Trust Lifecycle Manager 01-09-2024

Trois clés pour automatiser la gestion du cycle de vie des certificats

 

robyn-weisman
3 Ways to Automate CLM Hero

Si les nouvelles technologies et le tout-connecté ont indéniablement simplifié la vie de nombre de professionnels, c’est loin d’être le cas pour les administrateurs réseau. Bien au contraire.  

Les administrateurs réseau jouent un rôle essentiel dans les entreprises, et ce à plus d’un titre. Ils doivent ainsi garantir la redondance et la haute disponibilité des serveurs web et équilibreurs de charge, tout en les tenant à l’abri des acteurs malveillants pour assurer la sécurité des applications et des données que ces équipements hébergent. Et ils doivent y parvenir sans aucune interruption de service. 

Pendant des années, ces professionnels se sont acquittés de cette tâche à l’aide d’une combinaison de tableurs, scripts et solutions spécialisées pour gérer le cycle de vie des certificats TLS garants de la protection des connexions et des communications. Si cette gestion manuelle des certificats a toujours été chronophage, elle s’avère de plus en plus intenable à long terme. 

D’où l’impératif d’une plateforme qui automatise la gestion des certificats TLS sur tout leur cycle de vie, de l’achat à la révocation   en passant par le renouvellement.

Pour aider les administrateurs réseau à faire face au volume colossal de certificats sous leur responsabilité, l’automatisation de la gestion du cycle de vie des certificats (CLM) s’impose désormais comme une nécessité absolue. Découvrons pourquoi. 

Des certificats toujours plus nombreux, des durées de vie toujours plus courtes

Depuis une dizaine d’années, la durée de vie maximale des certificats publics ne cesse de raccourcir. De cinq ans en 2012, elle a été réduite à 398 jours en 2020, et pourrait même se limiter à 90 jours si Google a le dernier mot dans les discussions actuelles

Qui dit durée de vie plus courte, dit expiration plus rapide des certificats. Le problème de la gestion manuelle, c’est qu’elle peut facilement laisser passer un certificat sur le point d’expirer, entraînant au mieux une interruption de service, au pire une compromission de données

Et pour compliquer un peu plus la donne, l’abandon des data centers traditionnels au profit d’environnements IT complexes et distribués a entraîné une explosion du nombre de certificats TLS dans de nombreuses grandes entreprises. Autre conséquence de cette transition, les termes « certificat numérique » et « identité machine » s’emploient de plus en plus souvent de manière interchangeable, depuis que le sens de « machine » s’est considérablement élargi dans cet univers IT hybride. 

Serveur physique classique, poste de travail, appareil mobile, objet IoT, site web, application web basée sur des microservices, containers, instance cloud… le mot « machine » englobe désormais de multiples réalités. Toutes cependant ont en commun la nécessité d’avoir une identité machine unique pour communiquer avec les autres en toute sécurité. Et c’est la lourde gestion de toutes ces identités qui incombe aux administrateurs réseau. 

Les trois piliers d’une plateforme de gestion du cycle de vie des certificats efficace

Pour être performante, votre solution CLM doit s’appliquer à l’intégralité de votre entreprise. Certes, mais ce n’est pas tout.

Découvrez les trois fonctionnalités indispensables aux administrateurs réseau

1. Intégration native aux équipements réseau tiers

Traditionnellement, un cluster de serveurs web ou d’équilibreurs de charge peut héberger des milliers d’applications, elles-mêmes composées de centaines de microservices. Or pour s’authentifier avec d’autres identités et ainsi garantir la sécurité du réseau, chaque serveur, application et microservice a besoin d’avoir sa propre identité machine.

Il en résulte un foisonnement d’identités que votre entreprise doit surveiller de près. D’où la nécessité d’un inventaire exhaustif et actualisé des certificats. Le problème, c’est que toutes les solutions CLM ne se valent pas et ne s’intègrent pas nativement aux équipements réseau, vous forçant ainsi à recourir à différents modes d’automatisation de la gestion des certificats.

