Internet se construyó sobre la idea de que software abierto y libre impulsa la innovación. Los proyectosOpen-source son un excelente ejemplo de los esfuerzos impulsados por la comunidad, y desempeñan un papel fundamental en el ecosistema digital. Los profesionales de la infoseguridad llevan varios años utilizando herramientas gratuitas como Nmap, OpenVAS y Snort para minimizar su superficie de ataque.
Los proyectos Open-source ofrecen grandes ventajas, como la reducción de la dependencia de los proveedores, el bajo coste de las licencias o su inexistencia, el aprovechamiento de las competencias de los desarrolladores y la aceleración de la transformación digital. Sin embargo, el open source abierto también conlleva algunos riesgos.
open-source autoridad de certificación autoridad de certificación es un buen ejemplo. Es flexible y gratuita, pero tiene sus limitaciones. A medida que aumenten sus necesidades, es posible que desee pasar a una versión para empresas. EJBCA le ofrece lo mejor de ambos mundos: es una autoridad de certificación de open-source que le proporciona la flexibilidad necesaria para escalar sin problemas a la versión empresarial y mantener la continuidad de la seguridad.
Ventajas de la autoridad de certificación open-source de EJBCA
La autoridad de certificación open-source EJBCA, conocida como Community, es una de las soluciones de infraestructura de clave pública (PKI) más populares. Tiene más de dos décadas de antigüedad y 127 colaboradores.
Una de las ventajas de autoridad de certificación deEJBCA es su flexibilidad. Es independiente de la plataforma y puede integrarse en la mayoría de los entornos con relativa facilidad. Como es open source, permite la bifurcación de proyectos, en la que alguien puede tomar una versión del código y derivarla para crear una versión nueva o personalizada de la aplicación. Además, puede ampliarse o reducirse en función de las necesidades.
EJBCA Community es una autoridad de certificación repleta de funciones que le permite proteger entornos industriales, dispositivos IoT , eID nacionales, flujos de trabajo DevOps, PKI internas y mucho más. Estas son algunas de sus capacidades:
- Implantación automatizada de EJBCA
- Certificados expedidos para aplicaciones en contenedores
- Criptografía de seguridad cuántica PKI
- Identidades digitales para productos IoT
- Certificados TLS y mTLS
- Ciberseguridad industrial y nacimiento de identidades
Los mitos sobre una autoridad de certificación open-source
Cuando se trata desoftware open-source , algunos mitos simplemente no desaparecen:
- Es más vulnerable a los hackers.
- Tendrás problemas con el apoyo.
- Elsoftware Open-source no es tan fácil de usar como software empresarial.
Mito 1: Los proyectos Open-source son más vulnerables a los hackers
Hay un argumento clásico sobre seguridad y oscuridad¿es más seguro software cuando nadie puede ver cómo funciona la máquina? El mito es que los malos tienen las mismas oportunidades de inspeccionar el código open-source y explotar sus vulnerabilidades.
Sin embargo, en muchos casos,software open-source tiene una gran integridad. Se le han hecho mejoras para que sea menos vulnerable a los ataques. Si varios usuarios se encargan de garantizar su calidad, los problemas pueden detectarse y rectificarse con rapidez.
Mientras que un hacker podría identificar y explotar una vulnerabilidad dentro de unsoftware open-source código abierto, es aún más probable que lo haga dentro de software de código cerrado. Al menos en los proyectos de open-source abierto, hay muchos buenos actores que también buscan fallos.
Mito 2: Tendrá problemas con la asistencia técnica
Otro mito importante es quesoftware open-source significa automáticamente que tendrás problemas con el soporte cuando lo necesites. Como se trata de un proyecto en el que la gente trabaja gratuitamente en su tiempo libre, la lógica dice que no se obtendrá el mismo nivel de asistencia que con software empresarial.
Sin embargo, algunos proyectos cuentan con enormes comunidades y una sólida documentación. En algunos casos, hay más material de referencia de origen colectivo para esas aplicaciones que para sus competidores comerciales. Así, cuando tengas una pregunta sobre tu software, la ayuda está a unos pocos clics de distancia.
