Comment justifier l'automatisation du cycle de vie des certificats ?

Lundi matin, vous prenez un café pour commencer la journée. Avouons-le, vous en aurez besoin.

Si vous faites partie de l'équipe PKI (or une équipe solitaire), vous devez suivre les demandes de certificats, rechercher les propriétaires d'applications et renouveler les certificats avant leur expiration. renouveler les certificats avant qu'ils n'expirent n'est qu'un jour comme un autre.

Il existe plusieurs façons d'aborder le problème. La plupart optent pour un suivi basé sur une feuille de calcul. L'équipe PKI gère et met à jour la feuille de calcul et vérifie régulièrement les renouvellements. Certains utilisent des outils fournis par leur autorité de certification. Des scripts maison peuvent même permettre un certain niveau d'automatisation.

Passer du manuel à l'automatisé

Si vous lisez ce blog, c'est que vous avez sans doute probablement que cet ensemble d'outils ne vous permet pas d'aller très loin.

Ce n'est pas seulement une perte de temps, c'est aussi une source de frustration. Les équipes chargées des applications oublient leurs certificats, ignorent les notifications et ne les installent pas toujours correctement. Elles peuvent même créer leur propre autorité de certification et commencer à émettre des certificats à votre insu (cela arrive BEAUCOUP). Entre-temps, c'est vous qui êtes responsable lorsqu'un certificat expiré ou corrompu entraîne l'arrêt d'une application.

Le mot de la fin : yodevez contrôler la gestion des certificats.

C'est là que l'automatisation du cycle de vie des certificats d'automatisation du cycle de vie des certificats du cycle de vie des certificats. Ils sont conçus pour vous libérer des processus manuels en vous permettant de découvrir tous les certificats connus (et inconnus), d'être alerté en cas d'expiration, de centraliser les rapports et d'automatiser le traitement du cycle de vie.

Toutefois, l'argumentaire en faveur de l l'automatisation des certificats des certificats en remontant la chaîne de command n'est jamais facile. Il y a au moins une douzaine d'autres projets informatiques en cours, alors comment construire un dossier qui tienne la route ?

Voici cinq étapes (bien que simplifiées) pour créer un argumentaire convaincant en faveur de l'amélioration de la maturité de votre gestion des certificats. gestion des certificats de la gestion manuelle à la gestion automatisée.

1. L'équipe d'intervention
   
   Si vous êtes responsable de la gestion de PKI dans l'organisationvous généralement vous ne contrôlez ni ne gérez les certificats émis à partir de ce site - votre système et du réseau réseau. Mais les équipeses équipes qui vous causent le plus de soucis peuvent être votre plus grand atout. ici. Déterminez comment ils obtiennent des certificats (auprès d'une autorité de certification agréée ou ailleurs) et combien de temps cela leur leur de provisionner, d'installer et de renouveler ces certificats sur leurs appareils et applications.
2. Dressez un plan et identifiez vos lacunes
   
   Reprenez ce que vous avez appris et tracez-en les contours. Rien n'est plus efficace qu'une séance de tableau blanc avec votre équipe d'experts. Prenez le temps de schématiser l'infrastructure de votre autorité de certification, ses applications et ses processus de demande, d'émission et de renouvellement de certificats. Une fois le processus sorti de votre tête et reporté sur un tableau blanc, vous serez en mesure d'identifier rapidement les lacunes et les inefficacités.
3. Définir les exigences du projet
   
   Maintenant que vous avez identifié le problème, il est temps de définir vos critères de réussite, les capacités essentielles d'une solution idéale et la manière dont cela peut être réalisé en utilisant les ressources internes existantes plutôt qu'un nouveau produit. Ne limitez pas vos exigences à un seul cas d'utilisation (nous voyons cela bien trop souvent avec les équipes PKI ). Réfléchissez à tous vos besoins en matière de certificats, aujourd'hui et à l'avenir.
4. Sachez à quoi vous êtes confronté
   
   Selon les analystes de Gartner, "les responsables de la sécurité et de la gestion des risques ignorent souvent l'étendue ou l'état de leurs déploiements de certificats X.509".. "* Ces inconnues vous empêchent de faire votre travail. Même si vous n'avez pas connu de panne de SEV1, vous devez communiquer clairement les risques et les coûts opérationnels liés à l'utilisation de certificats X.509 dans votre entreprise. opérationnels des pannes ou certificat vulnérabilités dans votre réseau.
5. Clouer le retour sur investissement
   
   Le budget ne doit pas être un obstacle. Définissez le coût d'achat d'une solution par rapport à retarder le projet. Si vous investissez aujourd'hui dans l'automatisation du cycle de vie des certificats, combien cela vous permettra-t-il d'économiser au cours des cinq prochaines années ? Quelle est la perte de productivité si l'on reporte le projet à l'année prochaine ? Si vous essayez de vous affranchir des heures de travail manuel consacrées à la gestion des certificats, vous pouvez vous poser la question suivante : "Pourquoi les certificats ne sont-ils pas automatisés ?à la gestion des certificats, c'est la clé de votre réussite.c'est la clé de votre réussite.

Selon Gartner, les organisations qui déploient outils de gestion des certificats de certificats réduiront de 90 % les problèmes liés aux certificats et passeront deux fois moins de temps à les gérer. problèmes.* Cela dit, il n'est pas facile de traduire le risque en dollars et en cents.a traduction du risque en dollars et en cents n'est pas facile.

Voici quelques exemples concrets d'indicateurs que nos clients ont utilisés pour mesurer le retour sur investissement et justifier l'utilisation de l'automatisation du cycle de vie des certificats.

Interruptions/temps d'arrêt

• Inaction : Estimez le manque à gagner lié à l'indisponibilité du site web ou de l'application par heure et la perte de ressources informatiques pour remédier au problème (par exemple, nombre d'administrateurs IT/PKI x salaire/heure x 4 à 8 heures).

• Action : Certificat cycle de vie du cycle de vie des certificats vous permettent d'éviter les pannes grâce à la découverte des certificats, à la surveillance continue et aux alertes d'expiration afin de renouveler les certificats avant qu'ils n'expirent.

Demandes de certificat

• Inaction : Estimez le nombre d'heures par semaine que vous ou votre équipe consacrez à l'exécution des demandes de certificats et au suivi de l'inventaire (par exemple, nombre de personnes x salaire/heure x 2 à 3 heures par semaine).
• Action : Portails en libre-service en libre-service Les portails en libre-service et les API peuvent réduire considérablement les délais entre les demandes de certificats et leur délivrance.rtificats et l'émission. Il n'est pas non plus inutile de suivre tous les certificats à partir d'un tableau de bord unique.

Approvisionnement en certificats

• Inaction : Estimez le nombre d'heures par semaine que les administrateurs de réseaux/systèmes préféreraient ne pas passer à installer/vérifier des certificats sur des appareils (par exemple, 10-15 min/certificat x nombre d'appareils F5).
• Action : Automatisation des flux de travail La délivrance, le renouvellement, l'approvisionnement et la liaison des certificats aux bons endroits peuvent réduire ou éliminer complètement les étapes manuelles. étapes dans le processus.

Vous ne savez pas par où commencer ? Utilisez ce modèle de maturité de la gestion des certificats pour déterminer où vous en êtes aujourd'hui et les mesures pratiques que vous pouvez prendre pour atteindre votre objectif. pour atteindre votre objectif.

*Technology Insights for X.509 Certificate Management, October 2019, David Mahdi, David Collinson (Gartner)