Les identités des machines explosent à mesure que les entreprises se tournent vers le cloud, adoptent la conteneurisation et utilisent de plus en plus d'appareils mobiles et IoT . Les certificats mal gérés entraînent des douloureuses, les certificats mal gérés et des perturbations douloureuses, le défi de la gestion des certificats numériques devient critique pour de nombreuses organisations et dirigeants.
KeyfactorLe rapport 2023 State of Machine Identity Management (État de la gestion de l'identité des machines) montre que les dirigeants soutiennent la gestion des certificats s'améliore, mais de plus en plus d'organisations affirment qu'elles ne disposent pas du personnel adéquat pour déployer et maintenir leur infrastructure de clés publiques.
Même dans le domaine de la sécurité, la gestion de la cryptographie et de l'infrastructure des clés publiques sont des spécialités de niche. L'absence d'outils appropriés rend la gestion du cycle de vie des certificats (CLM) plus difficile pour les équipes de sécurité et d'informatique en général, ce qui nuit considérablement à leurs responsabilités et à leurs tâches principales. de sécurité et d'informatique, ce qui les détourne considérablement de leurs responsabilités et de leurs tâches principales.
KeyfactorLe nouveau guide de l'acheteur pour l'automatisation du cycle de vie des certificats de l Guide de l'acheteur pour l'automatisation du cycle de vie des certificats aide les organisations à naviguer sur le marché des solutions CLM afin d'identifier les solutions qui permettent de maintenir l'utilisation des certificats sur la bonne voie.
Le poids de la gestion manuelle des certificats
Le travail de bureau quotidien de presque toutes les unités d'une entreprise repose sur une mosaïque d'outils et d'outils informatiques. informatique parallèle assemblés par les utilisateurs pour soutenir leurs flux de travail. Ce n'est pas de leur faute. Ils essaient d'être aussi productifs que possible. Ils sont trop occupés à rester au-dessus de la vague de travail pour prendre du recul et identifier une meilleure façon de faire.
Les équipes qui gèrent les certificats ne sont souvent pas différentes. Elles utilisent probablement une combinaison de ces solutions :
Feuilles de calcul
Bien qu'il s'agisse d'un outil numérique, les feuilles de calcul restent très manuelles et encombrantes lorsqu'elles sont utilisées pour suivre des milliers et des milliers de certificats. De plus, les feuilles de calcul ne suivent que les certificats connus de votre équipe - elles ne tiennent pas compte des certificats inconnus qui se cachent dans les confins du paysage des systèmes. Et bien qu'elles soient largement utilisées, les feuilles de calcul ne disposent d'aucun processus de notification intelligent ni d'aucun concept d'automatisation à l'adresse PKI .
Outils du fournisseur de l'autorité de certification
Une autorité de certification (AC) est une entité qui génère, signe et émet des certificats numériques. Souvent, le fournisseur d'une autorité de certification propose un outil de gestion des certificats de cette autorité. Toutefois, la plupart des organisations utilisent plusieurs autorités de certification. Les personnes ayant répondu à l'enquête sur l'état de l'identité de la machine en 2023 KeyfactorRapport 2023 sur l'état de l'identité des machines utilisaient en moyenne neuf AC - la gestion de neuf outils différents est à peine supérieure à l'utilisation de feuilles de calcul.
Open-source outils
Bien que les outils d'AC open-source peuvent être flexibles et peu coûteux, ils couvrent rarement l'ensemble des cas d'utilisation au sein d'une organisation. Ils n'offrent toujours pas de visibilité et de contrôle centralisés sur l'ensemble des autorités de certification et des certificats utilisés par l'entreprise.
Une meilleure gestion des cycles de vie des certificats
Il existe de meilleures solutions, et ceux qui les recherchent doivent comprendre deux vérités essentielles sur la gestion du cycle de vie des certificats afin d'identifier le bon choix pour leur organisation.
- Chaque certificat est important : Selon le rapport 2023 State of Machine Identity Management, l'organisation moyenne possède plus d'un quart de million de certificats. Chacun d'entre eux peut provoquer une panne en expirant inopinément.
- Votre solution doit être parfaitement adaptée: Un outil qui ne fait que 90 % de ce qui est nécessaire est mauvais à 100 %. Si une solution ne peut pas vous donner une visibilité totale, jeter les bases de l'automatisation des cycles de vie des certificats et se déployer d'une manière adaptée à votre environnement, elle créera plus de problèmes qu'elle n'en résoudra.
Chaque organisation a des besoins qui lui sont propres. Cependant, en recherchant une solution de gestion du cycle de vie des certificatsil y a quelques pièges universels à éviter.
1. Ne vous enfermez pas.
L'utilisation de plusieurs autorités de certification n'est pas un bogue, c'est une caractéristique. L'utilisation de plusieurs fournisseurs d'AC offre une redondance en cas de défaillance ou de compromission d'une AC. Les AC multiples offrent une plus grande flexibilité dans la création de processus de révocation et davantage d'options de service qui permettent de répondre aux besoins de sécurité particuliers d'une organisation.
Cela dit, les organisations doivent trouver une plateforme CLM capable d'émettre et de gérer des certificats provenant de tous les AC utilisées par l'organisation - et celles que l'organisation pourrait utiliser à l'avenir.
Dans le cas contraire, il faudra adopter plusieurs outils, ce qui ne permet pas de centraliser les données et crée des redondances, des travaux de maintenance et des coûts inutiles.
2. Ne pas confondre protocole et plateforme.
Plusieurs protocoles accélèrent l'émission et le renouvellement du cycle de vie des certificats, mais ils sont loin de constituer une solution complète. LES PROTOCOLES ACMEEST, SCEP et d'autres protocoles sont essentiellement des cadres de processus qui permettent la communication avec les autorités de certification. On peut les considérer comme des langages différents dans lesquels les différentes autorités de certification sont conçues pour s'exprimer.
Si ces protocoles facilitent l'automatisation de base, ils n'offrent pas de visibilité à l'échelle de l'organisation. Ils n'offrent pas non plus la fonctionnalité nécessaire pour révoquer les certificats en masse ou pour automatiser les configurations des points de terminaison qui lient les certificats et les racines de la gestion de la confiance.
3. Se méfier des "logiciels intermédiaires".
Évitez les architectures intermédiaires qui se situent entre les autorités de certification et les appareils finaux. Ces fournisseurs ne gèrent que les certificats émis par leur plateforme et ne gèrent pas les certificats qui existent déjà dans votre environnement. Cela nécessiterait le redéploiement de tous les certificats via leur outil et la réorganisation des flux de travail pour passer par leur solution.
Cette méthode est risquée et laborieuse. N'oubliez pas qu'il est bon d'utiliser plusieurs autorités de certification, mais cette méthode oblige les organisations à n'en utiliser qu'une seule si elles veulent obtenir une visibilité entièrement centralisée.
Il faut plutôt rechercher des solutions modulaires, faiblement couplées, qui agissent comme des orchestrateurs de certificats plutôt que comme des pipelines de transactions ou des goulots d'étranglement.
4. Acheter en fonction de l'environnement dans lequel vous vous trouvez.
La manière dont une solution peut (ou ne peut pas) être déployée est tout aussi importante que ce qu'elle peut faire. Qu'une organisation fonctionne sur site ou dans le nuage, ou dans le cadre d'une architecture multi-cloud ou hybride, la solution doit être suffisamment souple pour pouvoir être déployée sans changement.
Bien que de nombreuses organisations aient adopté le nuage à un degré ou à un autre, les infrastructures patrimoniales PKI sont probablement encore hébergées sur site. La plupart des organisations ont besoin de pouvoir exécuter une partie, voire la totalité, de leurs infrastructures CLM dans le nuage tout en continuant à gérer les actifs sur site.
Il est utile d'évaluer votre infrastructure et vos besoins de croissance lors de l'évaluation d'un modèle de déploiement. La solution idéale s'adaptera à la croissance de votre organisation et à ses besoins cryptographiques au fil du temps.
Résoudre le problème CLM - ne pas se contenter de l'échanger contre un autre
Gardez à l'esprit que la visibilité reste le plus grand défi pour les organisations qui développent la maturité de CLM . Cela signifie que lorsqu'elles recherchent des solutions, elles ne connaissent pas toute l'étendue de leur paysage de certificats. Les responsables de la sécurité veulent éviter d'acheter un outil, puis de découvrir qu'ils ont besoin d'autre chose, ou que leur nouvelle solution ne couvre que 90 % de leurs besoins (ou exige un bouleversement radical des processus et des flux de travail actuels).
Pour savoir quels sont les autres éléments à prendre en compte par les entreprises - et les principales caractéristiques qu'elles doivent rechercher - consultez notre nouveau Guide d'achat de l'automatisation du cycle de vie des certificats.
Il existe quelques signaux d'alarme que toute solution devrait offrir.
- Il devrait découvrir, enregistrer et surveiller de manière proactive chaque certificat dans l'ensemble de l'organisation, éliminant ainsi totalement le risque de certificats non détectés.
- Il doit centraliser la gestion de tous les certificats. Cela signifie qu'il doit être en mesure de contrôler tous les certificats à partir d'un centre unique.
- Il devrait automatiser les cycles de vie des clés et des certificats, en supprimant la charge de maintenance manuelle des feuilles de calcul, des outils d'autorité de certification de plusieurs fournisseurs et des solutions open-source .
