Ir al contenido

Próximamente estarán disponibles los certificados de 47 días. ¿Todo listo?

Actúa ahora →

  1. Blog
    2. Casos de éxito

Una historia de éxito de cómo transformamos la seguridad de una organización de atención médica líder en EE. UU. con nuestra evaluación de PKI

Publicado porAditi Goel 07 Minutos
Banner de historia de éxito
Tabla de contenido

Anuncios

Acabamos de completar uno de los proyectos más extensos evaluación de infraestructura de clave pública Proyectos con la principal organización de atención médica con sede en Minnesota, líder en su sector, que alberga a más de 7000 profesionales apasionados, dedicados a establecer nuevos estándares para las farmacias y desarrollar tratamientos, con la aspiración de encontrar curas para enfermedades. Han pasado décadas, y esta organización se ha convertido en un referente, simplificando las complejidades y ofreciendo una plataforma excepcional de servicios de farmacia a domicilio a millones de personas en todo el país. A medida que crecía, surgían más desafíos, especialmente en la gestión de su Infraestructura de Clave Pública.

Desafíos

A lo largo de los años, su PKI había evolucionado sin un enfoque estructurado para su implementación. Autoridades de certificación (CA) y actualizar las listas de revocación de certificados. Este proceso ad hoc dejó de ser un sistema de seguridad para convertirse en un mosaico, funcional pero no escalable.

Gestión manual de los procesos del ciclo de vida, como la emisión, renovación, el revocación La gestión de miles de certificados era difícil para las organizaciones, lo que retrasaba las operaciones y aumentaba el riesgo de interrupciones del servicio debido a los certificados caducados que persistían en el sistema. Se convirtió en un ejemplo clásico de "lo que te trajo hasta aquí no te traerá en el futuro", y se dieron cuenta de que era hora de un cambio.

Nuestro arquitecto de seguridad lo expresó con acierto: «El entorno PKI de la organización había evolucionado para satisfacer los requisitos de seguridad inmediatos, pero sin una estrategia centrada en el cumplimiento normativo ni una supervisión centralizada, dejó brechas críticas que podrían derivar en costosas sanciones». Estas brechas dejaron sin seguimiento los riesgos relacionados con los certificados.

Además, no existían políticas formales, como la Política de Certificación (PC) o la Declaración de Prácticas de Certificación (DPC), que guiaran las operaciones de PKI. Las claves privadas de las CA raíz y emisoras se almacenaban localmente en soluciones de software que carecían de controles de acceso sólidos.

En un entorno híbrido, la consistencia es difícil de lograr. Con operaciones tanto locales como... basado en la nube plataformas, la organización afrontó los desafíos de gestionar la constante criptográfico controles y aplicación de políticas con distintos requisitos de seguridad.

Una de las partes interesadas clave compartió: "Cada vez que pensábamos que teníamos el control de la seguridad, aparecía un nuevo punto ciego". La falta de visibilidad y los desafíos operativos, como la ausencia de un proceso regular de respaldo para las bases de datos de las autoridades de certificación, los expusieron a De pérdida de datos descubrimiento de certificados nunca ocurrió debido a que los certificados comodín y autofirmados se encontraban en su entorno sin ser detectados, lo que aumentaba las posibilidades de interrupciones de los certificados.

Sin un inventario de certificados actualizado o un proceso adecuado de descubrimiento de certificados, comodines certificados autofirmados Permanecerían ocultos en el entorno. Dichos certificados creaban puntos ciegos que resultaban en accesos no autorizados, falta de rendición de cuentas y posible explotación de certificados no utilizados.

El entorno PKI también carecía de la agilidad para adaptarse rápidamente a las demandas futuras, ya que fue construido con una dependencia de una sola CA o una estrategia de CA rígida, lo que en última instancia encerró a la organización con un solo proveedor, lo que dificultó la respuesta a las tendencias de seguridad emergentes, los cambios regulatorios o las actualizaciones en los estándares criptográficos, como la transición del protocolo TLS 1.2 al protocolo TLS 1.3.

Solución:

Después de evaluar exhaustivamente varias Evaluación de PKI plataformas, la organización eligió nuestro enfoque estructurado y por fases como la solución ideal para abordar sus desafíos más urgentes, reconociendo nuestro historial comprobado en la prestación de servicios de seguridad y cumplimiento personalizados, eficientes y escalables.

Evaluamos la capacidad de la infraestructura PKI para integrarse con múltiples CA. Esta flexibilidad permitiría a la organización satisfacer diversos casos de uso, desde certificados internos hasta requisitos de cumplimiento externos, sin depender de un solo proveedor.

Con el alcance del proyecto claramente definido, comenzamos revisando sus políticas y estándares existentes, incluyendo las políticas de clasificación de datos, certificados y gestión de claves. Obtuvimos una comprensión clara de sus desafíos operativos y requisitos de seguridad, lo que nos ayudó a establecer los casos de uso, incluyendo:

  • Asegurar la comunicación entre cliente y servidor
  • Habilitación de los principios de control de acceso con privilegios mínimos
  • Certificado centralizado y automatizado y gestión de claves
  • Implementar controles y estándares criptográficos sólidos y compatibles

Realizamos talleres con las partes interesadas identificadas para evaluar su entorno de PKI actual. Esto incluyó un análisis detallado de las deficiencias para comparar su estado actual de PKI con el futuro de PKI.

