Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

  • Inicio
  • Blog
  • Nube
  • Automatización de certificados de bóveda de claves de AWS y Azure con Keyfactor

Automatización de certificados de bóveda de claves de AWS y Azure con Keyfactor

Nube

Tradicionalmente, los entornos informáticos eran de alta confianza: Las organizaciones tenían un número reducido de certificados y claves, todos ellos contenidos, lo que facilitaba su gestión de forma estática y reactiva.

Hoy en día, las cosas son muy diferentes. La mayoría de las organizaciones operan ahora en un mundo multicloud con flujos de trabajo dinámicos que crean una cantidad significativa de claves y certificados que gestionar. Esta situación ha provocado el auge de entornos de confianza cero que requieren una gestión de certificados proactiva y ágil.

Microsoft Azure y Amazon Web Services (AWS) son dos de los principales servicios en la nube que se utilizan hoy en día en las organizaciones y que han dado forma al aspecto de las organizaciones de TI modernas. Y aunque ofrecen numerosas ventajas, también dificultan el mantenimiento de la visibilidad y el control de un gran número de certificados altamente dinámicos. ¿Qué opciones deja esta situación a las organizaciones?

Ryan Yackel, vicepresidente de marketing de productos, y Brian Taricska, ingeniero sénior de soluciones, hablaron recientemente sobre los desafíos creados por este entorno dinámico de múltiples nubes y cómo la integración con Azure Key Vault y AWS Certificate Manager puede ayudar a crear valor. Keyfactor Command con Azure Key Vault y AWS Certificate Manager puede ayudar a crear valor.

 

Retos de la gestión de certificados en entornos altamente dinámicos y de confianza cero

El entorno actual, altamente dinámico y de confianza cero, ha creado varios retos en lo que respecta a la gestión de certificados. Las organizaciones se encuentran con que carecen de visibilidad y control sobre sus certificados y almacenes de claves al más alto nivel, lo que dificulta actividades esenciales como la elaboración de informes y las alertas de caducidad. Además, muchas organizaciones luchan por introducir procesos coherentes entre proveedores de múltiples nubes, lo que les obliga a depender de procesos manuales y propensos a errores.

¿Cómo hemos llegado hasta aquí? En general, cuatro elementos críticos del entorno actual han creado estos retos:

  • Más certificados: El volumen de claves y certificados sigue creciendo día a día
  • Menos control: Los equipos emiten ahora certificados sin supervisión de InfoSec.
  • Ciclos de vida más cortos: Los certificados efímeros aumentan el riesgo de interrupciones y duplican la carga de trabajo de TI.
  • Ningún estándar DevOps: No hay una forma sencilla de crear procesos de certificados DevOps coherentes entre varios proveedores de nube.

 

A pesar de estos retos, la nube sigue teniendo un enorme valor, sobre todo por su gran escalabilidad, fiabilidad y tiempo de actividad. Además, la realidad es que la nube no va a desaparecer. Al contrario, las organizaciones seguirán utilizándola cada vez más. De hecho, Cisco descubrió que los centros de datos en la nube procesarán el 94% de las cargas de trabajo en 2021.

Como resultado, es importante adelantarse a estos retos introduciendo una plataforma central para gestionar estas preocupaciones y controlar todas las claves y certificados emitidos con proveedores de nube como AWS y Azure. Cuando se realiza correctamente, este control puede proporcionar el nivel necesario de visibilidad en torno a las claves y los certificados, independientemente de su CA emisora, y ofrecer informes consolidados de las claves en las instancias de varias nubes, todo ello desde una consola centralizada. Por último, también puede ayudar a introducir una automatización coherente entre proveedores de múltiples nubes utilizando un conjunto de API estándar.

Por ejemplo, una solución centralizada para la automatización del ciclo de vida de los certificados, como Keyfactor Command , puede controlar y automatizar la emisión de claves y certificados para ayudar:

  • Mejore el cumplimiento y el control: Garantice que los certificados cumplen las normas de la organización y que siempre se emiten desde una CA de confianza.
  • Aumente la visibilidad: Descubra certificados en varias CA, redes, aplicaciones y dispositivos.
  • Mejore los informes: Consolide los informes de claves en varias instancias de nube o proveedores de nube agrupando los certificados para su supervisión y estableciendo alertas para los vencimientos.
  • Automatice los flujos de trabajo: Automatice la implantación de certificados en cargas de trabajo y aplicaciones, y automatice los informes de incidencias, las renovaciones de certificados y las instalaciones.

