Las identidades de máquinas están proliferando a medida que las empresas migran a la nube, adoptan la contenerización y utilizan más dispositivos móviles e IoT. A medida que los certificados mal gestionados causan interrupciones y disrupciones dolorosas, el desafío de gestionar los certificados digitales se está volviendo crítico para muchas organizaciones y líderes.
El informe de Keyfactor de 2023 sobre el estado de la gestión de identidades de máquinas muestra que el apoyo ejecutivo para la gestión de certificados está mejorando, sin embargo, más organizaciones afirman carecer del personal adecuado para implementar y mantener su infraestructura de clave pública.
Incluso en el ámbito de la seguridad, la gestión de la criptografía y la infraestructura de clave pública son especialidades de nicho. La falta de herramientas adecuadas dificulta la gestión del ciclo de vida de los certificados (CLM) para los equipos generales de seguridad y TI, lo que resta significativamente a sus responsabilidades y deberes principales.
La nueva Guía del comprador de automatización del ciclo de vida de los certificados de Keyfactor ayuda a las organizaciones a navegar por el mercado de soluciones CLM para identificar aquellas que mantienen el uso de sus certificados bajo control.
La carga de la gestión manual de certificados
El trabajo de oficina diario de casi cualquier unidad dentro de una empresa se basa en un mosaico de herramientas y TI en la sombra ensambladas por los usuarios para apoyar sus flujos de trabajo. No es su culpa. Intentan ser lo más productivos posible. Están demasiado ocupados manteniéndose a flote con la carga de trabajo como para dar un paso atrás e identificar una forma mejor.
Los equipos que gestionan certificados a menudo no son diferentes. Es probable que utilicen una combinación de estas soluciones:
Hojas de cálculo
Aunque son una herramienta digital, las hojas de cálculo siguen siendo muy manuales y engorrosas cuando se utilizan para rastrear miles y miles de certificados. Además, las hojas de cálculo solo rastrean los certificados que su equipo conoce, no tienen en cuenta los certificados desconocidos que acechan en los rincones más remotos del panorama de los sistemas. Y aunque se utilizan ampliamente, las hojas de cálculo carecen de cualquier tipo de proceso de notificación inteligente o de cualquier concepto de automatización de PKI.
Herramientas de proveedores de autoridades de certificación
Una autoridad de certificación (CA) es una entidad que genera, firma y emite certificados digitales. A menudo, un proveedor de CA ofrecerá una herramienta para gestionar los certificados de esa CA en particular. Sin embargo, la mayoría de las organizaciones utilizan varias CA. Los encuestados en el informe de Keyfactor de 2023 sobre el estado de la identidad de las máquinas utilizaron nueve CA en promedio; gestionar nueve herramientas diferentes apenas supone una mejora respecto al uso de hojas de cálculo.
Herramientas Open-source
Si bien las herramientas de CA Open-source pueden ser flexibles y de bajo costo, rara vez cubren todo el espectro de casos de uso dentro de una organización. Todavía no proporcionan visibilidad y control centralizados en todas las CA y certificados utilizados por la empresa.
Una mejor manera de gestionar los ciclos de vida de los certificados
Existen mejores soluciones, y quienes las buscan deben comprender dos verdades clave sobre la gestión del ciclo de vida de los certificados para identificar la opción correcta para su organización.
- Cada certificado importa: Según el informe de 2023 sobre el estado de la gestión de identidades de máquinas, la organización promedio tiene más de un cuarto de millón de certificados. Cualquiera de ellos podría causar una interrupción al caducar inesperadamente.
- Su solución debe ser un ajuste perfecto: Una herramienta que solo hace el 90% de lo necesario es 100% incorrecta. Si una solución no puede brindarle visibilidad total, sentar las bases para automatizar los ciclos de vida de los certificados e implementarse de una manera que se adapte a su entorno, creará más problemas de los que resuelve.
Cada organización tiene su propio conjunto único de necesidades. Sin embargo, al buscar una solución de gestión del ciclo de vida de los certificados, hay algunos errores universales que evitar.
