Infraestructura de clave pública (PKI) y gestión de certificados apuntalan la seguridad de las empresas. Son responsables de las comunicaciones seguras, la autenticación de usuarios y dispositivos y el mantenimiento de la integridad de las transacciones digitales.
La selección del gestor de certificados adecuado sienta las bases para el crecimiento y la escalabilidad de su organización.
Sin embargo, no todos los gestores de certificados son iguales. El gestor de certificados elegido debe ajustarse a las necesidades específicas, la infraestructura y los requisitos de seguridad de la organización. De ahí que su elección afecte directamente a la capacidad de su organización para gestionar certificados con eficacia, mitigar riesgos y agilizar las operaciones.
Este artículo le guiará a través de las consideraciones clave para elegir un gestor de certificados. También identifica las características que debe buscar, como:
- Visibilidad completa
- Automatización del ciclo de vida
- Integración de los ecosistemas
- Gobernanza política
En cada sección, hemos incluido una lista de preguntas pertinentes para plantear a los proveedores durante el proceso de evaluación.
Visibilidad y despliegue
Una gestión eficaz de los certificados empieza por la visibilidad: no se puede gestionar lo que no se ve. Aunque conozca muchos certificados, los emitidos fuera de los procesos estándar tienden a pasar desapercibidos.
Encontrar estos certificados falsos es especialmente difícil. Por lo general, están dispersos en plataformas como servidores, equilibradores de carga, cortafuegos, contenedores y entornos multicloud. Esta amplia distribución complica el proceso de seguimiento y gestión, por lo que es necesario emplear herramientas de detección sólidas.
Según nuestro Informe sobre PKI y confianza digitallas organizaciones suelen utilizar una media de siete autoridades de certificación (CA) en todas sus operaciones. Esto subraya la necesidad de una única herramienta de detección integral que pueda localizar todos los certificados, independientemente de dónde residan o desde dónde se hayan emitido.
Para solucionarlo, opte por una herramienta que ofrezca descubrimiento continuo, capaz de identificar todos los certificados existentes con independencia de su ubicación u origen de emisión. El gestor de certificados ideal debe ofrecer varios mecanismos de descubrimiento y gestionar estos certificados de forma centralizada a través de un hub universal.
A la hora de evaluar posibles soluciones, plantéese las siguientes preguntas:
- ¿Puede el proveedor descubrir y gestionar todos los certificados, incluidos aquellos no emitidos a través de su plataforma?
- ¿Requiere la solución cambios significativos en las reglas del cortafuegos y las configuraciones de puertos cuando se implanta en entornos con múltiples segmentos de red o servicios en la nube?
- ¿Realiza la solución un inventario y gestiona los certificados raíz de confianza en los puntos finales de la red?
Seguimiento e informes
Una vez que haya establecido un inventario completo de sus certificados, el siguiente paso es supervisar activamente su caducidad, cumplimiento y uso. La supervisión garantiza que se aborden los posibles problemas antes de que provoquen interrupciones o vulnerabilidades.
El acceso a un panel de control y a funciones básicas de generación de informes es sólo el principio. Para gestionar eficazmente sus certificados, necesita un gestor de certificados con una interfaz altamente personalizable. La flexibilidad añadida le permite dar prioridad a los certificados en función de la importancia empresarial o de las aplicaciones y tomar medidas rápidas cuando sea necesario.
Agrupar certificados y etiquetarlos con datos relevantes para la empresa o la aplicación amplía las capacidades de gestión. La elección de una herramienta que admita metadatos configurables permite organizar y realizar un seguimiento más eficaz de los certificados.
Las siguientes funciones garantizan que su proceso de gestión de certificados sea completo y adaptable:
- ¿Ofrece la solución cuadros de mando personalizables y en los que se puede hacer clic para obtener la información que se necesita?
- ¿Existen limitaciones en cuanto al formato o el número de campos de metadatos que se pueden utilizar?
- ¿Se pueden revocar los certificados emitidos directamente desde la consola?
Automatización del ciclo de vida
De media, las organizaciones gestionan la asombrosa cifra de 81.139 certificados de confianza interna, según Keyfactor's 2024 Informe sobre PKI y confianza digital. Con tantos certificados, la gestión de todo el ciclo de vida de cada uno -desde la emisión hasta la revocación- resulta abrumadora. Esto provoca que no se expire el certificado y que se produzcan interrupciones.
Para mitigar estos riesgos, un gestor de certificados debe ofrecer la automatización del ciclo de vida. La renovación y el aprovisionamiento automatizados directamente a los dispositivos finales eliminan los certificados caducados, evitando costosos tiempos de inactividad.
