Keyfactor s'intègre à Google Cloud pour offrir une automatisation des certificats à l'échelle du nuage

Aujourd'hui, nous sommes heureux d'annoncer un nouveau partenariat entre Keyfactor et Google Cloud. L'intégration combine l'automatisation du cycle de vie des certificats de Keyfactor, hautement évolutive et basée sur le cloud, avec le service d'autorité de certification de Google Cloud afin de répondre aux besoins des équipes modernes de sécurité, d'infrastructure et d'application.

Avant de nous plonger dans l'intégration, parlons un peu de la façon dont l'utilisation de l'infrastructure à clé publique (PKI) et des identités des machines a changé ces dernières années, et pourquoi cela exige une nouvelle approche de la gestion de PKI et des certificats, axée sur le nuage.

Les certificats numériques sont la norme de facto pour l'identité des appareils et des machines depuis le début de l'Internet. Cependant, avec la normalisation de la sécurité zéro confiance basée sur l'identité et les stratégies multi-cloud, le volume de certificats est passé de centaines à des centaines de milliers (voire des centaines de millions dans les grandes entreprises).

Ces certificats sont utilisés par diverses équipes et applications au sein de l'organisation : serveurs web traditionnels et équilibreurs de charge, appareils mobiles et IoT , et de plus en plus, dans les outils CI/CD et l'infrastructure basée sur le cloud.

La croissance rapide des certificats dans les entreprises s'explique par trois cas d'utilisation principaux, chacun avec ses propres défis :

Les certificats sont régulièrement déployés pour établir des identités de confiance pour les machines et les utilisateurs sur le réseau de l'entreprise. Il s'agit souvent de serveurs et de points d'accès Wi-Fi, d'équipements de réseau et d'équilibreurs de charge, ainsi que de l'authentification des postes de travail et des appareils mobiles.

Généralement, ces cas d'utilisation sont pris en charge par une équipe interne PKI qui maintient une autorité de certification privée sur site et traite manuellement les demandes de certificats pour d'autres fonctions informatiques - une tâche qui devient pratiquement impossible à l'échelle. Avec un plus grand nombre de certificats et des durées de vie plus courtes, l'effort pour suivre les demandes et les expirations manuellement n'est tout simplement pas réalisable.

Les certificats sont également devenus un outil puissant dans les environnements DevOps pour authentifier les charges de travail en nuage, les conteneurs, les microservices, ainsi que l'ingress et le mTLS dans les architectures de maillage de services. Contrairement à l'infrastructure informatique traditionnelle, les développeurs et les équipes d'application sont aux commandes, et la sécurité est souvent négligée.

Les équipes DevOps ont besoin d'une émission rapide et en grand volume de certificats de courte durée pour prendre en charge la nature à la demande de l'infrastructure cloud. Pour éviter les processus manuels PKI , beaucoup optent pour des AC non conformes ou auto-signées qui présentent plusieurs risques. Une fois que les équipes de sécurité sont impliquées, elles retardent souvent les projets ou interrompent même les opérations jusqu'à ce que les exigences de confiance soient satisfaites.

Les fabricants et les développeurs reconnaissent également que les certificats sont la solution idéale pour l'identité dans les appareils connectés/IoT . Cependant, la gestion de millions de certificats sur un parc d'appareils distribués, depuis la conception jusqu'au cycle de vie de l'appareil, n'est pas une mince affaire. Hardware Les contraintes, la connectivité intermittente et l'évolutivité sont autant de facteurs qui contribuent à la complexité de PKI pour IoT.

Compte tenu de l'ampleur des dispositifs IoT sur le marché aujourd'hui, il est impossible d'imaginer l'approvisionnement et la gestion manuelle des certificats. Plus important encore, si un incident de sécurité se produit, des millions de certificats devront être révoqués et réémis très rapidement et sans interruption pour les utilisateurs finaux. Cela n'est pas possible sans une approche automatisée.

À mesure que l'utilisation de PKI et des certificats numériques se développe, deux défis fondamentaux apparaissent : (1) comment gérer efficacement et faire évoluer PKI pour répondre aux demandes croissantes, et (2) comment gérer plusieurs milliers de certificats dans l'ensemble de vos différentes équipes et applications.

La mise en place d'un site PKI ne se limite pas à la création d'une autorité de certification privée et à l'émission de certificats. Elle nécessite un personnel hautement qualifié, une infrastructure et des contrôles de sécurité spécialisés, ainsi qu'une maintenance continue pour rester sécurisée et opérationnelle. Les AC privées traditionnelles telles que Microsoft ADCS ne sont pas non plus bien équipées pour s'intégrer aux plateformes en nuage et aux ensembles d'outils DevOps.

Considérons maintenant les milliers de certificats émis dans ces environnements combinés d'informatique d'entreprise, de DevOps et de IoT . Chaque certificat doit être provisionné, installé et éventuellement renouvelé avant d'expirer, et chaque application a un processus différent pour y parvenir. À cette échelle, les choses peuvent rapidement devenir incontrôlables.

Pour prospérer à l'ère de l'infrastructure hybride et multicloud, les équipes informatiques et de sécurité doivent sérieusement repenser la manière dont elles déploient leur site PKI et gèrent les certificats numériques. La clé du succès réside dans des processus simples et reproductibles pour la gestion des certificats sur toutes les plateformes et tous les appareils.

Le service d'autorité de certification (CAS) de Google Cloud Platform permet aux équipes de simplifier le déploiement et la gestion des autorités de certification privées pour leurs charges de travail et applications natives du cloud. Désormais, les clients de Keyfactor peuvent se connecter directement à Google CAS pour intégrer de manière transparente des AC privées basées sur le cloud dans leur stratégie globale d'entreprise PKI .

En utilisant la ^passerelle flexible AnyCA GatewayTM, Keyfactor se synchronise en temps réel via l'API du service de l'autorité de certification de Google pour inventorier en permanence chaque certificat émis. Avec un inventaire complet, les équipes de PKI ont une vue centralisée de la santé et de l'état de tous les certificats, soutenue par une automatisation puissante basée sur le protocole et prête à l'emploi.

• Multi-CA, multi-cloud : Keyfactor offre une vue complète de toutes les identités de machines dans une console unique via des intégrations d'AC publiques et privées, une découverte basée sur le réseau et une découverte authentifiée des magasins de clés et de certificats.

• Libre-service : Les propriétaires d'applications peuvent rapidement demander et fournir des certificats automatiquement via une interface conviviale en libre-service ou des API RESTful.
• Inscription automatique : Les certificats émis par Google peuvent être enrôlés automatiquement via une automatisation basée sur un protocole, comme SCEP ou ACME, à l'aide de proxies intégrés à la plateforme Keyfactor .

• Approvisionnement automatisé : Keyfactor Les orchestrateurs renouvellent et fournissent automatiquement des certificats à plusieurs serveurs, appareils et points d'extrémité du réseau.

• Intégrations DevOps et IoT : Les intégrations natives et les plugins permettent aux équipes d'automatiser facilement le déploiement des certificats vers des outils populaires tels que HashiCorp Vault, Jenkins, Kubernetes, Istio service mesh, et plus encore.
• Déploiement flexible : Les clients peuvent déployer l'automatisation du cycle de vie des certificats (CLA) dans leur centre de données, dans Google Cloud ou en tant que service (CLAaaS).

Explorez notre hub d'intégration pour en savoir plus sur nos plugins avec Google Cloud Certificate Authority Service (CAS) et Google Cloud Load Balancer.

Prêt à parler à Keyfactor? Demandez une démonstration 1:1 avec un ingénieur en solutions dès aujourd'hui.