GESTIÓN DEL CICLO DE VIDA DE LA CONFIANZA

INTRODUCCIÓN

EL PROBLEMA RADICA EN EL AUMENTO DEL RIESGO Y LA COMPLEJIDAD

Hoy en día, gestionar la confianza digital es cada vez más difícil y arriesgado para todos los equipos de TI de una empresa. Los responsables de la infraestructura tienen que lidiar con los cambios en las infraestructuras de TI y renovar certificados con más frecuencia, ya que ahora los periodos de validez son más cortos. Los que se ocupan de la gestión de identidades y accesos están adoptando arquitecturas Zero Trust e intentando transformar rápidamente la infraestructura que tienen a su cargo para satisfacer las necesidades de las plantillas híbridas. Y los de operaciones de seguridad ya están pensando en cómo lograr la agilidad criptográfica necesaria para cuando llegue la era de la informática cuántica. Todas estas tendencias están aumentando el interés por la confianza digital, no tanto por su utilidad interna, sino por su valor como inversión estratégica.

Veamos a qué dificultades se enfrenta cada uno de los grupos que acabamos de mencionar:

EQUIPOS RESPONSABLES DE LA INFRAESTRUCTURA

Principal desafío: evitar que la infraestructura deje de funcionar y reducir el riesgo de
que se interrumpa la actividad de la empresa

Estos equipos tienen más trabajo que antes porque ahora los periodos de validez de los certificados TLS son más cortos. Al aumentar la frecuencia de renovación, aumenta también el riesgo de que los certificados caduquen por descuido o se configuren mal, lo que puede llegar a interrumpir el servicio. Además, como los certificados cada vez se usan de más maneras, los equipos no siempre saben cuáles han emitido otros departamentos, y es posible que no se respeten las políticas de emisión o que haya sistemas empresariales clave con certificados sin gestionar.

EQUIPOS RESPONSABLES DE LA GESTIÓN DE IDENTIDADES Y ACCESOS

Principal desafío: garantizar la protección de un gran número de usuarios y dispositivos

Las arquitecturas Zero Trust han hecho que las empresas ya no conciban igual la identidad y la autenticación. La protección de los usuarios, los dispositivos, los datos y el correo electrónico ha experimentado una transformación radical y ha pasado a regirse por el principio de «no confiar nunca, verificar siempre». Estos cambios se están acentuando porque, aunque de repente los empleados prefieren teletrabajar, también esperan que el acceso a los recursos corporativos sea tan fácil y seguro como antes. En este contexto, las empresas están intentando lograr una serie de objetivos: mejorar la experiencia de usuario; aligerar el trabajo del servicio técnico; abarcar más casos de uso; impulsar una adopción global; y acelerar los procesos de aprovisionamiento y revocación para mejorar la seguridad.

EQUIPOS DE OPERACIONES DE SEGURIDAD (SECOPS)

Principal desafío: lograr el nivel deseado de agilidad criptográfica y corregir las vulnerabilidades a tiempo

Como cada vez hay más filtraciones de datos, los equipos de SecOps necesitan arquitecturas de confianza digital que permitan adaptarse con rapidez a las nuevas amenazas, las vulnerabilidades recién descubiertas y los cambios que afectan a la normativa o los estándares criptográficos. Además, la informática cuántica será pronto una realidad y urge que las empresas inviertan en estrategias que, llegado el momento, les ayuden a transformarse a gran velocidad para dar paso a la siguiente etapa: la era poscuántica.

CAPÍTULO 1

PROS Y CONTRAS DE LOS MÉTODOS TRADICIONALES DE GESTIÓN DEL CICLO DE VIDA DE LOS CERTIFICADOS (CLM)

La gestión del ciclo de vida de los certificados surgió en respuesta a este cúmulo de riesgos y necesidades, con la idea de ofrecer una visibilidad y un control centralizados de todos los certificados digitales de una empresa. Antes de que existiera Trust Lifecycle Manager de DigiCert®, las empresas tenían solo dos opciones: Gestionar el ciclo de vida de los certificados con un método provisto por una autoridad de certificación (CA) o diseñado para satisfacer ciertas necesidades, o bien adoptar software de terceros que, según sus fabricantes, ofreciera un sistema de gestión compatible con cualquier CA y, en teoría, más ventajoso.

Ambas cosas tenían, sin embargo, sus inconvenientes. Los sistemas ligados a una CA o un caso de uso concretos no estaban diseñados para abarcar todos los activos relacionados con la confianza digital de una empresa, lo que jugaba en su contra. Y el software compatible con cualquier autoridad de certificación solo era una solución parcial: muchas empresas han comprobado al adoptarlo que es menos fiable y resiliente que una arquitectura bien integrada. Cuando hay un problema, no siempre es fácil determinar su origen porque la gestión de la CA es independiente de su infraestructura. Además, algunos sistemas de software no pueden adaptarse a diferentes casos de uso porque se diseñaron para aplicar un mismo flujo de trabajo a todo, lo que obliga a adquirir servicios profesionales y hace insostenible el modelo de costes.

