Las identidades de máquina se están disparando a medida que las empresas se pasan a la nube, adoptan la contenedorización y utilizan más dispositivos móviles y IoT . A medida que los certificados mal gestionados causan dolorosas interrupciones e interrupciones, el reto de gestionar certificados digitales se está convirtiendo en algo crítico para muchas organizaciones y líderes.
Keyfactorde 2023 sobre la gestión de la identidad de las máquinas muestra que el apoyo ejecutivo a la gestión de certificados está mejorando, pero cada vez son más las organizaciones que afirman carecer del personal adecuado para implantar y mantener su infraestructura de clave pública.
Incluso en el ámbito de la seguridad, la gestión de la criptografía y la infraestructura de clave pública son especialidades de nicho. La falta de herramientas adecuadas hace que la gestión del ciclo de vida de los certificados (CLM) sea más difícil para los equipos generales de seguridad y TI, lo que les resta mucho tiempo para sus responsabilidades y obligaciones principales. sus principales responsabilidades y obligaciones..
Keyfactorde Guía del comprador de automatización del ciclo de vida de los certificados ayuda a las organizaciones a navegar por el mercado de soluciones CLM para identificar soluciones que mantengan su uso de certificados en el buen camino.
La carga de la gestión manual de certificados
El trabajo de oficina cotidiano de casi todas las unidades de una empresa funciona con un mosaico de herramientas e TI en la sombra ensambladas por los usuarios para apoyar sus flujos de trabajo. No es culpa suya. Intentan ser lo más productivos posible. Están demasiado ocupados manteniéndose por encima de la marea de trabajo como para dar un paso atrás e identificar una forma mejor.
Los equipos que gestionan los certificados no suelen ser diferentes. Es probable que utilicen una combinación de estas soluciones:
Hojas de cálculo
Aunque se trata de una herramienta digital, las hojas de cálculo siguen siendo muy manuales y pesadas cuando se utilizan para realizar el seguimiento de miles y miles de certificados. Además, las hojas de cálculo sólo hacen un seguimiento de los certificados que conoce su equipo, no tienen en cuenta los certificados desconocidos que acechan en los confines del panorama de los sistemas. Y aunque su uso está muy extendido, las hojas de cálculo carecen de cualquier tipo de proceso de notificación inteligente o de cualquier concepto de automatización de PKI.
Herramientas del proveedor de autoridad de certificación
Una autoridad de certificación (CA) es una entidad que genera, firma y emite certificados digitales. A menudo, un proveedor de CA ofrecerá una herramienta para gestionar los certificados de esa CA en particular. Sin embargo, la mayoría de las organizaciones utilizan varias CA. Los encuestados en Keyfactor2023 State of Machine Identity utilizaban una media de nueve CA: gestionar nueve herramientas diferentes es apenas un paso adelante respecto al uso de hojas de cálculo.
Open-source herramientas
Aunque open-source herramientas de CA pueden ser flexibles y de bajo coste, rara vez cubren todo el espectro de casos de uso dentro de una organización. Todavía no proporcionan visibilidad y control centralizados de todas las CA y certificados que utiliza la empresa.
Una forma mejor de gestionar el ciclo de vida de los certificados
Existen soluciones mejores, y quienes las busquen deben comprender dos verdades clave sobre la gestión del ciclo de vida de los certificados para identificar la opción adecuada para su organización.
- Cada certificado es importante: Según el informe 2023 State of Machine Identity Management, la organización media tiene más de un cuarto de millón de certificados. Cualquiera de ellos podría causar una interrupción al caducar inesperadamente.
- Su solución debe encajar a la perfección: Una herramienta que sólo hace el 90% de lo que se necesita es un error al 100%. Si una solución no puede ofrecerle una visibilidad total, sentar las bases para automatizar los ciclos de vida de los certificados e implantarse de forma que se adapte a su entorno, creará más problemas de los que resuelve.
Cada organización tiene sus propias necesidades. Sin embargo, al buscar una solución de gestión del ciclo de vida de los certificadoshay que evitar algunos escollos universales.
