PKI und Key Management im Einsatz beim Flughafen Köln Bonn

Die Seite wird erstellt Tilda Auer
 
WEITER LESEN
PKI und Key Management im Einsatz beim Flughafen Köln Bonn
Case Study | Flughafen Köln Bonn

                                 PKI und Key Management
Case Study

                                 im Einsatz beim Flughafen Köln Bonn
                                 Vom Handheld bis zur Anzeigentafel: Zertifikate für alle Geräte
 ECOS TrustManagementAppliance

                                 ((•))   Anwender: Flughafen Köln Bonn GmbH
                                 ((•))   Branche: Flughafenbetreiber
                                 ((•))   Ziel: Umsetzung einer PKI-Lösung
                                 ((•))   Lösung: Einführung der ECOS TrustManagementAppliance
PKI und Key Management im Einsatz beim Flughafen Köln Bonn
Flughafen Köln Bonn GmbH   2

                                  Absicherung durch PKI
                                  Schlanke, automatisierte Prozesse beim
                                  Flughafen Köln Bonn Airport

                                  Enorme Zeitersparnis beim Management von Zertifikaten mit
                                  der ECOS TrustManagementAppliance

Alexander Händel                  Keine Kompromisse bei der Sicherheit: Hardware-        Zertifikate für Geräte außerhalb der »Windows-
Datacenter & Shared Services      Zertifikate sorgen am Köln Bonn Airport dafür,         Welt« waren aufwendig
Flughafen Köln Bonn GmbH          dass ausschließlich berechtigte Geräte innerhalb       Für das Erstellen und Verwalten von Hardware-
                                  der Infrastruktur eingesetzt werden können. Mit        Zertifikaten vertraute man am Köln Bonn Airport
                                                                                                                                                Foto: Köln Bonn Airport
»Es gelingt uns Zertfikate        der ECOS TrustManagementAppliance hat der              bisher auf eine Windowsbasierte PKI-Appliance.
mit der ECOS PKI deutlich         Flughafen eine zentrale Lösung für die Erstellung      Diese wurde beispielsweise dafür genutzt, um
schneller und einfacher           der Zertifikate für sämtliche Gerätearten etabliert.   Zertifikate für die rund 1.200 Windows-Clients
auszustellen. Die Zeitersparnis   Durch einen hohen Grad an Automatisierung und          am Flughafen sowie für Webservices und ver-        Anzeigentafel Köln Bonn Airport
ist insgesamt enorm, wir benö-    die integrierten Managementfunktionen konnte           schiedenste Handheld-Geräte zu beziehen und        Neben Handhelds werden u.a. auch die
tigen pro Vorgang nur noch        dabei gleichzeitig der Wartungsaufwand deutlich        zu managen.                                        Anzeigetafeln mit der Trust Manage-
rund ein Viertel der Zeit«.       gesenkt werden.                                                                                           ment Appliance von ECOS abgesichert.
                                                                                         Die Lösung funktionierte zwar grundsätzlich,
                                  Über den Köln Bonn Airport                             relativ kompliziert gestaltete sich jedoch der
                                  Über zehn Millionen Fluggäste pro Jahr machen          Umgang mit Geräten außerhalb der »Windows-
                                  den Köln Bonn Airport zu einem der wichtigsten         Welt« sowie die Verwaltung der Zertifikate. So
                                  Drehkreuze der Luftfahrt in Deutschland. Neben         war es zum Beispiel sehr mühsam und zeitauf-
                                  dem Passagierbetrieb spielt der rund um die Uhr        wendig, ein bestimmtes Zertifikat zu suchen,
                                  geöffnete Flughafen auch im internationalen            um dieses zu sperren. Auch das Hinterlegen von
                                  Frachtverkehr eine bedeutende Rolle. Mit rund          Regeln und Templates, um passende Zertifikate
                                  700.000 Tonnen Fracht pro Jahr liegt der Airport       für speziellere Geräte zu erstellen, war mit dem
                                  in diesem Segment beispielsweise deutlich vor          Bestandssystem komplex.
                                  München, Berlin-Tegel oder Düsseldorf.
                                                                                         »Wir hatten es zum einen mit immer mehr unter-
                                  Die hohen Anforderungen an die Sicherheit im           schiedlichen Handheld-Systemen zu tun, zum
                                  sensiblen Flughafen-Umfeld bestimmen auch              anderen kam auch das Thema der zertifikats-
                                  die Arbeit der zentralen IT-Abteilung. So muss         basierten Netzwerkauthentifizierung auf die
                                  etwa sichergestellt werden, dass innerhalb der         Agenda«, berichtet Kenan Salaka, Datacenter &
                                  Airport-eigenen Netzwerke ausschließlich ent-          Shared Services bei der Flughafen Köln Bonn
                                  sprechend zugelassene und legitimierte Geräte          GmbH. »Dies führte dazu, dass viele neue Geräte,
                                  eingesetzt werden können.                              die im Active Directory noch gar nicht vorhanden                                          Foto: Köln Bonn Airport
PKI und Key Management im Einsatz beim Flughafen Köln Bonn
3   Flughafen Köln Bonn GmbH

                                                                                                                       we connect IT | we protect IT

                                                                                                    der Active-Directory-Authentifizierung stand da-
All-in-One-PKI-Lösung für die Absicherung sämtlicher Geräte bei der                                 bei vor allem auch die Automatisierung im Mit-
Flughafen Köln Bonn GmbH                                                                            telpunkt, um den Wartungsaufwand zu senken.
                                                                                                    Es sollte ein so weit wie möglich automatisierter
                                                                                                    Prozess für alle Arten von Clients geschaffen
                                                                                                    werden, um Zertifikate auf die Geräte herunterzu-
                                               sind, möglichst von Anfang an mit Zertifikaten       laden und bei Bedarf selbsttätig zu erneuern.
                                               versorgt werden sollten.«
                                                                                                    ECOS TrustManagementAppliance überzeugte
                                               Das Sicherheitsniveau erhöhen                        bei Proof of Concept
                                               Die Ausweitung der Ausgabe von Zertifikaten          Nachdem man auf die PKI-Lösung Trust Manage-
                                               auf möglichst viele Gerätetypen hatte auch           ment Appliance von ECOS Technology aufmerk-
                                               den Hintergrund, das Sicherheitsniveau weiter        sam wurde, startete ein Proof of Concept am
                                               zu erhöhen. So waren etwa bei Anzeigetafeln          Köln Bonn Airport. Dabei wurden verschiedenste
                                               in den öffentlichen Bereichen des Flughafens         Client- und Gerätetypen testweise mit Zertifika-
                                               die Netzwerkports lediglich per MAC-Adresse          ten versorgt: Von Windows-Clients über Drucker,
                                               abgesichert, was der IT-Abteilung schon länger       Telefone und Linux-Server bis hin zu (beispiels-
                                               ein Dorn im Auge war. Die Einrichtung war            weise bei Anzeigeräten genutzten) Raspberries
                                               aufwendig, da zum Teil zwei oder noch mehr           sowie speziellen Handhelds unter Android und
                                               MAC-Adressen pro Gerät eingetragen werden            weiteren mobilen Betriebssystemen.
                                               mussten, während gleichzeitig die Sicherheit
                                               nicht mehr den Vorstellungen entsprach.              »Die Tests im Rahmen des Proof of Concept ver-
                                                                                                    liefen sehr erfolgreich, alles ließ sich sehr einfach
                                               Die Gerätevielfalt am Airport ist darüber hinaus     einrichten« sagt Salaka. »Das löste bei uns auch
                                               generell groß und reicht weit über die klassische    die Diskussion aus, sich generell auf ein PKI-
                                               Client-Welt hinaus: Von den Handhelds, mit           System zu konzentrieren, dieses wirklich im Detail
                                               denen die Mitarbeiter auf dem Vorfeld Informati-     zu verstehen und dann gewissermaßen eine
                                               onen rund um ihre Aufgaben und abzufertigende        Rundum-Lösung für die Absicherung sämtlicher
                                               Flugzeuge abrufen, über spezielle mobile Geräte      Geräte nutzen zu können.«
                                               der Sicherheitsmitarbeiter bis hin zu Tablets, die
                                               in den »Follow-me-Fahrzeugen« verbaut sind.          Heute kommt die ECOS TrustManagement-
                                               Grund genug für die IT-Verantwortlichen des          Appliance (TMA) als virtuelle Appliance auf
                                               Flughafens, sich nach einer besser und universel-    VMware-Basis am Flughafen zum Einsatz. Durch
                                               ler geeigneten PKI-Lösung für die Erstellung und     Clustering wird für Redundanz und Ausfall-
                                               Verwaltung von Zertifikaten umzusehen. Neben         sicherheit gesorgt – da der Airport rund um die
                                               der Unterstützung von Windows und Linux sowie        Uhr an sieben Tagen pro Woche in Betrieb ist,
ist die Hochverfügbarkeit der Lösung essentiell.                                                         betrifft sowohl die Ausstellung der Zertifikate als   Um die Abläufe künftig noch weiter zu auto-
                             Vor der Trust Management Appliance ist zudem                                                             auch das Management, wie Alexander Händel             matisieren, ist am Flughafen mittelfristig zudem
                             ein Loadbalancer zur Verteilung der Anfragen                                                             berichtet, Kollege von Kenan Salaka im Bereich        die Einrichtung eines Self-Service-Portals für
                             geschaltet. Der Client zur Abholung der Zerti-                                                           Datacenter & Shared Services bei der Flughafen        IT-Mitarbeiter und Mitarbeiterinnen aus dem
                             fikate von der Appliance wurde im Rahmen der                                                             Köln Bonn GmbH:                                       Application-Bereich geplant. Benötigen diese
                             normalen wöchentlichen Softwareverteilung                                                                                                                      beispielsweise ein Zertifikat für einen Webserver,
                             auf die Endgeräte ausgerollt, ohne dass die                                                              »Es gelingt uns seit der Implementierung der          so soll dies künftig dann für den jeweiligen, klar