Los sistemas de gestión del ciclo de vida de los certificados son un buen punto de partida, pero resultan insuficientes. Lo que de verdad querrían las empresas es encontrar un proveedor que les permita gestionar toda su cartera de confianza digital con una solución unificada y completa que, además, sea fiable y resiliente. De este modo, tendrían la certeza de que todos y cada uno de sus certificados están bien gestionados, podrían satisfacer las necesidades asociadas a distintos casos de uso, aliviarían el trabajo administrativo y mejorarían la seguridad. ¿Es esto mucho pedir? Seguramente sí, y por eso las soluciones de gestión del ciclo de vida de los certificados no han dado la talla hasta ahora.

CAPÍTULO 2

LA GESTIÓN DEL CICLO DE VIDA DE LOS CERTIFICADOS SE REINVENTA CON UN NUEVO NOMBRE: «GESTIÓN DEL CICLO DE VIDA DE LA CONFIANZA»

La gestión del ciclo de vida de la confianza sí cumple todas las expectativas de las empresas. Y les aporta valor de nuevas maneras gracias a ventajas como estas:

1. Soluciones compatibles con cualquier CA que combinan a la perfección la gestión del ciclo de vida de los certificados y el control de su emisión. Esto es importante porque, para una empresa, es mejor utilizar una solución completa. Así, la fiabilidad y resiliencia de los sistemas que se ocupan de las operaciones más importantes será responsabilidad de un solo proveedor al que podrán reclamar si algo falla. Además, las soluciones de este tipo pueden ampliarse a tantas autoridades de certificación como sea necesario. Para ello, se utilizan puntos de integración diseñados por ingenieros que conocen muy bien cómo funciona cada CA y son auténticos expertos en operaciones de PKI.
2. Un solo panel de control para la emisión de certificados públicos y privados. Esto es importante porque las empresas invierten cada vez más en confianza digital (a la que consideran una prioridad estratégica) y ahora abordan los problemas derivados de la complejidad y el riesgo desde una perspectiva unificada. Por ese motivo, las soluciones ya no pueden satisfacer solamente las necesidades de un departamento o caso de uso concretos: ahora deben ofrecer un método de gestión único, centralizado y aplicable a todos los usos de la confianza digital en la empresa.
3. Unificación de los servicios de PKI y la gestión del ciclo de vida de los certificados. Esto es importante porque una empresa nunca podrá satisfacer completamente sus necesidades en materia de confianza digital con sistemas que se limiten a gestionar el ciclo de vida de los certificados y no sean compatibles con todas las tecnologías que utilizan los equipos de gestión de identidades y accesos o con los flujos de trabajo que controlan los ciclos de revocación y aprovisionamiento de usuarios.

Trust Lifecycle Manager de DigiCert cubre todas estas carencias con un conjunto de funciones que, por primera vez, permiten a los clientes gestionar el ciclo de vida de la confianza de forma exhaustiva y en profundidad. Las empresas que lo usan ya no gestionan solamente el ciclo de vida de los certificados, sino también sus iniciativas estratégicas y centralizadas en materia de confianza digital.

CAPÍTULO 3

Funciones de Trust Lifecycle Manager de DigiCert

La complejidad y los riesgos a los que nos enfrentamos en la actualidad hacen imprescindibles una serie de
funciones.
 

Funciones necesarias para gestionar los ciclos de vida de los certificados

Detección
Creación de un repositorio centralizado de todos los certificados públicos y privados para proporcionar una visibilidad y un control operativo detallados.

Para supervisar todos los certificados de forma ininterrumpida, se crea un repositorio centralizado. Gracias a él, toda la empresa podrá ver y detectar cualquier certificado suyo, esté donde esté y proteja lo que proteja. La detección es básica para determinar el estado de los certificados que protegen todo lo que se conecta a la red desde dentro de la empresa o fuera de ella, ya que los límites del perímetro tradicional están cambiando.

Gestión y notificación
Determinación de las medidas que es necesario tomar para que los certificados no caduquen o para corregir vulnerabilidades mediante un sistema de alertas.

Como el sistema de supervisión funciona todos los días y a todas horas, será menos probable que la actividad de empresa se interrumpa por culpa de un certificado caducado, una vulnerabilidad u otras actividades dudosas.

Automatización
Aprovisionamiento y renovación sin intervención o con un solo toque para reducir la complejidad y el riesgo de error humano.

Estos mecanismos alivian la carga de trabajo, hacen posible el aprovisionamiento a gran escala y automatizan las tareas manuales y los flujos de trabajo de la empresa, con lo que los errores y la complejidad disminuyen. Adoptar el aprovisionamiento sin intervención, usar las plantillas de certificado predefinidas y aplicar reglas de acceso diseñadas para garantizar el cumplimiento de las políticas de seguridad son algunas de las medidas que pueden adoptarse.

Integración
Control exhaustivo de las distintas CA y todos los sistemas de la empresa.

Integración con servicios de directorio, sistemas de gestión de cambios, gestión unificada de terminales (UEM), gestión de dispositivos móviles (MDM) y gestión de credenciales (CMS), módulos de seguridad de hardware (HSM) y tecnologías de control de usuarios, servidores, documentos, dispositivos o entornos de DevOps. Lo ideal es que las herramientas de integración puedan personalizarse mediante API REST.

Funciones de los servicios de PKI

Creación rápida de CA e ICA
Opciones de configuración que permiten cumplir los requisitos de las distintas unidades empresariales

Perfiles de certificados preconfigurados y personalizables
Aplicables a usuarios, dispositivos y servidores

Inscripción y autenticación flexibles
Métodos manuales y automáticos

Integración con otras tecnologías de gestión de identidades y accesos
UEM/MDM, CMS, Active Directory y otras

La importancia de la arquitectura de integración

La integración debe considerarse con cuidado porque de ella depende el éxito de la estrategia de confianza digital de una empresa, con todas las tecnologías y usos que contemple. Hay varios factores que ayudan a entender el papel que desempeñan los métodos de integración en los flujos de trabajo asociados a los distintos casos de uso. Por ejemplo:

Compatibilidad con diversos protocolos
Las empresas no podrían utilizan los métodos de intercambio de datos habituales en el sector sin protocolos como SCEP, EST, ACME y CMPv2, imprescindibles para que sus programas de certificados interactúen con diversas tecnologías. La compatibilidad con diferentes protocolos permite aprovechar la inversión realizada en los sistemas existentes e incluirla en el programa de confianza digital.

Clientes
Las aplicaciones cliente ayudan a solucionar el problema de la automatización y la instalación de última milla. Muchas de las aplicaciones que hay en las estaciones de trabajo o los ordenadores portátiles de los usuarios se han personalizado para satisfacer las necesidades particulares de una empresa. Con ayuda de herramientas cliente, los profesionales de TI pueden aplicar scripts de instalación personalizados donde la empresa lo necesite, automatizar las renovaciones e instalaciones de última milla y aplicar políticas de seguridad relacionadas con el uso de la autenticación multifactor (MFA) o las reglas de contraseñas. Este método mejora la experiencia del usuario final, ya que la instalación y renovación de certificados se realiza de forma sencilla e imperceptible para quienes utilizan las aplicaciones.

Pasarelas
Las pasarelas son útiles en arquitecturas locales que prohíben a los usuarios o servidores conectarse directamente a recursos externos. En estos entornos, la pasarela hace de proxy y tramita estas solicitudes de forma segura.

Integraciones nativas
Las integraciones nativas permiten incorporar funciones más avanzadas listas para usar, de modo que no haya que dedicar grandes recursos a crear soluciones de PKI personalizadas. Con DigiCert, los administradores ya no tienen que pensar en qué integraciones sería bueno incorporar ni invertir tiempo en crearlas, ya que las plantillas de certificado preconfiguradas se integran de forma nativa con tecnologías como Intune, Windows Hello para empresas o ServiceNow.

API
Las API permiten crear integraciones personalizadas (normalmente, para los sistemas de los clientes o con la idea de automatizar ciertos procesos).

Para que una solución de gestión se adapte de verdad a las peculiaridades de cada flujo de trabajo de una empresa también única, se necesitan integraciones flexibles, fiables y profundas que funcionen de forma nativa.

CONCLUSIÓN

La gestión del ciclo de vida de la confianza, una nueva forma de concebir y gestionar la confianza en la empresa

Dentro de una empresa, las iniciativas estratégicas relacionadas con la gestión de la confianza benefician a quienquiera que se interese por la seguridad: administradores preocupados por la renovación de certificados; responsables de la gestión de identidades y accesos a los que les gustaría mejorar la protección y la autenticación; o jefes de SecOps que no dejan de pensar en la corrección de problemas.

La gestión del ciclo de vida de la confianza no es una simple herramienta ni una lista de tareas con la que gestionar los certificados. En realidad, desempeña diferentes funciones: unifica la gestión del ciclo de vida de los certificados y los servicios de PKI, protege los activos corporativos, optimiza los flujos de trabajo y ayuda a una empresa a lograr la agilidad criptográfica que necesita. Se trata de un nuevo modelo que cambia la forma de entender y poner en práctica la gestión de certificados.