Mito 3: Elsoftware Open-source no es tan fácil de usar como software empresarial
En un momento dado,software open-source no era particularmente fácil de usar. Esa reputación se mantuvo, pero los proyectos de open-source abierto han avanzado mucho. Ahora el estereotipo no es tan exacto.
Los proyectos open-source actuales tienen excelentes interfaces de usuario, sencillas y fáciles de usar. EJBCA se descarga 3.000 veces al mes, lo que da fe de su positiva experiencia de usuario.
Cómo elegir una autoridad de certificación
Estos son los factores que debe tener en cuenta a la hora de elegir entre open source o propietario para sus autoridades de certificación:
- Presupuesto
- Experiencia
- Apetito de riesgo
- Sus necesidades de configuración
- Escalabilidad
Presupuesto
Cuando se piensa en el coste de adquirir autoridades de certificación, es fácil centrarse en los costes iniciales. Si sólo piensa en los costes iniciales, entonces sí, una autoridad de certificación open-source abierto es más barata.
Sin embargo, tenga en cuenta todo el trabajo que tendrá que hacer para implantar esas autoridades de certificación en su organización. ¿Puede permitirse prescindir de personal durante un tiempo indeterminado para implantar estas tecnologías? Si están trabajando en sus autoridades de certificación, no podrán dedicarse a otras tareas más valiosas.
Experiencia
Otra cuestión que debe plantearse a la hora de optar por open source para las autoridades de certificación es si dispone de la experiencia interna necesaria. ¿Su personal sabe cómo implantar autoridades de certificación y mantenerlas? Si la respuesta es "no", tendrá que recurrir a ayuda externa.
Apetito de riesgo
Todo el mundo tiene una cierta tolerancia al riesgo. Pregúntese cuál es su tolerancia. ¿Se siente cómodo con que su autoridad de certificación esté en cierto modo fuera de su control porque es open source? Es posible que las actualizaciones no se realicen con regularidad, lo que podría provocar vulnerabilidades y cortes de servicio.
Necesidades de configuración
Una de las razones para optar por las autoridades de certificación de open-source es que sus necesidades de configuración son únicas. Las autoridades de certificación de Open-source suelen ser más personalizables. Las autoridades de certificación propietarias ofrecen cierto nivel de personalización, pero suelen ser más rígidas.
Escalabilidad
Aunque las autoridades de certificación open-source tienden a ser más flexibles para la integración, no escalan bien. Por otra parte, no están diseñadas para ello. Esa falta de escalabilidad está bien si no tiene planes de crecimiento.
Si tiene previsto crecer, las autoridades de certificación propietarias están diseñadas para ampliarse. Además, los proveedores le ayudan a medida que crece ofreciéndole actualizaciones, parches y asistencia al cliente cuando lo necesita.
EJBCA: lo mejor de dos mundos
EJBCA comenzó como un proyecto de autoridad de certificación open-source . Ahora es el software autoridad de certificación más utilizado y fiable del mercado. Si utiliza la versión open-source (conocida como EJBCA Community), puede cambiar a la versión para empresas sin problemas.
¿Por qué pasarse a Enterprise?
EJBCA Community es un buen punto de partida si lo que busca es una sólida base de infraestructura de clave pública. Sin embargo, sus necesidades pueden evolucionar con el tiempo, y puede que esté listo para las características avanzadas y la funcionalidad que EJBCA Enterprise puede proporcionar.
Cuando esté listo para hacer el cambio, EJBCA se lo pone lo más fácil posible. Las versiones Community y Enterprise son compatibles entre sí, por lo que no es necesario reconfigurarlas. Además, para acelerar la transición, recibirá amplia asistencia y documentación del proveedor. Además, puede probar EJBCA Enterprise en un entorno controlado para minimizar las interrupciones.
Pasar del open source al software empresarial
Las autoridades de certificaciónOpen-source son un buen punto de partida. Explore ComunidadEJBCA una base flexible para la infraestructura de clave pública. Si está listo para probar la versión empresarial con todas las funciones, consulte EJBCA Enterprise.
