Cinco razones clave para modernizar su PKI

La infraestructura PKI heredada puede ser el ancla que lastre su estrategia de nube. 

Hace veinte años, las infraestructuras locales eran la norma. El uso de certificados era una fracción de lo que era ahora, y los ciclos de vida de los certificados son ahora una fracción de lo que eran entonces. Como resultado, estas organizaciones acumulaban una enorme huella de Active Directory y una amplia gama de soluciones PKI dispares que emitían certificados a usuarios finales, aplicaciones internas, contratistas externos, estaciones de trabajo, servidores, sensores de fábrica, etc. 

Pero ahora, las organizaciones se encuentran trasladando parte o la totalidad de su infraestructura a la nube, y se ven obligadas a utilizar la PKI local para emitir certificados para los recursos basados en la nube. Esto no es lo óptimo.

¿Cuál es el problema? Incluso si el estado actual de su PKI no va a hundir la organización en llamas, es un engranaje pequeño pero importante en la gran maquinaria organizativa. Modernizar la PKI puede permitir y acelerar mayores iniciativas de innovación y agilidad.

A medida que surgen y se generalizan nuevas tecnologías y cargas de trabajo, pero las infraestructuras heredadas siguen sin modernizarse, se crea una brecha cada vez menos sostenible. 

La contenedorización, la automatización y las arquitecturas de microservicios son todas ellas innovaciones que pueden revolucionar el negocio, pero todas ellas consumen certificados y dependen de una PKI moderna y eficiente.

Desde dispositivos médicos hasta automóviles, los fabricantes de equipos necesitan una PKI modernizada para emitir identidades de máquina únicas a cientos de miles de unidades de producto y firmar el código que las mantendrá en funcionamiento con cada actualización. 

Los cambios en la forma de trabajar de los empleados, como el trabajo remoto o las modificaciones de los flujos de trabajo impulsadas por el cumplimiento de normativas, probablemente impulsarán el uso de certificados y exigirán una mayor flexibilidad y control sobre la PKI de la organización.

Para satisfacer los nuevos casos de uso, las implantaciones de PKI son cada vez más complejas, ya que cada vez más equipos necesitan utilizar certificados. Sin una estrategia holística de PKI, la falta de visibilidad y coherencia dificultará el rendimiento y creará problemas.

• Cuando están aislados, los distintos equipos adquieren sus propias autoridades de certificación sin tener en cuenta cómo gestionan la PKI los demás equipos.
• Los administradores y desarrolladores informáticos crean certificados autofirmados sin documentarlos.
• La PKI y los certificados se consumen sin gobernanza, buenas prácticas ni políticas.

Esto aumenta la amenaza de certificados desconocidos (y, en consecuencia, no rastreados) que pueden desconectar un servicio o una aplicación cuando caducan. KeyfactorEl informe 2023 State of Machine Identity Report revela que la organización media mantiene 255.000 certificados en todo momento, pero basta uno para que las operaciones se paralicen.

Cuando la esfera de la PKI existía enteramente on-prem, toda la PKI podía ser atendida por una solución robusta como Active Directory. Pero a medida que las organizaciones adoptan servicios en la nube, a menudo lo hacen sin una estrategia que haga evolucionar su PKI de forma eficiente y concisa. 

Sin políticas, prácticas o normas a las que adherirse en toda la organización, los equipos aislados que consumen certificados recurrirán a hacerlo a su manera. Adoptan soluciones puntuales para sus retos particulares. Un equipo con casos de uso de AWS, Linux o IoT adoptará soluciones específicas para AWS, Linux o IoT.

Así es como las organizaciones acaban teniendo una media de nueve autoridades de certificación diferentes, según el KeyfactorInforme sobre el estado de la identidad de las máquinas 2023.

Más herramientas crean más problemas. Las organizaciones necesitan integrar estos sistemas PKI dispares y obtener el control que necesitan para escalar y ejecutar la estrategia en la nube.

La mayoría de los encuestados en el informe (53%) afirmaron que su organización no dispone de recursos o personal suficientes para implantar y mantener la PKI de forma eficaz. La propiedad de la PKI variaba de una organización a otra.

¿A quién pertenece PKI?

• Equipos informáticos (29%)
• Equipos de seguridad (24%)
• Gestión de identidades y accesos (15%)
• Infraestructuras (14%)
• Sin propietario claro (17%)

Curiosamente, no hay un ganador indiscutible, y tiene sentido. PKI es una especialidad de nicho extremadamente técnica, y hay muy pocos técnicos dedicados a PKI. Sin embargo, es probable que los equipos de TI y seguridad carezcan de los conocimientos de PKI necesarios para evitar errores que requieran una reconstrucción posterior. Por no mencionar el reto que supone gestionar PKI además de sus responsabilidades principales.

Puede que las organizaciones no tengan más remedio que confiar la PKI a estos equipos. Sin embargo, si deben hacerlo, deben esforzarse por minimizar la carga de PKI tanto como sea posible a través del control centralizado y la automatización.

A pesar de ser una característica de nicho de la infraestructura de la organización, PKI afecta a todos en forma de interrupciones y tiempos de inactividad..

Según el informe 2023 State of Machine Identity Report de Keyfactor, las organizaciones sufrieron tres interrupciones relacionadas con certificados en los últimos 24 meses. Más de la mitad de estas interrupciones afectaron gravemente a los servicios de cara al cliente. 

Los certificados caducados causan estragos en la empresa. Cuando proliferan las CA y la proliferación de certificados, se tarda más tiempo en peinar la infraestructura para localizar el certificado caducado e identificar todas las ubicaciones en las que se instaló dicho certificado. A continuación, el equipo que gestiona la PKI debe reiniciar los servicios y reparar los sistemas, proporcionar el certificado a todas las ubicaciones y, por último, renovar y volver a emitir el certificado. 

Sin una forma de detectar todos los certificados de certificados de la organización y automatizar su renovación, es imposible anticiparse al vencimiento de los certificados, y la gestión del ciclo de vida de los certificados se convierte en un juego de topo. la gestión del ciclo de vida de los certificados se convierte en un juego de topo..

Muchas organizaciones aprovechan la implantación de la nube como una oportunidad para modernizar y despejar su infraestructura, y PKI no es una excepción. 

La modernización de la PKI puede mejorar la seguridad, ofrecer más versatilidad para satisfacer una gama más amplia de casos de uso y dar a los equipos que gestionan la PKI más ancho de banda para atender sus otras responsabilidades. 

Los entornos en la nube se están diversificando cada vez más con la creciente popularidad de la nube híbrida y las infraestructuras on-prem y multi-nube. En la búsqueda de un mejor enfoque de PKI, las organizaciones deben buscar soluciones y plataformas que puedan facilitar toda su estrategia en la nube y abordar posibles necesidades en el futuro, en lugar de convertirse en otra limitación que requiera una solución complicada. 

La solución adecuada también debe proporcionar una gama de opciones de servicio, tanto si una organización desea seguir gestionando PKI mientras utiliza la infraestructura de la solución como si desea desprenderse completamente de PKI a través de un modelo SaaS. Estas opciones permiten a las organizaciones acceder a conocimientos especializados de PKI sin tener que contratarlos internamente. 

¿Quiere saber más? Vea el seminario web a la carta de Keyfactor, "5 razones para modernizar su PKI" y póngase en contacto con nuestro equipo cuando esté listo para dar el siguiente paso.