Los certificados SSL/TLS emitidos por autoridades de certificación (CA) de confianza, ya sean públicas o privadas, se utilizan para autenticar un único dominio en sitios web de cara al público. Las organizaciones con un puñado de dominios públicos y subdominios tendrían que emitir y gestionar un número igual de certificados digitales, lo que aumenta la complejidad de la gestión del ciclo de vida de los certificados. La buena noticia es que existe una solución para evitar esta carga.
Los certificados wildcard prometen simplicidad, ¿pero son la solución a todas nuestras plegarias?
En los últimos años, hemos sido testigos de un enorme aumento en el número de dispositivos conectados a internet. De hecho, para el próximo año, los dispositivos conectados superarán en número a los humanos en una proporción de tres a uno.
Sin embargo, cuando hablamos de máquinas, no nos referimos únicamente a los dispositivos físicos de su red. Hoy en día, las máquinas incluyen desde dispositivos IoT y móviles conectados hasta aplicaciones definidas por Software, cargas de trabajo en la nube, máquinas virtuales (VM), contenedores e incluso el código que se ejecuta en ellos.
Al igual que las identidades humanas (nombres de usuario y contraseñas) que utilizamos para acceder a las aplicaciones y dispositivos de uso diario, las máquinas también utilizan un conjunto de credenciales (en forma de claves criptográficas y certificados digitales) para autenticarse y comunicarse de forma segura.
Sin embargo, con la proliferación de máquinas, el número de estas claves y certificados digitales ha crecido exponencialmente, creando un grave problema de gestión de identidades de máquinas. Más sobre esto más adelante.
¿Qué son las identidades de máquinas?
Primero, analicemos qué entendemos por identidad de máquina.
Antes de llegar a este blog, usted probablemente utilizó algún tipo de dispositivo e inició sesión con un nombre de usuario y una contraseña. Sin embargo, las máquinas no pueden introducir un nombre de usuario y una contraseña. En su lugar, utilizan un conjunto de credenciales más adecuado para entornos altamente automatizados y conectados – estos incluyen:
- Certificados de servidor SSL/TLS establecen la confianza en sus sitios web y aplicaciones de cara al público, que se implementan en elementos como servidores web, servidores de aplicaciones y balanceadores de carga. Sin una visibilidad adecuada, estos certificados caducan inesperadamente y provocan costosas interrupciones de las aplicaciones.
- Certificados de cliente SSL/TLS se utilizan para autenticar la identidad de usuarios, servicios web o máquinas entre sí. Estos se han vuelto mucho más frecuentes con la explosión de DevOps, los dispositivos móviles y de IoT, la nube y los microservicios. Normalmente superan en número a los certificados SSL/TLS del lado del servidor en un factor de 1000 o más, pero a menudo son un 'punto ciego' para las organizaciones, lo que aumenta la probabilidad de una interrupción.
- Certificados de firma de código verifican la autenticidad e integridad de scripts, ejecutables y compilaciones de Software. Sin embargo, la mayoría de las empresas todavía utilizan métodos de firma manuales e inseguros que no funcionan para los equipos de desarrollo distribuidos actuales, ni protegen las claves de firma de código sensibles del uso indebido o el robo.
- Claves SSH proporcionan a los usuarios, normalmente administradores de sistemas, acceso privilegiado seguro a sistemas críticos. También aseguran varios procesos automatizados y transacciones de máquina a máquina en redes empresariales. A diferencia de los certificados SSL, las claves SSH no caducan, lo que significa que miles a menudo permanecen inactivas u olvidadas en la red, dejando la puerta abierta a ataques basados en SSH.
- Claves criptográficas (también conocidas como claves simétricas) suelen proteger los datos en reposo en puntos finales, bases de datos y cargas de trabajo en la nube, pero las herramientas de gestión de claves dispares en diferentes plataformas virtuales y en la nube dificultan el mantenimiento de una visibilidad y un control centralizados sobre las claves.
¿Qué es la gestión de identidades de máquinas?
Gartner introdujo la gestión de identidades de máquinas en el mercado en su reciente «Hype Cycle for Identity and Access Management 2020» – el informe afirma:
“Este es un nuevo perfil que refleja una mayor necesidad de gestionar las claves criptográficas, los certificados X.509 y otras credenciales que se utilizan para establecer la confianza en las identidades de las máquinas, como los dispositivos IoT, las máquinas virtuales, los contenedores y los bots RPA.”
Hasta ahora, la mayoría de las organizaciones han utilizado conjuntos de herramientas dispares y hojas de cálculo manuales para gestionar y realizar un seguimiento de sus identidades de máquinas. Sin embargo, estos métodos se desmoronan rápidamente a escala, y demasiadas han sido víctimas de interrupciones, filtraciones y fallos de auditoría como resultado.
¿Por qué es fundamental la gestión de identidades de máquinas?
Según Gartner, «la gestión de identidades de máquinas abarca una serie de tecnologías que hoy en día permanecen en su mayoría aisladas (es decir, gestión de certificados X.509, gestión de claves SSH, así como secretos y otras gestiones de claves criptográficas)».
A pesar de los diferentes casos de uso de las identidades de máquinas en las organizaciones, los desafíos relacionados con su gestión son siempre los mismos:
- Visibilidad: Cuando hablamos con empresas – independientemente de su tamaño o sector – la respuesta abrumadora es que no saben cuántas claves y certificados tienen, a quién pertenecen, qué políticas cumplen o cuándo caducan.
- Gobernanza: El siguiente problema es la falta de propiedad y control. Esto es particularmente cierto para los certificados SSL/TLS y las claves SSH utilizadas por varios equipos en toda la organización, a menudo sin una política o supervisión coherente sobre cómo se emiten, quién tiene acceso, cuándo rotar o renovar, etc.
- Protección: Las identidades de máquinas se basan en un modelo de confianza. Los certificados X.509 deben ser emitidos por una autoridad de certificación (CA) de confianza. Las claves privadas deben almacenarse y protegerse contra compromisos. Si estas protecciones no están implementadas, las identidades de máquinas no pueden ser de confianza.
- Automatización: Los procesos manuales no solo consumen tiempo, sino que también son propensos a errores e ineficaces a escala. Por ejemplo, la gestión del ciclo de vida de los certificados – desde la atención de solicitudes hasta la emisión e instalación, y finalmente la revocación o renovación – suele ser totalmente manual, lo que genera horas de trabajo tanto para administradores como para usuarios.
El papel de la gestión de identidades de máquinas es manejar el descubrimiento, la gestión y la automatización de las credenciales utilizadas por las máquinas. Estas soluciones también deben estar diseñadas para abordar la escala y la complejidad de los casos de uso modernos de IoT, desarrollo de aplicaciones (o DevOps) y multinube.
Gestión de identidades de máquinas: tradicional vs. moderna
Tenga cuidado con las soluciones tradicionales. A diferencia de las herramientas modernas, los proveedores tradicionales de gestión de identidades de máquinas a menudo no ofrecen la flexibilidad de implementación, el modelo de precios o la arquitectura de producto que las empresas modernas necesitan para gestionar eficazmente todas sus identidades de máquinas.
En Keyfactor, creemos que no existen claves ni certificados de segunda categoría. Cada identidad de máquina es importante. Nuestra plataforma fue diseñada desde cero para gestionar millones de identidades de máquinas, centrándose en proporcionar visibilidad y control sobre cada una de ellas, sin incurrir en costes innecesarios ni complejidad.
A continuación, se presentan algunas diferencias clave entre las soluciones heredadas y las modernas:
- Middleware frente a arquitectura modular
- Tarifas por certificado frente a opciones de licenciamiento ilimitado
- Implementación local (on-premise) frente a implementación prioritaria en la nube (cloud-first)
- Sin backend PKI frente a PKI como servicio (PKI as-a-Service) completamente alojada
Más Información
Descubra por qué la gestión de identidades de máquinas es la próxima prioridad para los líderes de seguridad e IAM. Obtenga información de más de 1100 profesionales de TI y seguridad en el primer Informe sobre el Estado de la Gestión de Identidades de Máquinas.
