Le nuove tecnologie e una connettività sempre più estesa hanno semplificato il lavoro di tanti di noi. Ma per la maggior parte degli amministratori di rete vale l'esatto contrario.
Le organizzazioni chiedono agli amministratori di rete di gestire i server web e i bilanciatori di carico in modo che forniscano ridondanza e alta disponibilità, e siano sempre protetti da potenziali aggressori. E gli admin devono inoltre garantire che le applicazioni e i dati in esecuzione sui loro server e bilanciatori di carico siano sempre protetti, senza doverli mettere offline.
Per anni, i responsabili di questo compito hanno usato una combinazione di fogli di calcolo, script e singoli strumenti per gestire il ciclo di vita dei certificati TLS che proteggono le connessioni e le comunicazioni. Questo tipo di gestione dei certificati manuale ha sempre richiesto molto tempo. Ma oggi sta diventando di fatto insostenibile.
La soluzione? Una piattaforma per il ciclo di vita dei certificati che automatizza la gestione dei certificati TLS dall'acquisto al rinnovo e alla revoca.
Scopriamo perché la gestione automatizzata del ciclo di vita dei certificati (CLM) non è più solo un'opzione, ma una necessità che consente agli amministratori di rete di gestire in modo efficace l'enorme numero di certificati di cui sono responsabili.
La durata massima dei certificati pubblici è in calo da oltre dieci anni, dai cinque anni del 2012 ai 398 giorni del 2020, con la possibilità di scendere a soli 90 giorni se Google riuscirà nel suo intento.
La durata di vita ridotta fa sì che i certificati scadano molto più rapidamente di un tempo. E con la gestione manuale è facile non accorgersi di un certificato in scadenza, con il rischio di causare un'interruzione operativa o peggio una violazione dei dati aziendali.
La migrazione di molte grandi aziende dai data center tradizionali ad ambienti IT distribuiti e complessi ha complicato ulteriormente le cose, generando un aumento esponenziale del numero di certificati TLS da gestire. Oggi "certificato digitale" è spesso sinonimo di "identità della macchina", questo perché la definizione di "macchina" si è ampliata nell'attuale mondo dell'IT ibrido.
Una macchina ora può essere qualsiasi cosa, da un tradizionale server fisico o PC a un dispositivo IoT o mobile, un sito web, un'applicazione online composta da microservizi, un container o un'istanza cloud. Ciò che accomuna tutte queste macchine è la necessità di possedere un'identità unica per comunicare in sicurezza con le altre macchine. E gli amministratori di rete hanno il compito sempre più complesso di gestire ogni singola identità.
Come tutti sappiamo, una buona soluzione CLM deve funzionare in tutta l'azienda. Ma quali sono le funzionalità specifiche che consentono a un amministratore di rete di gestire l'intero inventario di certificati?
Ecco tre aspetti da tenere a mente.
Un tipico cluster di server web o di bilanciatori di carico può ospitare migliaia di applicazioni, ognuna composta da centinaia di microservizi. Ogni singolo server, app e microservizio ha bisogno di una sua identità macchina per autenticarsi correttamente con le altre identità e contribuire alla sicurezza della rete.
Per tenere traccia dell'identità di ogni macchina, l'organizzazione deve mantenere un inventario di certificati completo e aggiornato. Ma non tutte le soluzioni CLM offrono un'integrazione nativa per i vari dispositivi di rete, quindi è essenziale avere diverse opzioni per automatizzare la gestione dei certificati.
I server web, i bilanciatori di carico e altre appliance di rete richiedono agenti installati localmente e integrazioni API (sensori) che connettono correttamente ogni dispositivo con la piattaforma CLM. Se una soluzione non può garantire il corretto funzionamento di queste integrazioni, rischi di perdere più tempo a risolvere i problemi di quanto ne abbia risparmiato con l'automazione.
Una soluzione CLM efficace include integrazioni native per tutti i dispositivi, consentendo una gestione ottimale dei certificati associati a queste architetture, e idealmente fornisce una sua architettura completa di automazione CLM che opera in modo fluido con server web e bilanciatori di carico.
Una soluzione come DigiCert® Trust Lifecycle Manager supporta tutti i diversi flussi di lavoro e target di cui devono occuparsi gli amministratori di rete, un aspetto essenziale vista la necessità dei dispositivi di rete di fornire una disponibilità continua.
La flessibilità è essenziale per automatizzare la gestione del ciclo di vita dei certificati. Ad esempio, è possibile che ti servano certificati di durata diversa per i server web interni (privati) rispetto a quelli esterni (pubblici), ma la maggior parte degli amministratori di rete non ha competenze sulle infrastrutture a chiave pubblica (PKI) sufficienti per configurare queste azioni.
È qui che entrano in gioco i profili. I profili seguono una serie di regole predefinite per determinare le modalità di emissione, gestione e utilizzo dei certificati digitali. Una soluzione CLM efficace fornisce template con configurazioni preimpostate che ti permettono di definire le proprietà dei certificati, come il tipo, la validità e la gerarchia di fiducia, in modo da applicare diverse configurazioni ai diversi casi d'uso. Ad esempio, puoi creare dei profili per definire configurazioni separate per i certificati dei server web pubblici, per l'autenticazione dei dispositivi e dei servizi interni e per l'accesso dei dipendenti alle applicazioni sulle reti Wi-Fi aziendali.
Inoltre, l'automazione dei flussi di lavoro ti aiuta a identificare e risolvere i problemi di sicurezza e conformità. Ad esempio, l'automazione può segnalarti che un certificato è stato ottenuto da un'autorità di certificazione (CA) non approvata come Let's Encrypt, e consentirti di sostituirlo con un certificato DigiCert prima che si verifichi un problema. Puoi anche programmare i certificati affinché si rinnovino nelle fasi di minor traffico, evitando che il rinnovo mandi in blocco un'applicazione in un periodo di punta come la settimana del Black Friday.
Gli amministratori di rete sanno che la sicurezza è fondamentale per la business continuity. Ma garantire il 100% di disponibilità senza una piattaforma CLM che automatizzi la gestione dei certificati è impossibile, perché ci sono troppi certificati digitali da gestire manualmente e questo offre infinite opportunità di errore umano.
Una buona piattaforma CLM fornisce un'automazione completa dalla fase di discovery alla gestione del ciclo di vita dei certificati TLS. Snellendo questo enorme numero di processi e riducendo le possibilità di configurazioni errate, gli amministratori di rete possono eliminare il rischio di downtime dovuti a certificati errati. Infine, la possibilità di ridurre il sovraccarico e di rafforzare al contempo la sicurezza permette a un admin di dedicarsi a quelli che sarebbero i suoi compiti effettivi.
Desideri maggiori informazioni su gestione dei certificati, sicurezza aziendale e PKI? Iscriviti al