Participe da festa da PKI de automação
Gerenciamento do ciclo de vida de certificados (CLM) e infraestrutura de chave pública (PKI) são termos que conseguem fazer até mesmo o veterano de TI mais experiente bufar. Na GlobalSign, sabemos o quanto isso é real pois estamos sempre debatendo sobre CLM e PKI e constatamos isso o tempo todo. PKI é nosso ramo de atuação – sejamos honestos, coquetéis não são nosso ponto forte, mas como um advogado obcecado por um caso ou um contador excessivamente estudioso – é isso que nos torna bons no que fazemos.
Além disso, não estamos pedindo para participar de sua festa, estamos aqui para ajudá-lo a agilizar e automatizar sua PKI – como já fazemos há mais de 25 anos.
Todo mundo quer ter certo nível de autossuficiência. Porém, quando seu carro está com problemas, você chama um mecânico, certo? No início de carreira, até tentamos fazer por conta própria a declaração de imposto de renda, contudo, conforme nossas finanças ficam mais complicadas, buscamos auxílio de um contador.
A infraestrutura de chave pública (PKI) nunca foi tão disseminada, nem tão complexa, como agora. Sendo assim, por que uma empresa, especialmente de grande porte, deveria tentar gerenciar tudo sozinha? É fundamental identificar o momento certo de procurar ajuda especializada.
O Portal de Auto Registro Corporativo (AEG) da GlobalSign é uma ferramenta universal de automação do ciclo de vida do certificado que consegue alcançar toda a rede de uma empresa, para qualquer endpoint que precise de certificados digitais, e automatizar o gerenciamento de todo o ciclo de vida dos certificados.
Agora, percebemos que esta é uma frase muito complexa para ser explicada. Portanto, neste blog, falaremos sobre como o cenário de PKI está mudando, o efeito disso nas empresas e examinaremos o AEG com mais detalhes – incluindo como ele pode tornar a rede de uma empresa mais segura, eficiente e ágil.
A situação atual da PKI
Quando dizemos que a PKI nunca foi tão amplamente utilizada e complexa, significa que nunca as empresas tiveram que gerenciar tantos certificados digitais como agora.
O exemplo mais comum de uso de PKI é SSL/TLS. Todos os sites que desejam ser visualizados por navegadores modernos precisam ter agora um certificado SSL/TLS emitido por uma Autoridade Certificadora (AC) com confiança pública. Além das conexões seguras entre servidores da web e clientes, a PKI também é usada:
- Para criptografar e autenticar e-mails;
Para assinar digitalmente documentos e códigos;
Para autenticação multifatorial;
Para verificar as identidades de funcionários e máquinas;
Para proteger conexões de rede internas;
Para facilitar logins com SmartCards.
Pensando na forma como trabalhamos após a Covid-19 – cada vez mais em ambientes de trabalho remotos e híbridos – a PKI está rapidamente se tornando o alicerce do local de trabalho digital, ajudando a proteger o acesso à rede e facilitando a autenticação e a criptografia em vários contextos. Além disso, há dois fatores externos importantes que impulsionam a atual explosão no uso de certificados de PKI.
Menor validade do certificado
O Fórum CA/Browser determina os requisitos básicos que todas as ACs com confiança pública devem obedecer. Ele é formado por diversos grupos de trabalho que buscam constantemente aprimorar os padrões de segurança dos certificados digitais. Ao longo da última década, a vida útil ou validade desses certificados foi reduzida constantemente em decorrência de vários incidentes de segurança e de preocupações sobre por quanto tempo as informações contidas neles podem ser confiáveis. Essas mudanças começaram com os certificados SSL/TLS, cuja validade foi reduzida para apenas 397 dias (13 meses), antes de serem aplicadas a outros tipos de certificados, como S/MIME e Assinatura de Código. Atualmente, a melhor prática é substituir os certificados digitais pelo menos uma vez por ano, e muitas empresas optam por fazê-lo com mais frequência a cada seis meses.
Obviamente, uma validade mais curta significa um aumento na frequência de tarefas para emitir novos certificados que substituam os antigos e instalá-los em todos os endpoints necessários. Fazer isso um ano sim, outro não já era um fardo, mas fazê-lo todos os anos aumenta significativamente a carga de trabalho da equipe de TI, especialmente se as datas forem pulverizadas ao longo do ano.
Uso estendido de chave
O uso estendido de chave (EKUs) é outra área que o Fórum CA/B vem aprimorando. Nos termos mais simples possíveis, EKUs referem-se aos tipos de funções criptográficas que um determinado par de chaves ou certificados pode executar. Antigamente, as empresas emitiam certificados digitais para os funcionários que desempenhavam várias funções. Era possível usá-los para executar a autenticação do cliente, assinar e criptografar e-mails e assinar documentos com um único certificado. Infelizmente, apesar da praticidade de se ter vários EKUs, também havia um risco. Uma chave comprometida torna-se muito mais perigosa quando pode ser usada para várias coisas ao invés de apenas para uma única finalidade. Assim sendo, os vários grupos de trabalho do Fórum CA/B estão exigindo que cada certificado tenha apenas um único EKU.
Na prática, isso significa que, quando um novo funcionário é admitido, não se pode simplesmente emitir um único certificado digital multiuso para tudo. Você precisará emitir três certificados distintos com o EKU adequado.
