Automatización de certificados de autoservicio: Keyfactor y ServiceNow

En el panorama actual de TI, todos los equipos necesitan acceso constante a los servicios y la infraestructura de TI para moverse con rapidez y sin interrupciones. Esto ha creado una necesidad acuciante de gestionar eficazmente todos los componentes que conforman la columna vertebral tecnológica de una organización. Ahí es donde entran en juego las soluciones ITSM.

ITSM (abreviatura de IT service management, gestión de servicios de TI) lo abarca todo, desde las solicitudes de servicio y la gestión de cambios hasta la resolución de incidencias de TI cuando surgen: básicamente, cualquier servicio de TI que una empresa preste a sus usuarios finales y clientes.

ServiceNow es una solución ITSM líder creada para prestar estos servicios desde una única plataforma, proporcionando un proceso fiable para solicitar activos y un motor de flujo de trabajo para aprobar y procesar dichas solicitudes.

Uno de los activos más críticos que una empresa debe gestionar son los certificados SSL/TLS utilizados para asegurar las conexiones y proteger los datos confidenciales. Las operaciones de DevOps y TI necesitan un acceso rápido a los certificados para sus operaciones diarias, pero los equipos de PKI y seguridad a menudo tienen dificultades para seguir el ritmo de las solicitudes. Aún más difícil es la tarea de realizar un seguimiento de los certificados (es decir, propietario, ubicación, caducidad, algoritmo, etc.) y renovarlos antes de que caduquen.

La anticuada gestión mediante hojas de cálculo (todavía muy utilizada hoy en día) no es eficaz, especialmente en los entornos actuales de múltiples nubes y contenedores, en los que las solicitudes de certificados se cuentan por miles. ServiceNow es ideal para crear procesos y flujos de trabajo para este gran volumen de solicitudes de certificados, pero las organizaciones siguen necesitando una forma de gestionar eficazmente los certificados a lo largo de su ciclo de vida.

Entre en Keyfactor Command . La plataforma permite a las empresas descubrir, supervisar y automatizar el ciclo de vida de las claves y los certificados en todo su entorno, desde la recepción de la solicitud hasta su emisión, despliegue, revocación y renovación. Pero para las organizaciones que utilizan ServiceNow, a menudo tiene más sentido que los usuarios finales soliciten certificados desde la misma aplicación que utilizan para todos los demás flujos de trabajo relacionados con TI.

Por este motivo, muchos de nuestros clientes integran Keyfactor Command con su plataforma ServiceNow, lo que proporciona a los usuarios flujos de trabajo de autoservicio sencillos para realizar tareas relacionadas con los certificados, como solicitudes, revocaciones y renovaciones, directamente desde la interfaz de ServiceNow.

Nuestra arquitectura API-first facilita la ampliación de la funcionalidad de Keyfactor Command al marco API de ServiceNow. Dado que ServiceNow tiene la capacidad de incrustar llamadas REST API externas en cualquier flujo de trabajo, Keyfactor puede permitir el acceso autenticado a su sólida biblioteca API. La plataforma también aprovecha los controladores de eventos del ciclo de vida de los certificados para desencadenar flujos de trabajo dentro de ServiceNow basados en cambios en el estado de los certificados (por ejemplo, pendientes de caducidad).

A continuación se muestran dos procesos comunes de gestión de certificados simplificados mediante la integración del motor de automatización del ciclo de vida de los certificados Keyfactor con la plataforma ITSM ServiceNow.

La tarea más común en la gestión de certificados es la solicitud, aprobación, emisión y entrega de certificados a usuarios o aplicaciones. Estos certificados pueden emitirse desde una autoridad de certificación (CA) pública, vinculada a un sitio web para la autenticación SSL , o desde una CA interna, y utilizarse para la autenticación de servidores en la red interna. En cualquiera de los dos casos, las organizaciones necesitan facilitar la capacidad de: (1) que los usuarios soliciten un certificado, (2) que los usuarios autorizados aprueben la solicitud, (3) que se emita el certificado, y (4) que se entregue e implante el certificado.