Pour les serveurs web, équilibreurs de charge et autres appliances réseau, il vous faut des agents installés localement et des intégrations API (capteurs) capables de connecter chaque machine à la plateforme CLM. Sans intégrations transparentes, votre solution risque de vous faire perdre plus de temps à résoudre les problèmes que l’automatisation ne vous en fera gagner.

L’efficacité d’une solution CLM passe par des intégrations natives avec chaque équipement pour pouvoir gérer tous les certificats associés à ces architectures. Dans l’idéal, elle inclura même sa propre architecture d’automatisation CLM qui fonctionne en toute transparence avec les serveurs web et les équilibreurs de charge.

C’est le cas de DigiCert® Trust Lifecycle Manager, qui gère les différents workflows et objectifs avec lesquels les administrateurs réseau doivent jongler. Un point essentiel vu l’importance pour ces équipements réseau de garantir une disponibilité en continu.

 

DigiCert Trust Lifecycle Blog Image

2. Profils pour le déploiement automatique des certificats

L’automatisation de la gestion du cycle de vie des certificats demande une certaine flexibilité, notamment pour adapter les durées de validité selon que les serveurs web sont internes (privés) ou bien externes (publics). Malheureusement, la plupart des administrateurs réseau ne maîtrisent pas les compétences en infrastructure à clés publiques (PKI) nécessaires pour effectuer ce type de configuration.

C’est là que les profils entrent en jeu. Leur mission : suivre un ensemble de règles prédéfinies déterminant le mode d’émission, de gestion et d’utilisation des certificats. Une solution CLM digne de ce nom propose ainsi des templates préconfigurés qui vous permettent de définir les propriétés du certificat (type, validité, niveau de confiance, etc.) pour appliquer différentes règles en fonction du cas d’usage. Libre à vous de créer des profils et d’énoncer des configurations spécifiques pour vos divers certificats selon qu’ils sont destinés aux serveurs web publics, à l’authentification des appareils et services internes, ou encore à l’accès des collaborateurs aux applications métiers sur votre réseau Wi-Fi d’entreprise.

L’autre avantage de l’automatisation des workflows, c’est qu’elle vous aide à repérer et à corriger les problèmes de sécurité et de conformité. Par exemple, elle peut révéler l’achat d’un certificat auprès d’une autorité de certification (AC) non approuvée, comme Let’s Encrypt, et vous proposer de le remplacer par un certificat DigiCert avant que le certificat non autorisé ne pose problème. Vous pouvez également programmer le renouvellement des certificats uniquement en périodes creuses afin d’éviter une interruption de services pendant un pic de trafic, comme pendant le Black Friday.

3. Disponibilité continue 

Les administrateurs réseau savent parfaitement que la continuité d’activité dépend de la sécurité. Mais sans une plateforme CLM capable d’automatiser la gestion des certificats, impossible d’atteindre 100 % de disponibilité. Les certificats numériques sont tout simplement trop nombreux pour une gestion manuelle, laquelle est par ailleurs propice aux erreurs humaines.

D’où l’importance de pouvoir compter sur une solution CLM qui offre une automatisation de bout en bout, de la phase de découverte des certificats TLS jusqu’à leur révocation, en passant par toutes les étapes de leur cycle de vie. Car simplifier la myriade de processus, c’est réduire d’autant les erreurs de configuration éventuelles et donc éliminer le risque de downtime lié notamment à un certificat non autorisé. En réduisant ainsi leur charge de travail tout en renforçant la sécurité, les administrateurs réseau pourront se recentrer sur leur cœur de métier.

Confiance numérique : le point sur l’actualité et les innovations

Envie d’en savoir plus sur la gestion des certificats, la sécurité d’entreprise et la PKI ? Abonnez-vous au blog DigiCert pour découvrir nos derniers articles sur toutes ces thématiques.

Subscribe to the blog