Introducción a CertSecure Manager: la solución insignia de gestión de certificados de Encryption Consulting

Certificados Los certificados se han convertido en un componente clave del ciberespacio actual, donde cada componente requiere uno para confirmar su identidad. Desde usuarios hasta servidores y aplicaciones, cada parte de la organización necesita un certificado para funcionar correctamente. Si bien esto mejora la seguridad general de la organización, a medida que esta crece, resulta difícil gestionar dichos certificados, incluyendo su renovación. revocar ellos, y en ocasiones emitiendo certificados a gran escala.

Si bien las soluciones MDM como Afinado puede facilitar la emisión de los certificados necesarios para las máquinas y tecnologías como la inscripción automática también pueden proporcionar certificados a los usuarios y a las máquinas; el problema surge cuando necesitamos emitir esos certificados a servidores y aplicaciones.

PKI sirve como columna vertebral de estos certificados. Si bien algunos certificados son emitidos por entidades públicas CALa mayoría de los certificados son emitidos por CA privadas, y la gestión de dichas CA privadas pasa a ser responsabilidad del equipo SOC (u otro equipo de seguridad), lo que aumenta la complejidad operativa del proceso general.

En este blog, profundicemos en el mundo de la gestión de certificados, algunas de las mejores prácticas, algunos desafíos comunes y, finalmente, cómo Encryption Consulting puede ayudar con su experiencia, así como con la nuestra. Solución CertSecure Manager. 

¿Qué es una solución de gestión del ciclo de vida de los certificados (CLM)?

Como ya se mencionó anteriormente, toda organización necesita un certificado válido y adecuado para funcionar, un certificado que goce de la confianza de toda la organización. Estos certificados se emiten a entidades finales como usuarios, computadoras, equipos de red, servidores, aplicaciones, etc. Si el certificado subyacente es incorrecto, la entidad que lo emite debe ser autorizada. PKISi el sistema que proporciona confianza y visibilidad a estos certificados sufre una interrupción, ninguno de los componentes de la organización funcionará. Los empleados no podrán acceder a los edificios sin las tarjetas inteligentes adecuadas, no se podrán usar las VPN, las máquinas, los servidores y las aplicaciones dejarán de funcionar y reinará el caos.

Gestionar estos certificados y su infraestructura subyacente es crucial para el funcionamiento normal de la organización. Estos certificados pasan por fases, desde su emisión hasta su revocación, donde cada una fase del ciclo de vida es crucial para la organización mantenerlo adecuadamente. Y si un certificado está a punto de caducar Si no se supervisa ni se renueva de manera oportuna, puede causar cortes imprevistos en el servidor/aplicación que utiliza dicho certificado. Por lo tanto, es importante una correcta supervisión, propiedad y renovación de los certificados.

Las etapas del ciclo de vida del certificado son las siguientes:

• Descubrimiento:

  La fase de descubrimiento del ciclo de vida del certificado implica la búsqueda en la red de certificados faltantes, caducados, comprometidos o sin usar que deban revocarse, renovarse o reemplazarse. Esta es una parte importante del proceso, ya que detecta vulnerabilidades en la seguridad de los certificados y las transmite a la fase de monitorización, lo que permite corregirlas. Normalmente, esta fase también se encarga del inventario de certificados para facilitar futuras fases de descubrimiento, así como de las auditorías de certificados que puedan realizarse.

• Creación/Compra

  Esta es la fase en la que se crea el certificado. Un usuario, una organización o un dispositivo en línea solicita un certificado a una autoridad de certificación, que contiene la clave pública y otros datos. inscripción Información necesaria para registrar al usuario. La entidad certificadora que emite el certificado puede pertenecer a la organización que lo solicita o a un tercero. Si el certificado se obtiene de un tercero, deberá adquirirse directamente de él.

• Instalación

  La instalación del certificado es sencilla, pero igualmente importante. El certificado debe instalarse en una ubicación segura y accesible, ya que los usuarios que intenten verificar su autenticidad deben tener acceso a él. Una vez instalado, la CA implementa políticas para garantizar su seguridad y su correcta gestión.

• Almacenaje

  Como se mencionó anteriormente, una vez instalado el certificado, debe ubicarse en un lugar seguro para evitar que se vea comprometido. Sin embargo, no debe estar tan protegido que los usuarios que necesiten leerlo no puedan acceder a él. Las políticas y regulaciones adecuadas para el almacenamiento de certificados se tratarán más adelante en este documento.

• Monitoring

  La monitorización es una de las etapas más importantes del ciclo de vida de los certificados. Se trata de una fase casi constante en la que los sistemas de gestión de certificados, ya sean automáticos o manuales, detectan infracciones, vencimientos o riesgos de los certificados digitales. La etapa de monitorización utiliza el inventario creado en la fase de descubrimiento para controlar cuándo deben revocarse, renovarse o reemplazarse los certificados. A continuación, el sistema de gestión de certificados los traslada a la siguiente fase, que puede ser de renovación, revocación o reemplazo.

• Renovaciones

  La renovación de un certificado se produce cuando llega su fecha de caducidad. Esto sucede de forma natural, ya que se recomienda no utilizar un certificado durante más de 5 años. Los certificados pueden configurarse para renovarse automáticamente o bien se puede mantener una lista de fechas de caducidad para que el administrador los renueve cuando corresponda.

• Revocación

  Si se descubre que un certificado ha sido comprometido, robado o afectado negativamente de alguna otra manera, se revocará. Cuando se revoca un certificado, se coloca en un Lista de revocación de certificados (CRL)Esta lista garantiza que otras CA sepan que este ya no es un certificado válido.

