PKI und Key Management im Einsatz beim Flughafen Köln Bonn
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Case Study | Flughafen Köln Bonn PKI und Key Management Case Study im Einsatz beim Flughafen Köln Bonn Vom Handheld bis zur Anzeigentafel: Zertifikate für alle Geräte ECOS TrustManagementAppliance ((•)) Anwender: Flughafen Köln Bonn GmbH ((•)) Branche: Flughafenbetreiber ((•)) Ziel: Umsetzung einer PKI-Lösung ((•)) Lösung: Einführung der ECOS TrustManagementAppliance
Flughafen Köln Bonn GmbH 2 Absicherung durch PKI Schlanke, automatisierte Prozesse beim Flughafen Köln Bonn Airport Enorme Zeitersparnis beim Management von Zertifikaten mit der ECOS TrustManagementAppliance Alexander Händel Keine Kompromisse bei der Sicherheit: Hardware- Zertifikate für Geräte außerhalb der »Windows- Datacenter & Shared Services Zertifikate sorgen am Köln Bonn Airport dafür, Welt« waren aufwendig Flughafen Köln Bonn GmbH dass ausschließlich berechtigte Geräte innerhalb Für das Erstellen und Verwalten von Hardware- der Infrastruktur eingesetzt werden können. Mit Zertifikaten vertraute man am Köln Bonn Airport Foto: Köln Bonn Airport »Es gelingt uns Zertfikate der ECOS TrustManagementAppliance hat der bisher auf eine Windowsbasierte PKI-Appliance. mit der ECOS PKI deutlich Flughafen eine zentrale Lösung für die Erstellung Diese wurde beispielsweise dafür genutzt, um schneller und einfacher der Zertifikate für sämtliche Gerätearten etabliert. Zertifikate für die rund 1.200 Windows-Clients auszustellen. Die Zeitersparnis Durch einen hohen Grad an Automatisierung und am Flughafen sowie für Webservices und ver- Anzeigentafel Köln Bonn Airport ist insgesamt enorm, wir benö- die integrierten Managementfunktionen konnte schiedenste Handheld-Geräte zu beziehen und Neben Handhelds werden u.a. auch die tigen pro Vorgang nur noch dabei gleichzeitig der Wartungsaufwand deutlich zu managen. Anzeigetafeln mit der Trust Manage- rund ein Viertel der Zeit«. gesenkt werden. ment Appliance von ECOS abgesichert. Die Lösung funktionierte zwar grundsätzlich, Über den Köln Bonn Airport relativ kompliziert gestaltete sich jedoch der Über zehn Millionen Fluggäste pro Jahr machen Umgang mit Geräten außerhalb der »Windows- den Köln Bonn Airport zu einem der wichtigsten Welt« sowie die Verwaltung der Zertifikate. So Drehkreuze der Luftfahrt in Deutschland. Neben war es zum Beispiel sehr mühsam und zeitauf- dem Passagierbetrieb spielt der rund um die Uhr wendig, ein bestimmtes Zertifikat zu suchen, geöffnete Flughafen auch im internationalen um dieses zu sperren. Auch das Hinterlegen von Frachtverkehr eine bedeutende Rolle. Mit rund Regeln und Templates, um passende Zertifikate 700.000 Tonnen Fracht pro Jahr liegt der Airport für speziellere Geräte zu erstellen, war mit dem in diesem Segment beispielsweise deutlich vor Bestandssystem komplex. München, Berlin-Tegel oder Düsseldorf. »Wir hatten es zum einen mit immer mehr unter- Die hohen Anforderungen an die Sicherheit im schiedlichen Handheld-Systemen zu tun, zum sensiblen Flughafen-Umfeld bestimmen auch anderen kam auch das Thema der zertifikats- die Arbeit der zentralen IT-Abteilung. So muss basierten Netzwerkauthentifizierung auf die etwa sichergestellt werden, dass innerhalb der Agenda«, berichtet Kenan Salaka, Datacenter & Airport-eigenen Netzwerke ausschließlich ent- Shared Services bei der Flughafen Köln Bonn sprechend zugelassene und legitimierte Geräte GmbH. »Dies führte dazu, dass viele neue Geräte, eingesetzt werden können. die im Active Directory noch gar nicht vorhanden Foto: Köln Bonn Airport
3 Flughafen Köln Bonn GmbH we connect IT | we protect IT der Active-Directory-Authentifizierung stand da- All-in-One-PKI-Lösung für die Absicherung sämtlicher Geräte bei der bei vor allem auch die Automatisierung im Mit- Flughafen Köln Bonn GmbH telpunkt, um den Wartungsaufwand zu senken. Es sollte ein so weit wie möglich automatisierter Prozess für alle Arten von Clients geschaffen werden, um Zertifikate auf die Geräte herunterzu- sind, möglichst von Anfang an mit Zertifikaten laden und bei Bedarf selbsttätig zu erneuern. versorgt werden sollten.