Gestión del ciclo de vida de los certificados ServiceNow con Keyfactor

La gestión del ciclo de vida de los certificados de ServiceNow puede ser un proceso complicado que conlleve graves problemas si no se realiza de forma eficaz.

Ryan Sanders, Senior Product Marketing Manager, y Wael Altaqi, Senior Solutions Engineer, hablaron recientemente de cómo simplificar este proceso integrando Keyfactor Command con ServiceNow.

El volumen de claves y certificados aumenta cada día. Hoy en día, cualquier persona necesita un certificado, desde los desarrolladores hasta los arquitectos de la nube. Sin embargo, casi nadie sabe realmente cómo solicitar o gestionar certificados correctamente.

Por otro lado, los equipos de servicio pequeños, a veces un solo administrador de PKI, son responsables de satisfacer todas las solicitudes. Conseguir que los administradores de aplicaciones y sistemas rellenen todos los datos correctos y la solicitud de certificado es un proceso que lleva mucho tiempo. Y, por supuesto, cada certificado debe renovarse y redistribuirse a todas las ubicaciones correctas.

Una gestión deficiente de los certificados provoca su caducidad, lo que se traduce en frecuentes interrupciones y costosos tiempos de inactividad. Y cuando cae el martillo, suelen ser los administradores de PKI o el equipo de seguridad los que se llevan la peor parte.

Pero hay más. La falta de visibilidad de los certificados lleva a incontables horas de búsqueda del certificado que causó el problema, su renovación, su sustitución y, a continuación, el restablecimiento en línea de los servicios afectados.

A menudo existe una desconexión entre los miles de usuarios, las aplicaciones que requieren certificados y el equipo de seguridad. Mientras que los usuarios solo quieren un certificado, el equipo de seguridad necesita asegurarse de que cada uno de esos certificados es de confianza, conforme y válido.

La situación no hace más que empeorar a medida que más aplicaciones y servicios requieren certificados para autenticarse y ejecutarse. Las prácticas de TI en la sombra surgen cuando los equipos crean Autoridades de Certificación (CA) ad hoc y empiezan a emitir certificados sin ninguna supervisión del equipo de seguridad. Al mismo tiempo, la vida útil de los certificados emitidos públicamente en TLS se ha reducido a la mitad, lo que duplica la carga de trabajo de los responsables de gestionarlos manualmente.

Los equipos de seguridad han perdido visibilidad y control sobre los certificados que deben gestionar. Se centran más en apagar fuegos que en aportar valor a la empresa.

Llegados a este punto, la pregunta es: "¿Cómo puedo controlar estos certificados, ser más eficiente y adelantarme a estos cortes?".

Entre en ServiceNow y Keyfactor.

ServiceNow ITSM es una potente plataforma que crea una experiencia similar para todos los usuarios. La interfaz y el catálogo de servicios de ServiceNow permiten a los usuarios gestionar solicitudes de servicio, acceder a informes instantáneos, crear flujos de trabajo de emisión de tickets e implementar el control de cambios.

Supongamos que ya presta la mayoría de sus servicios de TI a través de ServiceNow. Mediante la integración con Keyfactor, puede aprovechar la misma interfaz de ServiceNow para gestionar los flujos de trabajo de solicitud y aprobación de certificados.

ServiceNow facilita a los usuarios la solicitud de los certificados necesarios, pero el resto del proceso de gestión de certificados suele ser manual. Y ahí es donde las cosas se tuercen: cuando los usuarios generan certificados, pero no los instalan correctamente o no los renuevan antes de que caduquen.

Desde este punto de vista, es natural integrar Keyfactor con ServiceNow. Esta integración presenta muchas ventajas tanto para los propietarios de aplicaciones y sistemas como para los administradores de PKI:

• Proceso sencillo y repetible para solicitar un certificado
• Estandarización de procesos para evitar flujos de trabajo manuales duplicados y que consumen muchos recursos.
• Mantener el control sobre los certificados corporativos
• Automatice la implantación de certificados en cargas de trabajo y aplicaciones
• Automatizar la notificación de incidencias y la renovación de certificados

Los propietarios de aplicaciones y sistemas pueden obtener certificados utilizando un flujo de trabajo sencillo, repetible y familiar dentro de ServiceNow. A continuación, los administradores de PKI pueden mantener el control que necesitan sobre la política de back-end y los procesos de aprobación.

Ambos equipos pueden beneficiarse de la automatización que ofrece Keyfactor en el back-end para la emisión, renovación y despliegue de esos certificados en los puntos finales. Las empresas pueden estandarizar los procesos a través de ServiceNow sin dejar de utilizar Keyfactor para la visibilidad y la gobernanza.

Examinemos dos casos de uso: solicitud de certificado y expiración de certificado.

Los propietarios de aplicaciones no son expertos en certificados digitales. Todo lo que quieren es un certificado para poner en marcha su aplicación. Normalmente, el proceso de solicitud de certificados comienza con una solicitud en ServiceNow.

Sin embargo, después de la aprobación, alguien todavía tiene que crear el CSR, subirlo a través de la CA. A continuación, tiene que aprovisionar el certificado, recogerlo, cargarlo en el dispositivo o probarlo en la aplicación.

Este proceso puede durar días en algunas organizaciones.

Mediante la integración de Keyfactor Command y ServiceNow, el proceso de solicitud de certificados se agiliza y simplifica, como se describe en el diagrama siguiente.

Los propietarios de aplicaciones envían sus solicitudes de certificados a través de ServiceNow. Alguien de un nivel superior aprueba la solicitud y, una vez aprobada, la API lo notifica a Keyfactor Command . Keyfactor aprovisiona el certificado en consecuencia a partir de una CA pública, una CA privada o una PKI alojada.

Keyfactor asume la responsabilidad de desplegar el certificado en el dispositivo final, la aplicación o la carga de trabajo.

Al integrar Keyfactor y ServiceNow, permitimos que el propietario de la aplicación se autogestione y elimine gastos innecesarios, mientras que el equipo de InfoSec mantiene la visibilidad de los certificados. Pueden disponer de un inventario y una gestión completos de los certificados desde una ubicación central y revisar cuántos certificados se aprovisionan en la empresa.

De este modo, nos aseguramos de que el proceso de gestión de certificados se ajusta a las políticas y prácticas empresariales y técnicas.

Por otro lado, es necesario proporcionar alertas para notificar a los propietarios de empresas y aplicaciones que un certificado está a punto de caducar. El impacto de la caducidad inadvertida de certificados ha ocupado cada vez más los titulares de las noticias durante los últimos años. Y con frecuencia, los equipos de seguridad no son capaces de responder con rapidez. A veces se tarda hasta 12 horas en recuperar un certificado.

¿Por qué? Porque alguien no tiene la clave privada, no sabe cómo renovarla o no sabe cuántos certificados tiene.

Al integrar Keyfactor Command con ServiceNow, el proceso de notificación y renovación de un certificado a punto de caducar se simplifica y automatiza, como se muestra en el diagrama siguiente.

Keyfactor asume la titularidad para notificar con antelación al propietario de la aplicación y a los propietarios de la empresa que un certificado está a punto de caducar. Basándose en la notificación de alerta temprana, los propietarios de certificados pueden renovar ese certificado y solicitar su aprobación para que el nuevo certificado se despliegue antes de tiempo. Esta notificación evita cualquier interrupción desagradable.

La integración de ServiceNow con Keyfactor Command proporciona procesos de gestión de certificados flexibles, simplificados y automatizados. La integración elimina las innecesarias idas y venidas entre propietarios y administradores de certificados. Al final, juntas proporcionan una solución sólida para la gestión del ciclo de vida de los certificados de ServiceNow.

Para saber más sobre cómo colaboran las dos plataformas y ver una demostración en directo, vea este seminario web.