im Rahmen seines Lebenszyklus fortlaufende Steuerung und Schutz bietet, der mit der Erneuerung fortgesetzt oder mit dem Widerruf beendet wird.

Wie funktioniert das Identitätsmanagement von Maschinen?

Die Grundlage fast aller Maschinenidentitäten ist die Kryptographie, die auf der Public-Key-Infrastruktur (PKI) basiert, und sie ist die Grundlage für die digitalen Zertifikate, die ein bestimmtes Gerät identifizieren.

Ein PKI-basiertes digitales Zertifikat reicht jedoch nicht aus. Um erfolgreich zu sein, umfasst der Prozess des Maschinenidentitätsmanagements mehrere Schritte:

Erkennung und Inventarisierung von Geräten. Der erste Schritt einer Organisation besteht darin, die gesamte Netzwerkinfrastruktur zu scannen, um alle Geräte zu identifizieren, einschließlich physischer Geräte, virtueller Maschinen, Anwendungsprogrammierschnittstellen (APIs) und anderer nicht menschlicher Einheiten. Der abgeschlossene Scan ermöglicht eine Bestandsaufnahme aller Geräteidentitäten, einschließlich Details wie Gerätetyp, Zweck, Standort und aktuelle Authentifizierungsmethoden.

Bewertung. Nach Abschluss der Bestandsaufnahme bewerten Unternehmen das Risikoniveau und die Bedeutung jeder Maschinenidentität. Vorausschauende Unternehmen klassifizieren Maschinen anhand ihrer Rolle, der Sensibilität der verarbeiteten Daten und der Auswirkungen einer Kompromittierung.

Richtlinienfestlegung. Als Nächstes definieren und erstellen Organisationen Richtlinien für die Ausstellung, Erneuerung und den Widerruf von Maschinenidentitäten. Die Richtlinie muss auf Kontrollrichtlinien zugreifen und eine Steuerung bereitstellen, um festzulegen, wer Maschinenidentitäten verwalten und verwenden darf.

Einrichtung der Zertifizierungsstelle. Das für Maschinenidentitäten verwendete digitale Zertifikat erfordert eine Zertifizierungsstelle (Certificate Authority, CA), entweder intern oder extern, um digitale Zertifikate auszustellen und zu verwalten.

Erstellung und Ausstellung von Identitäten. Nach Einrichtung der Zertifizierungsstelle, Festlegung von Richtlinien und Erstellung eines Inventars aller Systeme generieren Organisationen eindeutige Identitäten für jede Einheit, in der Regel in Form digitaler Zertifikate. Für die Erstellung digitaler Zertifikate für jede Einheit muss zunächst eine Zertifikatsignierungsanforderung erstellt werden, die dann zur Signierung an die Zertifizierungsstelle übermittelt wird.

Bereitstellung und Konfiguration. Als Nächstes werden die ausgestellten Zertifikate auf den richtigen Geräten installiert.

Zentrale Verwaltung. Die Zertifizierungsstelle führt zwar ein gewisses Maß an zentralisiertem maschinellem Identitätsmanagement durch, es hat sich jedoch bewährt, eine zentrale Plattform festzulegen, die alle Aspekte des Lebenszyklus überwacht.

Überwachung und Prüfung. Die zentralisierte Verwaltungsplattform, einschließlich ihrer Integration mit vorhandenen Sicherheitswerkzeugen wie Sicherheitsinformations- und Ereignismanagement, bietet oft eine kontinuierliche Überwachung aller Maschinenidentitäten, die Verfolgung ihres Status und ihrer Nutzung sowie etwaiger Anomalien.

Warum ist das Identitätsmanagement von Maschinen wichtig?

