Cómo proteger la Autoridad de Certificación Raíz de su empresa

Al tener el privilegio de trabajar con algunos de los mejores profesionales de PKI y seguridad del sector, si no los mejores, he aprendido la extrema importancia de las prácticas utilizadas para proteger la plataforma de la autoridad de certificación (CA) raíz. Esto incluye la seguridad a nivel de Software, la seguridad a nivel de Hardware y la seguridad física.

Del mismo modo, trabajando en varios proyectos y con muchos clientes diferentes, también he tenido ocasión de escuchar historias «fascinantes» de cómo algunas empresas se toman a la ligera la seguridad de su CA raíz. No, la CA raíz no debe guardarse en el escritorio de alguien solo porque el cajón esté cerrado con llave. Ese servidor «antiguo» que está en un rack, sin estar conectado a nada, no puede ser dado de baja porque «no está haciendo nada».

Para esta entrada de blog, me gustaría centrarme en los aspectos de seguridad física que rodean a la CA raíz.

La CA raíz es la pieza más importante de la arquitectura PKI. Todo lo que está aguas abajo depende de su fiabilidad. Si esa pieza se ve comprometida, todo lo demás también lo estará, en efecto. Huelga decir que se recomienda encarecidamente tomar medidas de seguridad extremas para el acceso a la CA raíz.

En cuanto a la seguridad física, es importante plantear las siguientes preguntas:

Centrémonos en las instalaciones que se utilizarán para almacenar la CA raíz y todo el material criptográfico. ¿Qué nivel de seguridad tiene esa instalación? ¿Cuenta con vigilancia 24/7/365? ¿Se supervisa toda la actividad? ¿Cuál es el periodo de retención de vídeo de las cámaras de seguridad? ¿Existen controles adecuados para el acceso a las instalaciones?

Ninguna persona debería poder acceder a la CA raíz de forma individual, ni pasar por ningún punto de acceso sin compañía, para recuperar la CA raíz. La SoD es de suma importancia, no solo por razones de seguridad evidentes, sino también para cualquier fin de auditoría necesario.

Debe desarrollarse, documentarse y seguirse un modelo de SoD claro y robusto. Cada individuo debe tener roles y tareas asignados de los que es responsable.

Esta persona es responsable del control de acceso a las instalaciones. Esto también separa las funciones entre quienes tienen acceso físico a la CA raíz y quienes no lo tienen.

Todo acceso a la CA raíz debe registrarse. Los registros de acceso deben estar disponibles para una rápida recuperación y deben mostrar información relevante como el motivo del acceso a la CA raíz, la fecha, la hora y el personal que accedió. El nivel de detalle de los registros que la organización desee mantener depende exclusivamente de ella. Los parámetros sugeridos se consideran mínimos.

Es evidente que la CA raíz y todos los materiales criptográficos deben almacenarse de forma absolutamente adecuada. Esta es la posesión más valiosa de la PKI y debe tratarse como tal. ¿Se almacenará en una caja fuerte? ¿En una bóveda? Es importante tener en cuenta que debe almacenarse de forma que se impida el acceso por parte de una única persona.

Deben realizarse ejercicios periódicos de DR y BC para garantizar una forma rápida y eficiente de restablecer la normalidad de las operaciones comerciales en caso de un evento disruptivo. Debe revisarse el acceso adecuado a las instalaciones y a la CA raíz. Toda la documentación debe estar actualizada, probada y comprendida por todas las partes interesadas que participarían en los esfuerzos de DR y BC.

Por supuesto, existen muchos otros factores en la protección de la CA raíz, como los dispositivos de módulo de seguridad de Hardware (HSM), cómo se desplegarán, las consideraciones de arquitectura, los quórums de tarjetas, etc. Todos estos métodos son importantes, además de la seguridad física para la CA raíz de su organización.