1. No te encierres.
Utilizar varias CA no es un error, es una característica. El uso de varios proveedores de CA proporciona redundancia en caso de que una CA falle o se vea comprometida. Varias CA ofrecen más flexibilidad a la hora de crear procesos de revocación y más opciones de servicio que se adaptan a las necesidades de seguridad concretas de una organización.
Dicho esto, las organizaciones deben encontrar una plataforma CLM que pueda emitir y gestionar certificados de todas las las CA utilizadas por la organización, y las que la organización pueda utilizar en el futuro.
De lo contrario, será necesario adoptar múltiples herramientas, lo que no logra la centralización y crea redundancias, trabajo de mantenimiento y costes innecesarios.
2. No confundas protocolo con plataforma.
Varios protocolos aceleran las partes de emisión y renovación del ciclo de vida de los certificados, pero distan mucho de ser una solución completa. ACMEEST, SCEP y otros protocolos son básicamente marcos de procesos que permiten la comunicación con las autoridades de certificación. Se puede pensar en ellos como diferentes lenguajes en los que diferentes CA están diseñadas para hablar.
Aunque estos protocolos ayudan con la automatización básica, no proporcionan visibilidad en toda la organización. Tampoco ofrecen la funcionalidad necesaria para revocar certificados en masa o automatizar las configuraciones de los extremos que vinculan los certificados y las raíces de gestión de confianza.
3. Ten cuidado con el "middleware".
Evite la arquitectura de middleware que se sitúa entre las CA y los dispositivos finales. Estos proveedores sólo gestionan los certificados emitidos por su plataforma y no los que ya existen en su entorno. Eso requeriría la redistribución de todos los certificados a través de su herramienta y la reingeniería de los flujos de trabajo para pasar por su solución.
Este camino es arriesgado y laborioso. Recuerde que es bueno utilizar varias CA, pero este método obliga a las organizaciones a utilizar una sola si quieren conseguir una visibilidad totalmente centralizada.
En su lugar, busque soluciones modulares y poco acopladas que actúen como orquestadores de certificados en lugar de canalizaciones de transacciones o cuellos de botella.
4. Compre para adaptarse a su entorno particular.
Cómo puede (o no puede) desplegarse una solución es tan importante como lo que puede hacer. Independientemente de que una organización funcione in situ o en la nube, o a través de una arquitectura multinube o híbrida, la solución debe ser lo suficientemente flexible como para desplegarse allí sin cambios.
Aunque muchas organizaciones han adoptado la nube en uno u otro grado, las infraestructuras PKI heredadas siguen alojadas en las instalaciones. La mayoría de las organizaciones necesitan la capacidad de ejecutar partes, si no todas, de sus infraestructuras CLM en la nube sin dejar de gestionar los activos locales.
Merece la pena evaluar sus requisitos de infraestructura y crecimiento a la hora de valorar un modelo de implantación. Una solución ideal se ampliará con el crecimiento de su organización y los requisitos criptográficos a lo largo del tiempo.
Resuelve el problema CLM - no lo cambies por otro
Tenga en cuenta que la visibilidad sigue siendo el mayor reto para las organizaciones que están adquiriendo madurez en CLM . Esto significa que, mientras buscan soluciones, no conocen el alcance total de su panorama de certificados. Los responsables de seguridad quieren evitar comprar una herramienta y luego descubrir que necesitan algo más, o descubrir que su nueva solución solo cubre el 90 % de sus necesidades (o requiere una drástica modificación de los procesos y flujos de trabajo actuales).
Para ver qué más deben tener en cuenta las organizaciones y las características clave que deben buscar, consulte nuestra nueva Guía del comprador de automatización del ciclo de vida de los certificados.
Hay algunas banderas verdes que cualquier solución debería ofrecer.
- Debe descubrir, registrar y supervisar proactivamente cada certificado en toda la organización, eliminando por completo el riesgo de certificados no detectados.
- Debe centralizar la gestión de todos los certificados. Eso significa que debe poder controlar todos los certificados desde un único centro.
- Debe automatizar los ciclos de vida de claves y certificados, eliminando la carga de mantenimiento manual de las hojas de cálculo, las herramientas de CA de múltiples proveedores y las soluciones de open-source .