                             Anwender selbst eingreifen mussten. Bei der                                                              PKI-Lösung von ECOS zunächst einmal deutlich          abgegrenzten Bereich selbsttätig möglich sein,
                             Anmeldung eines Gerätes per VPN wird nun über                                                            schneller und einfacher, die Zertifikate überhaupt    was die zentrale IT weiter entlasten wird.
                             das Hardware-Zertifikat geprüft, ob es sich um                                                           auszustellen. Das zeigt sich gerade bei den Son-
                             ein vertrauenswürdiges Gerät mit Zertifikat vom                                                          derfällen, also zum Beispiel bei Geräten, die nicht
                             Flughafen handelt. Dabei erfolgt mittels Online                                                          im Active Directory sind. Wesentlich komfortabler
                             Certificate Status Protocol (OCSP) zusätzlich eine                                                       ist außerdem die Suche nach Zertifikaten, um
                             Gegenprüfung, ob das Zertifikat zum aktuellen                                                            etwa zu prüfen, was genau ausgestellt wurde
                             Zeitpunkt wirklich gültig ist.                                                                           oder um ein Zertifikat zurückzuziehen. Die Zeit-
                                                                                                                                      ersparnis ist hier insgesamt enorm, wir benötigen
                             Deutliche Zeitersparnis beim Umgang mit                                                                  pro Vorgang nur noch rund ein Viertel der Zeit«
                                                                                                                                                                                                      Case Study - Szenario
                             Zertifikaten
                             Nach einiger Zeit im Live-Betrieb haben sich für                                                         Für Übersicht sorgt auch ein monatliches Repor-            Anwender
                             die PKI-Verantwortlichen am Airport klare Vortei-                                                        ting per E-Mail, das darüber informiert, welche            Flughafen Köln Bonn GmbH
                             le der ECOS TrustManagementAppliance heraus-                                                             Zertifikate neu hinzugekommen sind, welche
                                                                                                                                                                                                 Branche
                             kristallisiert, die zu einer deutlichen Reduzierung                                                      abgelaufen sind oder welche gesperrt wurden
                                                                                                                                                                                                 Flughafenbetreiber
                             des Wartungsaufwands geführt haben. Dies                                                                 (zurückgezogen oder temporär gesperrt).
                                                                                                                                                                                                 Herausforderung
                                                                                                                                                                                                 Zertifikate für Geräte außerhalb der »Windows-Welt«

                                                                                                                                                                                                 Lösung
                                                                                                                                                                                                 Einführung der ECOS TrustManagementAppliance für sämtliche
                                                                                                                                                                                                 Geräte

ECOS Technology GmbH                                                                                                                                                                             Über die Flughafen Köln Bonn GmbH
Sant’ Ambrogio-Ring 13 a-b                                                                                                                                                                       Über zehn Millionen Fluggäste pro Jahr machen den Köln Bonn
55276 Oppenheim Germany                                                                                                                                                                          Airport zu einem der wichtigsten Drehkreuze der Luftfahrt in
                                                                                                                                                                                                 Deutschland. Neben dem Passagierbetrieb spielt der rund um die
+49 6133 939 200                                                                                                                                                                                 Uhr geöffnete Flughafen auch im internationalen Frachtverkehr eine
info@ecos.de                                                                                                                                                                                     bedeutende Rolle.

                                                                                                                                                                                                                                                                      ECOS 227.CS.2022/05.DE.03
ecos.de

© ECOS Technology GmbH | 11.2021 | All rights reserved. Unauthorized copying, reproduction, hiring, lending and public performance prohibited.
Sie können auch lesen