Únete a la fiesta de la automatización PKI
La gestión del ciclo de vida de los certificados (CLM) y la infraestructura de clave pública (PKI) son términos que pueden hacer que incluso a los veteranos de TI más experimentados se estresen. En GlobalSign, sabemos que esto es cierto porque hablamos de CLM y PKI con regularidad y lo vemos todo el tiempo. PKI es lo que hacemos.
Estamos aquí para ayudarte a racionalizar y automatizar tu PKI, como hemos estado haciendolo durante más de 25 años.
Todo el mundo quiere ser autosuficiente hasta cierto punto. Pero si tu carro tiene problemas, llama a un mecánico. Al principio de nuestras carreras, podemos intentar hacer nuestros impuestos por nuestra cuenta, pero a medida que nuestras finanzas se complican, buscamos un contable.
La infraestructura de clave pública (PKI) nunca ha sido tan utilizada ni tan compleja como ahora. Entonces, ¿por qué una organización, especialmente una empresa, intentaría gestionarlo todo por su cuenta? Es fundamental saber cuándo recurrir a expertos.
El Portal de Auto Registro Corporativo (Auto-Enrollment Gateway o AEG) de GlobalSign es una omniherramienta de automatización del ciclo de vida de los certificados que puede llegar a toda la red de una organización, a cualquier punto final que necesite certificados digitales y automatizar la gestión de todo el ciclo de vida.
Somos conscientes de que se trata de una frase muy larga y con mucho que explicar. Así que en este blog hablaremos sobre el estado cambiante del panorama PKI, el efecto que tendrá en las organizaciones y echaremos un vistazo a AEG con más detalle, incluyendo cómo puede hacer que la red de una organización sea más segura, eficiente y ágil.
Estado actual del panorama de PKI
Cuando decimos que la PKI nunca ha sido tan utilizada y compleja, lo que queremos decir es que las organizaciones nunca han tenido que gestionar más certificados digitales de los que gestionan ahora.
El caso de uso de PKI más conocido es SSL/TLS. Todos los sitios web que quieran ser visibles para los navegadores modernos necesitan un certificado SSL/TLS emitido por una Autoridad Certificadora (CA) de confianza pública. Pero más allá de las conexiones seguras entre servidores web y clientes, también se utiliza la PKI:
- Para cifrar y autenticar el correo electrónico
- Para firmar digitalmente documentos y código
- Para la autenticación multifactor
- Para verificar la identidad de empleados y máquinas
- Para proteger las conexiones de red internas
- Para facilitar el inicio de sesión con tarjetas inteligentes
Si pensamos en la forma en que trabajamos tras Covid-19 -cada vez más en entornos de trabajo remotos e híbridos-, la PKI se está convirtiendo rápidamente en la columna vertebral del lugar de trabajo digital, ayudando a proteger el acceso a la red al tiempo que facilita la autenticación y el cifrado en múltiples contextos. Pero más allá de esto, hay dos factores externos importantes que impulsan la actual explosión en el uso de certificados PKI.
Validez abreviada de los certificados
El CA/Browser Forum determina los requisitos básicos que deben seguir todas las CA de confianza pública. Está formado por varios grupos de trabajo que buscan constantemente mejorar las normas de seguridad de los certificados digitales. En la última década, la vida útil, o validez, de estos certificados se ha ido reduciendo constantemente como consecuencia de diversos incidentes de seguridad, así como de la preocupación por el tiempo que se puede confiar en la información contenida en ellos. Estos cambios comenzaron con los certificados SSL/TLS, cuya validez se ha reducido a sólo 397 días (13 meses), antes de aplicarse a otros tipos de certificados como S/MIME y Code Signing. Hoy en día, la mejor práctica es sustituir los certificados digitales al menos una vez al año, y muchas organizaciones optan por hacerlo con mayor frecuencia, cada seis meses.
Obviamente, una validez más corta implica un aumento de la frecuencia de tareas para emitir nuevos certificados que sustituyan a los antiguos e instalarlos en todos los puntos finales necesarios. Hacerlo una vez cada varios años ya era una carga, hacerlo anualmente añade una importante carga de trabajo para el personal informático, especialmente si las fechas se escalonan a lo largo del año.
Uso ampliado de claves
El uso ampliado de claves (EKU) es otra área que el Foro CA/B ha estado perfeccionando. En los términos más sencillos posibles, las EKU hacen referencia a los tipos de funciones criptográficas que puede realizar un determinado par de claves o certificados. En el pasado, las organizaciones podían emitir certificados digitales a sus empleados que podían realizar múltiples funciones. Por ejemplo, se podían utilizar para realizar la autenticación de clientes, firmar y cifrar correo electrónico y firmar documentos, todo en uno. Desgraciadamente, la comodidad de disponer de varios EKU también conllevaba un riesgo. Una clave comprometida es mucho más peligrosa cuando puede utilizarse para múltiples cosas que para un único propósito. Por ello, los distintos grupos de trabajo del Foro CA/B exigen que cada certificado tenga una sola EKU.
En la práctica, eso significa que cuando se incorpora un nuevo empleado no se le puede emitir un certificado digital multiuso para todo. Tendrá que emitir tres certificados distintos con el EKU adecuado.
Para complicar aún más las cosas...
Es probable que tu equipo de TI no tenga el ancho de banda o los conocimientos necesarios para gestionar PKI a escala
En la actualidad, el sector de la ciberseguridad adolece de una importante carencia de personal cualificado. Un estudio realizado en 2023 por (ISC)2 reveló que la escasez en torno al talento en ciberseguridad creció un 26% en 2022. Y si tu organización es una del 43% que busca activamente talento en TI/Ciberseguridad - tú eres consciente de esto.
Los equipos de seguridad ya están sobrecargados de trabajo y, según Gartner, la empresa media está ejecutando y gestionando entre 50 y 70 programas diferentes, y con organizaciones tan desesperadas por encontrar talento, PKI, que ya es algo de nicho, se convierte en un conjunto de habilidades que "gusta tener", no que "se necesita tener". Pero eso no cambia el hecho de que PKI es fundamental para las operaciones diarias y la carga de trabajo no hace más que crecer a medida que lo hace la organización. Según el estudio de (ISC)2, tan difícil como encontrar y contratar buenos profesionales de la seguridad es mantenerlos.
Si no estás automatizando la gestión de certificados y reduciendo la carga de trabajo y el tedio, puede que también instales una puerta giratoria en tu oficina de TI, porque la razón número uno por la que los trabajadores de seguridad se marchan es por el exceso de correos electrónicos y tareas tediosas.
Pero es que además...
El factor costo de gestionar tu propia PKI
Más allá de los problemas que acabamos de comentar con el aumento de la carga de trabajo y la lucha por encontrar el personal adecuado para gestionarlo todo, también está la cuestión de los costos que conlleva gestionar tu propia PKI. Pero ese es otro tema de conversación, hasta el punto de que hemos escrito un libro electrónico sobre él.
AEG es un motor de automatización de certificados
Ahora que hemos analizado el problema, hablemos de la solución: AEG.
El Portal de Auto Registro Corporativo (Auto-Enrollment Gateway o AEG) se conecta al Active Directory de tu organización y utiliza una serie de protocolos e integraciones, con varias plataformas de gestión de dispositivos móviles (MDM), para llegar a toda tu red y gestionar certificados digitales en todos los puntos finales.
Los puntos finales incluyen:
- Identidades de clientes y máquinas
- Certificados de correo electrónico seguro (S/MIME)
- Firma digital
- SSL/TLS
- Autenticación multifactor (MFA)
- Tarjetas llave
Todo se gestiona a través de un panel de control fácil de usar en el que se puede programar y supervisar desde una única ubicación todo el ciclo de vida de los certificados para todos y cada uno de los puntos finales de la red.
AEG funciona con Atlas, la plataforma de identidad digital de GlobalSign, diseñada para ofrecer la flexibilidad de emitir certificados privados a partir de una raíz intermedia dedicada o emitir certificados digitales de confianza pública, una de las principales razones para trabajar directamente con una Autoridad Certifcadora de confianza. Con más de 25 años de experiencia en PKI y líder mundial en firma digital, GlobalSign puede suministrar los certificados. Otros proveedores pueden ofrecer un marco para la gestión de certificados digitales, pero sigue siendo necesario contar con una Autoridad Certificadora para emitirlos todos, especialmente SSL/TLS y S/MIME. Esto añade costos y complejidad.
AEG no sólo proporciona el marco para gestionar tu cartera de certificados digitales, sino también la canalización.
Además, nos enorgullece anunciar que acabamos de lanzar la versión 7.9
Novedades de AEG 7.9
Uno de los mayores retos a los que se enfrentan las organizaciones en la actualidad es al Bring Your Own Device (trae tu propio dispositivo o BYOD). Cada vez más empleados acceden a las redes de la empresa utilizando dispositivos móviles, tabletas, ordenadores personales, etc. Aunque muchas empresas tienen una política estricta contra esto, cada vez es más difícil mantener esta línea.
En AEG 7.8, ahora estamos totalmente integrados con Microsoft InTune, lo que permite utilizar claves y certificados con dispositivos móviles. Esto significa que los empleados pueden acceder de forma segura a los activos de la red y leer correos electrónicos cifrados en sus dispositivos móviles sin necesidad de añadir más certificados. En versiones anteriores, ya nos habíamos integrado con JAMF, lo que daba a AEG la capacidad completa de gestionar certificados digitales en cualquier tipo de dispositivo móvil, ya sea iOS, Android o Windows.
Además, hemos mejorado la experiencia del usuario y hemos dado a los administradores una mejor visibilidad de su implementación de PKI añadiendo informes programados con regularidad. Aunque los informes manuales ya estaban disponibles a través del panel de control, ahora se pueden programar para que se ejecuten a intervalos regulares y se envíen a los administradores correspondientes.
AEG dispone de las herramientas necesarias para proporcionar un potente soporte a la gestión de tu PKI, y la automatización nunca ha sido tan necesaria. La automatización de la PKI ahorra a las organizaciones costos considerables, reduce la carga de trabajo y mejora la criptoagilidad y la postura de seguridad. Y lo mejor de todo es que te asocias con GlobalSign, líder mundial en PKI, Autoridad Certificadora de confianza pública y proveedor de servicios de confianza cualificado.
¿Aún no estás convencido?
Lee nuestro eBook sobre el costo oculto de AEG.
Consulta nuestra ficha técnica para obtener más información.
O entra en contacto con nosotros para contarnos qué necesita hacer y te mostraremos cómo AEG te ayuda a conseguirlo.
