PKI es toda una infraestructura de apoyo a los certificados de confianza
A medida que más empresas implantan su propia Infraestructura de Clave Pública (PKI) interna para ahorrar dinero en la compra de un volumen cada vez mayor de certificados digitales, la necesidad de herramientas para centralizar, supervisar y gestionar los certificados de todas las fuentes emisoras sigue siendo crítica. Una herramienta habitual es la gestión de certificados software.
Aunque la gestión de certificados software sin duda ayuda a las organizaciones a evolucionar desde la edad de piedra de documentar manualmente los detalles de los certificados en una hoja de cálculo, muchas aplicaciones de gestión de certificados sólo arañan la superficie de lo que las empresas realmente necesitan. En otras palabras, aunque la gestión de certificados es fundamental para evitar interrupciones y violaciones, la gestión autónoma de certificados software no está a años luz de las plataformas que hacen más por mejorar la eficiencia de los equipos de TI y seguridad y ayudar a las organizaciones a cumplir los requisitos normativos y de auditoría.
Las organizaciones necesitan soluciones para supervisar, gestionar y proteger no sólo los certificados, sino también el entorno PKI central crítico del que se deriva la confianza en los certificados. Proteger la infraestructura crítica que alimenta la confianza en los certificados es crucial.
Con un entorno de PKI como piedra angular para la emisión y gestión de certificados de una autoridad de certificación (CA) interna, las empresas necesitan una gama más amplia de herramientas de gestión de PKI para proteger y controlar ese entorno de confianza. Aunque las pulsaciones de teclas que intervienen en la creación de una CA pueden parecer sencillas, la infraestructura que sirve de base de confianza garantizada para la CA y sus certificados emitidos es una PKI intrincada, compuesta por hardware, software, personas, políticas y procedimientos necesarios para crear, gestionar, distribuir, utilizar, almacenar y revocar cada certificado.
El sistema debe diseñarse, implantarse, supervisarse y mantenerse con el objetivo de garantizar el nivel de seguridad necesario para casos de uso específicos. Una vulnerabilidad, un procedimiento pasado por alto, una política ignorada, y una CA puede dejar de ser de confianza, junto con cualquier certificado emitido por ella.
Una lección de la Estrella de la Muerte
Agradecimientos Wookiepedia
El Episodio IV de Star Wars nos introdujo en la construcción de la primera Estrella de la Muerte del Imperio Galáctico. Construida como clave de la supremacía del Imperio, la Estrella de la Muerte era una gigantesca estación móvil de batalla en el espacio profundo y destructora de planetas. Sus características de seguridad incluían una gran cantidad de protecciones de alta tecnología, como un casco de acero Quadanium, 758 rayos tractores, 15.000 cañones turboláser, más de 300.000 militares imperiales y más de 25.000 soldados de asalto, por no mencionar un superláser capaz de destruir un planeta entero.
Con un tamaño de más de 74,56 millas de diámetro y 357 niveles internos, costando más de 1.000.000.000.000 de créditos galácticos y albergando a más de 2 millones de seres, la Estrella de la Muerte era un ENORME vector de ataque y un valioso objetivo a destruir por la Alianza Rebelde, asegurando su supervivencia frente al malvado Imperio.
A pesar de todas sus protecciones, la Estrella de la Muerte tenía vulnerabilidades. Los planos fueron robados y se pasó por alto un pequeño puerto de escape que conducía al reactor principal. Luke Skywalker disparó torpedos por ese puerto, haciendo estallar el reactor principal y provocando una reacción en cadena que destruyó la superarma del Imperio Galáctico. La destrucción de la Estrella de la Muerte no habría sido posible sin un acceso (planos robados) y una vulnerabilidad (el puerto de escape). Por supuesto, la Alianza Rebelde era en realidad la "buena" en este ejemplo, la Alianza tenía la misma motivación que suelen tener los actores maliciosos: obtener acceso, localizar la vulnerabilidad y atacar algo de valor.
Imagina la Estrella de la Muerte como un entorno PKI, con cada una de sus características (rayos tractores, cañones turbo láser, presencia militar o puertos de escape) representando uno de los elementos PKI (hardware, software, personas, políticas o procedimientos). Imaginemos también que el puerto de escape de la Estrella de la Muerte es un procedimiento PKI y que los reactores de hipermateria son certificados. El acceso al puerto de escape (procedimiento PKI) y, en última instancia, al reactor (certificado), podría ser perjudicial para todo el entorno (PKI).
¿Qué significa este ejemplo para las empresas?
Ahora pasemos de la ciencia ficción a los negocios. Aunque el ejército imperial vigilaba la mayoría de las características de su Estrella de la Muerte, no vigilaba ni protegía el entorno más amplio, lo que provocó su colapso. No basta con asegurarse de que los cañones turbo láser y los rayos tractores están protegidos y funcionan. También hay que proteger todas las funciones, incluidos los puntos de acceso sensibles. Lo mismo puede decirse de un entorno PKI. No sólo los certificados podrían causar una interrupción o una brecha, sino que otros elementos de la PKI podrían permitir una vulnerabilidad de la seguridad. Supervisar todo el entorno PKI, incluidos los certificados, ayuda a reducir los vectores de ataque disponibles. Una PKI de confianza necesita múltiples herramientas de supervisión y protección.
En conjunto, los elementos de la PKI ofrecen una protección más sólida que un solo elemento. Al considerar la gestión de certificados software, las empresas deben tener en cuenta casos de uso mucho más amplios que la mera gestión de certificados. ¿Cómo supervisará y gestionará la herramienta los certificados en múltiples CA y casos de uso? ¿Cómo ayuda a supervisar los procesos, políticas y procedimientos de PKI? ¿Cómo permite elaborar informes sobre el cumplimiento de la seguridad?
La capacidad de supervisar e informar sobre el estado y la salud de todos los elementos de la PKI a lo largo del tiempo -más allá de los certificados- mejora la eficacia de la seguridad y protege a las organizaciones con información continua sobre amenazas y documentación de cumplimiento. Instamos a las empresas a pensar en grande. Considere una plataforma de herramientas y servicios que permita no sólo la gestión de certificados, sino también el control de toda la Infraestructura de Clave Pública.
