La infraestructura de clave pública (PKI) es una solución consolidada para establecer la confianza en el mundo digital. Pero los casos de uso de la PKI han cambiado significativamente en las décadas que lleva funcionando, y siguen evolucionando a un ritmo vertiginoso.
Por ejemplo, el aumento de las políticas de trabajo remoto y multi-nube ha cambiado el enfoque de la seguridad, que ha pasado de proteger el perímetro a protegerlo todo utilizando identidades de confianza. Por desgracia, las implantaciones de PKI heredadas no pueden seguir el ritmo de este cambio.
En este contexto, ¿qué necesitan saber las empresas sobre la actualización de su PKI para satisfacer casos de uso más modernos? Para saber más, recientemente nos sentamos con Harry Haramis, vicepresidente senior de Cloud & SaaS Marketplaces en Keyfactor, y Steven Duckworth, especialista jefe en soporte técnico de microinformática en Erie 1 BOCES .
Pulse aquí para ver la conversación completao siga leyendo para ver lo más destacado.
El papel cambiante de la PKI en la empresa
PKI es una infraestructura crítica en la empresa actual, que ahora trabaja para establecer la confianza a través de una variedad de casos de uso digital que abarcan no sólo a las personas, sino también a las máquinas. Algunos de los casos de uso más comunes en la empresa moderna son:
- SSL/TLS certificados para servidores web
- Autenticación mutua y cifrado para dispositivos del Internet de las Cosas (IoT)
- Autenticación en redes Wifi
- Certificados efímeros para servicios multicloud como contenedores y cargas de trabajo
- Firmas digitales y cifrado para un correo electrónico seguro en todos los dispositivos
- Acceso de confianza para aplicaciones y dispositivos móviles
- Autenticación entre routers y cortafuegos para dispositivos de red
- Firmas en contenedores y compilaciones software para equipos DevOps
Dos áreas, en particular, que están viendo el mayor repunte en la actividad de PKI son DevOps y dispositivos móviles a medida que las organizaciones se modernizan en infraestructura de nube y más empleados trabajan de forma remota utilizando una variedad de dispositivos.
Por desgracia, las implantaciones de PKI heredadas que siguen utilizando la mayoría de las empresas son demasiado complejas, costosas y no pueden adaptarse a estos nuevos casos de uso. Dependen de una infraestructura obsoleta que es lenta y no puede satisfacer las demandas de los nuevos casos de uso, como las migraciones a la nube, el trabajo híbrido y los dispositivos IoT . Además, tienden a depender de herramientas dispares que limitan la visibilidad de los equipos de seguridad sobre los certificados y las políticas en toda la organización, lo que dificulta la gestión de los certificados y evita problemas como las interrupciones.
Además de los retos de infraestructura, muchos equipos carecen de los recursos necesarios para mantener estos programas de PKI, ya que las personas con los conocimientos especializados adecuados en PKI son difíciles de encontrar y aún más difíciles de retener.
El obstáculo más común de la PKI: el legado Microsoft CA
Uno de los retos más comunes a los que se enfrentan las empresas en su esfuerzo por modernizar la PKI es la continua dependencia de la Autoridad de Certificación (CA) heredada de Microsoft, también conocida como Servicios de Certificación de Active Directory (ADCS).
Microsoft CA existe desde el año 2000 y, aunque hemos visto múltiples versiones a lo largo de los años, no ha cambiado mucho desde su lanzamiento. Como resultado, cuando las organizaciones intentan utilizar esta solución de más de 20 años de antigüedad para las necesidades modernas de PKI, se encuentran con serios obstáculos:
-
- Retos operativos: Microsoft CA sólo permite una CA por servidor. En un momento en el que las organizaciones necesitan emitir nuevos certificados de diversas CA a diario, esto crea una huella demasiado compleja a escala.
- Integraciones limitadas: Aunque Microsoft CA se integra bien con la infraestructura local de Microsoft, ahí se acaba todo. Esta falta de integración no funciona bien cuando las organizaciones pasan a un entorno multicloud.
- Falta de soporte: Microsoft es muy consciente de estas limitaciones y ya no da soporte ni desarrolla activamente Microsoft CA, lo que significa que la brecha entre las limitaciones de la solución y los casos de uso modernos no hará más que aumentar.
Afortunadamente, existen varios caminos para conseguir una infraestructura PKI moderna en la nube:
- PKI gestionada: La infraestructura PKI es desplegada, alojada y gestionada por un tercero con experiencia en la nube. Entregar la infraestructura y la gestión a un tercero significa que las empresas no tienen que preocuparse de contar con conocimientos de PKI en la empresa y pueden limitarse a consumir los certificados procedentes del programa.
- SaaS/Nube PKI: La infraestructura PKI es desplegada, alojada y gestionada por la organización en la nube. En este caso, la infraestructura backend está alojada y mantenida por un tercero, pero la empresa gestiona su propio programa en lo que respecta a la emisión de certificados, el desarrollo de políticas y la gestión continua del ciclo de vida.
- PKI híbrida: La infraestructura PKI se despliega, aloja y gestiona in situ y se integra con servicios en la nube. Este enfoque requiere experiencia interna en la configuración de PKI, así como propiedad sobre los servidores y otras piezas de infraestructura. La PKI híbrida es la más adecuada para situaciones como la fabricación, en la que las empresas no quieren depender de la conectividad a Internet en una fábrica remota, pero luego necesitan acceder a esos dispositivos (a través de Internet) para renovar certificados y proporcionar actualizaciones continuas de firmware una vez que están en el campo.
Incluso para las organizaciones que se están moviendo a la nube con Microsoft Azure, estos desafíos presentan un obstáculo importante, ya que Microsoft no tiene una solución PKI de primera parte en la nube.
El camino hacia una PKI moderna en la nube
Como parte del proceso de evaluación, es importante que las empresas tengan en cuenta necesidades como los requisitos de confianza de las CA públicas frente a las privadas, los niveles de seguridad y garantía, los casos de uso que se deben admitir, la escalabilidad y disponibilidad de las soluciones de PKI y los conocimientos necesarios para implantar y mantener el programa de PKI. Igualmente importante es considerar la fase actual de madurez de la nube de la organización (así como los planes futuros) para comprender qué debe permanecer detrás de un cortafuegos y qué puede trasladarse a la nube.
Proteger a los trabajadores remotos con una PKI moderna: cómo lo ha conseguido Erie 1 BOCES
Erie 1 BOCES es una cooperativa de escuelas públicas de Nueva York. Cuando COVID llegó por primera vez, la demanda de gestión remota para los portátiles de los estudiantes y del personal creó todo un nuevo conjunto de necesidades. Erie 1 BOCES ya utilizaba Azure Active Directory y Office 365, por lo que el siguiente paso lógico era introducir Microsoft Intune para la gestión de dispositivos corporativos.
Sin embargo el equipo no tardó en darse cuenta de que seguirían necesitando una solución de terceros para emitir y gestionar certificados para autenticar los dispositivos remotos, por ejemplo en redes Wifi. Esta necesidad llevó al equipo de Erie 1 BOCES a PrimeKey EJBCA Enterpriseuna solución PKI completa disponible en Azure Marketplace.
Como explica Steven Duckworth, Especialista Jefe en Soporte Técnico de Microinformática de Erie 1 BOCES, EJBCA se ajustaba perfectamente a las necesidades del equipo por su capacidad para:
- Habilitar un servicio compartido para los usuarios finales, incluidos Erie 1 BOCES y otros distritos escolares.
- Reducir la complejidad de PKI, con soporte para múltiples dominios
- Ofrecer un alto nivel de escalabilidad para la emisión de certificados en miles de dispositivos (sin tarifas por certificado).
- Proporcionar continuidad en entornos virtualizados y en la nube
- Ofrezca asistencia activa a los proveedores para mantenerse al día con los cambios en la infraestructura de la nube.
El equipo también encontró un valor significativo en el hecho de que EJBCA les permitiera implantar y mantener su programa PKI internamente sin dejar de aprovechar la experiencia de un socio.
Ahora, Erie 1 BOCES ofrece PKI como servicio compartido utilizando EJBCA en su centro de datos. El equipo también ha encontrado un valor significativo en la integración directa con Intune, que les permite emitir certificados a las estaciones de trabajo de los usuarios finales para que puedan validarse fácilmente en las redes inalámbricas internas de Erie 1 BOCES. En el backend, los nodos dedicados de EJBCA también gestionan los servicios de autoridad de validación y revocación de certificados para cubrir el ciclo de vida completo de los certificados.
¿Quiere saber más?
Si está interesado en saber más sobre cómo un programa PKI moderno puede ayudarle a crear confianza sin límites, y cómo organizaciones como Erie 1 BOCES han hecho realidad esa visión, haga clic aquí para ver el seminario web completo sobre la actualización de su PKI con Keyfactor y Erie 1 BOCES.