Charla técnica: Sustitución de las CA heredadas de Microsoft por una PKI moderna

La PKI se considera actualmente una infraestructura crítica para las empresas de hoy en día. 

En todo el mundo, las empresas consideran su plataforma PKI como una de las piezas más fundamentales e importantes de su postura de ciberseguridad. Este reconocimiento de la importancia es un gran paso en la dirección correcta para los equipos de seguridad, pero también presenta ciertos retos a medida que evoluciona el panorama de la seguridad empresarial.

Como resultado, las organizaciones deben considerar seriamente la modernización de su infraestructura PKI. Este fue el tema central de una reciente charla técnica en la que participaron Eric Clauss, Vicepresidente de Área en Keyfactor, y Alex Gregory, Vicepresidente de Productos de Mercado en Keyfactor. Puede ver la sesión completa aquío siga leyendo para ver los aspectos más destacados.

Los procesos tradicionales de PKI son demasiado complejos, costosos y sencillamente no pueden ampliarse para satisfacer todos los nuevos casos de uso. Se trata de serios retos dada la naturaleza crítica de la PKI en las empresas actuales.

Algunos de los mayores retos de la PKI tradicional son:

• Mantenerse al día con los nuevos casos de uso: No hace mucho, la PKI se centraba en la emisión de certificados digitales para los dispositivos propiedad de la empresa. Hoy en día, eso es sólo una pequeña parte de lo que PKI necesita cubrir. Los nuevos casos de uso están evolucionando rápidamente, creando una demanda de programas PKI para emitir certificados para todo, desde migraciones a la nube, procesos DevOps y dispositivos IoT .

• Despliegue de CA: A medida que aparecen más casos de uso, las organizaciones consumen certificados a un ritmo increíblemente masivo. A su vez, esta situación ha creado una proliferación de CA, ya que los equipos crean nuevas CA sin ninguna política estandarizada ni visibilidad para poder implementar nuevos certificados a su conveniencia. Esta proliferación ocurre con frecuencia en entornos DevOps, pero no se limita solo a estos equipos.

• Procesos lentos y manuales: La proliferación de CA sigue siendo tan difícil de controlar para los equipos de seguridad porque los procesos tradicionales de PKI y certificados son lentos y complejos. En un momento en el que los equipos necesitan un gran volumen de certificados a un ritmo vertiginoso, estos procesos lentos y manuales simplemente no son suficientes, lo que obliga a los equipos a buscar soluciones.

• Conocimientos limitados: Por último, PKI es una industria muy especializada, y encontrar miembros del equipo con las habilidades adecuadas para gestionar estos programas resulta difícil. Retenerlos es aún más difícil.

Estos retos no hacen sino aumentar con la adopción generalizada de Microsoft CA. Por desgracia, la realidad es que esta solución está construida para un mundo que ya no existe.

Por ejemplo, Microsoft CA tiene inconvenientes operativos, ya que sólo permite una CA por servidor. Esto funcionaba bien cuando los casos de uso de PKI eran más limitados, pero en el mundo actual, que requiere el despliegue de miles de certificados, resulta demasiado complejo a medida que se amplían los programas de PKI. Muchas empresas tienen ahora cientos de servidores con el único propósito de desplegar certificados, lo que no es eficiente en modo alguno.

Además, Microsoft CA tiene capacidades de integración limitadas más allá de la infraestructura de Microsoft, lo que resulta bastante limitante a medida que más y más organizaciones se mueven hacia una estrategia multi-nube.

Por último, y no por ello menos importante, Microsoft ya no apoya ni desarrolla activamente Microsoft CA, lo que significa que nunca evolucionará para satisfacer los requisitos cambiantes. Y como el panorama de la PKI sigue cambiando, la desconexión entre lo que necesitan las empresas y lo que puede ofrecer Microsoft CA no hará sino aumentar.

Afortunadamente, existe un camino a seguir. El futuro exige una plataforma PKI potente y flexible, y Keyfactor's EJBCA Enterprise ofrece precisamente eso.

Mientras que Microsoft CA está anclada en el pasado -perfectamente adaptada a los centros de datos locales y estáticos y a los equipos que necesitaban emitir un bajo volumen de certificados con una larga vida útil-, EJBCA es una solución orientada al futuro, en constante evolución, creada para los equipos que tienen un entorno dinámico basado en la nube y necesitan emitir un alto volumen de certificados con una vida útil corta.

Profundizando en el tema, una solución PKI moderna como EJBCA ayuda a resolver los retos a los que se enfrentan actualmente las empresas al ofrecer:

• CA, VA y RA para una solución PKI completa en una única plataforma, lo que permite una gestión centralizada en todas las plataformas PKI. todos los casos de uso de casos de uso
• Un número ilimitado de CA y certificados en una sola instancia, sin tener que desplegar infraestructura adicional, lo que lo hace mucho más escalable para los programas PKI modernos.
• Compatibilidad flexible con los principales tipos de certificados, algoritmos y protocolos, y HSM, para un programa que permite a las empresas consumir certificados de diversas formas
• Mayor extensibilidad con una API robusta e integraciones predefinidas que permiten que el programa PKI se extienda sin problemas a través de múltiples nubes diferentes.
• Alta escalabilidad con soporte para clustering y alta disponibilidad

En particular, EJBCA también ofrece la posibilidad de desplegarse de múltiples maneras. Esto incluye un software preconfigurado y preconstruidoappliance que se integra con HSM, un hardware appliance para despliegues llave en mano que ofrece todos los servicios necesarios para dar soporte a un entorno PKI, disponibilidad en los mercados en la nube de Microsoft Azure y AWS para un despliegue rápido, y una solución SaaS para una plataforma PKI totalmente funcional respaldada por HSM en la nube y desplegada en cuestión de minutos.

Keyfactor también ofrece una opción de despliegue de PKIaaS para EJBCA, que transfiere el funcionamiento y la gestión completos al equipo experto de Keyfactor para que las organizaciones puedan consumir certificados sin tener que atascarse en la gestión del programa.

Adaptar Microsoft CA -o cualquier otro programa PKI heredado- a una empresa moderna ya no es suficiente. Se crean arquitecturas PKI excesivamente complejas que son costosas, que no son ni de lejos tan escalables como necesitan ser y que sencillamente no pueden soportar la corta vida útil de los certificados actuales.

Una solución moderna como Keyfactor EJBCA resuelve estos problemas y muchos más. Para saber cómo lo hace exactamente y ver una demostración en directo, haz clic aquí para ver la charla técnica completa.