Así es como funciona con Keyfactor + ServiceNow:

• Solicitud: ServiceNow permite a los usuarios crear formularios de solicitud altamente personalizables para solicitar un certificado. Esto podría incluir la solicitud de firma de certificado (CSR) que un usuario crea y pega directamente en el formulario, o quizás se introduce suficiente información directamente en el formulario para que Keyfactor genere un certificado con claves públicas y privadas (denominado solicitud PFX).
• Aprobación: Las solicitudes de ServiceNow también pueden configurarse para activar flujos de trabajo para su aprobación. Un usuario o grupo específico recibirá una aprobación pendiente en su cola y rechazará o aprobará la solicitud. Sin embargo, si la solicitud contiene un CSR, ¿cómo saben lo que están aprobando? Ahí es donde una de las muchas llamadas a la API de Keyfactor puede ayudar. Un flujo de trabajo de ServiceNow puede incluir una tarea para llamar a la API Keyfactor y recuperar el contenido de la CSR, proporcionando más detalles al aprobador.
• Emisión: Tras la aprobación, el flujo de trabajo de ServiceNow puede llamar a la API Keyfactor correspondiente (CSR o PFX Enrollment) para emitir el certificado desde cualquier CA pública o interna configurada en Keyfactor Command .
• Entrega: Existen varias opciones para la entrega y el despliegue de certificados. La API de inscripción Keyfactor puede devolver la parte pública del certificado a ServiceNow, que a su vez puede actualizar la solicitud para procesos de flujo de trabajo adicionales. Keyfactor también puede automatizar completamente la implantación y vinculación de certificados a almacenes de certificados en puntos finales de red como IIS, F5, Citrix ADC, Java Keystore, etc. Para la inscripción PFX, se puede enviar un enlace de descarga por correo electrónico para que el usuario pueda recuperar de forma segura el certificado y la clave privada.

Todos los certificados caducan. Para anticiparse a las interrupciones, las organizaciones deben eliminar los procesos manuales, propensos a errores, y automatizar la renovación de certificados en todo su entorno.

Así es como Keyfactor + ServiceNow lo simplifican:

• Alerta: Utilizando Keyfactor's Event Handlers, se pueden configurar alertas para notificar a los propietarios de certificados por correo electrónico cuando un certificado está a punto de caducar. Estas alertas también pueden activar automáticamente un nuevo incidente o solicitud en ServiceNow, dirigiéndolo a la persona o grupo responsable.
• Aprobación: El flujo de trabajo de ServiceNow puede incluir un paso de aprobación, si es necesario, para que el aprobador pueda determinar si el certificado necesita ser renovado, o si la aplicación o dispositivo que utiliza el certificado ya no está en funcionamiento, y la solicitud puede ser rechazada (permitiendo que el cert expire).
• Renovación: Tras la aprobación, ServiceNow llama a la API Keyfactor para renovar el certificado automáticamente.
• Opcional: También se pueden configurar alertas adicionales en la plataforma Keyfactor para notificar a otros si el certificado no se ha renovado después de la alerta inicial.

Para proteger los datos confidenciales y conectar de forma segura los dispositivos, máquinas y aplicaciones de nuestra infraestructura, las empresas dependen cada vez más de los certificados digitales. En los entornos dinámicos y multicloud actuales, en los que los recursos informáticos se aprovisionan a una velocidad vertiginosa, es más importante que nunca disponer de un proceso rápido y fiable para gestionar los certificados a escala.

Keyfactor y ServiceNow proporcionan las herramientas necesarias para permitir a los usuarios un acceso rápido y autoservicio a los certificados cuando los necesiten, garantizando al mismo tiempo que todos los certificados sean fiables, conformes y estén actualizados.