SSL/TLS certificados emitidos por autoridades de certificación (CA) de confianza, ya sean públicas o privadas, se utilizan para autenticar un único dominio en sitios web de cara al público. Las organizaciones con un puñado de dominios y subdominios públicos tendrían que emitir y gestionar un número igual de certificados digitales, lo que aumentaría la complejidad de la gestión del ciclo de vida de los certificados. La buena noticia es que existe una solución para eludir esta carga.
Los certificados comodín prometen simplicidad, pero ¿son la solución a todas nuestras plegarias?
En los últimos años, hemos sido testigos de un enorme repunte en el número de dispositivos conectados a Internet. De hecho, elpróximo año, los dispositivos superarán en número a los humanos en una proporción de tres a uno..
En hablamos de máquinas, sin embargo, no nos referimos sólo a los dispositivos físicos de su red. Hoy en día, máquinas incluyen todo, desde conectados IoT y móviles hasta aplicaciones definidas por software definidas, la nube cargas de trabajo en la nube, máquinas virtuales (VM), contenedorese incluso el código que se ejecuta en en ellos.
Al igual que las identidades humanas (nombres de usuario y contraseñas) que utilizamos para acceder a las aplicaciones y dispositivos que usamos a diario, las máquinas también utilizan un conjunto de credenciales (en forma de claves criptográficas y certificados digitales) para autenticarse y comunicarse de forma segura.
Sin embargo, con la proliferación de máquinas, la número de estas claves y certificados digitales ha crecido exponencialmente, creando un grave problema de gestión de la identidad de las máquinas. Más adelante hablaremos de ello.
¿Qué son las identidades de máquina?
En primer lugar, hablemos de lo que entendemos por máquina identidad.
Antes de llegar a este blog, probablemente probablemente en un dispositivo de algún tipo, e iniciaste sesión con un nombre de usuario y una contraseña.ord. Sin embargo, las máquinas no pueden introducir un nombre de usuario y una contraseña. En su lugar, utilizan un conjunto de credenciales credenciales más adecuadas para conectados altamente automatizados y conectados - entre las que se incluyen:
- SSL/TLS Certificados de servidor establecer confianza en sus sitios web y aplicaciones de cara al público, que se implementan en elementos como servidores web, servidores de aplicaciones y equilibradores de carga.. Sin la visibilidad adecuada estos certificados certificados expiran inesperadamente y desencadenan costosas interrupciones de las aplicaciones.
- SSL/TLS Los certificados de cliente se utilizan para autenticar la identidad de usuarios, servicios web o máquinas entre sí. Se han vuelto mucho más frecuentes con la explosión de DevOps, los dispositivos móviles y IoT , la nube y los microservicios. Normalmente superan en número a los certificados del lado del servidor SSL/TLS por un factor de 1.000 o más, pero a menudo son un "punto ciego" para las organizaciones, lo que aumenta la probabilidad de una interrupción.
- Certificados de firma de código verifique la autenticidad e integridad de scripts, ejecutables y software compilaciones. Sin embargo la mayoría de las empresas siguen utilizando firma manuales e inseguros que simplemente no funcionan para los equipos de desarrollo distribuidos de hoy en día, ni tampoco protegen sensible claves de firma de código del uso indebido o el robo.
- Claves SSH proporcionan a los usuarios, normalmente administradores de sistemas, claves privilegiado privilegiado a sistemas críticos. También protegen diversos procesos automatizados y transacciones de máquina a máquina en redes empresariales. A diferencia de los certificados de SSL , las claves SSH nono caducanlo que significa que miles de ellas u olvidadas a través de la red, dejando la puerta abierta a ataques basados en SSH.
- Claves criptográficas (también conocidas como claves simétricas) suelen protegen datos en reposo en puntos finalesbases de datos y cargas de trabajo en la nube, pero las gestión de claves de claves en diferentes plataformasplataformas virtuales y en la nube dificultan el mantenimiento de una visibilidad y un control centralizados de las claves.
¿Qué es la gestión de identidades de máquinas?
Gartner presentó gestión de identidades de máquinas al mercado en su reciente Hype Cycle 2020 para la gestión de identidades y accesos - según el informe:
"Tste es un nuevo perfil que refleja una mayor necesidad de gestionar las claves criptográficas, los certificados X.509 y otras credenciales que se utilizan para establecer la confianza en las identidades de las máquinas, tales como IoT dispositivos, máquinas virtuales, contenedores y bots RPA".
Hasta ahora, la mayoría de las organizaciones han estado utilizando herramientas dispares y hojas de cálculo manuales para gestionar y mantener seguimiento de identidades de sus máquinas. Sin embargo, estos métodos se desmoronan rápidamente a escalay demasiados han sido víctimas de interrupcionesy fallos de auditoría.
Por qué es fundamental gestionar la identidad de las máquinas
Según Gartner, "la gestión de identidades de máquinas engloba una serie de tecnologías, que hoy en día permanecen en su mayoría aisladas (es decir, gestión de certificados X.509, gestión de claves SSH, así como gestión de secretos y otras criptomonedas)".
A pesar de que los casos de uso de las identidades automáticas varían de una organización a otra organizacioneslos retos relacionados con su gestión son siempre los mismos:
- Visibilidad: Cuando hablamos con las empresas, independientemente de su tamaño o sector, la respuesta abrumadora es que no saben cuántas claves y certificados tienen, a quién pertenecen, qué políticas cumplen o cuándo caducan.
- Gobernanza: El siguiente problema es la falta de propiedad y control. Esto es especialmente cierto en el caso de los certificados SSL/TLS y las claves SSH utilizadas por varios equipos en toda la organización, a menudo sin una política coherente o supervisión sobre cómo se emiten, quién tiene acceso, cuándo rotar o renovar, etc.
- Protección: Las identidades de las máquinas son basadas en un modelo de confianza. Los certificados X.509 deben ser emitidos por una autoridad de certificación (CA) de confianza. Las claves privadas deben almacenadas y protegidas contra cualquier riesgo. Si estas protecciones no existen, no se puede confiar en las identidades de las máquinas.
- Automatización: Los procesos manuales no sólo consumen mucho tiempo, sino que también son propensos a errores e ineficaces a gran escala. Por ejemplo la gestión del ciclo de vida de los certificados - desde el servicioa la emisiónance e instalación y, finalmente revocación o renovación - suele ser totalmente manual, lo que supone horas de trabajo tanto para los administradores como para los usuarios.
El papel de la gestión de identidades de máquinas es encargarse del descubrimiento, gestión, y automatización de las credenciales utilizadas por máquinas. Estas soluciones soluciones deben también ser diseñadas para abordar la escala y complejidad de moderna IoT, desarrollo de aplicaciones (o DevOps) y multi-nube casos de uso.
Gestión de identidades de máquinas heredadas frente a modernas
Cuidado con soluciones heredadas. A diferencia de las modernas, tradicionales proveedores de gestión de identidades de máquinas a menudo no ofrecen la flexibilidad de despliegue, el modelo de precios modelo, o arquitectura de producto que empresas modernas necesitand para gestionar eficazmente todas las identidades de sus máquinas.
En Keyfactorcreemos que no hay llaves de segunda clase o certificados. La identidad de cada máquina importa. Nuestra plataforma se construyó desde cero para gestionar millones de identidades de máquinas con el objetivo de permitir la visibilidad y el control sobre cada una de ellas, sin innecesarios costes o complejidad.
He aquí algunas diferencias clave entre las soluciones heredadas y las modernas:
- Middleware frente a arquitectura modular
- Tarifas por certificado frente a licencias ilimitadas
- Despliegue local frente a despliegue en la nube
- Sin backend PKI frente a PKI como servicio totalmente alojado
Más información
Descubra por qué la gestión de las identidades de máquinas es la próxima prioridad para los líderes de seguridad e IAM. Obtenga información de más de 1100 profesionales de TI y seguridad en el primer informe State of Machine Identity Management.
