El sistema PKI de M&T Bank, aunque seguro, tenía dificultades para seguir el ritmo de crecimiento del banco. A medida que aumentaba el número de dispositivos y certificados, se dificultaba su gestión y seguimiento, lo que provocaba una falta de visibilidad y control.
HISTORIA DE UN CLIENTE
M&T Bank consigue una agilidad segura con la automatización del ciclo de vida de los certificados
Entrevista con Joshua Nash, Director de Tecnología y Vicepresidente Senior de Ingeniería de Seguridad de M&T Bank
LOS DESAFÍOS
Aumentar la seguridad con agilidad
Presentación de la empresa
M&T Bank es un banco estadounidense incluido en la lista Fortune 500 con sede en Buffalo, Nueva York, y más de 155.000 millones en activos. Fundado en 1856, M&T Bank ha sido una empresa impulsada por la comunidad desde sus raíces, originalmente sirviendo a fabricantes y comercios y ahora operando más de 780 sucursales en todo el este de Estados Unidos. En 2021, el banco presentó M&T Tech Hub, una nueva iniciativa para impulsar la colaboración y la innovación con las personas y empresas a las que prestan servicios.
Desafíos
Adoptar la agilidad y la transformación sin perturbaciones
"Nuestro objetivo es ser más ágiles en nuestro enfoque de la seguridad. Queremos fomentar una nueva forma de pensar: ser más eficientes, impulsar la automatización siempre que sea posible y educar a nuestro personal en buenos principios de seguridad", afirma Joshua Nash, Director de Tecnología para Ingeniería de Seguridad de M&T Bank.
La infraestructura de clave pública (PKI) sienta las bases de la confianza y la autenticación, y la importancia de la agilidad no es una excepción. M&T Bank confía en la PKI y los certificados digitales para conectar de forma segura dispositivos y aplicaciones en toda su huella digital. Pero a lo largo de los años, tanto la tecnología como la criptografía han evolucionado significativamente, creando nuevos retos.
M&T se asoció inicialmente con Keyfactor en 2010 -entonces un servicio de consultoría PKI conocido como Certified Security Solutions (CSS)- para ayudar con la trascendental tarea de migrar de SHA-1 a SHA-2 y reconstruir toda su PKI desde cero.
"Decidimos madurar en M&T sobre cómo gestionábamos la PKI", dice Nash. "Keyfactor nos ayudó a reconstruir nuestra PKI de la forma correcta, incluyendo una jerarquía de CA adecuada con separación de funciones. También redujimos tres raíces de confianza a una sola raíz y la conectamos a nuestras CA emisoras, lo que resultó mucho más fácil de gestionar y mantener."
Sin embargo, a medida que el número de dispositivos y cargas de trabajo aumentaba rápidamente, también lo hacía el número de certificados necesarios en su entorno. El creciente volumen y la velocidad a la que se emitían los certificados dificultaban su seguimiento. Según Nash, "sentar las bases de nuestra PKI fue un paso en la dirección correcta, pero a medida que crecíamos, se hizo mucho más difícil mantener la visibilidad y el control sobre los certificados emitidos desde nuestra PKI y otras CA. Realmente no teníamos un buen control de los certificados que teníamos ahí fuera".
Solución
Una plataforma para la visibilidad y automatización de certificados
El equipo de M&T sabía que necesitaba una solución de gestión de certificados, y Keyfactor llamó su atención por lo fácil que les resultó reconstruir su PKI. Cuando el equipo se puso en contacto con Keyfactor, encontraron la solución perfecta.
Hemos pasado de 2.000 certificados a más de 350.000. Es mucho trabajo, pero nos ayuda a tenerlo todo a la vista. Es mucho que controlar, pero Keyfactor nos ayuda a tenerlo todo a la vista y nos ha permitido escalar masivamente.
Joshua Nash, Director de Tecnología y Vicepresidente Senior de Ingeniería de Seguridad, M&T Bank
El descubrimiento de certificados y el inventario eran la prioridad número uno. "No podemos gestionar lo que no podemos ver", afirma Nash. La segunda era la visibilidad continua de los certificados en sus múltiples plataformas y soluciones CA, no sólo los certificados autoinscritos de su PKI interna. Por último, el equipo necesitaba una solución escalable. "Tenía que adaptarse a nuestras necesidades, y tenemos muchos certificados... muchísimos", afirma Nash.
En 2014, M&T desplegó Keyfactor Command para obtener una mejor visibilidad de su inventario de certificados y establecer alertas básicas para recordar a los usuarios que debían renovar los certificados en un plazo determinado antes de su caducidad. A medida que el producto evolucionaba, M&T siguió desplegando nuevas funciones, que ahora incluyen la detección de redes, la inscripción de autoservicio, API y flujos de trabajo automatizados para la renovación y el aprovisionamiento de certificados.
