Die „Venafi Platform“ des gleichnamigen Softwarehauses aus dem kalifornischen Palo Alto liefert eine einheitliche Basis für den dynamischen, infrastrukturweiten Schutz von Maschinenidentitäten. Der Hersteller verspricht den Überblick über den Status von Zertifikaten sowie TLS-, SSH- und API-Keys sowie ein automatisiertes, hoch skalierbares Lifecycle-Management für die Identitäten physischer, virtualisierter und containerisierter Recheninstanzen.

„Das Identity-Management war bisher stark auf die Identitäten von Personen konzentriert, aber nicht genug auf die Identitäten von Maschinen“, so Kevin Bocek, Vice President Security Strategy bei Venafi (ausgesprochen wie „Vennafei“), gegenüber LANline. Erforderlich sei deshalb eine gemeinsame Vertrauensbasis für sämtliche Maschinenidentitäten eines Unternehmens. Unter „Maschine“ fasst Venafi laut Bocek dabei physische ebenso wie virtualisierte und containerisierte Compute-Instanzen bis hin zu verteilten Systemen wie einer Blockchain zusammen.

Die treibende Kraft hinter Venafis Business ist dementsprechend auch nicht die zunehmende Vernetzung von Maschinen im klassischen Sinne (Industrial IoT, Industrie 4.0), sondern vielmehr der Trend zu Hybrid-Cloud- und Multi-Cloud-Umgebungen: „Durch Container und Micro-Services steigt die Zahl der erforderlichen Vertrauensbeziehungen exponentiell“, so Bocek. „Das IT-Team muss in solchen Umgebungen stets wissen: Gehört der Container oder der Micro-Service mir? Kann ich ihm vertrauen?“

Venafis Plattform deckt zwei wesentliche Funktionsbereiche ab: Inventarisierung und Lifecycle-Management. Eine Inventarisierung der Identitäten per Discovery samt Abgleich mit den unternehmensinternen Richtlinien soll zunächst den Überblick verschaffen, welche Identitäten vorhanden sind und ob sie den Richtlinien entsprechen. Anschließend verwaltet Venafis Software die Authentizität und Integrität von Zertifikaten und Schlüsseln (SSL/TLS-, SSH-, aber auch API-Keys). Laut Bocek vereint Venafi damit ein PKI- (Public Key Infrastructure), Zertifikats- und API-Schlüssel-Management zu einer gemeinsamen „Machine-Identity-Management“-Lösung. Denn heute, so Bocek, habe das Management der Identitäten von Compute-Instanzen für Unternehmen „strategische Bedeutung“.

In puncto Inventarisierung bietet Venafis Lösung laut deren VP Security Strategy Integrationen mit AWS, Microsoft, Citrix, F5 und weiteren Anbietern zur Discovery von Maschinenidentitäten und den Policy-Abgleich. Zertifikate könne ein Applikationsadministrator einfach per Self-Service erstellen, die Software generiere sie dann automatisch. Hierfür gebe es über 40 Integrationen mit Trust Centers wie DigiCert oder GlobalSign. Im Anschluss übernehme die Software die Durchsetzung der damit verbundenen Richtlinien.

Denn es kommt laut Bocek immer wieder vor, dass Applikationen plötzlich nicht mehr funktionieren, weil zum Beispiel TLS-Zertifikaten nicht rechtzeitig verlängert wurden. In solchen Fällen stehe dann plötzlich ein ganzer Geschäftsprozess still, und eine ebenso hektische wie mühsame Fehlersuche setze ein. Derlei lasse sich durch Venafis automatisiertes ID-Lifecycle-Management vermeiden.

Die Venafi-Software fordert laut Bocek ein bestelltes Zertifikat automatisch vom korrekten Trust Center an, installiert es ebenfalls automatisch in der Applikation und überwacht die Ablauffristen. Dazu gebe es über 1.000 Integrationen mit Anwendungen, die TLS-Zertifikate oder SSH-Schlüssel verwenden. Zudem arbeite die Lösung für den sicheren Betrieb eng mit Hardware-Security-Modulen zusammen: „Wir können die Software mit einem HSM verknüpfen“, so Bocek.

Die Architektur der Lösung beschrieb Bocek gegenüber LANline als zentrales „Gehirn“, das um im Netzwerk verteilte Knoten ergänzt wird. Auf diese Weise könne die Lösung Zertifikate unternehmensweit verteilen, zum Beispiel per REST-API. Sie leiste allerdings kein kontinuierliches Monitoring der Applikationslandschaft, sondern sei rein Event-getrieben, so Bocek.

Die Lösung ist konzipiert für die Installation im Kundennetzwerk. Es gibt zwar laut Bocek auch MSPs (Managed-Service-Provider), die diese Lösung anbieten. Ein solcher MSP offeriere aber lediglich die Fernverwaltung der Lösung, keinen in der Cloud gehosteten, mandantenfähigen Service.

Bezüglich Darstellung und Reporting bietet die Venafi Platform das Übliche: Dashboards für das technische Personal, ein Portal für die Verantwortlichen auf Geschäftsanwendungsseite sowie Reports. Über APIs lässt sich die Lösung laut Bocek auch in Service-Desk-Lösungen wie Remedy oder ServiceNow integrieren. Die Lizenzierung erfolge pro Schlüssel, Code-Signierung oder Maschineninstanz.

Venafi zielt mit der Lösung auf Konzerne und Großkunden („Fortune 5.000“) sowie Behörden, aber mitunter auch auf kleinere Unternehmen, sofern für diese der Applikationsbetrieb geschäftskritisch ist. Derzeit hat der Anbieter laut Bocek weltweit 325 Kunden, in Deutschland unterhalte man seit eineinhalb Jahren ein Vertriebsteam mit zwei Mitarbeitern in Frankfurt.

Weitere Informationen finden sich unter www.venafi.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.