Cómo proteger la entidad emisora de certificados raíz de su empresa

Al tener el privilegio de trabajar con algunos de los mejores, si no los mejores, profesionales de PKI y seguridad en este campo, he aprendido la extrema importancia de las prácticas utilizadas para asegurar la plataforma de la autoridad de certificación raíz (CA). Esto incluye la seguridad a nivel de software , la seguridad a nivel de hardware y la seguridad física.

Por la misma razón, trabajando en varios proyectos y con muchos clientes diferentes, también he tenido ocasión de escuchar historias "fascinantes" de cómo algunas empresas se toman a la ligera la seguridad de su CA raíz. No, la CA raíz no debería estar guardada en el escritorio de alguien sólo porque el cajón está cerrado con llave. Ese servidor "viejo" que está en un bastidor, sin enchufar a nada, no se puede dar de baja porque "no hace nada".

En esta entrada del blog, me gustaría centrarme en los aspectos de seguridad física que rodean a la CA raíz.

La CA raíz es la pieza más importante de la arquitectura PKI. Todo lo demás depende de su fiabilidad. Si esta pieza se ve comprometida, todo lo demás también lo estará. Ni que decir tiene que es muy recomendable extremar las medidas de seguridad para acceder a la CA raíz.

Si nos fijamos en la seguridad física, es importante plantearse las siguientes preguntas:

Centrémonos en las instalaciones que se utilizarán para almacenar la CA raíz y todo el material criptográfico. ¿Hasta qué punto son seguras esas instalaciones? ¿Cuenta con guardias 24 horas al día, 7 días a la semana, 365 días al año? ¿Se supervisa toda la actividad? ¿Cuál es el periodo de conservación de los vídeos de las cámaras de seguridad? ¿Existen controles adecuados para el acceso a las instalaciones?

Ninguna persona debe ser capaz de acceder por sí sola a la CA raíz, o atravesar por sí sola cualquier punto de acceso, para recuperar la CA raíz. La SoD es extremadamente importante, no sólo por razones obvias de seguridad, sino también para cualquier propósito de auditoría necesario.

Hay que desarrollar, documentar y seguir un modelo de DdS claro y sólido. Cada persona debe tener asignadas funciones y tareas de las que sea responsable.

Esta persona es responsable del control de acceso a las instalaciones. Esto también separa las funciones entre los que tienen acceso físico a la CA raíz y los que no.

Cualquier acceso a la CA raíz debe quedar registrado. Los registros de acceso deben estar disponibles para una rápida recuperación y deben mostrar información relevante como la razón por la que se accedió a la CA raíz, la fecha, la hora y el personal que accedió. El nivel de detalle de los registros que la organización desee mantener depende exclusivamente de ella. Los parámetros sugeridos se consideran mínimos.

Es obvio que la CA raíz y todos los materiales criptográficos deben almacenarse absolutamente de forma adecuada. Se trata de la posesión más preciada de la PKI y debe tratarse como tal. ¿Se guardará en una caja fuerte? ¿En una cámara acorazada? Es importante tener en cuenta que debe almacenarse de forma que impida el acceso a él de una sola persona.

Deben realizarse ejercicios periódicos de RD y BC para garantizar una forma rápida y eficaz de devolver las operaciones empresariales a la normalidad en caso de que se produzca un evento perturbador. Debe revisarse el acceso adecuado a las instalaciones y a la CA raíz. Toda la documentación debe estar actualizada, probada y comprendida por todas las partes implicadas en los esfuerzos de RD y BC.

Por supuesto, hay muchos otros factores en la protección de la CA raíz, como los dispositivos de módulo de seguridad hardware (HSM), cómo se desplegarán, consideraciones de arquitectura, quórum de tarjetas, etc. Todos estos métodos son importantes, además de la seguridad física de la CA raíz de su organización.