1. No se quede atado.
Utilizar varias CA no es un error, es una característica. El uso de múltiples proveedores de CA proporciona redundancia si una CA falla o se ve comprometida. Múltiples CA otorgan mayor flexibilidad en la creación de procesos de revocación y más opciones de servicio que ayudan a adaptarse a las necesidades de seguridad particulares de una organización.
Dicho esto, las organizaciones deben encontrar una plataforma CLM que pueda emitir y gestionar certificados de todas las CA utilizadas por la organización, y de aquellas que la organización pueda utilizar en el futuro.
No hacerlo requerirá la adopción de múltiples herramientas, lo que no logra la centralización y crea redundancias, trabajos de mantenimiento y costos innecesarios.
2. No confunda protocolo con plataforma.
Varios protocolos aceleran las partes de emisión y renovación del ciclo de vida de los certificados, pero están lejos de ser una solución completa. ACME, EST, SCEP y otros protocolos son básicamente marcos de proceso que permiten la comunicación con las autoridades de certificación. Puede pensar en ellos como diferentes lenguajes que las distintas CA están diseñadas para hablar.
Si bien estos protocolos ayudan con la automatización básica, no proporcionan visibilidad a nivel de toda la organización. Tampoco ofrecen la funcionalidad necesaria para revocar certificados masivamente o automatizar las configuraciones de los puntos finales que vinculan los certificados y la gestión de las raíces de confianza.
3. Tenga cuidado con el “middleware”.
Evite las arquitecturas de middleware que se interponen entre las CA y los dispositivos finales. Estos proveedores solo gestionan los certificados emitidos por su plataforma y no los que ya existen en su entorno. Esto implicaría el redespliegue de todos los certificados a través de su herramienta y la reingeniería de los flujos de trabajo para adaptarlos a su solución.
Este camino es arriesgado y laborioso. Recuerde que es beneficioso utilizar múltiples CA; sin embargo, este método obliga a las organizaciones a emplear una única CA si desean lograr una visibilidad totalmente centralizada.
En su lugar, busque soluciones modulares y débilmente acopladas que actúen como orquestadores de certificados, en lugar de como conductos de transacciones o cuellos de botella.
4. Elija una solución que se adapte a su entorno particular.
La forma en que una solución puede (o no puede) desplegarse es tan crucial como sus capacidades. Ya sea que una organización opere en local o en la nube, o a través de una arquitectura multinube o híbrida, la solución debe ser lo suficientemente flexible como para implementarse sin modificaciones.
Aunque muchas organizaciones han adoptado la nube en mayor o menor medida, las infraestructuras PKI heredadas probablemente sigan alojadas en local. La mayoría de las organizaciones necesitan la capacidad de ejecutar parte, si no la totalidad, de sus infraestructuras CLM en la nube, mientras siguen gestionando activos en local.
Es fundamental evaluar su infraestructura y sus requisitos de crecimiento al considerar un modelo de despliegue. Una solución ideal se expandirá con el crecimiento de su organización y sus necesidades criptográficas a lo largo del tiempo.
Resuelva el problema de CLM, no lo cambie por otro.
Tenga en cuenta que la visibilidad sigue siendo el mayor desafío para las organizaciones que buscan madurez en CLM. Esto significa que, al buscar soluciones, desconocen el alcance total de su panorama de certificados. Los líderes de seguridad quieren evitar adquirir una herramienta para luego descubrir que necesitan otra, o que su nueva solución solo cubre el 90% de sus necesidades (o requiere una drástica alteración de los procesos y flujos de trabajo actuales).
Para ver qué más deben considerar las organizaciones —y las características clave que deben buscar—, consulte nuestra nueva Guía del comprador de automatización del ciclo de vida de los certificados.
Existen algunas señales positivas que cualquier solución debería ofrecer.
- Debe descubrir, registrar y supervisar proactivamente cada certificado en toda la organización, eliminando por completo el riesgo de certificados no detectados.
- Debe centralizar la gestión de todos los certificados. Esto significa que debe ser capaz de controlarlos todos desde un único centro.
- Debe automatizar los ciclos de vida de las claves y los certificados, eliminando la carga de mantenimiento manual que suponen las hojas de cálculo, las múltiples herramientas de CA de proveedores y las soluciones open-source.
