16 septiembre, 2021

Ha llegado el momento de automatizar la gestión de sus certificados digitales

Por Avesta Hojjati, Jefe de Investigación y Desarrollo, DigiCert.

Cuando se trata de PKI y gestión de certificados, se requiere mucha atención y un escrutinio cuidadoso. Cualquier organización necesita supervisar puntajes, cientos y miles de certificados, cada uno con sus propias especificaciones, vida útil y configuraciones. Es una tarea compleja de la que pocos son capaces por sí mismos. Esa falla, en forma de vencimientos o interrupciones imprevistas, tiene un alto precio .

Las interrupciones de los certificados son un problema común. En 2019, el 60 por ciento de las organizaciones experimentaron una interrupción relacionada con los certificados.

Los nuevos desarrollos, así como los viejos problemas, están obligando a prestar una mayor atención a la gestión de certificados. La adopción de nuevas tecnologías, como los dispositivos de Internet de las cosas, está detrás de una expansión exponencial en las necesidades de certificados empresariales. Además, los principales navegadores recientemente redujeron a la mitad la vida útil máxima de los certificados de dos años a solo uno. Si las empresas no prestaban atención a los certificados antes, deben hacerlo ahora.

La automatización de la gestión de certificados es una forma de mitigar las amenazas involucradas en una tarea de importancia crítica. Pero las organizaciones con frecuencia se encuentran con problemas en el camino y paralizan sus planes de automatización, los detienen por completo o, en el mejor de los casos, no logran cosechar las recompensas que ofrece la automatización.

El principal problema que encuentran las organizaciones al intentar automatizar es conocer su propio entorno. En febrero, The Ponemon Institute publicó un estudio que mostraba que el 74 por ciento de las organizaciones no podían decir qué certificados estaban usando. No sorprende que el 55 por ciento de sus encuestados haya sufrido más de cuatro cortes de certificados en los últimos cuatro años.

Las organizaciones necesitan conocer sus entornos por dentro y por fuera: necesitan saber dónde están ubicados sus nodos, necesitan saber qué tipo de servidores web y sistemas operativos utilizan y necesitan saber cómo se utilizan los certificados dentro de su entorno. Muchos, lamentablemente, no lo hacen.

Tampoco es siempre un trabajo fácil. Existe una gran diversidad dentro de las redes empresariales. Mientras que un departamento puede usar un servidor web Apache, otro puede usar nginX. Ese tipo de matices también deben adaptarse para difundir la automatización en todo el entorno.

Esa tarea también se está volviendo más difícil. Las empresas están creciendo con un conjunto diverso de nuevas tecnologías, como IoT o API. También tienen requisitos y configuraciones únicos y deben mapearse y adaptarse al planificar la automatización.

Una encuesta reciente encontró que el 80 por ciento de las organizaciones esperan que el uso de TLS crezca un 25 por ciento durante los próximos cinco años. Eso se debe en parte a esa creciente complejidad dentro de la empresa. Esa complejidad conlleva riesgos si se gestiona de forma inadecuada. Otra encuesta reveló que el 85 por ciento de los CIO creen que la creciente complejidad dentro de los sistemas de TI hará que las interrupciones de los certificados sean mucho más dañinas.

Muchas organizaciones desconocen estas complejidades dentro de la red corporativa. Sin un esfuerzo concentrado, se perderán las promesas de la automatización o se arriesgarán a la caducidad y las interrupciones de los certificados no descubiertos.

Principalmente, necesitan ganar visibilidad en sus entornos, y específicamente en sus certificados; cuales tienen; cómo se utilizan y cómo se configuran. Una plataforma de gestión de certificados con herramientas de descubrimiento puede ayudar aquí.

Las herramientas de descubrimiento de certificados utilizan sensores y agentes para escanear una red con el fin de encontrar todos los certificados TLS / SSL dentro de un entorno determinado, independientemente de la autoridad de certificación que los emitió. Descubrirán una gran cantidad de información, incluidos los estados de los certificados, las autoridades emisoras, los puertos y las direcciones IP del host, las calificaciones de seguridad, las fechas de vencimiento, las vulnerabilidades y otros problemas de seguridad. Debido a que cada certificado es único, la información recopilada aquí puede ayudar a mapear el resto de su entorno.

Una vez que se han descubierto todos sus certificados, se pueden organizar en una plataforma de gestión central y puede comenzar el trabajo de automatización de las funciones de renovación, revocación, solicitud, aprovisionamiento y actualización. A partir de ahí, las empresas pueden comenzar a usar protocolos de automatización estandarizados como el Entorno de administración de certificados automatizado (ACME), el Protocolo de inscripción de certificados simple (SCEP) o la Inscripción sobre transporte seguro (EST), o incluso mediante API REST para instalar agentes de administración de certificados en sus servidores web descubiertos. Son esos agentes los que se utilizarán para automatizar la solicitud, renovación y revocación de certificados.

La automatización va a tener enormes beneficios y, en lo que respecta a la gestión de certificados. Las empresas ahorrarán tiempo, trabajo, dinero y mucho más. Evitarán la amenaza progresiva de la caducidad del certificado, evitarán las costosas interrupciones que amenazan a la empresa y estarán en una posición mucho mejor para adoptar nuevas tecnologías. Con los ataques cibernéticos aumentando en India hasta en un 500% desde que se impuso el bloqueo de COVID-19 en marzo del año pasado, la protección de datos comerciales confidenciales se ha vuelto más importante que nunca. Por lo tanto, se ha convertido en un imperativo para las organizaciones aprovechar todo el potencial de la automatización junto con el riesgo de exponerse a otras amenazas.

Contáctenos para obtener más información sobre nuestras soluciones.