En este blog, exploraremos cómo llevar la habilitación empresarial al siguiente nivel mediante la integración de dos tecnologías de seguridad, PKI y la federación de identidades.
Modelo de negocio: Asociación global con empresas locales de territorio independiente.
Requisito: Aprovechar las TI para proporcionar un entorno empresarial seguro para apoyar los recursos, la colaboración y el uso compartido.
Objetivo: Identificar y establecer un espacio de nombres distinguido único para cada empresa local de territorio individual, al tiempo que se establecen relaciones de confianza de identidad entre esos espacios de nombres disjuntos para compartir recursos a través de los límites territoriales y de seguridad.
Solución: Infraestructura de clave pública (PKI) con identidad federada consciente.
Vista recomendada de PKI:
Sistema de Gestión de Certificados (SGC)
Emisión y gestión de certificados sin fisuras en todos los dispositivos y servicios
https://www.css-security.com/cms
PKI gestionada
Una potente solución digital y segura por menos dinero del que nunca creyó posible.
Vista recomendada de la infraestructura de la federación de identidades:
A continuación se describe el planteamiento de la arquitectura, el diseño y la aplicación de la solución:
- Cree una CA raíz global de confianza con una jerarquía de autoridades de certificación de varios niveles para dar soporte a una infraestructura PKI de alcance global, al tiempo que implementa restricciones de espacio de nombres de subordinación para restringir la emisión de certificados de CA subordinadas territoriales dentro de su propia administración y gestión de PKI de alcance local.
- Facilitar un mecanismo de vinculación de espacios de nombres de extremo a extremo entre el territorio, el mundo y la nube para permitir el suministro/sincronización de la información de identidad básica en espacios de nombres vinculados en cada almacén de identidades.
- Vincula el certificado al ID de identidad único asociado con el espacio de nombres y activa la asignación del certificado a la identidad.
- Implementar políticas de emisión de certificados (como un alto nivel de garantía...) y políticas de uso de aplicaciones/claves (como no repudio, inicio de sesión con tarjeta inteligente...) en el contenido del certificado, la parte que confía puede aprovecharlo para fines de autenticación/autorización/control de acceso sin reinventar la rueda.
- Igualmente importante, el STS (Servicio de Token de Seguridad) puede traducir esos ajustes de políticas de certificado a reclamaciones en un token de seguridad, entregarlo a la parte confiada que también puede hacer lo mismo para fines de control de acceso. De este modo, los ajustes de aplicación de las políticas de los certificados se llevan a cabo de extremo a extremo durante toda su vida útil.
- Aplique el uso de claves únicamente a su propósito. Por ejemplo, el no repudio es un uso muy específico de la clave que no debe sobrecargarse. Al menos implica que la clave privada nunca se exporte desde un lugar seguro, como una tarjeta inteligente, TPM/tarjeta inteligente virtual, HSM, etc.
- Debido a la naturaleza del espacio de nombres desunido entre globales y territorios, la mayoría de los clientes de Windows parecen dispositivos no unidos a un dominio cuando acceden a recursos globales o extranjeros. Windows 2012 R2, Windows 8.1 y posteriores admiten la inscripción de certificados no unidos a un dominio y la renovación basada en claves a través de CES/CEP.
