Cinco razones clave para modernizar su PKI.

La infraestructura PKI heredada puede ser el ancla que frena su estrategia de nube. 

Hace veinte años, las infraestructuras locales eran la norma. El uso de certificados era una fracción de lo que es ahora, y los ciclos de vida de los certificados actuales son una fracción de lo que eran entonces. Como resultado, estas organizaciones acumularon una huella masiva de Active Directory y una amplia gama de soluciones PKI dispares que emitían certificados a usuarios finales, aplicaciones internas, contratistas externos, estaciones de trabajo, servidores, sensores de fábrica y más. 

Pero ahora, las organizaciones se encuentran moviendo parte (o la totalidad) de su infraestructura a la nube, y están atascadas utilizando PKI local para emitir certificados a recursos basados en la nube. Esto no es óptimo.

¿Cuál es el problema? Incluso si el estado actual de su PKI no va a llevar a la organización a la ruina, es un engranaje pequeño pero importante en la gran maquinaria organizacional. La modernización de la PKI puede habilitar y acelerar mayores iniciativas de innovación y agilidad.

A medida que nuevas tecnologías y cargas de trabajo emergen y se vuelven comunes, pero las infraestructuras heredadas permanecen sin modernizar, se crea una brecha que se vuelve cada vez menos sostenible. 

La contenerización, la automatización y las arquitecturas de microservicios son todas estas innovaciones que pueden revolucionar el negocio, pero todas consumen certificados y dependen de una PKI moderna y eficiente.

Desde dispositivos médicos hasta automóviles, los fabricantes de equipos necesitan una PKI modernizada para emitir identidades de máquina únicas a cientos de miles de unidades de producto y para firmar el código que los mantendrá funcionando con cada actualización. 

Los cambios en la forma de trabajar de los empleados, como el trabajo remoto o las modificaciones en los flujos de trabajo impulsadas por el cumplimiento normativo, probablemente impulsarán el uso de certificados y exigirán una mayor flexibilidad y control sobre la PKI de la organización.

Para satisfacer nuevos casos de uso, las implementaciones de PKI se vuelven más complejas a medida que más equipos necesitan utilizar certificados. Sin una estrategia de PKI holística, la disminución de la visibilidad y la coherencia obstaculizará el rendimiento y generará problemas.

• Cuando están aislados, diferentes equipos adquirirán sus propias autoridades de certificación sin tener en cuenta cómo otros equipos gestionan la PKI.
• Los administradores de TI y los desarrolladores crean certificados autofirmados sin documentarlos.
• La PKI y los certificados se consumen sin gobernanza, mejores prácticas ni políticas.

Esto aumenta la amenaza de certificados desconocidos (y, por consiguiente, no rastreados) que pueden dejar un servicio o aplicación fuera de línea cuando caducan. El Informe de Keyfactor sobre el Estado de la Identidad de Máquinas de 2023 reveló que la organización promedio mantiene 255 000 certificados en cualquier momento, pero solo se necesita uno para detener las operaciones por completo.

Cuando el ámbito de la PKI existía completamente en las instalaciones, toda la PKI podía ser gestionada por una solución robusta como Active Directory. Pero a medida que las organizaciones adoptan servicios en la nube, a menudo lo hacen sin una estrategia que evolucione su PKI de manera eficiente y concisa. 

Sin políticas, prácticas o estándares a nivel de toda la organización a los que adherirse, los equipos aislados que consumen certificados recurrirán a hacerlo a su manera. Adoptan soluciones puntuales para sus desafíos particulares. Un equipo con casos de uso de AWS, Linux o IoT adoptará soluciones específicas para AWS, Linux o IoT.

Así es como las organizaciones terminan con un promedio de nueve autoridades de certificación diferentes, según el Informe de Keyfactor sobre el Estado de la Identidad de Máquinas de 2023.

Más herramientas crean más problemas. Las organizaciones necesitan integrar estos sistemas de PKI dispares y obtener el control que necesitan para escalar y ejecutar la estrategia de la nube.

La mayoría de los encuestados del informe (53 %) afirmó que su organización no cuenta con suficientes recursos o personal para implementar y mantener la PKI de manera efectiva. La titularidad de la PKI varió de una organización a otra.

Entonces, ¿quién es el propietario de la PKI? 

• Equipos de TI (29 %)
• Equipos de seguridad (24 %)
• Gestión de Identidad y Acceso (15 %)
• Infraestructura (14 %)
• Sin propietario claro (17 %)

Curiosamente, no hay un claro ganador, y tiene sentido. La PKI es una especialidad extremadamente técnica y de nicho, y hay muy pocos técnicos dedicados a la PKI. Sin embargo, es probable que los equipos de TI y seguridad carezcan de los conocimientos de PKI para evitar errores que requerirán una reconstrucción seria más adelante. Por no mencionar el desafío de gestionar la PKI además de sus responsabilidades principales.

Las organizaciones pueden no tener más remedio que confiar la PKI a estos equipos. Sin embargo, si deben hacerlo, deben esforzarse por minimizar la carga de la PKI tanto como sea posible mediante el control centralizado y la automatización.

A pesar de ser una característica de nicho de la infraestructura de la organización, la PKI afecta a todos en forma de interrupciones y tiempo de inactividad. 

Según el Informe de Keyfactor sobre el Estado de la Identidad de Máquinas de 2023, las organizaciones sufrieron tres interrupciones relacionadas con certificados en los últimos 24 meses. Más de la mitad de esas interrupciones afectaron gravemente a los servicios de cara al cliente. 

Los certificados caducados causan estragos en el negocio. Cuando la proliferación de CA y certificados se extiende, se requiere más tiempo para rastrear la infraestructura, localizar el certificado caducado e identificar todas las ubicaciones donde se instaló. Posteriormente, el equipo encargado de la PKI debe reiniciar los servicios y remediar los sistemas, aprovisionar el certificado en todas las ubicaciones y, finalmente, renovar y reemitir el certificado. 

Sin una forma de detectar todos los certificados de la organización y automatizar su renovación, es imposible adelantarse a las caducidades de los certificados, y la gestión del ciclo de vida de los certificados se convierte en un juego de nunca acabar.

Muchas organizaciones aprovechan sus implementaciones en la nube como una oportunidad para modernizar y simplificar ampliamente su infraestructura, y la PKI no es una excepción. 

La modernización de la PKI puede permitir una mayor seguridad, ofrecer más versatilidad para satisfacer una gama más amplia de casos de uso y otorgar a los equipos que gestionan la PKI más capacidad para atender sus otras responsabilidades. 

Los entornos de nube son cada vez más diversos con la creciente popularidad de las infraestructuras de nube híbrida, on-premise y multinube. Al buscar un mejor enfoque para la PKI, las organizaciones deben buscar soluciones y plataformas que puedan facilitar su estrategia integral de nube y abordar las necesidades futuras potenciales, en lugar de convertirse en otra limitación que requiera una solución alternativa complicada. 

La solución adecuada también debe ofrecer una gama de opciones de servicio, ya sea que una organización desee seguir gestionando la PKI utilizando la infraestructura de la solución o delegar completamente la PKI a través de un modelo SaaS. Estas opciones brindan a las organizaciones acceso a habilidades especializadas en PKI sin la carga de contratarlas internamente. 

¿Listo para saber más? Vea el seminario web bajo demanda de Keyfactor, “5 razones para modernizar su PKI” y contacte con nuestro equipo cuando esté listo para dar el siguiente paso.