Das Identitätsmanagement von Maschinen schützt Organisationen auf verschiedene wesentliche Arten und in verschiedenen Bereichen:

• Cybersicherheit. Sie verhindert unbefugten Zugriff und reduziert das Risiko von Datenschutzverletzungen.
• Sichere Maschinenkommunikation. Sie ermöglicht eine sichere Kommunikation zwischen Maschinen, Anwendungen und Diensten.
• Zero-Trust-Unterstützung. Sie bildet die Grundlage für Zero-Trust-Sicherheitsmodelle, indem sie eine kontinuierliche Überprüfung der Maschinenidentitäten ermöglicht, was unerlässlich ist, wenn das Vertrauen nicht auf der Grundlage des Netzwerkstandorts vorausgesetzt werden kann.
• Zunahme der Identitäten. Die Anzahl der Maschinen wächst schneller als die der menschlichen Benutzer, was eine effiziente Verwaltung der Maschinenidentitäten erforderlich macht.
• Einhaltung von Vorschriften. Organisationen müssen gesetzliche Anforderungen wie die DSGVO (Datenschutz-Grundverordnung), den HIPAA (Health Insurance Portability and Accountability Act) und den PCI-DSS (Payment Card Industry Data Security Standard) erfüllen.
• Betriebliche Effizienz. Durch die Automatisierung des Maschinenidentitätsmanagements werden Zeit und Ressourcen für die manuelle Zertifikatsverwaltung reduziert.

Herausforderungen des Machine Identity Management

Organisationen stehen beim Machine Identity Management vor anhaltenden Herausforderungen:

• Transparenz. Die Nachverfolgung von Zertifikaten und Schlüsseln von Organisationen, einschließlich derer innerhalb und außerhalb des Netzwerkperimeters, ist eine komplexe Aufgabe.
• Zentralisierung von Zertifikaten. Die Standardisierung und Aufrechterhaltung von Prozessen zur Ausstellung von Zertifikaten zwischen verschiedenen Abteilungen ist eine komplexe organisatorische Aufgabe.
• Sicherheit mit öffentlichem und privatem Schlüssel. Unternehmen müssen jederzeit für angemessene Sicherheitsmechanismen für PKI-Teams und Systemadministratoren sorgen, von der sicheren Speicherung von Schlüsseln mit Hardware-Sicherheitsmodulen (HSM) bis hin zur Beschränkung des Zugriffs privilegierter Benutzer.
• Richtlinienkonsistenz. Eine starke, klare Kommunikation trägt dazu bei, dass die Richtlinien für verschiedene Arten von Maschinenidentitäten konsistent bleiben.
• Kryptografische Komplexität. Unternehmen müssen die Schulung ihrer Mitarbeiter priorisieren, um über sich weiterentwickelnde kryptografische Standards und Sicherheitsbedrohungen auf dem Laufenden zu bleiben.
• Systemausfälle. Unternehmen müssen wachsam bleiben und Systemausfälle aufgrund abgelaufener Zertifikate oder Lücken in der Zuständigkeit vermeiden.
• Kostenmanagement. Es ist schwierig, die Betriebskosten im Zusammenhang mit der manuellen Zertifikatsverwaltung zu ermitteln und zu kontrollieren.
• Schnelle Ausstellung und Rücknahme. Die schnelle Bereitstellung und Aufhebung der Bereitstellung von Maschinenidentitäten, insbesondere in Cloud- und Containerumgebungen, ist eine regelmäßige geschäftliche Herausforderung.
• Mitarbeiterkompetenz. Organisationen müssen Mitarbeitende mit dem für eine effektive PKI und ein effektives Maschinenidentitätsmanagement erforderlichen Fachwissen finden, entwickeln und halten.

Hauptanwendungsfälle für das Maschinenidentitätsmanagement

Unter den vielen Beispielen für das Machine Identity Management sind die folgenden typischen Anwendungsfälle:

• Sicherstellung der zunehmenden Verbreitung von Cloud-gesteuerten Systemen. Unternehmen verwalten Identitäten für Cloud-Workloads, virtuelle Maschinen, Container und Mikrodienste.
• Schutz der Identitäten vernetzter Systeme. Neue Geräteidentitäten, die mit dem Internet verbunden sind, einschließlich Sensoren und Industrieanlagen, sind gesichert.
• Schutz von DevOps-Umgebungen. Unternehmen stellen eine ordnungsgemäße Zertifikatsverwaltung in sich schnell verändernden DevOps-Umgebungen sicher.
• Abschirmung der API-Kommunikation. Die API-Kommunikation zwischen Microservices über Rechner hinweg ist geschützt.
• Klarheit im Asset Management. Mit der Erkennungsphase des Maschinenidentitätsmanagements erhalten Unternehmen einen besseren Einblick in die Systeme und Geräte im Netzwerk.