Un proceso de inscripción simplificado fomenta la adopción generalizada de certificados digitales en toda la organización. Compruebe si el proveedor ofrece un motor de flujo de trabajo extensible capaz de gestionar miles de solicitudes de certificados e integrarse perfectamente con los flujos de trabajo de gestión de servicios de TI (ITSM) existentes.
Además, la herramienta debe ofrecer criptoagilidad a escala, permitiéndole integrarse con múltiples proveedores o pasar sin problemas de una CA a otra. Esta capacidad es importante a medida que evolucionan las normas criptográficas, sobre todo en respuesta a los retos que plantea la computación post-cuántica.
Al evaluar las soluciones de automatización del ciclo de vida, tenga en cuenta las siguientes preguntas:
- ¿Puede la solución gestionar certificados ya existentes o implantados a través de otros procesos?
- En caso de que una CA se vea comprometida o el algoritmo deje de funcionar, ¿con qué rapidez puede la solución volver a emitir certificados (potencialmente decenas o cientos de miles) desde una nueva CA?
- ¿Se integra la solución con los sistemas ITSM para los flujos de trabajo de solicitudes y los informes de incidencias?
Integración de los ecosistemas
Su gestor de certificados deberá integrarse con diversos sistemas, por lo que deberá comprender cómo administra estas integraciones.
Cualquier herramienta de gestión de certificados debe admitir protocolos básicos como ACMESCEP, la autoinscripción de Windows y otros. Estos protocolos son fundamentales para proporcionar operaciones de certificados fluidas y seguras en distintos entornos.
Sin embargo, algunos casos de uso requieren una atención especial. Por ejemplo, si tiene una función DevOps, es importante que compruebe si el proveedor admite integraciones basadas en API que funcionen a la perfección dentro de sus flujos de trabajo y conjuntos de herramientas existentes, tales como firma de código.
IoT y los sistemas de gestión de dispositivos móviles presentan sus propias complejidades y requieren un proveedor que pueda manejar la escala y las complejidades de estos ecosistemas. Del mismo modo, si utiliza Infraestructura como Servicio (IaaS) en la nube, asegúrese de que su gestor de certificados gestiona las funciones típicas del ciclo de vida de los certificados directamente dentro de las cargas de trabajo en la nube y se integra con los almacenes de claves en la nube.
Si responde a las siguientes preguntas, se asegurará de que el gestor de certificados elegido se integra bien en su ecosistema actual:
- ¿Es compatible el proveedor con los protocolos estándar del sector que necesitarán sus aplicaciones?
- ¿Puede la solución integrarse con sus sistemas de destino, como equipos de red, servidores web, bóvedas de claves, dispositivos móviles, nube y plataformas en contenedores?
- ¿Proporciona el proveedor un marco para crear conectores personalizados cuando sea necesario?
Política y gobernanza
Las claves y los certificados deben protegerse para evitar accesos no autorizados. Si un solo usuario emite un certificado fraudulento o no conforme, puede exponer a su organización a un riesgo significativo.
Para evitar el uso no autorizado, implante controles de acceso y políticas de protección dentro del sistema de gestión de certificados. El gestor de certificados debe incluir un motor de políticas inteligente que aplique políticas de certificados para que sólo se emitan certificados conformes. Esto mantiene la integridad y seguridad de su infraestructura de certificados.
Además, disponer de registros de auditoría claros permite realizar un seguimiento de los certificados y de las actividades relacionadas con los usuarios. El gestor de certificados debe proporcionar una pista de auditoría completa, que le permita supervisar y revisar las acciones realizadas dentro del sistema. Esta transparencia garantiza la responsabilidad y el cumplimiento de la normativa.
Es importante asegurarse de que su sistema de gestión de certificados está equipado para hacer cumplir las políticas y proporcionar la gobernanza necesaria. Plantéese las siguientes preguntas:
- ¿Permite la solución configurar políticas de almacenamiento y conservación de claves privadas?
- ¿La solución requiere que las claves privadas se almacenen en el sistema, o pueden generarse a distancia en el dispositivo?
- ¿Se integra la solución con los proveedores habituales de gestión de accesos privilegiados (PAM) y módulos de seguridad hardware (HSM)?
Conclusión
Hacer preguntas y centrarse en las características clave reduce sus opciones al descalificar los sistemas de gestión de certificados que no se ajustan a sus necesidades.
Sea cual sea la solución que elija, asegúrese de que ofrece una visibilidad completa, automatización del ciclo de vida, integración en el ecosistema y un sólido control de las políticas. Para obtener orientación adicional, incluida una lista de posibles escollos a evitar y más opiniones de expertos, consulte nuestra guía del comprador para la automatización del ciclo de vida de los certificados. Esta guía del comprador le ayudará a encontrar y elegir el gestor de certificados adecuado para sus procesos y crecimiento.