PKI und Key Management im Einsatz beim Flughafen Köln Bonn
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Case Study | Flughafen Köln Bonn
PKI und Key Management
Case Study
im Einsatz beim Flughafen Köln Bonn
Vom Handheld bis zur Anzeigentafel: Zertifikate für alle Geräte
ECOS TrustManagementAppliance
((•)) Anwender: Flughafen Köln Bonn GmbH
((•)) Branche: Flughafenbetreiber
((•)) Ziel: Umsetzung einer PKI-Lösung
((•)) Lösung: Einführung der ECOS TrustManagementAppliance
Flughafen Köln Bonn GmbH 2
Absicherung durch PKI
Schlanke, automatisierte Prozesse beim
Flughafen Köln Bonn Airport
Enorme Zeitersparnis beim Management von Zertifikaten mit
der ECOS TrustManagementAppliance
Alexander Händel Keine Kompromisse bei der Sicherheit: Hardware- Zertifikate für Geräte außerhalb der »Windows-
Datacenter & Shared Services Zertifikate sorgen am Köln Bonn Airport dafür, Welt« waren aufwendig
Flughafen Köln Bonn GmbH dass ausschließlich berechtigte Geräte innerhalb Für das Erstellen und Verwalten von Hardware-
der Infrastruktur eingesetzt werden können. Mit Zertifikaten vertraute man am Köln Bonn Airport
Foto: Köln Bonn Airport
»Es gelingt uns Zertfikate der ECOS TrustManagementAppliance hat der bisher auf eine Windowsbasierte PKI-Appliance.
mit der ECOS PKI deutlich Flughafen eine zentrale Lösung für die Erstellung Diese wurde beispielsweise dafür genutzt, um
schneller und einfacher der Zertifikate für sämtliche Gerätearten etabliert. Zertifikate für die rund 1.200 Windows-Clients
auszustellen. Die Zeitersparnis Durch einen hohen Grad an Automatisierung und am Flughafen sowie für Webservices und ver- Anzeigentafel Köln Bonn Airport
ist insgesamt enorm, wir benö- die integrierten Managementfunktionen konnte schiedenste Handheld-Geräte zu beziehen und Neben Handhelds werden u.a. auch die
tigen pro Vorgang nur noch dabei gleichzeitig der Wartungsaufwand deutlich zu managen. Anzeigetafeln mit der Trust Manage-
rund ein Viertel der Zeit«. gesenkt werden. ment Appliance von ECOS abgesichert.
Die Lösung funktionierte zwar grundsätzlich,
Über den Köln Bonn Airport relativ kompliziert gestaltete sich jedoch der
Über zehn Millionen Fluggäste pro Jahr machen Umgang mit Geräten außerhalb der »Windows-
den Köln Bonn Airport zu einem der wichtigsten Welt« sowie die Verwaltung der Zertifikate. So
Drehkreuze der Luftfahrt in Deutschland. Neben war es zum Beispiel sehr mühsam und zeitauf-
dem Passagierbetrieb spielt der rund um die Uhr wendig, ein bestimmtes Zertifikat zu suchen,
geöffnete Flughafen auch im internationalen um dieses zu sperren. Auch das Hinterlegen von
Frachtverkehr eine bedeutende Rolle. Mit rund Regeln und Templates, um passende Zertifikate
700.000 Tonnen Fracht pro Jahr liegt der Airport für speziellere Geräte zu erstellen, war mit dem
in diesem Segment beispielsweise deutlich vor Bestandssystem komplex.
München, Berlin-Tegel oder Düsseldorf.
