C'est terminé !
Merci aux plus de 450 participants qui sont venus (virtuellement) au sommet inaugural Critical Trust de Keyfactor. Nous avons abordé de nombreux sujets au cours des deux derniers jours sur la manière dont vos équipes peuvent favoriser la crypto-agilité au sein de votre organisation.
Vous avez eu l'occasion de suivre plus de 15 sessions, d'écouter plus de 20 orateurs, de nouer des contacts avec d'autres experts du secteur et, avec un peu de chance, d'apprendre quelque chose de nouveau.
Si vous avez manqué le premier jour, lisez le blog de récapitulation pour vous mettre à jour.
Voici quelques-uns des moments forts de la deuxième journée, et n'oubliez pas que vous pouvez dès à présent regarder en différé toutes les séances des deux jours.
Gestion unifiée de la cryptographie et innovation des produits
Nous avons commencé la journée par une rapide pause-café avant de nous lancer dans notre discours d'ouverture sur la manière dont votre équipe devrait aborder la gestion unifiée de la cryptographie (UCM).
Nos cofondateurs, Kevin von Keyserling et Ted Shorter, nous ont fait découvrir l'histoire de la cryptographie et la manière dont une approche unifiée de la gestion de vos diverses cryptographies constitue la stratégie de l'avenir.
Kevin a montré comment Keyfactor est dans une position unique pour aider nos clients à orchestrer et à étendre leur utilisation de la cryptographie pour les cas d'utilisation des entreprises et de IoT .
Chacun de vos appareils connectés, qu'il s'agisse d'un capteur de pneu, d'un moteur à réaction ou d'un train, doit penser à chaque composant de cet appareil, de cette machine, et à la manière dont il va lui donner une identité numérique avec intégrité.
Pour ce faire, vous devez disposer d'une plateforme software à grande échelle, afin de pouvoir authentifier chaque appareil, chaque composant électronique.
Ted a partagé sa vision de l'impact de la gestion cryptographique unifiée sur la stratégie de Keyfactordu point de vue des produits. Selon Ted, "lorsque nous envisageons d'appliquer ce principe à toutes les clés, nous considérons vraiment qu'il s'agit maintenant de cryptographie en tant que service et, de ce point de vue, vous superposez vraiment ce que nous avons à l'intérieur de la plate-forme".
Mark Thompson et Ryan Sanders nous ont fait plonger dans l'importance de la gestion des clés SSH lors de leur session, Protecting SSH Keys in Multi-Cloud Operations (Protéger les clés SSH dans les opérations multi-cloud). Les clés SSH sont omniprésentes et présentent des défis de gestion différents de ceux des certificats X.509.
Mark a discuté des moyens de limiter les attaques basées sur SSH, notamment :
- Désactiver l'accès à la racine
- Utiliser l'authentification par clé publique
- Utiliser une phrase de passe forte pour les clés
- Définir un port SSH personnalisé
- Maintenir SSH à jour
Demandez une démonstration dès aujourd'hui pour découvrir l'ensemble de la plateforme Keyfactor , y compris notre nouveau gestionnaire de clés SSH.
Points de vue des experts IoT et PKI
Ce n'est pas tous les jours que l'on peut entendre des experts en gestion de la cryptographie et en sécurité des appareils IoT .
Brandon H, d'Abbott, et Ken Pierce, de General Motors, ont discuté avec notre directrice de la gestion des produits IoT , Ellen Boehm, des résultats concrets obtenus par les fabricants de IoT .
Vers la fin, Ken et Brandon ont tous deux conclu en prodiguant de bons conseils au public.
"N'écrivez jamais votre propre cryptographie et si vous êtes nouveau et que vous voulez apprendre, allez sur les forums de votre secteur ou quelque chose d'approchant afin d'apprendre", a déclaré Ken. "Vous n'êtes pas obligé de donner vos idées, mais vous obtiendrez l'expertise dont vous avez besoin pour progresser.
"Ne pensez pas que votre implémentation est sûre simplement parce que vous avez des certificats de cryptographie", a déclaré M. Brandon. "Il y a beaucoup de choses qui se passent autour de votre implémentation, et pas seulement le fait que vous utilisiez des certificats ou TLS ou des choses de cette nature. Il faut donc examiner la périphérie du fonctionnement de votre implémentation, modéliser les menaces et avoir une vue d'ensemble."
David Falgiano, CISSP, vice-président de l'ingénierie de la sécurité chez M&T Bank, et Rich Popson, directeur principal de la sécurité de l'information et des risques (CISO) chez Sensata Technologies, sont venus nous faire part des leçons qu'ils ont tirées de leur expérience sur le site PKI tout au long de leur carrière.
Interrogé sur la manière d'attirer et de conserver les talents sur le site PKI , M. Rich a déclaré que ce n'était pas une tâche facile.
"Je pense que ce qui se passe en fin de compte, c'est qu'une fois que l'on commence à parler de cryptage, les yeux ont tendance à se voiler et les gens ne comprennent pas vraiment ce que c'est", a déclaré M. Rich. "Il est donc très difficile d'amener les gens à comprendre ce qu'est réellement PKI et quelles sont les menaces qui pèsent sur la sécurité. Il s'agit d'un processus d'apprentissage sans fin, et les gens ne sont tout simplement pas prêts à faire un pas en avant et à continuer d'apprendre".
Dave a fait part de ses réflexions sur la manière de sensibiliser les entreprises à l'importance de PKI et des pratiques de cryptage.
"Lorsque vous discutez avec l'entreprise, vous devez aborder le sujet sous deux angles", explique David. "PKI est important, le cryptage est important. Mais il faut aussi être capable de leur parler en termes de risque, de leur expliquer comment nous prenons leurs affaires et comment nous essayons de réduire le risque qu'un malfaiteur les obtienne. Nous ne pouvons pas l'éliminer, mais nous essayons de réduire ce risque."
Gestion des certificats et remplacement des solutions d'identité des machines
Les cas d'utilisation pour la gestion et l'automatisation des certificats semblent ne jamais cesser de croître. De l'intégration des secrets avec HashiCorp Vault à la mise en place de flux de travail de renouvellement automatique avec les magasins de certificats, il y a beaucoup de choses dont vos équipes peuvent tirer parti pour renforcer la sécurité des certificats.
Rex Wheeler, directeur des intégrations, a présenté les différentes façons d'étendre les capacités d'automatisation des certificats de Keyfactor Command en utilisant :
- Passerelles pour se connecter à vos autorités de certification
- Intégration des orchestrateurs avec les magasins de certificats
- Gestionnaires de flux de travail pour déclencher des alertes de cycle de vie
- Swagger REST API pour créer des intégrations clients
- Et plus encore...
Le besoin de meilleures solutions de gestion de l'identité des machines est réel.
Plus de 20 % des clients de Keyfactor se sont adressés à nous après avoir déployé d'anciennes solutions. Si vous cherchez à remplacer une ancienne solution de gestion des certificats ou à transférer votre site PKI dans le nuage, ces sessions sont faites pour vous.
Dans ma session avec Niko Ruhe, nous avons montré comment vous pouvez passer à Keyfactor et migrer de votre ancienne plateforme de gestion des identités machine.
Toby et Kevin ont présenté les étapes à suivre pour transférer votre site PKI vers le cloud et ont détaillé les critères d'évaluation qui doivent toujours être pris en compte.
L'inspiration DevOps de Netflix
Il n'est pas surprenant que la plupart des participants à ce sommet travaillent dans le domaine de l'InfoSec et de la sécurité.
Sur Keyfactor, on nous demande constamment comment les équipes de sécurité peuvent faire évoluer leurs pratiques de sécurité vers la gauche. Qu'il s'agisse d'intégrer les pratiques de cryptographie aux outils DevOps populaires ou de savoir comment ces deux équipes peuvent mieux travailler ensemble, les équipes de développement et de sécurité auront besoin d'un meilleur alignement pour réussir dans le monde multicloud d'aujourd'hui.
Pour comprendre l'esprit d'un ingénieur DevOps, rien de mieux qu'Andy Glover de Netflix.
Dans cette session, Andy montre pourquoi il est convaincu que leur succès est dû en grande partie au fait qu'ils apprennent rapidement et qu'ils appliquent ces leçons à l'ensemble du produit dans un court laps de temps.
Andy présente les principes que Netflix utilise (et que vous pouvez utiliser !) pour surpasser ses concurrents grâce à son investissement continu dans l'automatisation qui lui permet de le faire.