Discussion technique : Remplacement des anciennes autorités de certification de Microsoft par une autorité de certification moderne PKI

PKI est désormais considérée comme une infrastructure critique pour les entreprises d'aujourd'hui. 

Globalement, les entreprises considèrent leur plateforme PKI comme l'un des éléments les plus fondamentaux et les plus importants de leur dispositif de cybersécurité. Cette reconnaissance de l'importance de la plateforme est un grand pas dans la bonne direction pour les équipes de sécurité, mais elle présente également certains défis à mesure que le paysage de la sécurité des entreprises évolue.

Par conséquent, les organisations doivent envisager sérieusement de moderniser leur infrastructure PKI . C'est sur ce thème qu'a porté une récente conférence technique à laquelle ont participé Eric Clauss, vice-président de zone à Keyfactor, et Alex Gregory, vice-président de Marketplace Products à Keyfactor. Vous pouvez visionner l'intégralité de la session iciou lire la suite pour en connaître les grandes lignes.

Les processus traditionnels de PKI sont trop complexes, coûteux et ne peuvent tout simplement pas s'adapter à tous les nouveaux cas d'utilisation. Il s'agit là de défis importants compte tenu de la nature critique de PKI dans les entreprises d'aujourd'hui.

Parmi les plus grands défis posés par le site traditionnel PKI , on peut citer

• Suivre les nouveaux cas d'utilisation : Il n'y a pas si longtemps, PKI était centré sur l'émission de certificats numériques pour les appareils appartenant à l'entreprise. Aujourd'hui, ce n'est qu'une petite partie de ce que PKI doit couvrir. De nouveaux cas d'utilisation évoluent rapidement, créant une demande pour que les programmes PKI émettent des certificats pour tout ce qui concerne les migrations dans le nuage, les processus DevOps et les appareils IoT .

• La prolifération des CA : Avec la multiplication des cas d'utilisation, les organisations consomment désormais des certificats à un rythme incroyablement élevé. Cette situation a entraîné une prolifération des AC, les équipes créant de nouvelles AC sans politique standardisée ni visibilité, afin de pouvoir déployer de nouveaux certificats à leur convenance. Cette prolifération est fréquente dans les environnements DevOps, mais elle ne se limite pas à ces équipes.

• Des processus lents et manuels : Si les équipes de sécurité ont tant de mal à maîtriser la prolifération des AC, c'est parce que les processus traditionnels PKI et de délivrance des certificats sont lents et complexes. À une époque où les équipes ont besoin d'un volume important de certificats à un rythme rapide, ces processus lents et manuels ne suffisent tout simplement pas, obligeant les équipes à trouver des solutions de contournement.

• Une expertise limitée : Enfin, PKI est un secteur très spécialisé et il est difficile de trouver des membres d'équipe possédant les compétences nécessaires pour gérer ces programmes. Les retenir est encore plus difficile.

Ces défis sont d'autant plus importants que l'adoption de Microsoft CA est généralisée. Malheureusement, cette solution est conçue pour un monde qui n'existe plus.

Par exemple, Microsoft CA présente des inconvénients opérationnels, car il n'autorise qu'une seule autorité de certification par serveur. Cela fonctionnait parfaitement lorsque les cas d'utilisation de PKI étaient plus limités, mais dans le monde d'aujourd'hui - qui nécessite le déploiement de milliers de certificats - cela se traduit par une empreinte excessivement complexe à mesure que les programmes PKI prennent de l'ampleur. De nombreuses entreprises possèdent aujourd'hui des centaines de serveurs dans le seul but de déployer des certificats, ce qui n'est absolument pas efficace.

En outre, Microsoft CA a des capacités d'intégration limitées au-delà de l'infrastructure Microsoft, ce qui s'avère assez contraignant alors que de plus en plus d'organisations adoptent une stratégie multi-cloud.

Enfin, et ce n'est certainement pas le moins important, Microsoft ne soutient ni ne développe plus activement Microsoft CA, ce qui signifie qu'il n'évoluera jamais pour répondre aux besoins changeants. Et comme le paysage PKI continue de changer, le fossé entre les besoins des entreprises et ce que Microsoft CA peut fournir ne fera que s'accroître.

Heureusement, il existe une voie à suivre. L'avenir exige une plateforme PKI puissante et flexible, et c'est ce que propose EJBCA Enterprise de Keyfactor.

Alors que Microsoft CA est ancré dans le passé - parfaitement adapté aux centres de données statiques sur site et aux équipes qui ont besoin d'émettre un faible volume de certificats avec une longue durée de vie - EJBCA est une solution tournée vers l'avenir, qui évolue régulièrement et qui est conçue pour les équipes qui ont un environnement dynamique basé sur le cloud et qui ont besoin d'émettre un volume élevé de certificats avec une courte durée de vie.

Pour aller plus loin, une solution PKI moderne comme EJBCA aide à résoudre les défis auxquels les entreprises sont actuellement confrontées en offrant :

• CA, VA et RA pour une solution complète PKI dans une seule plate-forme, ce qui permet une gestion centralisée de tous les éléments suivants tous cas d'utilisation
• Un nombre illimité d'autorités de certification et de certificats dans une seule instance, sans avoir à déployer d'infrastructure supplémentaire, ce qui le rend beaucoup plus évolutif pour les programmes modernes PKI .
• Prise en charge souple de tous les principaux types de certificats, d'algorithmes et de protocoles, ainsi que des HSM, pour un programme qui permet aux entreprises d'utiliser les certificats de diverses manières.
• Une plus grande extensibilité grâce à une API robuste et des intégrations prédéfinies qui permettent au programme PKI de s'étendre de manière transparente sur plusieurs clouds différents.
• Grande évolutivité avec prise en charge de la mise en grappe et de la haute disponibilité

Notamment, EJBCA offre également la possibilité de se déployer de plusieurs façons. Cela inclut un software appliance pré-construit et pré-configuré qui s'intègre aux HSM, un hardware appliance pour les déploiements clés en main qui offre tous les services nécessaires pour soutenir un environnement PKI , une disponibilité sur les marchés Microsoft Azure et AWS pour un déploiement rapide, et une solution SaaS pour une plateforme PKI entièrement fonctionnelle soutenue par un HSM dans le nuage et déployée en quelques minutes.

Keyfactor propose également une option de déploiement PKIaaS pour EJBCA, qui confie l'ensemble des opérations et de la gestion à l'équipe d'experts de Keyfactor , de sorte que les organisations puissent consommer des certificats sans avoir à s'embarrasser de la gestion du programme.

L'adaptation de Microsoft CA - ou de tout autre programme PKI - à une entreprise moderne n'est tout simplement plus possible. Cela crée des architectures PKI trop complexes, coûteuses, loin d'être aussi évolutives qu'elles le devraient et qui ne peuvent tout simplement pas prendre en charge les courtes durées de vie des certificats d'aujourd'hui.

Une solution moderne comme Keyfactor EJBCA résout ces problèmes et bien plus encore. Pour un examen plus approfondi de la manière dont elle y parvient, ainsi qu'une démonstration en direct, cliquez ici pour voir l'intégralité du Tech Talk, cliquez ici pour visionner l'intégralité de l'exposé technique.