El análisis identificó áreas de mejora en gestión del ciclo de vida del certificado proceso, prácticas de gestión de claves, política de certificación y documentación de prácticas de certificación.

Esta evaluación se llevó a cabo utilizando un marco PKI personalizado, diseñado en consonancia con las mejores prácticas de la industria y los estándares de cumplimiento, como NIST 2.0 y FIP 140-2 / 3.

Para identificar brechas y áreas de mejora, sirvió como modelo de referencia para construir una hoja de ruta de remediación estratégica para un entorno de PKI preparado para el futuro.

Después de realizar la evaluación, creamos una estrategia personalizada que prioriza el cumplimiento de los estándares regulatorios, como NIST SP 1800-16, garantiza la generación de claves (por ejemplo, utilizando un tamaño de bit de clave de 2048 o superior) e implementa principios de controles de acceso con el mínimo privilegio para evitar el acceso no autorizado.

Servicios de PKI empresarial

¡Obtenga soporte de consulta completo de extremo a extremo para todos sus requisitos de PKI!

Más Información

Nuestro enfoque de evaluación de PKI se centró en automatizar los procesos de gestión del ciclo de vida de certificados y claves, reducir la carga de trabajo manual y minimizar el riesgo de interrupciones de los certificados. Por ejemplo, las alertas automatizadas de vencimiento de certificados ayudan a notificar a las partes interesadas en tiempo real, garantizando renovaciones proactivas y automatizadas.

Además, recomendamos un proceso de respaldo automatizado para las bases de datos de CA para garantizar la recuperación de datos que brindó una mejor visibilidad. políticas de PKI estandarizadas para una gestión consistente de certificados con el objetivo de eliminar gradualmente los riesgosos certificados comodín autofirmados y no administrados.

Nuestro análisis de brechas también enfatizó la importancia de centralizar el inventario de certificados para rastrear y monitorear los certificados en entornos locales y en la nube. El objetivo de nuestro gerente senior era lograr una vista única que permitiera rastrear y monitorear el estado, la propiedad y las dependencias de los certificados, abordar los puntos ciegos y mejorar la rendición de cuentas.

Impacto

A lo largo del proyecto, priorizamos la identificación de la causa raíz de sus problemas de seguridad y la reducción de la brecha entre su entorno PKI actual y los objetivos de seguridad a largo plazo. Nuestro enfoque se centró en proporcionar una estrategia y un plan de remediación detallado o recomendaciones para automatizar... CLM procesos e incorporar las mejores prácticas en las operaciones diarias.

La organización logró una mejora significativa en el fortalecimiento de su seguridad al automatizar el ciclo de vida de los certificados, desde su emisión hasta su renovación, y los procesos de gestión de claves, lo que minimizó la necesidad de intervenciones manuales. Un resultado notable fue su capacidad para gestionar activamente las renovaciones de certificados y evitar interrupciones del servicio causadas por certificados caducados.

La organización logró operaciones continuas sin interrupciones del servicio mediante alertas automatizadas y un proceso de renovación de certificados.

Además, las claves privadas de la CA emisora ​​y raíz se almacenaron y administraron de forma segura mediante el uso de Módulo de seguridad de hardware (HSM)Se garantizaron fuertes controles de acceso, con moral y responsabilidades claramente definidas dentro de la organización para garantizar la confianza en las operaciones de certificación.

Como resultado de nuestra evaluación, la organización adoptó un enfoque sin contraseñas para reforzar la seguridad y simplificar la autenticación de usuarios. Se implementaron certificados en todos los endpoints, incluyendo portátiles, teléfonos móviles, servidores web internos y dispositivos IoT.

La organización estableció procesos estandarizados y centralizados para gestionar su PKI. Esto incluía gestionar cómo solicitudes de firma de certificados Se generaron, se gestionaron las aprobaciones y se realizó el seguimiento y monitoreo de los certificados en el inventario de certificados.

La organización se centró en crear un sistema centralizado de gestión de certificados que ayude al equipo a garantizar qué certificados están activos, quién los posee y cuáles necesitan atención inmediata.

Al estar atento a los próximos vencimientos, la organización evita problemas inesperados como interrupciones del servicio.

Conclusión

Dado que la confianza digital es la base de toda organización, gestionar eficazmente la PKI no solo implica garantizar el buen funcionamiento, sino que es un imperativo estratégico. Nuestra evaluación integral de la PKI permitió al sector sanitario pasar de una PKI fragmentada a una PKI segura y escalable.

La transición de la organización a la estandarización PKI El entorno ha mejorado la visibilidad de su PKI, lo que les ayuda a abordar las próximas expiraciones de certificados y evitar costosas interrupciones. Este enfoque demuestra cómo un sistema simple y bien planificado puede marcar la diferencia, garantizando la confianza y la seguridad a largo plazo.

En el futuro, la organización planea expandir estas capacidades automatizando la implementación y gestión de certificados, integrando PKI con el sistema de gestión de acceso e identidad existente y aprovechando PKI para casos de uso emergentes, como la seguridad de dispositivos IoT.

Explorar

Más temas