El rápido ritmo de DevOps ha contribuido en gran medida al crecimiento de la adopción e implantación de la nube. En consecuencia, el papel de la infraestructura de clave pública (PKI) también se ha ampliado a través de un creciente ecosistema de herramientas y aplicaciones que emiten certificados digitales o los consumen, como Hashicorp Vault.
La rápida adopción de estos conjuntos de herramientas ha llevado a los equipos de InfoSec a cambiar su forma de pensar sobre PKI y la gestión de claves y certificados. Ahora se hacen preguntas como:
- ¿Cómo sé cuántas claves y certificados tengo en mi inventario?
- ¿Cómo puedo seguir y gestionar eficazmente estas claves y certificados?
- ¿Cómo puedo asegurarme de que cada certificado se emite desde una CA autorizada y de confianza?
- ¿Cómo se gestiona la PKI back-end en este entorno multicloud?
Sin embargo, antes de abordar estas preguntas, vamos a discutir cómo HashiCorp Vault encaja en el cuadro, y algunos de los retos de la utilización de PKI en un entorno DevOps.
El valor de Vault para los desarrolladores
HashiCorp Vault se ha convertido en un punto de atención en la infraestructura DevOps de las empresas. Permite a los desarrolladores almacenar de forma centralizada y controlar estrictamente el acceso a los secretos, y proporciona acceso a través de una API común.
Vault también puede actuar como CA (autoridad de certificación) utilizando su PKI Secrets Engine integrado para emitir certificados de corta duración TLS . Los desarrolladores y los equipos de operaciones los utilizan para proteger las comunicaciones de máquina a máquina entre servidores, contenedores, mallas de servicios, etc.
A los equipos de DevOps les encanta Vault, porque les proporciona un acceso rápido y sencillo a los certificados sin tener que pasar por los típicos procesos manuales que implica obtener un certificado aprobado por el equipo de PKI o InfoSec. La flexibilidad de Vault también le permite generar certificados autofirmados o configurados para emitir certificados de una CA subordinada, como Microsoft CA.
Pero como cualquier herramienta en un entorno DevOps, Vault debe implementarse y manejarse de forma que cumpla con los requisitos de seguridad de la empresa.
Una visión más amplia: DevOps frente a InfoSec
Dando un paso atrás para ver el panorama general, el uso de claves y certificados ha crecido rápidamente en la mayoría de las organizaciones. Eso ha añadido mucha más complejidad a la forma en que pensamos sobre PKI.
Es la historia que has oído antes, DevOps quiere moverse rápido, pero InfoSec necesita hacer cumplir los controles de seguridad.Cuando se trata de PKI, esa historia no es diferente.
A los equipos de aplicaciones y operaciones no les preocupa mucho desde dónde se emite un certificado o qué políticas cumple. Su trabajo consiste en crear, empaquetar, probar y entregar aplicaciones de forma eficiente, no en gestionar certificados. A menudo, eso significa encontrar formas de evitar procesos PKI que consumen mucho tiempo y, en su lugar, utilizar soluciones alternativas que no requieran quejas.
Con la cantidad de certificados autofirmados que se emiten, y la abundancia de herramientas que tienen sus propias CA integradas, (por ejemplo, Ansible, Kubernetes, AWS, Azure) la mayoría de los equipos de seguridad pierden de vista cuántas claves y certificados tienen en realidad. El conocimiento de dónde viven esas claves y certificados, cuándo caducan o qué políticas cumplen es difícil de conseguir con un conjunto tan distribuido de herramientas y aplicaciones. Estas incógnitas provocan graves riesgos para la seguridad e interrupciones relacionadas con los certificados.
Cuando algo va mal -por ejemplo, si un certificado caduca o una CA se ve comprometida- puede llevar horas encontrar y solucionar el problema, lo que se traduce en tiempo de inactividad y pérdida de productividad. Sin una responsabilidad directa, se convierte en un juego del gato y el ratón entre los equipos de DevOps e InfoSec.
Es decir, a menos que exista una solución que pueda proporcionar la visibilidad y el control que necesita InfoSec, sin comprometer la automatización y la facilidad de acceso requeridas por DevOps.
Keyfactor Integración de bóvedas
Utilizando Keyfactor Secrets Engine con HashiCorp Vault, las organizaciones pueden desplegar y utilizar Vault de una forma que satisfaga tanto a los equipos de InfoSec como a los de DevOps.
La integración comienza con la obtención de visibilidad de los certificados en todas las instancias de Vault y su agrupación en un único inventario empresarial. De este modo, puede aplicar el mismo conjunto coherente de políticas, cumplimiento y auditoría, garantizando al mismo tiempo que todos los certificados se emiten desde una CA pública o privada autorizada y de confianza, o desde la plataforma PKI alojada en la nube de Keyfactor.
La lucha entre los equipos de DevOps e InfoSec es real, pero hay una forma de lograr niveles adecuados de seguridad sin interrupciones. Utilizando Keyfactor Secrets Engine, el equipo de InfoSec obtiene una forma estandarizada de integrarse con Vault. Los equipos de operaciones de desarrollo podrán emitir certificados con el mismo conjunto de API y comandos nativos de Vault a los que están acostumbrados, y acceder a certificados de confianza públicos utilizados en producción.
Descubra cómo Keyfactor se integra con Hashicorp Vault en nuestro seminario web a la carta:
