Automatisation des certificats AWS et Azure Key Vault avec Keyfactor

Traditionnellement, les environnements informatiques étaient caractérisés par une grande confiance : Les organisations disposaient d'un faible nombre de certificats et de clés, tous contenus, ce qui les rendait faciles à gérer de manière statique et réactive.

Aujourd'hui, les choses ont bien changé. La plupart des organisations opèrent désormais dans un monde multicloud avec des flux de travail dynamiques qui créent une quantité importante de clés et de certificats à gérer. Cette situation a conduit à l'émergence d'environnements de confiance zéro qui nécessitent une gestion proactive et agile des certificats.

Microsoft Azure et Amazon Web Services (AWS) sont deux des principaux services en nuage utilisés par les entreprises aujourd'hui et qui ont façonné les organisations informatiques modernes. S'ils offrent de nombreux avantages, ils rendent également plus difficile le maintien de la visibilité et du contrôle d'un grand nombre de certificats hautement dynamiques. Quelles options cette situation laisse-t-elle aux entreprises ?

Ryan Yackel, vice-président du marketing produit, et Brian Taricska, ingénieur en chef des solutions, ont récemment discuté des défis créés par cet environnement dynamique et multicloud et de la façon dont l'intégration avec Azure Key Vault et AWS Certificate Manager peut contribuer à créer de la valeur. Keyfactor Command avec Azure Key Vault et AWS Certificate Manager peut contribuer à créer de la valeur.

L'environnement hautement dynamique et sans confiance d'aujourd'hui a créé plusieurs défis en matière de gestion des certificats. Les organisations constatent qu'elles manquent de visibilité et de contrôle sur leurs certificats et leurs magasins de clés au plus haut niveau, ce qui complique les activités essentielles telles que les rapports et les alertes d'expiration. En outre, de nombreuses organisations ont du mal à introduire des processus cohérents entre les fournisseurs multi-cloud, ce qui les oblige à s'appuyer sur des processus manuels et sujets aux erreurs.

Comment en sommes-nous arrivés là ? En général, quatre éléments critiques de l'environnement actuel ont créé ces défis :

• Plus de certificats : Le volume de clés et de certificats continue de croître chaque jour.
• Moins de contrôle : Les équipes émettent désormais des certificats sans aucun contrôle de la part d'InfoSec
• Des cycles de vie plus courts : Les certificats à courte durée de vie augmentent le risque de pannes et doublent la charge de travail informatique.
• Pas de norme DevOps : Pas de moyen facile de créer des processus de certification DevOps cohérents entre plusieurs fournisseurs de cloud.

En dépit de ces défis, la valeur ajoutée de l'informatique dématérialisée reste énorme, notamment en termes d'évolutivité, de fiabilité et de temps de fonctionnement. En outre, la réalité est que l'informatique dématérialisée n'est pas prête de disparaître. Au contraire, les organisations continueront à l'utiliser de plus en plus. En fait, Cisco a constaté que les centres de données en nuage traiteront 94 % des charges de travail en 2021.

Par conséquent, il est important d'anticiper ces défis en introduisant une plateforme centrale pour gérer ces problèmes et contrôler toutes les clés et tous les certificats émis par des fournisseurs de cloud comme AWS et Azure. S'il est effectué correctement, ce contrôle peut fournir le niveau de visibilité nécessaire sur les clés et les certificats, quelle que soit l'autorité de certification émettrice, et offrir un rapport consolidé sur les clés dans les instances multi-cloud, le tout à partir d'une console centralisée. Enfin, il peut également contribuer à introduire une automatisation cohérente entre les fournisseurs multi-cloud à l'aide d'un ensemble d'API standard.

Par exemple, une solution centralisée d'automatisation du cycle de vie des certificats, telle que Keyfactor Command , peut contrôler et automatiser l'émission de clés et de certificats pour faciliter la tâche :

• Améliorer la conformité et le contrôle : Garantir que les certificats sont conformes aux normes de l'organisation et qu'ils sont toujours émis par une autorité de certification de confiance.

• Améliorez la visibilité : Découvrir les certificats à travers les différentes AC, les réseaux, les applications et les appareils

• Améliorer les rapports : Consolidez les rapports sur les clés dans plusieurs instances ou fournisseurs de cloud en regroupant les certificats à des fins de surveillance et en définissant des alertes en cas d'expiration.
• Automatiser les flux de travail : Automatiser le déploiement des certificats vers les charges de travail et les applications, et automatiser les rapports d'incidents, les renouvellements de certificats et les installations.

Avant de plonger dans les détails du fonctionnement de Keyfactor Command , il est important de comprendre comment Keyfactor s'intègre aux systèmes en nuage comme AWS et Azure pour les demandes de certificats et les inventaires de clés afin de fournir une centralisation pour plusieurs intégrations d'API et flux de travail différents.

Keyfactor offre une interface unique, via l'interface graphique ou les API, pour l'enregistrement d'un certificat à partir d'un certain nombre de sources. En pratique, cela signifie qu'à partir d'une seule demande, les utilisateurs peuvent spécifier n'importe quelle autorité de certification cible, qu'il s'agisse d'une autorité de certification publique, d'une autorité de certification privée ou d'une autorité de certification secrète éphémère (comme HashiCorp Vault) qui s'inscrit dans les cas d'utilisation DevOps.

Vous pouvez simplement utiliser Keyfactor pour déployer un certificat à un ou plusieurs endroits en un seul appel API ou en cliquant sur un bouton, et vous pouvez même ajouter des LCN à cette demande. Par conséquent, vous pouvez distribuer efficacement le même certificat sur plusieurs points de terminaison utilisant différentes DNS ou IP et appliquer diverses politiques (par exemple, RFC 2818) en cours de route. Keyfactor offre également plusieurs intégrations avec des plateformes populaires, y compris des maillages de services et des déploiements de type Kubernetes, que vous pouvez utiliser au sein de l'infrastructure basée sur AWS et Azure.

Il est important de noter que Keyfactor prend également en compte le dilemme DevOps courant de la vitesse contre la sécurité, dans lequel les développeurs ont besoin de certificats rapidement et les équipes InfoSec doivent s'assurer que ces certificats sont conformes. Plus précisément, Keyfactor permet aux développeurs d'accéder rapidement aux certificats, notamment en les achetant et en les approvisionnant auprès d'autorités de certification conformes, tout en offrant à l'équipe InfoSec le niveau de visibilité dont elle a besoin en termes d'émission de certificats et d'alertes de surveillance continue.

Nous allons concrétiser tout cela en examinant la façon dont tout cela se combine pour alimenter les flux de travail d'automatisation des certificats dans Keyfactor.

En vous connectant à Keyfactor , vous accédez directement à un tableau de bord qui offre une surveillance de haut niveau de votre environnementPKI . Parmi les éléments les plus importants que vous voyez dans cette vue figurent les détails de l'autorité de certification émettrice (dont vous aurez besoin pour toute demande de certificat) et les tâches du magasin de certificats qui représentent l'inventaire des instances AWS et Azure Key Vault.

Une fois que vous vous êtes connecté, vous avez besoin de l'Orchestrator pour intégrer vos instances AWS et Azure Key Vault. Vous pouvez déployer ces instances localement, à distance ou même en tant que modèle distribué. Pour tout configurer, il suffit de partager des informations sur votre installation et les magasins de certificats que vous activez (dans le cas de cette démo, il s'agit d'AWS et d'Azure Key Vault). Après avoir tout enregistré par le biais de ces étapes, vous pouvez retourner sur Keyfactor pour approuver l'intégration.

Ensuite, vous pouvez configurer les magasins de certificats pour les relier à vos instances AWS et Azure Key Vault. Keyfactor propose différents moyens d'authentifier les instances et leurs inventaires, par exemple via des forêts distantes et des machines clientes.

Une fois que vous êtes connecté aux magasins de certificats, vous pouvez non seulement fournir et déprovisionner des certificats, mais aussi consulter l'inventaire de tout ce qui a été émis, que ces certificats proviennent de l'intérieur ou de l'extérieur de Keyfactor. Par exemple, Keyfactor récupérera tout, y compris les certificats auto-signés ou ceux qui proviennent d'autorités de certification avec lesquelles Keyfactor n'est pas intégré, afin que vous ayez une visibilité sur tout ce qui existe dans votre environnement.

Avec cette configuration, vous pouvez facilement valider les certificats dans Keyfactor et obtenir une visibilité sur des détails tels que :

• Propriétés du certificat X.509
• Sujet du certificat
• Période de validité
• Utilisation du certificat
• Nom du demandeur
• Emplacement du certificat
• Historique complet de l'audit

En outre, vous pouvez également cliquer avec le bouton droit de la souris pour renouveler n'importe quel certificat.

Après avoir mis en place le magasin de certificats, il est temps de commencer à enregistrer les certificats. Ce processus est aussi simple que de remplir le nom commun du certificat pour les certificats PFX. Keyfactor remplira automatiquement le reste des champs, y compris le DNS, qui est appliqué au niveau de l'autorité de certification par le biais des paramètres de conformité de Keyfactor. À partir de là, vous pouvez spécifier en quelques clics ce que vous voulez comme cible (par exemple, AWS ou Azure Key Vault). Et c'est tout - la configuration, l'installation et le provisionnement ne prennent que quelques minutes, voire quelques secondes, avec Keyfactor.

Tout cela vous offre une grande visibilité. Vous pouvez facilement voir les tâches planifiées pour les nouvelles demandes de certificat ainsi que l'historique complet des tâches.

Chaque certificat affiche également un état (que vous pouvez également vérifier en allant dans AWS ou Azure Key Vault pour vous assurer que vous voyez tous les certificats terminés), l'endroit où il a été déployé, le nom du demandeur et toute information supplémentaire, telle que les métadonnées pour marquer le certificat (un champ qui est propriétaire de Keyfactor).

Enfin, compte tenu de toutes ces nuances, des nouvelles réglementations et d'un manque général de normalisation, il n'est pas facile d'assurer la sécurité du site IoT . C'est particulièrement vrai. La sécurité du site IoT est très différente de la sécurité traditionnelle de l'entreprise et constitue un nouveau domaine, même pour l'expertise approfondie de la construction de ces appareils.

La meilleure façon d'avancer est de procéder étape par étape, en commençant par examiner de près le type d'architecture de sécurité qui conviendra le mieux à vos appareils, à votre entreprise et aux besoins uniques de vos clients. À partir de là, vous pouvez commencer à évaluer les différentes technologies disponibles pour des éléments clés tels que l'authentification, le cryptage, la signature de code, etc. En cours de route, une bonne pratique à garder à l'esprit est d'utiliser des solutions déjà conçues qui peuvent contribuer aux étapes fondamentales du cycle de vie des appareils IoT dans la mesure du possible, car cela vous permet de tirer parti d'une mine de connaissances et d'expériences plutôt que de construire quelque chose par vous-même.

Enfin, vous pouvez créer des collections, qui regroupent des certificats ayant des points communs entre eux. Les collections sont la clé de voûte de la plateforme, car vous pouvez les définir de manière extrêmement souple et les activer de différentes manières.

Par exemple, vous pouvez autoriser différents groupes à effectuer des opérations sur les certificats d'une collection spécifique et programmer des rapports sur un sous-ensemble de certificats dans une collection. Vous pouvez également consulter en un coup d'œil les détails de tous les certificats d'une collection, y compris les métadonnées des certificats, les dates d'expiration et les mesures de l'état de santé.

L'un des éléments les plus importants de ces collections est qu'elles créent des rapports dynamiques. Combiné à l'automatisation de Keyfactor, cela donne à votre équipe une visibilité et un contrôle sans précédent. Par exemple, vous pouvez introduire une logique qui demande à Keyfactor d'alerter les destinataires désignés 10 jours avant l'expiration d'un certificat dans une certaine collection.

Cela permet non seulement d'automatiser les alertes à l'expiration des certificats afin que votre équipe puisse être proactive dans leur renouvellement, mais aussi d'assurer le contrôle et la flexibilité pour vous permettre d'alerter les bons membres de l'équipe.

Pour en savoir plus sur la façon dont Keyfactor Command résout les problèmes courants d'automatisation et de gestion des certificats dans un monde multicloud et voir une démonstration en direct, regardez l'intégralité du webinaire ici.