Der Lebenszyklus der Maschinenidentitätsverwaltung

Der Lebenszyklus der Verwaltung von Maschinenidentitäten, von der Erstellung bis zur Stilllegung, umfasst die folgenden Phasen:

• Erzeugung. Die Ausstellungs- oder Erzeugungsphase umfasst die erste Registrierung eines Geräts oder Workloads und den Erwerb eines digitalen Zertifikats.
• Dokumentation. Dazu gehört die Speicherung und Aktualisierung der wichtigsten Angaben zu den neu ausgestellten Zertifikaten, wie Gültigkeitsdauer, Zertifikatstyp, Position in der Kette und Netzwerkstandort. Diese Informationen sind für die Verfolgung und Verwaltung von Zertifikaten unerlässlich.
• Bereitstellung. Es folgt die Bereitstellung bzw. Verteilung. Die Rechneridentität wird für die vorgesehenen Systeme, Geräte oder Anwendungen bereitgestellt. Dies ermöglicht eine sichere Kommunikation und gewährt Zugriffsrechte für den jeweiligen Rechner.
• Kontinuierliche Überwachung. Nach der Bereitstellung beginnt die laufende Überwachung. Die kontinuierliche Überwachung gewährleistet die ordnungsgemäße Funktion, Sicherheit und Konformität von Maschinenidentitäten.
• Erneuerung von Zertifikaten. Wenn sich die Zertifikate ihrem Ablaufdatum nähern, wird die Erneuerungs- oder Rotationsphase kritisch, in der die Maschinenidentität aktualisiert oder erneuert wird, um die Sicherheit aufrechtzuerhalten und den Ablauf zu verhindern.
• Zertifikatssperrung. Während des gesamten Lebenszyklus ist ein Widerruf oder eine Ungültigkeitserklärung aufgrund von Sicherheitsbedenken, Missbrauch oder Veralterung manchmal notwendig.

Bewährte Verfahren für die Verwaltung der Maschinenidentität

Die Verwaltung von Maschinenidentitäten ist oft ein schwieriger Prozess, aber die Befolgung bestimmter Best Practices mildert die ihm innewohnende Komplexität und verbessert die Ergebnisse des Unternehmens. Zu diesen bewährten Verfahren gehören die folgenden:

• Automatisierung. Investieren Sie in Automatisierungs-Tools und IAM-Technologie, um Bestandsdaten mit aktuellen Zertifikaten und Schlüsselinformationen auf dem neuesten Stand zu halten. Automatisierung verringert das Risiko und senkt die Betriebskosten.
• Zentralisierung der Systeme. Setzen Sie ein eigenes Team ein, das speziell für die Verwaltung der Maschinenidentität zuständig ist. Dieser Ansatz verbessert die Transparenz, da dieselben Mitarbeiter und Ressourcen im gesamten Unternehmen Richtlinien zur Rechneridentität erstellen, verfolgen und verwalten.
• Standardisierung der Abläufe. Entwickeln und installieren Sie Betriebsverfahren, die systematische Prozesse und Delegierung für den Lebenszyklus der Maschinenidentität und Wartungsaufgaben beinhalten. Dazu gehört auch die konsequente Rotation von Schlüsseln und Zertifikaten.
• Sichere Speicherung. Speichern Sie alle Maschinenidentitäten, wie SSH-Schlüssel und digitale Zertifikate, in einer zentralen, sicheren Umgebung. Ziehen Sie die Verwendung eines HSM in Betracht, das Zertifikate und Schlüssel auch dann sicher aufbewahrt, wenn das Benutzernetzwerk gefährdet ist.
• Regelmäßig prüfen. Führen Sie in regelmäßigen Abständen Audits der Rechneridentitäten durch, um Schwachstellen wie ablaufende Zertifikate und schwache Passwörter zu finden - und Ausfälle zu verhindern. Die Verwendung von Tools von Drittanbietern automatisiert die Überprüfung.
• In Fachwissen investieren. Die Verwaltung der PKI-Sicherheit, die Prüfung von Zertifikaten und die Dokumentation von Rechneridentitäten sind kritische und komplexe Funktionen. Investieren Sie Zeit und Geld in Personal oder Dienstleister, die sich auf diese Bereiche spezialisiert haben.