Cuando se trata de encontrar los recursos adecuados para poner en marcha y gestionar su PKI, va a necesitar un equipo o herramienta que le proporcione el mayor nivel posible de experiencia y supervisión.
Sin embargo, para implantar la PKI de forma eficaz se requieren profundos conocimientos y experiencia, una carencia que muchas empresas admiten que existe en su organización. La escasez de conocimientos y recursos hace que cada vez más organizaciones busquen una alternativa a la gestión interna.
Por suerte, tiene opciones para levantar y gestionar una PKI moderna:
- PKi interna tradicional: Implemente y gestione su propia PKI internamente, utilizando la infraestructura y el personal internos para ejecutarla.
- PKI interna gestionada: despliegue la PKI internamente y recurra a la ayuda de un proveedor externo para obtener experiencia y supervisión adicionales.
- PKI como servicio/PKI gestionada: utilice un proveedor de servicios externo para desplegar, gestionar y alojar su infraestructura PKI en la nube.
Profundicemos en lo que podría ser cada opción:
Opción uno: PKI "hágalo usted mismo
Aunque la mayoría de las PKI se han gestionado internamente durante la última década aproximadamente, el tiempo y la tecnología han ampliado la funcionalidad y el conjunto de habilidades necesarias para desplegar y gestionar adecuadamente una PKI verdaderamente segura.
Para que una PKI interna (ya sea en las instalaciones o en la nube) funcione y se amplíe correctamente, necesitará un equipo totalmente formado con los conocimientos especializados y el personal de TI necesario para gestionar la PKI con eficacia.
Otros requisitos para garantizar el éxito y la seguridad de una PKI interna completa son las copias de seguridad y la recuperación en caso de desastre, las políticas y prácticas de certificación, las instalaciones de alta seguridad y los controles lógicos para proteger las CA raíz y emisoras.
Antes de decidir si una PKI DIY es la opción adecuada para su organización, considere las siguientes preguntas:
- ¿Cuánto costará implantar y mantener su PKI? (Piense en hardware, software, operaciones, formación, asistencia al usuario final, etc.)
- ¿Puede su organización gestionar y controlar las operaciones de la PKI en una medida que satisfaga los requisitos de escala y la postura de riesgo?
- ¿Existirá un proceso que garantice que el funcionamiento de la PKI se ajusta a las expectativas de la organización? ¿Qué aspecto tiene?
Si las respuestas a estas preguntas no son adecuadas para su organización, ha llegado el momento de replantearse la forma de gestionar su PKI.
Opción dos: PKI interna y gestionada
En el caso de una PKI gestionada internamente, el objetivo es aumentar las competencias y la disponibilidad de su equipo interno de PKI o InfoSec con los conocimientos adecuados.
La mayoría de las organizaciones que vemos operar con esta opción han decidido históricamente que existía una necesidad empresarial de una PKI interna, ya sea para registrar certificados para servidores internos, autenticación de clientes para Wi-Fi y VPN, IPsec para túneles cifrados, etc. Sin embargo, debido a los retos asociados con la PKI "hágalo usted mismo", como la falta de personal y experiencia adecuados para mantener esa solución de PKI, optaron por que un proveedor externo la gestionara o cogestionara en su lugar.
Con esta opción, siguen alojando y gestionando toda la infraestructura de forma interna, incluidas las CA y la infraestructura de revocación, pero ahora pueden centrarse más en otras prioridades mientras se descargan de algunas de las tareas de mantenimiento relacionadas con la PKI.
Si su organización está considerando esta opción, puede plantearse las siguientes preguntas:
- ¿Dispone su equipo de los conocimientos especializados y los recursos informáticos necesarios para gestionar PKI de forma eficaz?
- ¿Cumple su proveedor actual la evaluación de riesgos y los requisitos de política para la aplicación/caso de uso?
- ¿Es capaz de gestionar PKI internamente de forma tan segura y rentable como un proveedor externo?
Si sus respuestas a estas preguntas no son satisfactorias, es hora de buscar una solución PKI alojada en la nube.
Opción tres: PKI/PKIaaS totalmente gestionado
La PKI gestionada, o lo que Keyfactor denomina "PKI como servicio", permite a nuestro equipo de expertos reproducir una experiencia similar a la que obtendría si contratara a un "dream team de PKI" para diseñar, implantar y ejecutar su PKI por usted.
A continuación, lo combinamos con nuestra gestión de certificados software, lo que permite a su organización acceder a una instancia de PKI específica y a sus propias CA emisoras y raíz seguras en una infraestructura de inquilino único diseñada específicamente para usted y gestionada por un equipo de expertos en su nombre.
Si su organización necesita habilidades y recursos para gestionar su PKI, necesita reducir el coste y la complejidad de la infraestructura, o si su organización tiene una iniciativa de cloud-first, tener una PKI totalmente gestionada es probablemente su mejor y más segura opción.
Aunque no se trata de una lista exhaustiva, he aquí algunas preguntas que deben plantearse a la hora de evaluar soluciones PKI gestionadas:
- ¿Merece la pena gestionar la PKI internamente por los costes operativos, la infraestructura y los requisitos de mantenimiento?
- ¿Ofrece el proveedor una solución dedicada de arrendatario único para la implantación de PKI? ¿O se ejecuta en una infraestructura compartida?
- ¿Qué controles de seguridad físicos y lógicos se utilizan para proteger las CA raíz y emisora? ¿Puede mantener el control sobre las claves raíz?
- ¿Es capaz la oferta de servicios de satisfacer sus requisitos de escalabilidad y disponibilidad?
Independientemente de cómo "haga PKI", tendrá que evaluar las necesidades y requisitos específicos de su organización y cómo podrá ampliar el uso de PKI a medida que crezca su empresa.
Para profundizar en lo que se necesita para gestionar eficazmente una PKI, consulte nuestra Lista de comprobación de evaluación de herramientas de gestión de certificados y PKI:
