Gestionar PKI hoy en día es un trabajo duro. Puede que las hojas de cálculo o las herramientas caseras le hayan traído hasta aquí, pero los tiempos han cambiado. Entre la necesidad de solicitar y renovar certificados las 24 horas del día, las auditorías periódicas de conformidad y la persecución de certificados falsos, ha llegado a un punto crítico.
Si está buscando una herramienta de gestión de certificados, lo más probable es que haya sufrido demasiadas interrupciones o que no haya superado una auditoría. No es el único. Informes recientes muestran que el 87% de las organizaciones han experimentado al menos una interrupción relacionada con certificados en los últimos 24 meses.
Así que, como muchos otros, ha decidido que necesita implantar una herramienta de gestión de certificados, pero no está seguro de qué preguntas hacer o incluso por dónde empezar. Está en el lugar adecuado.
Empezar por los requisitos
Lo primero y más importante es determinar los requisitos del proyecto. Algunas preguntas que debes hacerte:
- ¿Qué (y cuántas) CA deberá admitir la herramienta de gestión de certificados?
- ¿Cuáles son los sistemas y aplicaciones de la organización que dependen de certificados?
- ¿Cuáles son los criterios necesarios para los distintos grupos de usuarios de la organización?
- ¿Existe un plazo concreto para la evaluación y el despliegue?
- ¿Necesito una herramienta de gestión de certificados que también ofrezca PKI gestionada?
Una vez establecidos sus requisitos, formule a los proveedores estas 10 preguntas previas a la compra para asegurarse de que la herramienta de gestión de certificados que elija satisfaga sus necesidades.
10 preguntas a los proveedores de gestión de certificados
Pregunta nº 1: ¿Es compatible la herramienta de gestión de certificados con más de una CA?
Las organizaciones con PKI interna utilizan una media de 8 CA emisoras diferentes, por no mencionar una o más CA públicas. No se quede bloqueado en las herramientas proporcionadas por las CA que sólo le permiten emitir y gestionar certificados de su propia CA. Realizar un seguimiento de los certificados en varios paneles de control de CA requiere un esfuerzo manual continuo que no sólo lleva mucho tiempo, sino que también es propenso a errores y descuidos.
Pregunta nº 2: ¿Qué nivel de visibilidad proporcionará su herramienta?
No son los certificados que conoce los que causarán su próxima interrupción, sino los que desconoce, y un inventario incompleto le dejará expuesto. El descubrimiento basado en la red es una apuesta segura. Pregunte al proveedor si su solución puede inventariar directamente las CA. ¿Puede detectar certificados emitidos fuera de los procesos estándar (es decir, certificados falsos)? ¿Puede inventariar almacenes de claves y certificados en dispositivos de red y servicios en la nube?
Pregunta nº 3: ¿Cómo se integrará la herramienta de gestión de certificados con mi infraestructura actual?
Una herramienta de gestión de certificados que requiera cambios significativos en las configuraciones de cortafuegos y puertos existentes probablemente ralentizará el tráfico de red y activará todo tipo de alarmas IDS e IPS. Debería pedir a su proveedor un resumen detallado de las capacidades de detección y gestión que ofrece y, lo que es más importante, cómo se implementan en las CA, los segmentos de red y las plataformas IaaS.
Pregunta nº 4: ¿Qué ocurre si necesito cambiar, eliminar o añadir una CA a mi PKI?
La criptoagilidad es clave. Si una CA o un algoritmo se ven comprometidos, no basta con volver a emitir claves y certificados desde una nueva CA. El proveedor debe hacer que el proceso: (1) no interrumpa el negocio, (2) sea alcanzable dentro de los plazos de misión crítica, y (3) sea alcanzable dentro de ecosistemas que contienen cientos de miles de certificados a través de sistemas y aplicaciones distribuidos.
Pregunta nº 5: ¿Qué posibilidades de automatización ofrece la herramienta?
La automatización puede -y debe- adoptar muchas formas, y ser lo que usted necesite que sea. Una herramienta eficaz de gestión de certificados ofrece automatización basada o no en agentes, una sólida biblioteca API y compatibilidad con protocolos estándar como la autoinscripción de Windows, ACME y SCEP. Asegúrese de que el proveedor puede integrarse con sus sistemas de destino: F5, IIS, Citrix, AWS y Azure KeyVault, entre otros.
