BLOG

Der Schutz der Maschinenidentität ist ein entscheidender Teil der modernen App-Entwicklung

Frank Strobel Miniaturbild
Frank Strobel
Veröffentlicht am 10. Oktober 2019

Wenn wir von vernetzten Maschinen oder von Maschine-zu-Maschine-Kommunikation sprechen, meinen wir nicht nur die große Zahl physischer Geräte in globalen Unternehmensnetzwerken. Heutzutage umfasst eine Maschine auch Code, der unabhängig auf Geräten, APIs, Containern, serverlosen Architekturen und natürlich virtuellen Maschinen (VMs) ausgeführt wird.

Da diese Maschinentypen softwaredefiniert sind, können sie im Laufe des Tages problemlos erstellt, geändert und zerstört werden. Und diese Benutzerfreundlichkeit hat softwaredefinierte Maschinen zu einem wichtigen Teil des App-Entwicklungs-Workflows gemacht. Im gesamten Prozess der kontinuierlichen Verbesserung und Entwicklung (CI/CD) ist die einfache Inbetriebnahme neuer VMs zum Entwickeln und Testen von Applications oft ein wichtiger Aspekt für die schnelle Markteinführung neuer Applications (oder neuer Funktionen für vorhandene Applications).

Für Application kann eine schnelle CI/CD-Pipeline ein echter Segen sein. Wenn sie jedoch nicht mit Sorgfalt und Überlegung erstellt werden, können all diese VMs Ihre Infrastruktur belasten und Sicherheitslücken verursachen. Und die Maschinensicherheit beginnt mit dem Schutz der Maschinenidentität.

Zur Gewährleistung der Maschinenidentitäten und der Absicherung der Kommunikation zwischen Maschinen sind zwei wesentliche Komponenten erforderlich:

1) Digitale Zertifikate: Über digitale Zertifikate wird ein öffentlicher Schlüssel seinem Besitzer zugeordnet (d. h. einer bestimmten Maschine, zu der in diesem Fall virtuelle Maschinen, Software und Webdomänen zählen). Zertifikate haben immer ein Ablaufdatum und können vor Ablauf viel einfacher erneuert werden.

2) Kryptografische Schlüssel: Mit privaten Schlüsseln kann ein Benutzer Informationen digital signieren, um zu beweisen, dass sie vom Besitzer dieses privaten Schlüssels stammen. Öffentliche Schlüssel werden vom Empfänger verwendet, um zu validieren, dass digitale Signaturen von einem bestimmten privaten Schlüssel stammen. Die Kombination der beiden Schlüssel stellt außerdem sicher, dass mit einem öffentlichen Schlüssel verschlüsselte Daten nur vom Besitzer des zugehörigen privaten Schlüssels entschlüsselt werden können.

Die Aufrechterhaltung einer sicheren Kommunikation hängt von der reibungslosen Implementierung und Koordination von Zertifikaten und Schlüsseln in Ihrem gesamten Netzwerk aus physischen und virtuellen Geräten ab. Der beste Weg, zertifikatsbedingte Ausfälle zu verhindern, ist ein proaktives Management – und hier kommt die Venafi-Plattform ins Spiel. Vor etwa einem Jahr haben wir mit der Arbeit an der Integration von F5 und Venafi begonnen, um sicherzustellen, dass unsere gemeinsamen Kunden HTTPS für ihre Applications einfach und sicher skalieren können, einschließlich der Automatisierung und Skalierung von Applications über Multi-Cloud-Infrastrukturen hinweg. Jetzt freuen wir uns, eine neue Phase dieser Partnerschaft einzuläuten, in der Venafi die branchenführenden Funktionen zum Schutz der Maschinenidentität auf eine Reihe von F5-Produkten und -Lösungen ausweitet, darunter auch BIG-IQ Centralized Management . Mit BIG-IQ und Venafi können Sie Schlüssel und Zertifikate einfacher automatisieren und orchestrieren, um Maschinenidentitäten auf allen Ihren F5 BIG-IPs – physisch und virtuell – zu sichern.

BIG-IQ Centralized Management vereinfacht die Überwachung komplexer BIG-IP-Umgebungen durch Automatisierung der Erkennung, Verfolgung, Verwaltung und Überwachung physischer und virtueller BIG-IP-Geräte (und der darauf ausgeführten Dienste), unabhängig davon, ob sie sich in der Cloud, vor Ort oder am selben Standort in einem anderen Rechenzentrum befinden. Das Zertifikatsmanagement ist eine der vielen Verwaltungsaufgaben, die in BIG-IQ konsolidiert sind. Hier können wir mit der Venafi-Plattform zusammenarbeiten, um die Prozesse der Bereitstellung, Erneuerung oder Änderung von SSL/TLS-Zertifikaten zu automatisieren. BIG-IQ kann Sie auch rechtzeitig vor Ablauf der Zertifikate benachrichtigen, damit Sie vorausplanen können – und Ihnen so Kopfschmerzen ersparen, bevor sie entstehen.

Weitere Ressourcen