Este artículo se publicó originalmente como artículo invitado en el blog Marketplace de Microsofts para socios.
Las organizaciones están adoptando los servicios en la nube para impulsar la eficiencia, permitir la automatización y ampliar su huella digital para satisfacer las nuevas necesidades empresariales. Al igual que los mainframes antes que ellos, los centros de datos se están quedando gradualmente obsoletos, sustituidos por soluciones basadas en la nube cada vez más fiables y escalables. En la encuesta HashiCorp 2022 State of Cloud Strategy Survey, el 76% de los encuestados afirmó que su empresa emplea una arquitectura multi-nube. HashiCorp prevé que esa cifra aumente a 9 de cada 10 empresas en dos años. Como proveedor líder de servicios en la nube, Microsoft Azure se ha convertido en un elemento básico para la infraestructura híbrida y multi-nube en muchas organizaciones. Las estrategias híbridas y multi-nube no sólo son inevitables, sino que ya son una realidad para muchas organizaciones.
Tanto si su organización ya tiene una estrategia de cloud-first como si está migrando aplicaciones heredadas a Azure, la infraestructura de clave pública (PKI) es un componente esencial para establecer la confianza digital y conectar de forma segura cargas de trabajo y aplicaciones a escala. PKI se compone de software y hardware elementos utilizados para gestionar el cifrado de clave pública para asegurar la transferencia de datos electrónicos. Todos, desde los arquitectos de seguridad y los ingenieros de redes hasta los equipos de aplicaciones y operaciones, confían en la PKI y los certificados digitales para proteger las conexiones de máquina a máquina en entornos de nube híbrida. Sin embargo, el cambio a cargas de trabajo dinámicas e infraestructura como código introduce nuevos retos para las implantaciones de PKI.
Retos en materia de identidad y seguridad al pasar a una infraestructura en nube
La transición de los centros de datos tradicionales a la infraestructura en nube es compleja e introduce varios retos para los equipos de identidad y seguridad.
- Cargas de trabajo dinámicas: La naturaleza dinámica de la infraestructura en nube aumenta la velocidad de emisión, despliegue y revocación de certificados.
- Más identidades: El número de máquinas y cargas de trabajo está creciendo exponencialmente, lo que aporta muchas más identidades de máquina a la mezcla.
- Complejidad de TI: Diferentes equipos suelen desplegar múltiples autoridades de certificación (CA) y tecnologías PKI para dar soporte a casos de uso especializados, lo que aumenta la complejidad y los costes.
Al migrar las aplicaciones a la nube, las herramientas y los procesos que antes se utilizaban para proteger los entornos locales tradicionales pierden eficacia. Estas herramientas heredadas pueden incluso convertirse en obstáculos operativos para el éxito de la migración a la nube. PKI y la gestión de certificados no son una excepción. Tanto si acaba de iniciar la migración a Azure como si su organización ya cuenta con una estrategia madura de varias nubes, las exigencias sobre la infraestructura PKI son cada vez mayores. Las implementaciones de PKI heredadas no pueden proporcionar suficiente soporte.
Migrar aplicaciones a Azure o crear nuevas aplicaciones en Azure ayuda a los equipos a impulsar la eficiencia y el valor para su negocio. Como resultado, el número de cargas de trabajo, como máquinas virtuales, contenedores y microservicios, crece exponencialmente. En este nuevo entorno, la seguridad se basa en garantizar que cada conexión esté autenticada, cifrada y autorizada mediante identidades únicas y de confianza.
Las identidades de máquina, como los certificados X.509, están en todas partes en la nube. Los desarrolladores e ingenieros que trabajan en Azure confían en los certificados cada día para desarrollar y ejecutar sus aplicaciones de forma segura. Por lo tanto, un enfoque holístico de la migración a la nube, incluidos los servicios de PKI y certificados, es fundamental para garantizar que sus equipos puedan aprovechar todas las ventajas de Azure y, al mismo tiempo, mantenerse seguros. Está claro que la PKI y las identidades de máquina son la columna vertebral de la confianza digital en la nube, ya que protegen los servicios de misión crítica y permiten la conectividad a gran escala. Para aprovechar las ventajas de la transformación digital y la migración a la nube, las organizaciones deben simplificar y modernizar su infraestructura de PKI.
6 ventajas de Keyfactor EJBCA para Microsoft Azure
Keyfactor EJBCA es una potente y flexible plataforma de gestión de CA y PKI para emitir y proporcionar certificados a escala de nube. Se integra perfectamente con la infraestructura de Azure, lo que facilita la emisión de certificados para cualquier caso de uso, ya sea en las instalaciones o en la nube. Aún mejor, los equipos pueden desplegar Keyfactor EJBCA directamente desde Azure Marketplace. Construida sobre estándares abiertos y una plataforma , aporta la madurez y transparencia que se espera de una infraestructura de seguridad moderna. Está diseñada para la escalabilidad y disponibilidad de la nube, al tiempo que garantiza la solidez y el cumplimiento de las mejores prácticas y normas del sector, como Common Criteria. open-source EJBCA
Keyfactor es un socio de Microsoft, así como una plataforma de identidad de máquinas y IoT para empresas modernas. La empresa ayuda a los equipos de seguridad a gestionar la criptografía como infraestructura crítica simplificando la PKI, automatizando la gestión del ciclo de vida de los certificados y permitiendo la criptoagilidad a escala. Estas son algunas ventajas adicionales de Keyfactor EJBCA para Microsoft Azure:
- Integración con Azure: EJBCA se integra con Microsoft y las plataformas nativas de Azure a través de la inscripción automática, SCEP y la compatibilidad con Intune. La autenticación y autorización para gestionar EJBCA se realiza mediante autenticación de certificados o Azure OAuth, y la visibilidad y supervisión de su PKI puede gestionarse mediante Azure Monitor Insights.
- Múltiples casos de uso: EJBCA admite todos los casos de uso y formatos de certificados en una sola plataforma. Gracias a su amplio soporte de integración y automatización mediante protocolos y API estándar, como EST, SCEP, CMP, ACME, REST y servicios web, EJBCA es fácilmente ampliable.
- Escalabilidad infinita: EJBCA puede alojar varias infraestructuras de CA y PKI en una única instalación. Admite el despliegue multidominio y multibosque, lo que le permite consolidar los casos de uso de PKI en una sola plataforma, y pagar solo por lo que utiliza.
- Compatibilidad con HSM integrada: El uso de un módulo de seguridad hardware (HSM) aporta seguridad y conformidad de nivel empresarial y mantiene seguras todas las claves criptográficas. EJBCA se integra con todos los HSM, incluidos Azure Key Vault y Azure Key Vault Managed HSM, así como Thales DPoD y la mayoría de los HSM con certificación FIPS y CC del mercado.
- Despliegue flexible: Para responder a los retos empresariales únicos de su organización, puede desplegar EJBCA como lo necesite. Está disponible en la nube Azure como servicio alojado y gestionado o como infraestructura como servicio (IaaS), así como en dispositivos hardware o software para requisitos específicos de cumplimiento u otros.
- Automatización del ciclo de vida de los certificados: Al añadir Keyfactor Command , puede combinar una PKI altamente escalable con la automatización completa del ciclo de vida de los certificados. Keyfactor Command proporciona visibilidad y control de todos los certificados de su entorno, tanto si se han emitido desde EJBCA como desde cualquier otro servicio de CA público, privado o basado en la nube.
Encuentre la forma más segura y eficaz para su organización de modernizar PKI en Azure
Hay mucho en juego cuando se migra o consolida la infraestructura PKI de una empresa. Es imperativo que las soluciones actuales habilitadas por los servicios de certificados existentes sigan funcionando con interrupciones limitadas, que el proyecto de migración gestione las interfaces e integraciones existentes con sistemas externos y que la solidez de la infraestructura se mantenga -o mejore- con la migración. Con EJBCA, puede elegir la estrategia de migración que mejor se adapte a su situación. He aquí tres opciones de migración habituales:
- Migre: Simplifique y consolide su infraestructura PKI con una cobertura completa a EJBCA y migrando todos los casos de uso existentes ahora.
- Empezar de cero. Inicie una nueva implantación de EJBCA para los nuevos casos de uso y migre los servicios de certificados existentes más adelante.
- Ampliar. Mantenga su Microsoft CA pero implemente EJBCA para casos de uso modernos que requieren más flexibilidad y escala.
Un cliente de Keyfactor , tras implantar EJBCA, ha podido dar de baja más de 30 servidores de Microsoft CA , con cientos más en la cola. Esto redujo drásticamente la complejidad de su infraestructura PKI interna. El equipo de PKI dependía de TI para gestionar los cientos de servidores existentes y desplegar nuevos servidores para seguir el ritmo de los casos de uso. Ahora, con EJBCA, TI puede centrarse en otras partes del negocio mientras el equipo de PKI aprovecha EJBCA SaaS para escalar dinámicamente en la nube y aprovechar la flexibilidad de EJBCA para ejecutar varias CA en un clúster. Esto se traduce en una mejor asignación de recursos, un ahorro sustancial y la posibilidad de actualizar sin tiempo de inactividad.
Más información EJBCALea cómo organizaciones de todo el mundo alcanzan el éxito con EJBCA y reserve hoy mismo una demostración deEJBCA .