Le compte à rebours est lancé pour Keyfactor Tech Days | Réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • PKI
  • Upgrading Your PKI: Comment établir une confiance sans limites

Upgrading Your PKI: Comment établir une confiance sans limites

PKI

L'infrastructure à clé publique (PKI) est désormais une solution bien établie pour établir la confiance dans le monde numérique. Toutefois, les cas d'utilisation de PKI ont considérablement changé au cours des décennies écoulées, et ils continuent d'évoluer rapidement.

Par exemple, l'augmentation des politiques multi-cloud et de travail à distance a déplacé l'objectif de sécurité de la protection du périmètre vers la sécurisation de tout ce qui utilise des identités de confiance. Malheureusement, les déploiements traditionnels de PKI ne peuvent pas suivre cette évolution.

Dans ce contexte, que doivent savoir les entreprises pour mettre à niveau leur site PKI afin de répondre à des cas d'utilisation plus modernes ? Pour en savoir plus, nous avons récemment rencontré Harry Haramis, SVP of Cloud & SaaS Marketplaces chez Keyfactor, et Steven Duckworth, Chief Microcomputer Tech Support Specialist chez Erie 1 BOCES .

Cliquez ici pour visionner l'intégralité de la conversationou lisez la suite pour en connaître les grandes lignes.

L'évolution du rôle de PKI dans l'entreprise

PKI est une infrastructure critique dans l'entreprise d'aujourd'hui, qui s'efforce désormais d'établir la confiance à travers une variété de cas d'utilisation numériques qui ne concernent pas seulement les personnes, mais aussi les machines. Parmi les cas d'utilisation les plus courants dans l'entreprise moderne, on peut citer

  • SSL/TLS certificats pour les serveurs web
  • Authentification mutuelle et cryptage pour les appareils de l'internet des objets (IoT)
  • Authentification aux réseaux Wifi
  • Certificats éphémères pour les services multi-cloud tels que les conteneurs et les charges de travail
  • Signatures numériques et cryptage pour un courrier électronique sécurisé sur tous les appareils
  • Accès sécurisé pour les applications et les appareils mobiles
  • Authentification entre les routeurs et les pare-feu pour les périphériques de réseau
  • Signatures sur les conteneurs et software builds pour les équipes DevOps

Deux domaines, en particulier, qui connaissent le plus grand pic d'activité sur PKI sont DevOps et les appareils mobiles, car les organisations se modernisent sur l'infrastructure en nuage et de plus en plus d'employés travaillent à distance en utilisant une variété d'appareils.

Malheureusement, les déploiements PKI que la plupart des entreprises utilisent encore sont trop complexes, coûteux et ne peuvent pas s'adapter à ces nouveaux cas d'utilisation. Ils s'appuient sur une infrastructure obsolète, lente et incapable de répondre aux exigences des nouveaux cas d'utilisation tels que les migrations dans le nuage, le travail hybride et les appareils IoT . En outre, elles ont tendance à s'appuyer sur des outils disparates qui limitent la visibilité des équipes de sécurité sur les certificats et les politiques dans l'ensemble de l'organisation, ce qui complique la gestion des certificats et permet d'éviter des problèmes tels que les pannes.

Outre les problèmes d'infrastructure, de nombreuses équipes ne disposent pas des ressources nécessaires pour maintenir ces programmes PKI , car les personnes possédant les compétences spécialisées PKI sont difficiles à trouver et encore plus difficiles à retenir.

L'obstacle le plus courant sur PKI : l'héritage Microsoft CA

L'un des défis les plus courants auxquels les entreprises sont confrontées dans leurs efforts de modernisation de PKI est la dépendance continue à l'égard des anciennes autorités de certification de Microsoft, également connues sous le nom d'Active Directory Certificate Services (ADCS).

Microsoft CA existe depuis 2000, et bien que nous ayons vu de multiples itérations au fil des ans, peu de choses ont changé depuis sa sortie. Par conséquent, lorsque les organisations tentent d'utiliser cette solution vieille de plus de 20 ans pour répondre aux besoins modernes de PKI , elles se heurtent à de sérieux obstacles :

    • Défis opérationnels : Microsoft CA ne permet qu'une seule autorité de certification par serveur. À une époque où les organisations doivent émettre quotidiennement de nouveaux certificats provenant de diverses autorités de certification, cela crée une empreinte excessivement complexe à l'échelle.
    • Intégrations limitées : Si Microsoft CA s'intègre bien à l'infrastructure Microsoft sur site, cela s'arrête là. Ce manque de support d'intégration ne fonctionne pas bien lorsque les organisations évoluent vers un environnement multi-cloud.
    • Manque de soutien : Microsoft est bien conscient de ces limites et ne soutient ni ne développe plus activement Microsoft CA, ce qui signifie que le fossé entre les limites de la solution et les cas d'utilisation modernes ne cessera de se creuser.

Heureusement, il existe plusieurs moyens de mettre en place une infrastructure PKI moderne dans le nuage :

  • Managed PKI: L'infrastructure PKI est déployée, hébergée et gérée par un tiers expérimenté dans le nuage. En confiant l'infrastructure et la gestion à un tiers, les entreprises n'ont pas à se soucier de disposer d'une expertise PKI en interne et peuvent simplement consommer les certificats issus du programme.
  • SaaS/Cloud PKI: L'infrastructure PKI est déployée, hébergée et gérée par l'organisation dans le nuage. Dans ce cas, l'infrastructure dorsale est hébergée et maintenue par un tiers, mais l'entreprise gère son propre programme en ce qui concerne l'émission de certificats, l'élaboration de politiques et la gestion continue du cycle de vie.
  • Hybride PKI: L'infrastructure PKI est déployée, hébergée et gérée sur place et intégrée à des services en nuage. Cette approche nécessite une expertise interne dans la configuration de PKI ainsi que la propriété des serveurs et autres éléments d'infrastructure. Hybrid PKI est le mieux adapté à des situations telles que la fabrication, où les entreprises ne veulent pas dépendre de la connectivité internet dans une usine éloignée, mais ont besoin d'accéder à ces appareils (via internet) pour renouveler les certificats et fournir des mises à jour continues du micrologiciel une fois qu'ils sont sur le terrain.

Même pour les organisations qui passent à l'informatique dématérialisée avec Microsoft Azure, ces défis constituent un obstacle majeur, car Microsoft ne dispose pas d'une solution PKI dans l'informatique dématérialisée.

Trouver la voie de la modernité PKI Dans l'informatique dématérialisée

Dans le cadre du processus d'évaluation, il est important que les entreprises prennent en compte des besoins tels que les exigences de confiance pour les AC publiques ou privées, les niveaux de sécurité et d'assurance, les cas d'utilisation à prendre en charge, l'évolutivité et la disponibilité des solutions PKI , ainsi que l'expertise requise pour mettre en œuvre et maintenir le programme PKI . Il est tout aussi important de tenir compte de la phase actuelle de maturité de l'organisation en matière d'informatique dématérialisée (ainsi que des plans futurs) pour comprendre ce qui doit rester derrière un pare-feu et ce qui peut être transféré dans l'informatique dématérialisée.

Sécuriser la main-d'œuvre à distance avec PKI: comment Erie 1 BOCES y est parvenu

Erie 1 BOCES est une coopérative scolaire publique de l'État de New York. Lorsque COVID est apparu, la demande de gestion à distance des ordinateurs portables des étudiants et du personnel a créé un tout nouvel ensemble de besoins. Erie 1 BOCES utilisait déjà Azure Active Directory et Office 365, la prochaine étape logique était donc d'introduire Microsoft Intune pour la gestion des appareils de l'entreprise.

Cependant, l'équipe a rapidement réalisé qu'elle aurait toujours besoin d'une solution tierce pour émettre et gérer les certificats afin d'authentifier les appareils distants, par exemple sur les réseaux Wifi. Ce besoin a conduit l'équipe d'Erie 1 BOCES vers PrimeKey EJBCA Enterpriseune solution PKI complète disponible sur le marché Azure.

Comme l'explique Steven Duckworth, spécialiste en chef de l'assistance technique micro-informatique à Erie 1 BOCES, EJBCA répondait parfaitement aux besoins de l'équipe en raison de ses capacités :

  • Permettre un service partagé pour les utilisateurs finaux, y compris Erie 1 BOCES et d'autres districts scolaires
  • Réduire la complexité de PKI , en prenant en charge plusieurs domaines
  • Offrir un haut niveau d'évolutivité pour l'émission de certificats sur des milliers d'appareils (sans frais par certificat).
  • Assurer la continuité des environnements virtualisés et en nuage
  • Fournir un soutien actif aux fournisseurs pour suivre l'évolution de l'infrastructure en nuage.

L'équipe a également trouvé une grande valeur dans le fait que EJBCA lui permettait de mettre en œuvre et de maintenir son programme PKI en interne tout en profitant de l'expertise d'un partenaire.

Aujourd'hui, Erie 1 BOCES fournit PKI en tant que service partagé en utilisant EJBCA dans son centre de données. L'équipe a également trouvé une valeur significative dans l'intégration directe avec Intune, qui lui permet d'émettre des certificats aux postes de travail des utilisateurs finaux afin qu'ils puissent facilement valider sur les réseaux sans fil internes d'Erie 1 BOCES. En arrière-plan, des nœuds EJBCA dédiés gèrent également les services de l'autorité de validation et la révocation des certificats afin de couvrir l'ensemble du cycle de vie des certificats.

Vous souhaitez en savoir plus ?

Si vous souhaitez en savoir plus sur la façon dont un programme PKI moderne peut vous aider à établir une confiance sans limites, et sur la façon dont des organisations comme Erie 1 BOCES ont fait de cette vision une réalité, cliquez ici pour visionner l'intégralité du webinaire sur la mise à niveau de votre système d'information. PKI avec Keyfactor et Erie 1 BOCES.