La nueva norma es la nube híbrida y múltiple. Por supuesto, el punto en el que se encuentre su organización en su viaje hacia la nube es otra historia, pero la realidad es que -independientemente del ritmo al que se mueva- es la dirección en la que todos nos dirigimos.
En este cambio inminente hacia una TI dinámica y distribuida, los equipos de seguridad se preguntan naturalmente: "¿Qué debe permanecer en nuestro centro de datos? ¿Qué debe trasladarse a la nube?". No solo las aplicaciones y las cargas de trabajo, sino todas las soluciones en las que confían para protegerlas.
Problemas de ICP, multiplicados
La infraestructura de clave pública (PKI) y las identidades de máquina son ingredientes clave para asegurar todo, desde contenedores y máquinas virtuales hasta aplicaciones y código en este nuevo mundo híbrido.
El paso a la nube no introduce necesariamente nuevos retos en la PKI y la gestión de certificados. Más bien duplica las lagunas con las que ya lidiábamos en la TI tradicional:
- Problemas de confianza: Los propietarios de aplicaciones utilizan certificados comodín, certificados autofirmados y CA no fiables sin una configuración, política y seguridad adecuadas.
- Mayor complejidad: Diferentes requisitos de confianza, casos de uso especializados y entornos requieren múltiples CA, lo que aumenta la complejidad de la gestión de PKI.
- Visibilidad limitada: Obtener un inventario completo y preciso de los certificados es imposible cuando se trabaja con múltiples herramientas e interfaces.
- Mayores cargas de trabajo: Los grandes volúmenes de certificados efímeros aumentan la carga de trabajo de los equipos encargados de supervisarlos y renovarlos antes de que caduquen.
- Falta de integraciones: Micorosft PKI (también conocido como ADCS) no soportará todas las necesidades de su empresa. Se necesita un enfoque moderno para soportar entornos no Microsoft, Cloud y DevOps.
Las empresas se enfrentan ahora a un dilema con su actual implantación de PKI. Como resultado, muchas necesitan reconstruir o replantearse su PKI para soportar esta nueva realidad. A menudo, se empieza por comprender la amplia gama de CA que sirven como motor de emisión de certificados detrás de su PKI.
Según Gartner, "los requisitos de confianza, la migración, los casos de uso especializados, los entornos híbridos y la falta de integraciones PKI listas para usar son factores que impulsan el uso de múltiples PKI y CA". En otras palabras, la PKI local tradicional ya no es suficiente.
Los entornos PKI híbridos y multicloud incluyen ahora CA públicas, privadas y basadas en la nube para satisfacer requisitos cada vez más complejos. Un informe reciente sobre el estado de la gestión de identidades de máquinas muestra hasta qué punto se ha descentralizado la PKI.
Diferentes CA, diferentes retos
Veamos los distintos tipos de CA, cuándo y dónde se utilizan, y las consideraciones clave para su implantación.
CA públicas
Los certificados de confianza pública se compran y emiten a un proveedor de CA externo. Estos certificados TLS y de firma de código autentican y verifican la confianza en servidores web, equilibradores de carga, servicios y software.
PKI in situ
Las organizaciones también despliegan una PKI interna y privada para dar soporte a cosas como la autenticación de usuarios y dispositivos, DevOps y dispositivos IoT . La PKI local suele desplegarse como software o hardware appliance (por ejemplo, PrimeKey EJBCA), o como un componente de Microsoft Active Directory (ADCS).
Emisores incorporados
Las capacidades de emisión de certificados están integradas en herramientas DevOps como HashiCorp Vault, Istio y Kubernetes. Estas herramientas se utilizan para la emisión de gran volumen de certificados de corta duración en entornos dinámicos de contenedores y malla de servicios.
CA basadas en la nube
Algunos proveedores de servicios en la nube ofrecen servicios de CA de raíz privada, como AWS Private CA o Google Cloud Certificate Authority Service (CAS). Además, existen soluciones PKI llave en mano, como PrimeKey EJBCA SaaS, que se despliega en cuestión de minutos en la nube.
PKI como servicio
Los servicios de PKI totalmente gestionados y alojados en la nube ofrecen todas las ventajas de la PKI privada, pero sin el esfuerzo y el gasto que supone gestionarla internamente. True PKIaaS combina PKI totalmente gestionada y automatización del ciclo de vida de los certificados en una única solución en la nube.
¿Y ahora qué?
Tanto si tiene docenas de CA en su entorno como si acaba de empezar desde cero, hay mucho que tener en cuenta cuando se trata de PKI y gestión de certificados:
Para cumplir estos requisitos únicos, las organizaciones deben tener la flexibilidad de implantar PKI cómo y dónde quieran, sin encontrarse con obstáculos como la falta de integraciones, la alta complejidad y la visibilidad limitada.
PKI híbrida y multi-nube con Keyfactor
Por eso Keyfactor ofrece múltiples opciones flexibles para ayudarle a simplificar su PKI y tomar el control de cada certificado, independientemente de dónde se emita o dónde deba implantarse.
Obtenga más información sobre la plataforma Keyfactor y encuentre la que mejor se adapte a su empresa.