Si eres ingeniero de redes, el tiempo de inactividad es el enemigo número uno. Seguir el ritmo de las solicitudes de cambio, solucionar problemas e implantar la nueva hardware es un trabajo duro, pero todo eso se desbarata cuando se produce una interrupción del servicio.
Hay muchos posibles culpables detrás de los cortes de red y de las aplicaciones, pero uno de los más dolorosos (y evitables) son los certificados TLS caducados o mal configurados que se utilizan en sus servidores web y equilibradores de carga, como Avi Vantage.
En un seminario web reciente, explicamos cómo Keyfactor se integra con Avi Vantage (ahora VMware NSX ALB) para evitar interrupciones y simplificar las operaciones diarias de los ingenieros de redes. Aquí hablaremos de los aspectos más destacados del seminario web y de por qué esta integración es importante para nuestros clientes.
Pero antes de sumergirnos en la integración, es importante entender primero los problemas a los que se enfrentan los equipos de redes y aplicaciones cuando se trata de certificados SSL/TLS en su despliegue de Avi, y cómo pueden beneficiarse de la integración con Keyfactor.
El cuello de botella: el aprovisionamiento manual
Si ha implementado controladores Avi o cualquier otro dispositivo de red, conoce la importancia de aplicar el cifrado HTTPS para proteger las aplicaciones y las conexiones backend. Huelga decir que la disponibilidad y la seguridad son las principales prioridades para la entrega de aplicaciones. Sin embargo, los procesos manuales y propensos a errores de los certificados SSL/TLS pueden ralentizar rápidamente a los equipos e introducir varios riesgos.
Aunque Avi Vantage proporciona cierto nivel de visibilidad de los certificados, el proceso para instalarlos, configurarlos y renovarlos sigue siendo muy manual y a menudo se malinterpreta. La realidad es que muchos equipos de aplicaciones y operaciones todavía luchan con la pregunta: "¿dónde consigo un certificado?". Por no hablar de cómo desplegarlos y renovarlos correctamente antes de que caduquen.
Si se tiene en cuenta todo el tiempo que se tarda en enviar una CSR, esperar a que se apruebe, recuperar el certificado y luego otros 10 o 15 minutos para instalar y configurar cada certificado en los controladores Avi, la suma es enorme. Los equipos pueden pasarse horas haciendo algo que en realidad sólo debería llevar unos minutos.
¿Y qué pasa? Le dan al botón fácil...
El botón fácil: certificados autofirmados
Tradicionalmente, las organizaciones utilizan certificados firmados por una autoridad de certificación (CA) privada interna o de confianza pública. Por otro lado, los certificados autofirmados no sirven para todos los casos de uso, pero son trivialmente fáciles de generar, lo que los convierte en los favoritos de los equipos de redes y aplicaciones. Sin embargo, también introducen varios riesgos y desafíos.
En comparación con los certificados firmados por las CA, la cadena de confianza de un certificado autofirmado empieza y termina en el usuario que lo ha generado. Es demasiado fácil que los usuarios generen un par de claves de certificado con poca entropía, que no protejan la clave privada adecuadamente o que emitan certificados con una vida útil muy superior a los periodos de validez aceptables (hemos visto certificados de entre 10 y 99 años).
El mayor problema es que la tarea de hacer un seguimiento de los certificados autofirmados se convierte en un auténtico quebradero de cabeza para el equipo de PKI o de seguridad. Cuando hay docenas de usuarios que generan sus propios certificados utilizando diferentes servidores y dispositivos de red (incluidos los controladores Avi), cada uno con una interfaz diferente, resulta mucho más difícil mantener la visibilidad y la gobernanza.
Otro atajo: certificados comodín
Otro atajo que los usuarios suelen tomar para evitar más trabajo manual es utilizar certificados comodín. Evitan la molestia de gestionar varios certificados en varios servidores de su entorno utilizando un único certificado comodín en varios subdominios. Fácil, ¿verdad?
Sin una visibilidad adecuada de todas las ubicaciones donde está instalado el certificado, y sin una protección estricta de la clave privada asociada, los certificados comodín crean un único punto de fallo que puede ser extremadamente difícil de solucionar si algo va mal.
Por ejemplo, Epic Games sufrió recientemente una interrupción generalizada debido a un certificado comodín caducado que tardó más de cinco horas en solucionarse. En una revisión post-mortem del incidente, afirmaron que "el certificado comodín de servicio a servicio estaba instalado en cientos de servicios de producción diferentes y, debido a esto, el impacto fue muy amplio".
En resumen: el uso de certificados autofirmados y comodín debe limitarse. En la mayoría de los casos, son un atajo, no una solución al problema. Entonces, ¿cuál es la respuesta? Una palabra: automatización.
Automatización segura con Keyfactor + Avi Vantage
La automatización del aprovisionamiento y la renovación de certificados en toda la red es necesaria para evitar que los propietarios de las aplicaciones pulsen ese botón fácil, para mitigar el riesgo de error o mala configuración y para reducir el tiempo dedicado a tareas redundantes.
Como resultado, los ingenieros de redes pueden cambiar los atajos por flujos de trabajo automatizados que les permitan obtener e implantar fácilmente certificados de confianza, en lugar de optar por alternativas arriesgadas.
Keyfactor Command permite el descubrimiento y la automatización de certificados en sus Avi Controllers además de servidores web y dispositivos de red como F5, NGINX, IIS, Tomcat, y la lista continúa. La plataforma actúa como un proxy de confianza entre su infraestructura de red y nube y sus autoridades de certificación (CA) públicas y privadas para ofrecer:
- Visibilidad de certificados: Mantenga un inventario centralizado y en tiempo real de todos los certificados de aplicaciones y controladores. Identifique y corrija los certificados débiles, falsos o a punto de caducar.
- Autoservicio: Permita a los propietarios de aplicaciones solicitar fácilmente certificados de cualquier CA pública o privada conectada a través de una sencilla interfaz de autoservicio o API REST.
- Automatización: Además de proporcionar alertas de caducidad, la solución ofrece la posibilidad de renovar, insertar e instalar certificados automáticamente en los Avi Controllers.
- Escalabilidad: Escale el uso de HTTPS a través de sus controladores Avi y otras infraestructuras de red y servidores sin aumentar la carga de trabajo de sus equipos.
- Criptoagilidad: Admite la reemisión fluida de certificados de una nueva CA, la migración a certificados de vida más corta o la migración de un proveedor de ADC a otro.
Cómo funciona
Veamos cómo funciona la solución conjunta. En este rápido fragmento de demostración, mostraremos lo fácil que es generar certificados autofirmados problemáticos en Avi, y cómo Keyfactor ofrece una alternativa mucho más segura y sencilla (desplázate hacia abajo para ver la demostración completa).
Ver la demo completa
¿Quiere saber más sobre esta integración? Vea la descripción general completa de 30 minutos y la demostración en directo aquí. También puede consultar otras integraciones populares como F5, IIS, HashiCorp Vault y otras en el centro de integración deKeyfactor .