Menü
iX Magazin

Cloud-Arbeitsplatz ohne eigene Public Key Infrastruktur

Viele mittelständische und große Unternehmen leisten sich eine eigene Public-Key-Infrastruktur. Die Cloud macht diese überflüssig und verdrängt sie zunehmend.

Von
Drucken Kommentare lesen
Cloud-Arbeitsplatz ohne eigene Public Key Infrastruktur

Für die Unternehmens-IT bringt die Cloud zum Teil radikale Umbrüche mit sich. Die Praxis zeigt, dass selbst Großunternehmen IT-Kerndienste wie das E-Mail-Backend in die Cloud verlegen können. Ein Cloud-Arbeitsplatz braucht für Provisionierung und Nutzung keine Verbindung ins Unternehmensnetz mehr, eine Internetverbindung reicht völlig aus.

Was bedeutet dieser Wandel für die Public-Key-Infrastruktur (PKI)? Zum Beispiel ist sie für die ausgelagerten Dienste nicht mehr zwingend erreichbar. Trotzdem muss Vertraulichkeit gewahrt werden, weswegen Anbieter ihre eigenen Mechanismen dafür implementiert haben. Das kann so weit gehen, dass eine PKI nicht mehr nötig ist. Dieser Artikel illustriert an Microsoft Azure, wie sich Sicherheit an einem Cloud-Arbeitsplatz ohne PKI erreichen lässt. Das Sicherheitsniveau übersteigt unter Umständen das, was sich mit On-Premises-Systemen umsetzen lässt, manchmal muss man jedoch mit Abstrichen leben. Es gibt verschiedene Anwendungsfälle für Zertifikate und damit für eine PKI. Die meisten davon lassen sich mit den Mitteln von Azure realisieren.

iX-TRACT

• In einer komplexen Firmen-IT-Struktur findet sich oft eine Public-Key-Infrastruktur, die hilft, Nutzer, Geräte und Dienste zu authentifizieren.

• Verwendet man Cloud-Dienste, muss der Anbieter dafür sorgen, dass die Services – Software, Plattform oder Infrastruktur – ein gültiges Zertifikat aufweisen.

• Perspektivisch kann die Cloud eine eigene Public-Key-Infrastruktur obsolet machen.

Die Secure-Varianten der TCP-Protokolle, allen voran HTTPS, basieren auf dem Protokoll TLS und damit auf X.509-Zertifikaten. Betreiber öffentlicher Zertifizierungsstellen (CAs) wie Global Sign und Let’s Encrypt verkaufen beziehungsweise vergeben solche Zertifikate für öffentliche DNS-Namen. Spätestens für Dienste, die von außerhalb des Firmennetzes erreichbar sein sollen, braucht man ein solches Zertifikat, das für alle Browser vertrauenswürdig ist. Dann kann man ohnehin auf keines einer internen PKI zurückgreifen.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

  • Zugriff auf alle Inhalte von heise+
  • exklusive Tests, Ratgeber & Hintergründe: unabhängig, kritisch fundiert
  • mit der Kompetenz von heise online, c't, iX, Technology Review, Mac & i, Make, c't Fotografie
  • einmal anmelden - alle Inhalte aller Fachredaktionen lesen - auf allen Geräten
  • erster Monat gratis, danach monatlich 9,95 €
  • jederzeit kündbar
GRATIS-Monat beginnen Jetzt GRATIS-Monat beginnen Mehr Informationen zu heise+
Anzeige