« ECOS TrustManagementAppliance überzeugte Das Sicherheitsniveau erhöhen bei Proof of Concept Die Ausweitung der Ausgabe von Zertifikaten Nachdem man auf die PKI-Lösung Trust Manage- auf möglichst viele Gerätetypen hatte auch ment Appliance von ECOS Technology aufmerk- den Hintergrund, das Sicherheitsniveau weiter sam wurde, startete ein Proof of Concept am zu erhöhen. So waren etwa bei Anzeigetafeln Köln Bonn Airport. Dabei wurden verschiedenste in den öffentlichen Bereichen des Flughafens Client- und Gerätetypen testweise mit Zertifika- die Netzwerkports lediglich per MAC-Adresse ten versorgt: Von Windows-Clients über Drucker, abgesichert, was der IT-Abteilung schon länger Telefone und Linux-Server bis hin zu (beispiels- ein Dorn im Auge war. Die Einrichtung war weise bei Anzeigeräten genutzten) Raspberries aufwendig, da zum Teil zwei oder noch mehr sowie speziellen Handhelds unter Android und MAC-Adressen pro Gerät eingetragen werden weiteren mobilen Betriebssystemen. mussten, während gleichzeitig die Sicherheit nicht mehr den Vorstellungen entsprach. »Die Tests im Rahmen des Proof of Concept ver- liefen sehr erfolgreich, alles ließ sich sehr einfach Die Gerätevielfalt am Airport ist darüber hinaus einrichten« sagt Salaka. »Das löste bei uns auch generell groß und reicht weit über die klassische die Diskussion aus, sich generell auf ein PKI- Client-Welt hinaus: Von den Handhelds, mit System zu konzentrieren, dieses wirklich im Detail denen die Mitarbeiter auf dem Vorfeld Informati- zu verstehen und dann gewissermaßen eine onen rund um ihre Aufgaben und abzufertigende Rundum-Lösung für die Absicherung sämtlicher Flugzeuge abrufen, über spezielle mobile Geräte Geräte nutzen zu können.« der Sicherheitsmitarbeiter bis hin zu Tablets, die in den »Follow-me-Fahrzeugen« verbaut sind. Heute kommt die ECOS TrustManagement- Grund genug für die IT-Verantwortlichen des Appliance (TMA) als virtuelle Appliance auf Flughafens, sich nach einer besser und universel- VMware-Basis am Flughafen zum Einsatz. Durch ler geeigneten PKI-Lösung für die Erstellung und Clustering wird für Redundanz und Ausfall- Verwaltung von Zertifikaten umzusehen. Neben sicherheit gesorgt – da der Airport rund um die der Unterstützung von Windows und Linux sowie Uhr an sieben Tagen pro Woche in Betrieb ist,
ist die Hochverfügbarkeit der Lösung essentiell. betrifft sowohl die Ausstellung der Zertifikate als Um die Abläufe künftig noch weiter zu auto- Vor der Trust Management Appliance ist zudem auch das Management, wie Alexander Händel matisieren, ist am Flughafen mittelfristig zudem ein Loadbalancer zur Verteilung der Anfragen berichtet, Kollege von Kenan Salaka im Bereich die Einrichtung eines Self-Service-Portals für geschaltet. Der Client zur Abholung der Zerti- Datacenter & Shared Services bei der Flughafen IT-Mitarbeiter und Mitarbeiterinnen aus dem fikate von der Appliance wurde im Rahmen der Köln Bonn GmbH: Application-Bereich geplant. Benötigen diese normalen wöchentlichen Softwareverteilung beispielsweise ein Zertifikat für einen Webserver, auf die Endgeräte ausgerollt, ohne dass die »Es gelingt uns seit der Implementierung der so soll dies künftig dann für den jeweiligen, klar Anwender selbst eingreifen mussten. Bei der PKI-Lösung von ECOS zunächst einmal deutlich abgegrenzten Bereich selbsttätig möglich sein, Anmeldung eines Gerätes per VPN wird nun über schneller und einfacher, die Zertifikate überhaupt was die zentrale IT weiter entlasten wird. das Hardware-Zertifikat geprüft, ob es sich um auszustellen. Das zeigt sich gerade bei den Son- ein vertrauenswürdiges Gerät mit Zertifikat vom derfällen, also zum Beispiel bei Geräten, die nicht Flughafen handelt. Dabei erfolgt mittels Online im Active Directory sind. Wesentlich komfortabler Certificate Status Protocol (OCSP) zusätzlich eine ist außerdem die Suche nach Zertifikaten, um Gegenprüfung, ob das Zertifikat zum aktuellen etwa zu prüfen, was genau ausgestellt wurde Zeitpunkt wirklich gültig ist. oder um ein Zertifikat zurückzuziehen. Die Zeit- ersparnis ist hier insgesamt enorm, wir benötigen Deutliche Zeitersparnis beim Umgang mit pro Vorgang nur noch rund ein Viertel der Zeit« Case Study - Szenario Zertifikaten Nach einiger Zeit im Live-Betrieb haben sich für Für Übersicht sorgt auch ein monatliches Repor- Anwender die PKI-Verantwortlichen am Airport klare Vortei- ting per E-Mail, das darüber informiert, welche Flughafen Köln Bonn GmbH le der ECOS TrustManagementAppliance heraus- Zertifikate neu hinzugekommen sind, welche Branche kristallisiert, die zu einer deutlichen Reduzierung abgelaufen sind oder welche gesperrt wurden Flughafenbetreiber des Wartungsaufwands geführt haben. Dies (zurückgezogen oder temporär gesperrt). Herausforderung Zertifikate für Geräte außerhalb der »Windows-Welt« Lösung Einführung der ECOS TrustManagementAppliance für sämtliche Geräte ECOS Technology GmbH Über die Flughafen Köln Bonn GmbH Sant’ Ambrogio-Ring 13 a-b Über zehn Millionen Fluggäste pro Jahr machen den Köln Bonn 55276 Oppenheim Germany Airport zu einem der wichtigsten Drehkreuze der Luftfahrt in Deutschland. Neben dem Passagierbetrieb spielt der rund um die +49 6133 939 200 Uhr geöffnete Flughafen auch im internationalen Frachtverkehr eine info@ecos.de bedeutende Rolle. ECOS 227.CS.2022/05.DE.03 ecos.de © ECOS Technology GmbH | 11.2021 | All rights reserved. Unauthorized copying, reproduction, hiring, lending and public performance prohibited.
Sie können auch lesen