La gestión de la PKI hoy en día es una tarea ardua. Si bien las hojas de cálculo o las herramientas desarrolladas internamente pueden haberle servido hasta ahora, los tiempos han cambiado. Entre la necesidad de solicitudes y renovaciones de certificados las 24 horas del día, las auditorías de cumplimiento periódicas y la búsqueda de certificados no autorizados, ha llegado a un punto de inflexión.
Si busca una herramienta de gestión de certificados, es probable que haya experimentado demasiadas interrupciones, o quizás haya fallado una auditoría. No está solo. Informes recientes muestran que el 87% de las organizaciones han experimentado al menos una interrupción relacionada con certificados en los últimos 24 meses.
Así que, como muchos otros, ha decidido que necesita implementar una herramienta de gestión de certificados, pero no está seguro de qué preguntas hacer o por dónde empezar. Está en el lugar correcto.
Comience con los requisitos
En primer lugar, determine los requisitos del proyecto. Algunas preguntas que debe hacerse:
- ¿Qué (y cuántas) CA deberá admitir la herramienta de gestión de certificados?
- ¿Cuáles son los sistemas y aplicaciones de la organización que dependen de los certificados?
- ¿Cuáles son los criterios requeridos para los diferentes grupos de usuarios dentro de la organización?
- ¿Existe un plazo específico para la evaluación y la implementación?
- ¿Necesito una herramienta de gestión de certificados que también proporcione PKI gestionada?
Una vez que haya establecido sus requisitos, haga a los proveedores estas 10 preguntas previas a la compra para asegurarse de que la herramienta de gestión de certificados que elija satisfaga sus necesidades.
10 preguntas que hacer a los proveedores de gestión de certificados
Pregunta n.º 1: ¿La herramienta de gestión de certificados es compatible con más de una CA?
Las organizaciones con PKI interna utilizan una media de 8 CA emisoras diferentes, sin mencionar una o más CA públicas. No se limite a las herramientas proporcionadas por las CA que solo le permiten emitir y gestionar certificados de su propia CA. El seguimiento de certificados a través de múltiples paneles de CA requiere un esfuerzo manual continuo que no solo consume mucho tiempo, sino que también es propenso a errores y omisiones.
Pregunta n.º 2: ¿Qué nivel de visibilidad proporcionará su herramienta?
No son los certificados que conoce los que causarán su próxima interrupción, sino los que desconoce, y un inventario incompleto lo dejará expuesto. El descubrimiento basado en la red es fundamental. Pregunte al proveedor si su solución puede inventariar las CA directamente. ¿Puede detectar certificados emitidos fuera de los procesos estándar (es decir, certificados no autorizados)? ¿Puede inventariar los almacenes de claves y certificados en dispositivos de red y servicios en la nube?
Pregunta n.º 3: ¿Cómo se integrará la herramienta de gestión de certificados con mi infraestructura existente?
Una herramienta de gestión de certificados que requiera cambios significativos en las configuraciones existentes de firewall y puertos probablemente ralentizará el tráfico de red y activará todo tipo de alarmas de IDS e IPS. Debe solicitar a su proveedor un desglose detallado de las capacidades de descubrimiento y gestión que ofrecen y, lo que es más importante, cómo se implementan en las CA, los segmentos de red y las plataformas IaaS.
Pregunta n.º 4: ¿Qué sucede si necesito cambiar, eliminar o añadir una CA a mi PKI?
La criptoagilidad es clave. Si una CA o un algoritmo se ven comprometidos, no basta con simplemente volver a emitir claves y certificados desde una nueva CA. El proveedor debe garantizar que el proceso sea: (1) no disruptivo para el negocio, (2) alcanzable dentro de plazos de misión crítica, y (3) factible dentro de ecosistemas que contienen cientos de miles de certificados en sistemas y aplicaciones distribuidos.
Pregunta n.º 5: ¿Qué capacidades de automatización ofrece la herramienta?
La automatización puede —y debe— adoptar muchas formas, y ser lo que usted necesite. Una herramienta eficaz de gestión de certificados ofrece automatización basada en agentes y sin agentes, una sólida biblioteca de API y soporte para protocolos estándar como la inscripción automática de Windows, ACME y SCEP. Asegúrese de que el proveedor pueda integrarse con sus sistemas de destino —F5, IIS, Citrix, AWS y Azure KeyVault, entre otros.
