![[Recapitulación del seminario web] Seguridad de la PKI de nueva generación](https://www.keyfactor.com/wp-content/uploads/securing-next-gen-pki-blog-img.png)
Los despliegues de PKI han evolucionado y se han ampliado para proteger más infraestructuras y aplicaciones críticas para la empresa que nunca, emergiendo como una tecnología segura y rentable para permitir nuevas iniciativas como la nube, la malla de servicios y IoT.
Vea el seminario web a la carta o lea los puntos destacados a continuación para obtener consejos prácticos para evaluar la PKI interna frente a la PKI como servicio de Keyfactor CSO Chris Hickman y Senior Director of IoT Product Management, Ellen Boehm.
¿Cómo han crecido los casos de uso de PKI a lo largo de los años?
Debido a su amplio campo de aplicación, la PKI se ha convertido en la norma de facto para muchos tipos de aplicaciones de seguridad, desde las empresariales hasta IoT.
Aunque la PKI en sí no es una tecnología nueva, sus casos de uso siguen ampliándose, lo que se presta a una conversación sobre qué tipo de PKI debe buscar para proteger su empresa o sus dispositivos.
Y esa conversación empieza por comprender lo que abarca la PKI hoy en día: autoridades de certificación (que son las que realmente emiten los certificados), módulos de seguridad hardware (utilizados para almacenar de forma segura los materiales de las claves), un repositorio de identidades y las piezas posteriores de gestión del ciclo de vida para automatizar y gestionar la sustitución de claves, raíces de confianza y demás.
Hace años, cuando la tecnología era más lenta y sencilla, las ICP se creaban para aplicaciones específicas, por ejemplo, si alguien quería mejorar la seguridad de una red Wi-Fi o quería utilizar certificados para proteger sitios web.
Con el tiempo, sin embargo, las empresas empezaron a utilizar esa misma PKI para más de un caso de uso, lo que dificultó y encareció la gestión... si no se gestionaba correctamente, claro.
A pesar de expandirse y evolucionar para cubrir una variedad de casos de uso -incluyendo cosas como DevOps-PKI sigue siendo una tecnología central para asegurar las empresas y el creciente mundo de IoT, por lo que es fundamental entender qué tipo de PKI implementar para su caso de uso específico.
¿En qué se diferencia la implantación de PKI para los fabricantes de dispositivos de IoT de la típica PKI empresarial?
Aunque el volumen de certificados y el número de casos de uso únicos de la PKI han crecido tanto en las PKI empresariales como en IoT, el mundo de IoT, en particular, se ha beneficiado de la evolución. Debido a una rápida expansión y evolución similares, el mundo de IoT seguro discurre en paralelo a la evolución de la PKI.
Una de las grandes diferencias entre la PKI para IoT y para empresas es el ciclo de vida. Mientras que los principios básicos de la PKI -metodologías, procedimientos, certificado como resultado final, etc.- permiten mantener la seguridad de los dispositivos a lo largo de todo su ciclo de vida, la PKI debe estudiarse detenidamente durante el diseño inicial, la construcción y el aprovisionamiento del dispositivo, a fin de mantenerlo lo más seguro posible durante el mayor tiempo posible.
Además, la PKI para IoT requiere un cifrado adecuado de las claves que se encuentran en los dispositivos, la firma del firmware establecido y firmas digitales para mantener los dispositivos durante su vida útil sin importar dónde se encuentren. Los datos deben cifrarse en reposo y en tránsito, y debe haber una verificación de firmas basada en la PKI para garantizar que cualquier actualización que deba desplegarse sea auténtica antes de instalarla.
¿Qué interfaces de inscripción necesita una PKI moderna para admitir los casos de uso de IoT y qué autenticación y autorización admite Keyfactor para la inscripción inicial de IoT ?
Mientras que algunos dispositivos IoT pueden inscribirse a través de SCEP y EST, Keyfactor gestiona la generación de claves de inscripción de certificados utilizando un marco orquestador integrado en el firmware de sus dispositivos. Las inscripciones únicas en IoT se configuran en función de la capacidad de hardware y los requisitos necesarios.
Keyfactor también utiliza la autenticación de certificados del lado del cliente para la autenticación inicial del dispositivo. Esto significa que habrá una clave privada en el dispositivo que permanece en el dispositivo con una clave pública generada matemáticamente y relacionada que se puede utilizar para el intercambio.
Esto permite la autenticación mutua, en la que tanto el cliente como el servidor o dos dispositivos pueden autenticarse entre sí, siguiendo las mejores prácticas de seguridad y IoT .
¿Qué significa "fuera de línea" y cuál es la razón de una raíz fuera de línea?
Offline significa desconectado, es decir, que nunca ha estado en contacto con una red en ningún momento de su existencia. No existen distintos grados de desconexión.
La razón de una raíz fuera de línea es para que la raíz nunca pueda ser comprometida y no haya ninguna ruta de red que pueda acceder a ella, aislándola completamente de cualquier cosa que pueda ponerla en peligro.
Sin embargo, una raíz fuera de línea supone una carga operativa, por lo que se trata de encontrar el equilibrio adecuado para su organización a la hora de utilizarlas.
Al fin y al cabo, una CA raíz va a estar sometida a cualquier escrutinio mediante una auditoría interna o externa y necesita estar completamente desconectada, no tocar una red en ningún momento y trasladarse manualmente. Y aunque esto parezca un proceso desalentador, buscar servicios PKI gestionados (piense en PKI como servicio) es una de las vías más asequibles, seguras y eficientes que pueden tomar tanto las empresas como los fabricantes de IoT .
¿Cuál es el impacto de la expiración de una CA raíz y qué significa para una empresa? ¿Un fabricante?
Los certificados simplemente tienen que caducar. Es un hecho, del mismo modo que caduca el carné de conducir o el pasaporte.
La verificación caduca al cabo de un tiempo y debe probarse de nuevo para mostrar una confianza y validez continuas de que aquello a lo que se intenta acceder es a lo que se debe acceder.
Y que esa confianza está integrada en el tejido de por qué funciona la PKI.
Cuando una CA raíz caduca, básicamente obliga a reemitir esa CA raíz o a volver a codificar esa CA raíz, y en cualquier caso, vas a tener que reemitir la confianza de ese nuevo material de clave criptográfica a los dispositivos que esencialmente se encadenan a ella.
Para ello, es necesario poder distribuir los nuevos certificados o los certificados con clave nueva a los dispositivos afectados.
Desde el punto de vista de la empresa, hay varias maneras de hacerlo, dependiendo de cómo sea tu empresa. Pero al fin y al cabo, si no lo haces de forma eficiente y eficaz, tendrás algún tipo de interrupción o impacto.
Si hablamos de IoT, elijamos cualquier cosa que esté conectada, como las bombas de insulina que fabrica un fabricante y que se distribuyen por todo el mundo. O vehículos, o cualquier cosa que se construye intencionalmente para ser conectado a Internet y luego se apaga y tipo de carreras y vive su vida.
Puede ser un coste de garantía importante para su empresa si tiene que ir y tocar físicamente cada una de estas cosas una a una con una forma segura de acceder a ese código y actualizar la clave privada en él. Con un enfoque estratégico, puede crear identidades, y luego actualizarlas y mantenerlas frescas durante toda su vida útil a escala.
