La migración a la nube ha desplazado rápidamente el centro de atención de la seguridad de los límites a las identidades. En este modelo sin perímetro, nada es intrínsecamente fiable hasta que se autentifica y autoriza con una identidad única, una idea conocida como seguridad de confianza cero.
La infraestructura de clave pública (PKI) y las identidades de máquina son ingredientes clave para la seguridad de confianza cero. Todo, desde las máquinas virtuales, los contenedores, las aplicaciones, la orquestación de contenedores y las plataformas de malla de servicios, depende de claves y certificados para autenticarse y comunicarse entre sí de forma segura.
Saber en qué se puede confiar, en qué entornos y cuándo depende de los certificados digitales y de la infraestructura de clave pública (PKI) que los respalda.
PKI tradicional frente a descentralizada
Detrás de cada certificado hay una autoridad de certificación (CA). Microsoft Active Directory Certificate Services (ADCS), a menudo conocido como Microsoft CA, ha sido durante mucho tiempo la elección de facto para muchas organizaciones. Está bien integrado en la infraestructura de Microsoft y admite casos de uso estándar como la autenticación de usuarios y dispositivos.
Sin embargo, el camino hacia la nube presenta nuevos retos. Para empezar, la mayoría de las implantaciones de PKI locales no se crearon para gestionar el volumen y la velocidad de uso de certificados actuales. Por no mencionar la falta de integraciones listas para usar con infraestructuras que no sean de Microsoft y los errores de configuración que se suelen pasar por alto y que conllevan graves riesgos para la seguridad.
Las organizaciones se enfrentan ahora a un dilema: su PKI tradicional se les ha quedado pequeña. Como resultado, muchas necesitan reconstruir o rediseñar para dar soporte a esta nueva realidad. Para empezar, hay que analizar la amplia gama de CA que constituyen la columna vertebral de la PKI actual.
¿Qué impulsa la PKI descentralizada?
La realidad es que la PKI ya no consiste en una o dos CA detrás de las cuatro paredes de su centro de datos. Las operaciones híbridas y multi-nube de hoy en día implican varias CA públicas, privadas, open-source, y basadas en la nube, cada una implementada por diferentes equipos para satisfacer casos de uso específicos.
La nueva realidad es un modelo PKI descentralizado, una red de confianza que se extiende por los entornos locales y en la nube. En otras palabras, PKI está en todas partes, los certificados están en todas partes, sus máquinas están en todas partes, y todo está siendo impulsado por:
- Confianza híbrida: cada organización confía en una mezcla de CA de terceros de confianza y CA privadas internas para satisfacer los modelos de confianza dentro y fuera de la organización.
- Nube híbrida y múltiple: la mayoría de las empresas utilizan varios servicios en la nube, como AWS, Azure y Google Cloud Platform, cada uno con sus propias capacidades integradas para la emisión de certificados.
- Disponibilidad: el tiempo de actividad es dinero. La infraestructura PKI se despliega en arquitecturas en clúster, georredundantes o de alta disponibilidad para evitar un único punto de fallo y garantizar el tiempo de actividad para la revocación y emisión de certificados.
- Casos de uso especializados: Las cadenas de herramientas CI/CD y los entornos en contenedores requieren certificados de corta duración SSL/TLS frente a los servidores web y dispositivos tradicionales que pueden utilizar certificados de uno o dos años.
- Equipos dispersos: Los distintos equipos y departamentos de la organización prefieren distintas CA por coste, requisitos, tipos de certificado, niveles de garantía, etc.
- Falta de integraciones: ADCS se adapta bien a la infraestructura de Microsoft, pero no ofrece compatibilidad nativa con otras aplicaciones, lo que supone una pesada carga para los equipos a la hora de desarrollar scripts y mecanismos de seguimiento propios.
- Crecimiento empresarial: Las fusiones y adquisiciones en empresas de gran crecimiento dan lugar a entornos de CA mixtos, a menudo con normas y políticas de seguridad contradictorias.
Tanto si ya tiene varias CA en producción como si está empezando desde cero, hay mucho que tener en cuenta. Los sistemas PKI son complejos y requieren una planificación e implantación adecuadas para garantizar la confianza y la disponibilidad en toda la organización.
Consideraciones clave para la implantación de una PKI moderna
¿Y ahora qué? ¿Crea una nueva CA en la nube? ¿Extender la PKI existente a la nube? ¿Permite a los equipos utilizar un emisor integrado? ¿Cómo gestiona la PKI descentralizada? Hay muchas preguntas y debates importantes por delante, pero todo empieza con estas cinco consideraciones clave.
Requisitos fiduciarios
Determine en qué casos son más adecuados los certificados públicos y privados para evitar que se difuminen los límites de la confianza. A continuación, considere la infraestructura PKI que necesitará para respaldar este modelo de confianza y cómo delegará y gestionará la confianza entre los distintos silos.
Niveles de garantía
Considere las salvaguardias físicas y digitales en torno a su CA raíz y emisora. A efectos de pruebas, puede ser aceptable emitir certificados de una PKI de baja seguridad, mientras que los certificados de producción requieren mayores niveles de seguridad.
Conocimientos necesarios
Determine si dispone de la experiencia, el ancho de banda, hardware y los controles de seguridad adecuados para implantar una PKI interna segura, incluida una CA raíz fuera de línea con encapsulado de aire, y mantenerla durante un periodo de 10-20 años.
Casos prácticos
Identifique los casos de uso en los equipos de infraestructura, seguridad, redes y aplicaciones. Determine los tipos de certificados, las plantillas, el volumen de emisión, los protocolos, las integraciones, el autoservicio y las capacidades de automatización que estos equipos necesitarán para respaldar sus casos de uso específicos.
Continuidad de las actividades
Las fusiones, adquisiciones, desinversiones y el crecimiento general del negocio cambiarán su PKI con el tiempo. Asegúrese de que tiene la capacidad de tomar estos diferentes entornos empresariales y propagar la confianza a través de todos ellos adecuadamente.
Criptoagilidad
Prepárese para la eventual migración a nuevos tamaños de clave y algoritmos o, a corto plazo, para un posible fallo o vulnerabilidad de la CA. La capacidad de revocar y reemitir certificados a escala masiva es fundamental para su éxito.
Empezar
Descargue la Guía para principiantes sobre el escalado de PKI en operaciones híbridas y multi-nube para descubrir las diferencias clave y las necesidades de implementación entre las distintas CA de su entorno.
¿Listo para empezar? Eche un vistazo a nuestras flexibles opciones de implantación para lograr la confianza cero con gobernanza y automatización de extremo a extremo en entornos PKI descentralizados.