»Wir hatten es zum einen mit immer mehr unter-
Die hohen Anforderungen an die Sicherheit im schiedlichen Handheld-Systemen zu tun, zum
sensiblen Flughafen-Umfeld bestimmen auch anderen kam auch das Thema der zertifikats-
die Arbeit der zentralen IT-Abteilung. So muss basierten Netzwerkauthentifizierung auf die
etwa sichergestellt werden, dass innerhalb der Agenda«, berichtet Kenan Salaka, Datacenter &
Airport-eigenen Netzwerke ausschließlich ent- Shared Services bei der Flughafen Köln Bonn
sprechend zugelassene und legitimierte Geräte GmbH. »Dies führte dazu, dass viele neue Geräte,
eingesetzt werden können. die im Active Directory noch gar nicht vorhanden Foto: Köln Bonn Airport
3 Flughafen Köln Bonn GmbH
we connect IT | we protect IT
der Active-Directory-Authentifizierung stand da-
All-in-One-PKI-Lösung für die Absicherung sämtlicher Geräte bei der bei vor allem auch die Automatisierung im Mit-
Flughafen Köln Bonn GmbH telpunkt, um den Wartungsaufwand zu senken.
Es sollte ein so weit wie möglich automatisierter
Prozess für alle Arten von Clients geschaffen
werden, um Zertifikate auf die Geräte herunterzu-
sind, möglichst von Anfang an mit Zertifikaten laden und bei Bedarf selbsttätig zu erneuern.
versorgt werden sollten.«
ECOS TrustManagementAppliance überzeugte
Das Sicherheitsniveau erhöhen bei Proof of Concept
Die Ausweitung der Ausgabe von Zertifikaten Nachdem man auf die PKI-Lösung Trust Manage-
auf möglichst viele Gerätetypen hatte auch ment Appliance von ECOS Technology aufmerk-
den Hintergrund, das Sicherheitsniveau weiter sam wurde, startete ein Proof of Concept am
zu erhöhen. So waren etwa bei Anzeigetafeln Köln Bonn Airport. Dabei wurden verschiedenste
in den öffentlichen Bereichen des Flughafens Client- und Gerätetypen testweise mit Zertifika-
die Netzwerkports lediglich per MAC-Adresse ten versorgt: Von Windows-Clients über Drucker,
abgesichert, was der IT-Abteilung schon länger Telefone und Linux-Server bis hin zu (beispiels-
ein Dorn im Auge war. Die Einrichtung war weise bei Anzeigeräten genutzten) Raspberries
aufwendig, da zum Teil zwei oder noch mehr sowie speziellen Handhelds unter Android und
MAC-Adressen pro Gerät eingetragen werden weiteren mobilen Betriebssystemen.
mussten, während gleichzeitig die Sicherheit
nicht mehr den Vorstellungen entsprach. »Die Tests im Rahmen des Proof of Concept ver-
liefen sehr erfolgreich, alles ließ sich sehr einfach
Die Gerätevielfalt am Airport ist darüber hinaus einrichten« sagt Salaka. »Das löste bei uns auch
generell groß und reicht weit über die klassische die Diskussion aus, sich generell auf ein PKI-
Client-Welt hinaus: Von den Handhelds, mit System zu konzentrieren, dieses wirklich im Detail
denen die Mitarbeiter auf dem Vorfeld Informati- zu verstehen und dann gewissermaßen eine
onen rund um ihre Aufgaben und abzufertigende Rundum-Lösung für die Absicherung sämtlicher
Flugzeuge abrufen, über spezielle mobile Geräte Geräte nutzen zu können.«
der Sicherheitsmitarbeiter bis hin zu Tablets, die
in den »Follow-me-Fahrzeugen« verbaut sind. Heute kommt die ECOS TrustManagement-
Grund genug für die IT-Verantwortlichen des Appliance (TMA) als virtuelle Appliance auf
Flughafens, sich nach einer besser und universel- VMware-Basis am Flughafen zum Einsatz. Durch
ler geeigneten PKI-Lösung für die Erstellung und Clustering wird für Redundanz und Ausfall-
Verwaltung von Zertifikaten umzusehen. Neben sicherheit gesorgt – da der Airport rund um die
der Unterstützung von Windows und Linux sowie Uhr an sieben Tagen pro Woche in Betrieb ist,ist die Hochverfügbarkeit der Lösung essentiell. betrifft sowohl die Ausstellung der Zertifikate als Um die Abläufe künftig noch weiter zu auto-
Vor der Trust Management Appliance ist zudem auch das Management, wie Alexander Händel matisieren, ist am Flughafen mittelfristig zudem
ein Loadbalancer zur Verteilung der Anfragen berichtet, Kollege von Kenan Salaka im Bereich die Einrichtung eines Self-Service-Portals für
geschaltet. Der Client zur Abholung der Zerti- Datacenter & Shared Services bei der Flughafen IT-Mitarbeiter und Mitarbeiterinnen aus dem
fikate von der Appliance wurde im Rahmen der Köln Bonn GmbH: Application-Bereich geplant. Benötigen diese
normalen wöchentlichen Softwareverteilung beispielsweise ein Zertifikat für einen Webserver,
auf die Endgeräte ausgerollt, ohne dass die »Es gelingt uns seit der Implementierung der so soll dies künftig dann für den jeweiligen, klar
Anwender selbst eingreifen mussten. Bei der PKI-Lösung von ECOS zunächst einmal deutlich abgegrenzten Bereich selbsttätig möglich sein,
Anmeldung eines Gerätes per VPN wird nun über schneller und einfacher, die Zertifikate überhaupt was die zentrale IT weiter entlasten wird.
das Hardware-Zertifikat geprüft, ob es sich um auszustellen. Das zeigt sich gerade bei den Son-
ein vertrauenswürdiges Gerät mit Zertifikat vom derfällen, also zum Beispiel bei Geräten, die nicht
Flughafen handelt. Dabei erfolgt mittels Online im Active Directory sind. Wesentlich komfortabler
Certificate Status Protocol (OCSP) zusätzlich eine ist außerdem die Suche nach Zertifikaten, um
Gegenprüfung, ob das Zertifikat zum aktuellen etwa zu prüfen, was genau ausgestellt wurde
Zeitpunkt wirklich gültig ist. oder um ein Zertifikat zurückzuziehen. Die Zeit-
ersparnis ist hier insgesamt enorm, wir benötigen
Deutliche Zeitersparnis beim Umgang mit pro Vorgang nur noch rund ein Viertel der Zeit«
Case Study - Szenario
Zertifikaten
Nach einiger Zeit im Live-Betrieb haben sich für Für Übersicht sorgt auch ein monatliches Repor- Anwender
die PKI-Verantwortlichen am Airport klare Vortei- ting per E-Mail, das darüber informiert, welche Flughafen Köln Bonn GmbH
le der ECOS TrustManagementAppliance heraus- Zertifikate neu hinzugekommen sind, welche
Branche
kristallisiert, die zu einer deutlichen Reduzierung abgelaufen sind oder welche gesperrt wurden
Flughafenbetreiber
des Wartungsaufwands geführt haben. Dies (zurückgezogen oder temporär gesperrt).
Herausforderung
Zertifikate für Geräte außerhalb der »Windows-Welt«
Lösung
Einführung der ECOS TrustManagementAppliance für sämtliche
Geräte
ECOS Technology GmbH Über die Flughafen Köln Bonn GmbH
Sant’ Ambrogio-Ring 13 a-b Über zehn Millionen Fluggäste pro Jahr machen den Köln Bonn
55276 Oppenheim Germany Airport zu einem der wichtigsten Drehkreuze der Luftfahrt in
Deutschland. Neben dem Passagierbetrieb spielt der rund um die
+49 6133 939 200 Uhr geöffnete Flughafen auch im internationalen Frachtverkehr eine
info@ecos.de bedeutende Rolle.
ECOS 227.CS.2022/05.DE.03
ecos.de
© ECOS Technology GmbH | 11.2021 | All rights reserved. Unauthorized copying, reproduction, hiring, lending and public performance prohibited.Sie können auch lesen
