La migración a la nube ha desplazado rápidamente el enfoque de la seguridad de los límites a las identidades. En este modelo sin perímetro, nada es inherentemente confiable hasta que se autentica y autoriza con una identidad única, una idea conocida como seguridad de confianza cero.
La infraestructura de clave pública (PKI) y las identidades de máquinas son ingredientes clave para la seguridad de confianza cero. Todo, desde máquinas virtuales, contenedores, aplicaciones, orquestación de contenedores y plataformas de malla de servicios, se basa en claves y certificados para autenticarse y comunicarse de forma segura entre sí.
Saber qué se puede confiar, en qué entornos y cuándo, depende de los certificados digitales y de la infraestructura de clave pública (PKI) que los respalda.
PKI tradicional frente a PKI descentralizada
Detrás de cada certificado hay una autoridad de certificación (CA). Microsoft Active Directory Certificate Services (ADCS), a menudo denominado Microsoft CA, ha sido durante mucho tiempo la opción de facto para muchas organizaciones. Está bien integrado con la infraestructura de Microsoft y es compatible con casos de uso estándar como la autenticación de usuarios y dispositivos.
Sin embargo, el camino hacia la nube introduce nuevos desafíos. Para empezar, la mayoría de las implementaciones de PKI locales simplemente no fueron diseñadas para manejar el volumen y la velocidad del uso de certificados actual. Por no mencionar la falta de integraciones predeterminadas con infraestructuras que no son de Microsoft y configuraciones erróneas que a menudo se pasan por alto y que conllevan graves riesgos de seguridad.
Las organizaciones se enfrentan ahora a un dilema: su PKI tradicional ha quedado superada. Como resultado, muchas necesitan reconstruir o rediseñar para adaptarse a esta nueva realidad. Comienza por examinar la amplia gama de CA que sirven como columna vertebral de la PKI actual.
¿Qué factores impulsan la PKI descentralizada?
La realidad es que la PKI ya no consiste en solo una o dos CA dentro de los límites de su centro de datos. Las operaciones híbridas y multinube actuales implican varias CA públicas, privadas, Open-source y basadas en la nube, cada una implementada por diferentes equipos para satisfacer casos de uso específicos.
La nueva realidad es un modelo de PKI descentralizada, una red de confianza que se extiende por entornos locales y en la nube. En otras palabras, la PKI está en todas partes, los certificados están en todas partes, sus máquinas están en todas partes, y todo ello está impulsado por:
- Confianza híbrida: cada organización se basa en una combinación de CA de terceros de confianza y CA privadas internas para cumplir con los modelos de confianza dentro y fuera de la organización.
- Híbrida y multinube: la mayoría de las empresas utilizan múltiples servicios en la nube, como AWS, Azure y Google Cloud Platform, cada uno con sus propias capacidades integradas para la emisión de certificados.
- Disponibilidad: el tiempo de actividad es dinero. La infraestructura PKI se implementa en arquitecturas en clúster, georredundantes o de alta disponibilidad para evitar un único punto de fallo y garantizar el tiempo de actividad para la revocación y emisión de certificados.
- Casos de uso especializados: las cadenas de herramientas CI/CD y los entornos en contenedores requieren certificados SSL/TLS de corta duración, a diferencia de los servidores web y dispositivos tradicionales que pueden utilizar certificados de uno o dos años.
- Equipos dispersos: diferentes equipos y departamentos de la organización prefieren distintas CA debido a los costes, requisitos, tipos de certificados, niveles de garantía, etc.
- Falta de integraciones: ADCS es adecuado para la infraestructura de Microsoft, pero no ofrece soporte nativo para otras aplicaciones, lo que supone una pesada carga para los equipos que tienen que desarrollar scripts y mecanismos de seguimiento propios.
- Crecimiento empresarial: las fusiones y adquisiciones en empresas de alto crecimiento dan lugar a entornos de CA mixtos, a menudo con reglas y políticas de seguridad conflictivas.
Tanto si ya tiene varias CA en producción como si empieza de cero, hay mucho que considerar. Los sistemas PKI son complejos y requieren una planificación e implementación adecuadas para garantizar la confianza y la disponibilidad en toda la organización.
Consideraciones clave para la implementación de una PKI moderna
¿Y ahora qué? ¿Implementa una nueva CA en la nube? ¿Extiende su PKI existente a la nube? ¿Permite a los equipos utilizar un emisor integrado? ¿Cómo gestiona la PKI descentralizada? Hay muchas preguntas y debates importantes por delante, pero todo comienza con estas cinco consideraciones clave.
Requisitos de confianza
Determine dónde son más adecuados los certificados públicos y privados caso por caso para evitar difuminar los límites de confianza. Luego, considere la infraestructura PKI que necesitará para soportar este modelo de confianza y cómo delegará y gestionará la confianza en los diferentes silos.
Niveles de garantía
Considere las salvaguardas físicas y digitales en torno a sus CA raíz y emisoras. Para fines de prueba, puede ser aceptable emitir certificados desde una PKI de baja garantía, mientras que los certificados de producción requieren niveles de garantía más altos.
Conocimientos especializados requeridos
Determine si cuenta con los conocimientos especializados, el ancho de banda, el Hardware y los controles de seguridad adecuados para implementar una PKI interna segura, incluida una CA raíz sin conexión y aislada, y mantenerla durante una vida útil de 10 a 20 años.
Casos de uso
Identifique los casos de uso en los equipos de infraestructura, seguridad, red y aplicaciones. Determine los tipos de certificados, plantillas, volumen de emisión, protocolos, integraciones, capacidades de autoservicio y automatización que estos equipos necesitarán para soportar sus casos de uso específicos.
Continuidad del negocio
Las fusiones, adquisiciones, desinversiones y el crecimiento general del negocio modificarán su PKI con el tiempo. Asegúrese de tener la capacidad de gestionar estos diferentes entornos empresariales y propagar la confianza de manera adecuada en todos ellos.
Criptoagilidad
Prepárese para la eventual migración a nuevos tamaños de clave y algoritmos, o, a corto plazo, para una posible falla o vulnerabilidad de la CA. La capacidad de revocar y reemitir certificados a gran escala es fundamental para su éxito.
Empezar
Descargue la Guía para principiantes sobre cómo escalar la PKI en operaciones híbridas y multinube para descubrir las diferencias clave y las necesidades de implementación entre las distintas CA de su entorno.
¿Listo para empezar? Consulte nuestras opciones de implementación flexibles para lograr la confianza cero con gobernanza y automatización de extremo a extremo en entornos PKI descentralizados.