Integración de Keyfactor Command para mejorar la automatización de certificados

Antes de profundizar en los detalles del funcionamiento de Keyfactor Command , es importante entender a grandes rasgos cómo Keyfactor se integra con sistemas en la nube como AWS y Azure para las solicitudes de certificados y los inventarios de almacenes de claves con el fin de proporcionar centralización para varias integraciones y flujos de trabajo de API diferentes.

Keyfactor Flujos de trabajo de certificados con Azure y AWS

Keyfactor ofrece una única interfaz, ya sea a través de la interfaz gráfica de usuario o de las API, para inscribir un certificado de varias fuentes. En la práctica, esto significa que, a partir de una única solicitud, los usuarios pueden especificar cualquier CA de destino, ya sea una CA pública, una CA privada o una CA secreta efímera (como HashiCorp Vault) que se vincule a los casos de uso de DevOps.

Puede utilizar Keyfactor para desplegar un certificado en una o varias ubicaciones con una sola llamada a la API o pulsando un botón, e incluso puede añadir LCN a esta solicitud. Como resultado, puede distribuir eficientemente el mismo certificado a través de múltiples puntos finales utilizando diferentes DNS o IPs y hacer cumplir varias políticas (por ejemplo, RFC 2818) a lo largo del camino. Keyfactor también ofrece varias integraciones con plataformas populares, incluyendo mallas de servicio e implementaciones tipo Kubernetes, que puede utilizar dentro de la infraestructura basada en AWS y Azure.

Es importante destacar que Keyfactor también tiene en cuenta el dilema común de DevOps de velocidad frente a seguridad, en el que los desarrolladores necesitan certificados rápidamente y los equipos de InfoSec necesitan asegurarse de que esos certificados cumplen la normativa. En concreto, Keyfactor permite a los desarrolladores acceder rápidamente a los certificados, incluida la obtención y el aprovisionamiento de los mismos a partir de CA conformes, al tiempo que proporciona al equipo de InfoSec el nivel de visibilidad que necesita en cuanto a lo que se emite y las alertas de supervisión continuas.

Cómo funciona todo: Una mirada al interior de los flujos de trabajo de automatización de la certificación con Keyfactor

Llevemos todo esto a la realidad con una mirada al interior de cómo todo esto se une para potenciar los flujos de trabajo de automatización de certificados dentro de Keyfactor.

Paso 1: Conéctese a Keyfactor Command

Al iniciar sesión en Keyfactor , accederá directamente a un panel que ofrece una supervisión de alto nivel de su entorno de PKI. Algunas de las cosas más importantes que puede ver en esta vista incluyen los detalles de la CA emisora (que necesitará para cualquier solicitud de certificado) y los trabajos del almacén de certificados que representan el inventario en las instancias de AWS y Azure Key Vault.

Cuadro de mandos

Paso 2: Establecer los requisitos

Una vez que haya iniciado sesión, necesita que Orchestrator se integre realmente en sus instancias de Key Vault de AWS y Azure. Puede desplegar estas instancias de forma local, remota o incluso como un modelo distribuido. Configurar todo simplemente requiere compartir información sobre su instalación y los almacenes de certificados que está habilitando (en el caso de esta demostración, serían AWS y Azure Key Vault). Después de registrar todo a través de esos pasos, puede volver a Keyfactor para aprobar la integración.

Configuración de Orchestrator

Paso 3: Configure su almacén de certificados

A continuación, puede configurar los almacenes de certificados para vincularlos a sus instancias de AWS y Azure Key Vault. Keyfactor proporciona diferentes formas de autenticar la instancia y sus inventarios, por ejemplo, a través de bosques remotos y máquinas cliente.

Una vez que se conecta a los almacenes de certificados, no sólo puede aprovisionar y desaprovisionar certificados, sino también ver el inventario de todo lo que se ha emitido, independientemente de si esos certificados proceden de dentro o de fuera de Keyfactor. Por ejemplo, Keyfactor extraerá todo, incluidos los certificados autofirmados o los que proceden de CA con las que Keyfactor no está integrado, de modo que tenga visibilidad de todo lo que existe en su entorno.

