Der aspectra-Blog seit 2012

Pssst… KMS: Diese clevere Lösung behält Geheimnisse für sich

In IT-Umgebungen werden an verschiedensten Stellen Schlüssel und Zertifikate verwendet. Diese dienen der sicheren Übertragung und Verschlüsselung von Daten. Um die Vielzahl von Schlüssel und Zertifikaten effizient zu verwalten ist ein zentrales Management von Nöten. Ein solches Key Management System (KMS) verwaltet und kontrolliert den Zugang zu den darin gespeicherten Schlüssel.

Hohe Sicherheit für sensible Daten

Jedes Unternehmen, das geschäftskritische Applikationen betreibt und mit sensiblen Daten arbeitet, setzt eine grosse Zahl an Schlüsseln und Zertifikaten ein. Es ist von höchster Bedeutung für die Sicherheit, dass diese gut gesichert sind und dass sorgfältig kontrolliert wird, wer Zugang hat und wer sie nutzt. Dieses Sicherheitsmanagement kann allerdings ganz schön aufwändig werden.

Zentrale Instanz zur Verwaltung

Wäre es nicht ideal, Schlüssel und Zertifikate zentral zu verwalten? Das ist auch möglich! Es braucht dafür ein leistungsfähiges Key Management System. Dieses kümmert sich um die Secrets, also die Geheimnisse. Ein Secret kann ein Username mit Passwort sein, aber auch ein kryptografisches Schlüssel oder ein Zertifikat. Klar, dass diese Angaben nicht irgendwo in einer Konfigurationsdatei oder gar im Quellcode enthalten sein sollten.

Die Aufgabe eines KMS ist also, zu verwalten, welche Anwendung und mit welcher Rolle von wo Zugriff auf ein Secret hat und diese Secrets sicher zu speichern. Entsprechend rapportiert das KMS jeden Zugriff und lässt so eine Überwachung über die Verwendung von Schlüsseln zu. Weiter ermöglicht ein KMS die Gültigkeit und verwendeten Kryptoalgorythmen zentral zu überwachen.

KMS-as-a-Service

All dies klingt relativ kompliziert und teuer – muss es aber nicht sein! Was, wenn KMS als Dienstleistung verfügbar wäre? Genau das haben wir. Wir arbeiten mit der Vault-Lösung von HashiCorp, um KMS as a Service anzubieten. So haben unsere Kunden volle Kontrolle über ihre Secrets und verschlüsselten Daten, ohne umständliche und kostenintensive Systeme aufsetzen zu müssen. KMS ist dabei nur ein Element von HashiCorp Vault. In kommenden Beiträgen stellen wir weitere Dienste wie Public Key Infrastructure (PKI) oder KMIP vor.

Interessiert an Key Management as-a-Service? Nehmen Sie Kontakt mit uns auf.


In diesem Whiteboard-Video gibt Armon Dadgar, Gründer und Co-CTO von HashiCorp, eine umfassende Einführung in Vault und seine Funktionsweise: