El rápido ritmo de DevOps ha contribuido significativamente al crecimiento de la adopción y las implementaciones en la nube. En consecuencia, el papel de la infraestructura de clave pública (PKI) también se ha expandido a través de un ecosistema creciente de herramientas y aplicaciones que emiten o consumen certificados digitales, como Hashicorp Vault.
La rápida adopción de estos conjuntos de herramientas ha llevado a los equipos de seguridad de la información (InfoSec) a cambiar su forma de concebir la PKI y la gestión de claves y certificados. Ahora se plantean preguntas como:
- ¿Cómo sé cuántas claves y certificados tengo en mi inventario?
- ¿Cómo puedo rastrear y gestionar estas claves y certificados de manera efectiva?
- ¿Cómo me aseguro de que cada certificado sea emitido por una CA de confianza y autorizada?
- ¿Cómo gestiono la PKI de back-end dentro de este entorno multinube?
Sin embargo, antes de abordar estas preguntas, analicemos cómo HashiCorp Vault encaja en este panorama y algunos de los desafíos de usar PKI en un entorno DevOps.
El valor de Vault para los desarrolladores
HashiCorp Vault se ha convertido en un punto central en la infraestructura DevOps empresarial. Permite a los desarrolladores almacenar de forma centralizada y controlar estrictamente el acceso a los secretos, y proporciona acceso a través de una API común.
Vault también puede actuar como una CA (autoridad de certificación) utilizando su motor de secretos PKI integrado para emitir certificados TLS de corta duración. Estos son utilizados por los desarrolladores y los equipos de operaciones para asegurar las comunicaciones máquina a máquina entre servidores, contenedores, mallas de servicios, entre otros.
Los equipos de DevOps valoran Vault porque les proporciona un acceso rápido y sencillo a los certificados sin pasar por los procesos manuales típicos que implica la obtención de un certificado aprobado por seguridad del equipo de PKI o InfoSec. La flexibilidad de Vault también le permite generar certificados autofirmados, o configurarse para emitir certificados desde una CA subordinada, como Microsoft CA.
Pero como cualquier herramienta en un entorno DevOps, Vault debe implementarse y gestionarse de una manera que cumpla con los requisitos de seguridad empresarial.
El panorama general: DevOps frente a InfoSec
Si nos detenemos a considerar el panorama general, el uso de claves y certificados ha crecido rápidamente en la mayoría de las organizaciones. Esto ha añadido mucha más complejidad a nuestra concepción de la PKI.
Es la historia que ya conoce: DevOps busca agilidad, pero InfoSec necesita aplicar controles de seguridad. En lo que respecta a la PKI, esta situación no es diferente.
Los equipos de aplicaciones y operaciones no están tan preocupados por de dónde se emite un certificado o qué políticas cumple. Su trabajo es construir, empaquetar, probar y entregar aplicaciones de manera eficiente, no gestionar certificados. Esto a menudo significa encontrar formas de evitar procesos PKI que consumen mucho tiempo y, en su lugar, utilizar soluciones alternativas que no cumplen las normativas.
Con la cantidad de certificados autofirmados que se emiten y la abundancia de herramientas con sus propias CA integradas (por ejemplo, Ansible, Kubernetes, AWS, Azure), la mayoría de los equipos de seguridad pierden la noción de cuántas claves y certificados tienen realmente. Conocer dónde residen esas claves y certificados, cuándo caducan o qué políticas cumplen es difícil de lograr con un conjunto tan distribuido de herramientas y aplicaciones. Estas incógnitas conllevan graves riesgos de seguridad e interrupciones relacionadas con los certificados.
Cuando algo sale mal —por ejemplo, si un certificado caduca o una CA se ve comprometida—, puede llevar horas encontrar y solucionar el problema, lo que resulta en tiempo de inactividad y pérdida de productividad. Sin una responsabilidad directa, se convierte realmente en un juego del gato y el ratón entre los equipos de DevOps e InfoSec.
Esto es, a menos que exista una solución que pueda proporcionar la visibilidad y el control que InfoSec necesita, sin comprometer la automatización y la facilidad de acceso que requiere DevOps.
Integración de Keyfactor Vault
Al utilizar el motor de secretos de Keyfactor con HashiCorp Vault, las organizaciones pueden implementar y utilizar Vault de una manera que satisfaga tanto a los equipos de InfoSec como a los de DevOps.
La integración comienza con la obtención de visibilidad de los certificados en todas sus instancias de Vault y su consolidación en un único inventario empresarial. De esta manera, puede aplicar el mismo conjunto coherente de políticas, cumplimiento y auditoría, al tiempo que garantiza que todos los certificados se emiten desde una CA pública o privada autorizada y de confianza, o desde la plataforma PKI alojada en la nube de Keyfactor.
La pugna entre los equipos de DevOps e InfoSec es una realidad, pero existe una forma de lograr niveles de seguridad adecuados sin interrupciones. Al utilizar el motor de secretos de Keyfactor, el equipo de InfoSec obtiene una forma estandarizada de integrarse con Vault. Para los equipos de DevOps, podrán emitir certificados con el mismo conjunto de API y Command nativos de Vault a los que están acostumbrados, y obtener acceso a certificados de confianza pública utilizados en producción.
Descubra en detalle cómo Keyfactor se integra con Hashicorp Vault en nuestro seminario web a la carta:
