Charla técnica: Sustitución de las Microsoft CA heredadas por una PKI moderna

La PKI se considera ahora una infraestructura crítica para las empresas actuales. 

A nivel mundial, las empresas clasifican su plataforma PKI como una de las piezas más fundamentales e importantes de su postura de ciberseguridad. Este reconocimiento de importancia es un gran paso en la dirección correcta para los equipos de seguridad, pero también presenta ciertos desafíos a medida que evoluciona el panorama de la seguridad empresarial.

Como resultado, las organizaciones deben considerar seriamente la modernización de su infraestructura PKI. Este fue el enfoque detrás de una reciente Charla Tecnológica (Tech Talk) con Eric Clauss, Vicepresidente de Área en Keyfactor, y Alex Gregory, Vicepresidente de Productos de Marketplace en Keyfactor. Puede ver la sesión completa aquí, o seguir leyendo para conocer los puntos destacados.

Los procesos de PKI tradicionales son excesivamente complejos, costosos y simplemente no pueden escalar para satisfacer todos los nuevos casos de uso. Estos son desafíos serios dada la naturaleza crítica de la PKI en las empresas actuales.

Algunos de los mayores desafíos de la PKI tradicional incluyen:

• Adaptarse a los nuevos casos de uso: No hace mucho tiempo, la PKI se centraba en la emisión de certificados digitales para dispositivos corporativos. Hoy en día, eso es solo una pequeña parte de lo que la PKI debe abarcar. Los nuevos casos de uso evolucionan rápidamente, generando una demanda para que los programas de PKI emitan certificados para todo, desde migraciones a la nube, procesos DevOps y dispositivos IoT.

• Proliferación de CA: A medida que surgen más casos de uso, las organizaciones consumen certificados a un ritmo increíblemente masivo. A su vez, esta situación ha generado una proliferación de CA, ya que los equipos implementan nuevas CA sin ninguna política estandarizada ni visibilidad, para poder desplegar nuevos certificados a su conveniencia. Esta proliferación ocurre con frecuencia en entornos DevOps, pero no se limita solo a esos equipos.

• Procesos lentos y manuales: La proliferación de CA sigue siendo tan difícil de controlar para los equipos de seguridad porque los procesos tradicionales de PKI y de certificados son lentos y complejos. En un momento en que los equipos necesitan un gran volumen de certificados a un ritmo vertiginoso, estos procesos lentos y manuales simplemente no son suficientes, lo que obliga a los equipos a buscar soluciones alternativas.

• Experiencia limitada: Finalmente, la PKI es una industria muy especializada, y encontrar miembros de equipo con las habilidades adecuadas para gestionar estos programas resulta difícil. Retenerlos es aún más complicado.

Estos desafíos se magnifican aún más por la adopción generalizada de Microsoft CA. Desafortunadamente, la realidad es que esta solución está diseñada para un mundo que ya no existe.

Por ejemplo, Microsoft CA presenta inconvenientes operativos, ya que solo permite una CA por servidor. Esto funcionaba bien cuando los casos de uso de PKI eran más limitados, pero en el mundo actual – que requiere el despliegue de miles de certificados – resulta en una huella excesivamente compleja a medida que los programas de PKI escalan. Muchas empresas tienen ahora cientos de servidores con el único propósito de desplegar certificados, lo cual no es eficiente en absoluto.

Además, Microsoft CA tiene capacidades de integración limitadas más allá de la infraestructura de Microsoft, lo que resulta bastante restrictivo a medida que más y más organizaciones adoptan una estrategia multi-nube.

Por último, y no menos importante, Microsoft ya no soporta ni desarrolla activamente Microsoft CA, lo que significa que nunca evolucionará para satisfacer los requisitos cambiantes. Y a medida que el panorama de la PKI sigue cambiando, la desconexión entre lo que las empresas necesitan y lo que Microsoft CA puede proporcionar solo aumentará.

Afortunadamente, hay un camino a seguir. El futuro exige una plataforma PKI potente y flexible, y EJBCA Enterprise de Keyfactor ofrece precisamente eso.

Mientras que Microsoft CA tiene sus raíces en el pasado – perfectamente adecuada para centros de datos estáticos y locales, y equipos que necesitaban emitir un bajo volumen de certificados con largos periodos de validez – EJBCA es una solución con visión de futuro, en constante evolución, diseñada para equipos que tienen un entorno dinámico basado en la nube y necesitan emitir un alto volumen de certificados con periodos de validez cortos.

Profundizando, una solución de PKI moderna como EJBCA ayuda a resolver los desafíos que enfrentan actualmente las empresas al ofrecer:

• Funcionalidad de CA, VA y RA para una solución PKI completa en una única plataforma, lo que permite una gestión centralizada en todos los casos de uso
• CA y certificados ilimitados en una única instancia, sin necesidad de desplegar infraestructura adicional, lo que la hace mucho más escalable para los programas de PKI modernos
• Soporte flexible para todos los principales tipos de certificados, algoritmos y protocolos, y HSM, para un programa que permite a las empresas consumir certificados de diversas maneras
• Mayor extensibilidad con una API robusta e integraciones predefinidas que permite que el programa PKI se extienda sin problemas a través de múltiples nubes diferentes
• Alta escalabilidad con soporte para clustering y alta disponibilidad

Cabe destacar que EJBCA también ofrece la capacidad de desplegarse de múltiples maneras. Esto incluye un appliance de Software preconstruido y preconfigurado que se integra con HSM, un appliance de Hardware para despliegues llave en mano que ofrece todos los servicios necesarios para soportar un entorno PKI, disponibilidad en los marketplaces de la nube de Microsoft Azure y AWS para un despliegue rápido, y una solución SaaS para una plataforma PKI totalmente funcional respaldada por HSM en la nube y desplegada en minutos.

Keyfactor también ofrece una opción de despliegue PKIaaS para EJBCA, que transfiere la operación y gestión completas al equipo experto de Keyfactor para que las organizaciones puedan consumir certificados sin tener que atascarse en la gestión del programa.

Adaptar Microsoft CA – o cualquier otro programa PKI heredado – a una empresa moderna simplemente ya no es suficiente. Crea arquitecturas PKI excesivamente complejas que son costosas, no tan escalables como deberían ser, y que simplemente no pueden soportar los cortos periodos de validez de los certificados actuales.

Una solución moderna como Keyfactor EJBCA resuelve estos problemas y más. Para una mirada más profunda a cómo lo hace exactamente, además de una demostración en vivo, haga clic aquí para ver el Tech Talk completo.