Para complicar ainda mais…
Sua equipe de TI provavelmente não tem largura de banda ou experiência para gerenciar PKI em escala
Atualmente, há uma enorme falta de habilidades no setor de segurança cibernética. Um estudo de 2023 da (ISC)2 descobriu que a escassez de talentos em segurança cibernética cresceu 26% em 2022. Se sua empresa estiver entre as 43% que buscam ativamente talentos de TI/segurança cibernética, você já está ciente disso.
Da forma como estão, as equipes de segurança estão sobrecarregadas – de acordo com o Gartner, a empresa média executa e gerencia atualmente de 50 a 70 programas diferentes. Como as empresas estão desesperadíssimas para encontrar talentos, a PKI, que já é uma espécie de nicho, torna-se um conjunto de habilidades “desejável”, não “necessário”. Mas isso não muda o fato de que a PKI é essencial para as operações cotidianas e a carga de trabalho só aumenta conforme sua empresa cresce. Por mais difícil que seja encontrar e contratar bons talentos em segurança, de acordo com o estudo do (ISC)2, é igualmente difícil mantê-los.
Se você não automatizar o gerenciamento de certificados e reduzir a carga de trabalho e o tédio envolvido, já pode pensar em instalar uma porta giratória em seu escritório de TI, pois o principal motivo de saída dos funcionários de segurança é a quantidade e-mails e tarefas enfadonhos.
Sobretudo, há também…
O fator de custo para gerenciar sua própria PKI
Além dos problemas que acabamos de mencionar decorrentes do aumento da carga de trabalho e da dificuldade em se encontrar o pessoal certo para gerenciar tudo, há também a questão dos custos decorrentes do gerenciamento de sua própria PKI. Porém, esse é um outro assunto, tanto que escrevemos um e-book inteiro sobre isso – que tal dar uma olhada abaixo?
AEG é um mecanismo de automação de certificados
Agora que identificamos o problema, vamos falar sobre a solução: AEG.
O Portal de Auto Registro Corporativo (AEG) conecta-se ao Active Directory de sua empresa e usa vários protocolos e integrações, com diversas plataformas de gerenciamento de dispositivos móveis (MDM), para alcançar toda a sua rede e gerenciar certificados digitais em todos os endpoints.
Os endpoints incluem:
- Identidades de cliente e máquina
Certificados de e-mail protegido (S/MIME)
Assinatura digital
SSL/TLS
Autenticação multifatorial (MFA)?
Cartões de chave
Tudo é gerenciado por meio de um painel prático, onde todo o ciclo de vida do certificado para cada endpoint em sua rede pode ser programado e monitorado a partir de um único local.
O AEG conta com a tecnologia Atlas, a plataforma de identidade digital da GlobalSign, projetada para oferecer flexibilidade para emitir certificados privados de uma raiz intermediária dedicada ou para emitir certificados digitais com confiança pública – esse é um dos maiores motivos para se trabalhar diretamente com uma AC confiável. Com mais de 25 anos de experiência em PKI e líder global em assinatura digital, a GlobalSign é capaz de fornecer os certificados. Outros fornecedores terceirizados podem oferecer uma estrutura para gerenciar certificados digitais, mas você ainda precisa ter um pipeline de AC para emitir todos eles, especialmente SSL/TLS e S/MIME. Com isso, custo e complexidade aumentam.
Além de fornecer a estrutura para gerenciar seu portfólio de certificados digitais, o AEG é o próprio pipeline.
E ainda por cima, temos orgulho de anunciar que acabamos de lançar a versão 7.9!
O que há de novo no AEG 7.9?
Um dos maiores desafios enfrentados pelas empresas nos dias de hoje são os dispositivos móveis pessoais (BYOD – Bring Your Own Device). Um número cada vez maior de funcionários está acessando as redes da empresa via dispositivos móveis, tablets, computadores pessoais, etc. Embora muitas empresas tenham uma política rígida contra isso, está se tornando difícil de manter a linha.
No AEG 7.9, agora estamos totalmente integrados ao Microsoft InTune, permitindo que chaves e certificados sejam usados com dispositivos móveis. Isso significa que os funcionários podem acessar ativos de rede com segurança e ler e-mails criptografados em seus dispositivos móveis sem adicionar ainda mais certificados. Em versões anteriores, já havíamos integrado com JAMF, dando ao AEG a capacidade total de gerenciar certificados digitais em qualquer tipo de dispositivo móvel, seja iOS, Android ou Windows.
Além disso, melhoramos a experiência do usuário e fornecemos aos administradores melhor visibilidade sobre sua implementação de PKI incluindo relatórios agendados regularmente. Embora o painel já disponibilizasse relatórios manuais, agora é possível programar a execução de relatórios em intervalos regulares que serão enviados aos administradores pertinentes.
O AEG tem as ferramentas para fornecer um suporte poderoso para gerenciar sua PKI, e a automação nunca foi tão necessária. Automatizar a PKI economiza custos consideráveis para as empresas, reduz a carga de trabalho e melhora a agilidade criptográfica e a postura de segurança. O melhor de tudo é que você está fazendo parceria com a GlobalSign, líder global em PKI, AC com confiança pública e provedor de serviços confiáveis qualificados.
Ainda não está convencido?
Leia nosso eBook sobre o custo oculto do AEG.
Consulte nossa ficha técnica para obter mais detalhes.
Ou entre em contato conosco e conte-nos o que precisa de fazer e nós lhe mostraremos como o AEG ajudará você a realizar o que deseja.