"Somos clientes de Keyfactor desde hace más de 10 años", afirma. "A medida que Keyfactor evolucionó desde sus raíces en la consultoría de PKI a una plataforma completa para PKI y gestión de certificados, nosotros también hemos evolucionado. Desde la reconstrucción de nuestra PKI hasta la obtención de una visibilidad y automatización completas para todos nuestros certificados, Keyfactor es un componente fundamental en nuestra infraestructura de seguridad."
Impacto empresarial
Eliminación de los puntos ciegos de los certificados
Inicialmente, Keyfactor se integró directamente con las CA de Microsoft de M&T Banks para proporcionar visibilidad y supervisión en tiempo real de todos los certificados emitidos desde su PKI interna. Este descubrimiento inicial les proporcionó una forma mucho más eficaz de inventariar y auditar su entorno de certificados.
"Antes de Keyfactor, teníamos que exportar manualmente una hoja de cálculo Excel desde nuestra CA y, a continuación, buscar en un inventario masivo de certificados autoinscritos para encontrar cualquier anomalía", afirma Nash. Ahora podemos ver todos nuestros certificados en un solo lugar y buscar e identificar fácilmente un solo certificado entre cientos de miles en cuestión de segundos".
Tras integrarse con Microsoft CA, el equipo de Keyfactor ayudó a M&T a descubrir certificados desconocidos en su red. Gracias a las funciones de exploración de la red integradas en Keyfactor Orchestrator, el equipo obtuvo rápidamente una visión en profundidad de todos sus certificados, incluidos detalles como la propiedad, la caducidad y todas las ubicaciones en las que estaban instalados.
Nash explica: "De buenas a primeras, pudimos identificar y eliminar el 50% de los certificados autofirmados de nuestro entorno. Ahora no estamos persiguiendo fantasmas y hemos sido capaces de educar proactivamente a los usuarios sobre por qué deben optar por certificados emitidos por CA frente a certificados autofirmados. Ha reducido significativamente nuestra tasa de errores".
Procesos simplificados para ciberseguridad y desarrolladores
Al igual que muchas empresas, en M&T Bank, el equipo responsable de gestionar los certificados de confianza pública SSL/TLS es diferente del equipo interno de PKI. Keyfactor salvó las distancias al integrarse con Entrust CA para ofrecer al equipo de ciberseguridad la misma experiencia fluida para la inscripción de certificados y la gestión del ciclo de vida.
Ahora, el equipo de ciberseguridad puede etiquetar los certificados con metadatos exclusivos, organizarlos eficazmente y notificar a los propietarios de las aplicaciones antes de que caduquen sus certificados. Según Nash, "la función de metadatos de Keyfactor Command es increíblemente potente. Ahora podemos etiquetar los certificados con datos relevantes, como los correos electrónicos de los propietarios y aprobadores de los certificados, para poder hacer un seguimiento mucho más preciso."
Al mismo tiempo, Nash trabajó con los equipos de desarrolladores y operaciones de M&T para reducir los procesos manuales relacionados con la solicitud y el aprovisionamiento de certificados. "Nuestros desarrolladores pueden aprovechar la interfaz API Swagger de Keyfactor para aprovisionar certificados mucho más rápido y sin fricciones. Están utilizando más certificados que nunca porque el proceso es ahora mucho más rápido y eficiente."
En lugar de perseguir a los desarrolladores y administradores de sistemas que utilizan certificados comodín, que no se ajustan a la política interna, pueden ofrecer una alternativa fácil para certificados de corta duración que aún se ajustan a sus guardarraíles de políticas.
Escalado a más de 350.000 certificados sin perder el ritmo
En la actualidad, M&T Bank tiene más de 350.000 certificados activos en toda la empresa, lo que incluye la autoinscripción, así como certificados para dispositivos móviles, servidores web e infraestructuras de red y en la nube. Para lograr una gestión de certificados a esta escala, Nash afirma que el rendimiento y la escalabilidad de la plataforma Keyfactor Command han sido fundamentales.
"No queríamos reducir costes, pero nuestro objetivo era crecer. Y eso es exactamente lo que Keyfactor nos ha permitido hacer", explica Nash. "Nos permite escalar y ser más eficientes a la hora de utilizar más certificados para proteger mejor los dispositivos y las cargas de trabajo. Realmente no hay límite a lo que podemos lograr con la plataforma".
Dar el
siguiente paso
Descubra cómo podemos ayudarle a establecer
digital con una solución PKI fiable y altamente escalable.