Infraestructura de clave pública (PKI) Se trata principalmente de gestionar identidades digitales seguras que permiten proteger los datos y conocer la identidad del sujeto (un sujeto puede ser cualquier cosa, como una computadora, una persona, un enrutador o un servicio) al compartir información a través de redes no confiables. La PKI es esencial para la mayoría de las empresas y sus aplicaciones hoy en día.
A medida que aumenta la adopción de diversos modelos de nube (es decir, pública, privada e híbrida) en múltiples sectores, el término "nube" está en auge. Sin embargo, los clientes aún tienen inquietudes sobre la seguridad y plantean una pregunta común:
"¿Cómo puedo confiar en la nube?" La respuesta más sencilla a esta pregunta es "generar confianza en torno a la nube", pero ¿cómo? Bueno, analizaremos algunos conceptos interesantes de PKI que, si se planifican e implementan correctamente, pueden ser una buena solución.
para generar confianza en los clientes en la nube. Antes de analizar en detalle los modelos de arquitectura PKI basados en la nube, repasemos algunos conceptos básicos.
¿Qué es la infraestructura de clave pública (PKI)?
La Infraestructura de Clave Pública combina diferentes componentes tecnológicos para autenticar usuarios y dispositivos dentro de un ecosistema digital. Los objetivos principales de una PKI son la confidencialidad y la autenticación, es decir, permitir conversaciones muy privadas a través de cualquier...
Plataforma, manteniendo las identidades individuales disponibles para la autenticación. Los criptosistemas utilizan funciones matemáticas o programas/protocolos para cifrar y descifrar mensajes. Cada proceso, capa o software de seguridad debe implementar y cubrir la tríada CIA.
- Confidencialidad:Se refiere al proceso para garantizar que la información enviada entre dos partes sea confidencial únicamente entre ellas y no sea vista ni divulgada por ninguna otra persona.
- IntegridadSe refiere al proceso para garantizar que el mensaje en tránsito mantenga su integridad, es decir, que su contenido no se modifique. La integración de datos se asegura mediante hash.
- DisponibilidadLa disponibilidad es el último componente de la tríada CIA y se refiere a la disponibilidad real de sus datos. Los mecanismos de autenticación, los canales de acceso y los sistemas deben funcionar correctamente para la información que protegen y garantizar su disponibilidad cuando se necesite.
Junto con estos, hay algunos parámetros importantes que se describen a continuación:
- AutenticaciónEl proceso de confirmar la identidad de alguien con los parámetros proporcionados, como el nombre de usuario y la contraseña. La PKI ofrece esto a través de... certificados digitales
- Autorización:El proceso de otorgar acceso a un recurso a la identidad confirmada en función de sus permisos.
- No repudioUn proceso que garantiza que solo el punto final deseado haya enviado el mensaje y que no pueda rechazarlo posteriormente. La PKI ofrece no repudio mediante firma digital.
Desafíos al adoptar un modelo PKI basado en la nube
Existen diversos desafíos en la PKI según las tendencias de la industria y el negocio. Aquí analizaremos algunos de los más comunes.
- Falta de comprensión de los conceptos de PKI y aspectos de diseño. Además, cumplir con los requisitos de cumplimiento tales como Norma NIST-800-57 (proporciona recomendaciones para criptografía) gestión de claves) La etapa posterior a la implementación es importante.
- Ignorando la importancia de HSM . Cuando se ignora el uso de HSM, tenga en cuenta que su PKI no será compatible con FIPS-140 Nivel 3.
- Conocer y comprender los proveedores de nube (AWS, Azure, GCP, etc.) Qué proveedor de nube puede satisfacer todos los requisitos según las necesidades de su negocio es algo que debe tenerse en cuenta.
- Integración con su infraestructura PKI existente. Elegir el modelo adecuado para su organización es imprescindible.
- Elegir las herramientas y los procesos adecuados para su Gestión del ciclo de vida de los certificados.
Considerando la PKI basada en la nube
A diferencia de sus contrapartes locales, las PKI basadas en la nube son servicios de PKI alojados externamente que proporcionan capacidades de PKI bajo demanda. Este enfoque en la nube reduce drásticamente la carga financiera, de recursos y de tiempo para las organizaciones, al eliminar la necesidad de implementar infraestructura interna.
El proveedor de servicios gestiona todo el mantenimiento continuo de la PKI, garantizando al mismo tiempo la escalabilidad y la disponibilidad, ofreciendo un servicio eficiente y sin complicaciones. La escalabilidad para adaptarse a las crecientes necesidades de la organización es otra ventaja. El proveedor de servicios gestiona todos los requisitos adicionales (instalación de software, hardware, copias de seguridad, recuperación ante desastres y otra infraestructura) que, de otro modo, se convertirían en...
una carga para los propietarios de soluciones PKI locales.
Opciones para modelos de PKI basados en la nube
La PKI o Infraestructura de Clave Pública puede aprovecharse de diversas maneras para beneficiar a la organización. En todas las opciones de PKI en la nube, la seguridad de los datos es fundamental; una PKI que funcione correctamente es fundamental. A continuación, se presentan las opciones de PKI en la nube.
- Modelo simple
- Modelo híbrido de dos niveles
- Modelo de tres niveles
- Modelo híbrido de tres niveles
Modelo simple
Este es el modelo más sencillo de implementar para una PKI basada en la nube y puede ser útil para modelos de negocio de pequeña escala. En este enfoque, Root CA Se instala localmente y fuera de línea de la misma manera que se hace para la PKI tradicional. La CA emisora se mantiene en la nube y actúa
Como CA empresarial principal que emite certificados a las entidades finales, aprovechamos los proveedores de la nube para proporcionar gestión y disponibilidad a las máquinas virtuales y las autoridades de certificación.
Por ejemplo: Si su CA emisora está en AWS Gestión de certificados CA privada (ACM PCA) y luego, para almacenar las claves privadas, se utilizarán HSM en la nube de AWS.
NOTA: En el modelo anterior, la seguridad de las claves privadas para la CA emisora depende completamente de los proveedores de la nube, ya que utiliza HSM en la nube.
Modelo híbrido de dos niveles
En este modelo arquitectónico, ampliamos el modelo simple para mayor seguridad. CA raíz se mantiene local y fuera de línea. Aquí tenemos dos CA emisoras, uno se mantiene en las instalaciones, y otro se mantiene en el nube, y ambos son en línea.Si observa el modelo anterior, habrá dificultades para abordar los dispositivos locales. Sin embargo, en este modelo, logramos la opción híbrida, ya que abordamos ambos recursos (locales y en la nube).
La CA emisora en la nube se centrará en las cosas que necesitan emisión y disponibilidad fuera de las instalaciones locales, mientras que la CA emisora local se centrará en la seguridad de los recursos que no están en la nube, por ejemplo, autenticación de estaciones de trabajo, certificados de dominio, etc.
Además, el otro Componentes de PKI Como CDP, AIA y OCSP, se pueden colocar en la nube con alta disponibilidad. De esta manera, se puede recurrir a los proveedores de la nube para obtener información de revocación. En este modelo, las claves de firma están protegidas por HSM locales y en la nube.
Modelo de tres niveles
En este modelo, la CA raíz es local y sin conexión, y se agrega una CA de políticas o una CA intermedia a la jerarquía (que se mantiene sin conexión y segura), donde se pueden definir explícitamente las políticas de emisión y aplicación. La CA de políticas decidirá qué políticas se aplicarán.
que se emitirá y cómo se emitirá en una CA emisora. Si desea tener un control estricto sobre la emisión de sus certificados y, al mismo tiempo, aprovechar los proveedores de la nube, entonces colocar la CA de política en las instalaciones y la CA emisora en la nube es el uso correcto de este modelo.
Sin embargo, en este modelo la CA emisora no podrá emitir certificados para ningún otro propósito excepto los mencionados explícitamente en la Política de CA.
Modelo híbrido de tres niveles
Este modelo es similar a la opción anterior de tres niveles. La CA raíz y la CA de políticas se mantienen en las instalaciones y fuera de línea. Hay dos CA emisoras, una local y otra en la nube, para abordar diferentes casos de uso. Se mencionarán las políticas explícitas.
En la política, la CA y las CA emisoras emitirán certificados según esta. En este modelo, los HSM se utilizan tanto localmente (para la CA emisora local) como en la nube (para la CA emisora en la nube) para almacenar las claves de firma. Sin embargo, si desea usar un HSM local para que su CA emisora en la nube almacene las claves, puede hacerlo conectando su CA de Microsoft a la instancia de AWS EC2.
El coste de una PKI basada en la nube
La PKI basada en la nube impone una carga financiera reducida para la organización en comparación con
PKI local. Mientras que la PKI local genera costos ocultos y tradicionales, los servicios de PKI en la nube solo tienen una tarifa mensual, lo que garantiza la cobertura de todos los costos de PKI salientes.
Son fijos. La PKI local cuesta a las organizaciones aproximadamente $305,000 más que el servicio de PKI administrada basado en la nube.
Conclusión
Basado en la nube Servicios de PKI Permiten a las organizaciones reducir algunos de los elevados costos asociados con la implementación de PKI, incluyendo infraestructura y capacitación del personal. Los servicios de PKI en la nube son una solución rentable para todas las transacciones comerciales críticas, lo que significa que las organizaciones ya no tienen que elegir entre una seguridad costosa o una brecha de seguridad costosa.