Almacenes de certificados

Con esta configuración, puede validar fácilmente los certificados en Keyfactor y obtener información detallada, por ejemplo:

  • Propiedades del certificado X.509
  • Tema del certificado
  • Periodo de validez
  • Uso del certificado
  • Nombre del solicitante
  • Ubicación del certificado
  • Historial de auditoría completo

 

Además de todo esto, también puede hacer clic con el botón derecho del ratón para renovar cualquier certificado.

Haga clic con el botón derecho para renovar el certificado

Paso 4: Aprovisionamiento de inscripciones

Una vez creado el almacén de certificados, es hora de empezar a inscribir certificados. Este proceso es tan sencillo como rellenar el nombre común del certificado para certificados PFX. Keyfactor rellenará automáticamente el resto de los campos, incluido DNS, que se aplica a nivel de CA a través de la configuración de conformidad de Keyfactor. A partir de ahí, puedes especificar con un par de clics cuál quieres que sea el destino (por ejemplo, AWS o Azure Key Vault). Y eso es todo: la configuración, la instalación y el aprovisionamiento se realizan en cuestión de minutos, si no de segundos, con Keyfactor.

Todo esto pone al alcance de su mano una gran visibilidad. Puede ver fácilmente los trabajos programados para nuevas solicitudes de certificados, así como un historial completo de los trabajos.

Cada certificado también mostrará un estado (que también puede comprobar accediendo a AWS o Azure Key Vault para asegurarse de que ve cualquier certificado completado), dónde se implementó, el nombre del solicitante y cualquier información adicional, como metadatos para etiquetar el certificado (un campo que es propiedad de Keyfactor).

Administrador de certificados de AWS

Paso 5: Crear colecciones

Por último, teniendo en cuenta todos estos matices, el campo verde de la normativa y la falta general de estandarización, no es fácil conseguir una seguridad adecuada en IoT . Esto es especialmente cierto. Esto es especialmente cierto. La seguridad de IoT es bastante diferente de la seguridad empresarial tradicional y un área nueva incluso para la profunda experiencia de dominio de la construcción de estos dispositivos.

La mejor manera de avanzar es hacerlo paso a paso, examinando primero detenidamente el tipo de arquitectura de seguridad que mejor se adapte a sus dispositivos, a su empresa y a las necesidades específicas de sus clientes. A partir de ahí, puedes empezar a evaluar las distintas tecnologías disponibles para elementos clave como la autenticación, el cifrado, la firma de código, etc. Por el camino, una buena práctica a tener en cuenta es utilizar soluciones ya creadas que puedan ayudar con las etapas fundamentales del ciclo de vida de los dispositivos de IoT siempre que sea posible, ya que eso le permite aprovechar una gran cantidad de conocimientos y experiencia en lugar de crear algo por su cuenta.

Por último, puedes crear colecciones, que agrupan certificados que tienen puntos en común entre sí. Las colecciones son el caballo de batalla de la plataforma, ya que puedes ser extremadamente flexible a la hora de definirlas y activarlas de varias maneras.

Por ejemplo, puede dar permiso a varios grupos para hacer cosas con los certificados de una colección específica y programar informes sobre un subconjunto de certificados de una colección. También puede ver de un vistazo los detalles de todos los certificados de una colección, incluidos los metadatos de los certificados, las fechas de caducidad y las métricas de estado.

Gestión de colecciones

Uno de los elementos más importantes de estas colecciones es que crean informes dinámicos. Combinado con la automatización de Keyfactor, esto proporciona a su equipo una visibilidad y un control sin precedentes. Por ejemplo, puede introducir una lógica que indique a Keyfactor que avise a los destinatarios designados 10 días antes de que caduque cualquier certificado de una determinada colección.

Esto no sólo automatiza las alertas de expiración de certificados para garantizar que su equipo pueda ser proactivo a la hora de renovarlos, sino que también ofrece control y flexibilidad para permitirle alertar a los miembros adecuados del equipo.

Alertas de expiración

¿Quiere saber más?

Para obtener más información sobre cómo Keyfactor Command resuelve los retos habituales de automatización y gestión de certificados en un mundo multicloud y ver una demostración en directo, vea el seminario web completo aquí.