Hoy nos complace anunciar una nueva asociación entre Keyfactor y Google Cloud. La integración combina la automatización del ciclo de vida de los certificados basada en la nube y altamente escalable de Keyfactorcon Google Cloud Certificate Authority Service para satisfacer las necesidades de los equipos modernos de seguridad, infraestructura y aplicaciones.
Antes de sumergirnos en la integración, hablemos un poco de cómo ha cambiado el uso de la infraestructura de clave pública (PKI) y las identidades de máquina en los últimos años, y por qué exige un nuevo enfoque de la gestión de certificados y PKI que dé prioridad a la nube.
El auge de la identidad de las máquinas
Los certificados digitales han sido el estándar de facto para la identidad de dispositivos y máquinas desde el inicio de Internet. Sin embargo, con la normalización de la seguridad de confianza cero basada en la identidad y las estrategias multi-nube, el volumen total de certificados ha aumentado de cientos a cientos de miles (incluso cientos de millones en las grandes empresas).
Estos certificados son consumidos por varios equipos y aplicaciones en toda la organización: desde servidores web tradicionales y equilibradores de carga, dispositivos móviles y IoT , y cada vez más, en herramientas CI/CD e infraestructura basada en la nube.
Si lo desglosamos, hay tres casos de uso principales detrás del rápido crecimiento de los certificados en la empresa, cada uno con sus propios retos:
IT corporativa
Los certificados se despliegan de forma rutinaria para establecer identidades de confianza para máquinas y usuarios en la red corporativa. Esto incluye a menudo puntos de acceso a servidores y Wi-Fi, dispositivos de red y equilibradores de carga, y autenticación de dispositivos para estaciones de trabajo y dispositivos móviles.
Normalmente, estos casos de uso cuentan con el apoyo de un equipo PKI interno que mantiene una CA privada en las instalaciones y gestiona manualmente las solicitudes de certificados para otras funciones de TI, una tarea que resulta prácticamente imposible a gran escala. Con más certificados y vidas útiles más cortas, el esfuerzo de seguir el ritmo de las solicitudes y controlar los vencimientos manualmente no es factible.
DevOps
Los certificados también han surgido como una poderosa herramienta en entornos DevOps para autenticar cargas de trabajo en la nube, contenedores, microservicios, así como ingress y mTLS en arquitecturas de malla de servicios. A diferencia de la infraestructura de TI tradicional, los desarrolladores y los equipos de aplicaciones están en el asiento del conductor, y la seguridad se pasa por alto con frecuencia.
Los equipos de DevOps necesitan una emisión rápida y de gran volumen de certificados de corta duración para respaldar la naturaleza bajo demanda de la infraestructura en la nube. Para evitar los procesos manuales de PKI, muchos optan por CA no conformes o autofirmadas que introducen varios riesgos. Una vez que los equipos de seguridad intervienen, a menudo retrasan los proyectos o incluso detienen las operaciones hasta que se cumplen los requisitos de confianza.
IoT Dispositivos
Los fabricantes y desarrolladores también reconocen que los certificados son la solución ideal para la identidad en dispositivos conectados/IoT . Sin embargo, gestionar millones de certificados en una flota de dispositivos distribuidos desde el diseño hasta el ciclo de vida del dispositivo no es tarea fácil. Hardware limitaciones, la conectividad intermitente y la escalabilidad son factores que contribuyen a la complejidad de la PKI para IoT.
Con la enorme cantidad de dispositivos IoT que existen actualmente en el mercado, es imposible imaginar el aprovisionamiento y la gestión manual de certificados. Y lo que es más importante, si se produce un incidente de seguridad, habrá que revocar y volver a emitir millones de certificados muy rápidamente y sin interrupciones para los usuarios finales. Esto no es posible sin un enfoque automatizado.
Sólo hay un problema (que sean dos)
A medida que crece el uso de PKI y certificados digitales, surgen dos retos fundamentales: (1) cómo gestionar y escalar PKI de forma eficaz para satisfacer las crecientes demandas, y (2) cómo gestionar muchos miles de certificados en todos sus diferentes equipos y aplicaciones.
Las CA tradicionales son un incordio
Crear una PKI es algo más que generar una CA privada y emitir certificados. Requiere personal altamente cualificado, infraestructura especializada y controles de seguridad, así como un mantenimiento continuo para que siga siendo segura y operativa. Las CA privadas tradicionales como Microsoft ADCS tampoco están bien equipadas para integrarse con plataformas en la nube y conjuntos de herramientas DevOps.
Los certificados están en todas partes
Ahora considere los miles de certificados emitidos en estos entornos combinados de TI empresarial, DevOps y IoT . Cada certificado debe aprovisionarse, instalarse y renovarse individualmente antes de que caduque, y cada aplicación tiene un proceso diferente para hacerlo. A esta escala, las cosas pueden irse rápidamente de las manos.
Para prosperar en la era de la infraestructura híbrida y multicloud, los equipos de TI y seguridad deben replantearse seriamente cómo despliegan su PKI y gestionan los certificados digitales. La clave del éxito son procesos sencillos y repetibles para la gestión de certificados en todas las plataformas y dispositivos.
Keyfactor + Servicio Google CA
El servicio de autoridad de certificación (CAS) de Google Cloud Platform permite a los equipos simplificar la implantación y gestión de CA privadas para sus cargas de trabajo y aplicaciones nativas de la nube. Ahora, los clientes de Keyfactor pueden conectarse directamente a Google CAS para integrar sin problemas las CA privadas basadas en la nube en su estrategia global de PKI empresarial.
Mediante el flexible AnyCA GatewayTM, Keyfactor se sincroniza en tiempo real a través de la API del servicio de autoridad de certificación de Google para inventariar continuamente cada certificado emitido. Con un inventario completo, los equipos de PKI tienen una visión centralizada de la salud y el estado de todos los certificados, respaldados por una potente automatización basada en protocolos y lista para usar.
- Multi-CA, multi-cloud: Keyfactor proporciona una visión completa de todas las identidades de máquinas en una única consola mediante integraciones de CA públicas y privadas, descubrimiento basado en red y descubrimiento autenticado de almacenes de claves y certificados.
- Autoservicio: Los propietarios de aplicaciones pueden solicitar y suministrar certificados de forma rápida y automática a través de una interfaz de autoservicio fácil de usar o API RESTful.
- Inscripción automática: Los certificados emitidos por Google pueden autoinscribirse mediante la automatización basada en protocolos, como SCEP o ACME, utilizando proxies integrados en la plataforma Keyfactor .
- Aprovisionamiento automatizado: Keyfactor Los orquestadores renuevan y aprovisionan automáticamente certificados a múltiples servidores, dispositivos y puntos finales de red.
- Integraciones DevOps y IoT : Las integraciones nativas y los plugins facilitan a los equipos la automatización del despliegue de certificados en herramientas populares como HashiCorp Vault, Jenkins, Kubernetes, Istio service mesh, etc.
- Despliegue flexible: Los clientes pueden implementar la automatización del ciclo de vida de los certificados (CLA) dentro de su centro de datos, en Google Cloud o como servicio (CLAaaS).
Empiece hoy mismo
Explore nuestro centro de integración para obtener más información sobre nuestros plugins con Google Cloud Certificate Authority Service (CAS) y Google Cloud Load Balancer.
¿Está listo para hablar con Keyfactor? Solicite hoy mismo una demostración personalizada con un ingeniero de soluciones.