• DE MOLARES

  El certificado se reemplaza cuando los usuarios dejan de pagar por certificados y comienzan a crear sus propias Infraestructuras de Clave Pública (PKI) y CA. Esto es poco frecuente, ya que renovar un certificado del proveedor original es mucho más sencillo que reemplazarlo.

  

Desafíos comunes para las organizaciones sin CLM       

Dado que Microsoft AD CS se usa ampliamente en la industria sin una solución CLM adecuada incorporada, muchas organizaciones a menudo enfrentan algunos desafíos al operar su PKI privada y pública, como Digicert:

1. Manual CLM

   Sin una solución CLM adecuada, los equipos suelen ser responsables de emitir, renovar y revocar certificados manualmente, hacer seguimiento de sus propietarios y renovarlos a tiempo antes de su vencimiento. Este tipo de proceso es propenso a errores humanos, lo que puede provocar interrupciones e ineficiencias operativas.

2. Falta de visibilidad central/Compras

   Las organizaciones suelen tener varias autoridades de certificación (CA), incluyendo al menos una CA de Microsoft que actúa como CA privada y una CA pública, como Digicert. Gestionar certificados de diferentes CA puede resultar complejo, ya que implica realizar un seguimiento de los certificados que caducan, renovarlos individualmente mediante procesos específicos y controlar la propiedad de los mismos.

3. Informes y conocimientos limitados

   ADCS Por sí solo, es posible que no proporcione los informes detallados ni la información necesaria para una gestión proactiva de certificados. Una solución CLM mejora la visibilidad del uso y el estado de los certificados.

4. Gestión inadecuada de políticas

   Al utilizarse múltiples autoridades de certificación para gestionar y emitir certificados, la implementación de las políticas organizativas y garantizar su cumplimiento puede resultar un desafío, ya que cada autoridad de certificación funciona de manera diferente y, en ocasiones, no existen mecanismos para aplicar dichas políticas, lo que hace que los procedimientos sean propensos a errores humanos.

Gestión de políticas durante la emisión y revocación de certificados

Cada organización tiene sus políticas internas que debe cumplir. Estas políticas suelen contener restricciones como las siguientes:

1. ¿Cuál debe ser el tamaño mínimo de clave del certificado?
2. ¿Qué información debe contener el certificado, como organización, unidad organizativa, etc., y debe incluirse una identificación de correo electrónico dentro del certificado para rastrear a su propietario?
3. El proceso de aprobación para ciertos tipos de certificados es esencial. Las propias políticas suelen especificar quién debe aprobar el tipo de certificado antes de su emisión, incluyendo cuántas aprobaciones se requieren para ciertos tipos de certificados.
4. If certificados comodín Se permite su emisión.
5. If RSE se puede reutilizar para emitir certificados nuevamente
6. ¿Qué dominios deberían permitirse como? Atributos SAN ¿en el certificado?
7. Políticas de contraseñas en casos de certificado PFX

La gobernanza basada en estas políticas suele ser un desafío para los equipos que no utilizan ninguna solución CLM. En el pasado, hemos tenido clientes que no verifican estos detalles ni realizan un seguimiento adecuado de la propiedad del certificado. Esto aumenta significativamente los riesgos y el potencial de ataques internos dentro de la organización.

Administrador de CertSecure También incluye procedimientos de renovación y revocación con un solo clic, donde los propietarios y administradores correspondientes pueden renovar o revocar un certificado con un solo clic. Una vez que la CA renueva o revoca los certificados de permisos necesarios, se envía un mensaje de confirmación a los propietarios por correo electrónico y Teams.

CertSecure Manager: Solución para la gestión del ciclo de vida de los certificados

Al interactuar con nuestros clientes, conocimos muchos de sus problemas. Si bien existen numerosas soluciones de gestión del ciclo de vida de clientes (CLM), ninguna se centra principalmente en Microsoft AD CS, que aún gestiona manualmente la operación y la monitorización de la infraestructura de clave pública (PKI). Esto nos impulsó a crear nuestra propia solución, que ayudaría a nuestros clientes con los problemas que encontraban con sus propias soluciones de CLM.

Al construir nuestra solución, nos centramos primero en resolver los desafíos clave.

1. Gestión automatizada del ciclo de vida

Con Administrador de CertSecureLos clientes pueden integrar agentes de renovación con sus servidores, como por ejemplo: Gato, Apache, ISS, balanceadores de carga como F5, así como sus propias aplicaciones internas. Esto ayudará a que los servidores y las aplicaciones roten los certificados automáticamente sin intervención humana, minimizando así las interrupciones y garantizando que se envíen los certificados correctos al servidor de manera oportuna.

Los clientes también pueden integrar sus propias soluciones con CUMBRE o API REST, lo que facilitará la obtención de certificados para su aplicación.

2. Visibilidad y control centralizados

Con la arquitectura de alta disponibilidad y los conectores de CertSecure, los clientes pueden integrar todas sus CA con CertSecure Sin necesidad de una configuración de red compleja, CertSecure se integra con todas las autoridades de certificación (CA), ya sean en la nube o locales. Esto proporciona una plataforma unificada para gestionar y emitir certificados en múltiples CA privadas y públicas.

Esto también puede ayudar al equipo de operaciones a supervisar su infraestructura de clave pública (PKI) directamente desde el panel de control. Esto ayudará a garantizar que todo CDP/AIA Los puntos relacionados con la CA están siempre activos y al mismo tiempo proporcionan actualizaciones importantes sobre la renovación de certificados CRL y CA.

3. Cumplimiento de políticas

CertSecure puede ayudar a sus clientes a establecer políticas tanto a nivel global como departamental. Esto garantiza que todos los usuarios cumplan con las políticas definidas. Estas políticas ayudan a regular información como:

a. ¿Cuántas aprobaciones se necesitan para emitir un certificado?

b. Si se puede reutilizar el CSR y si los usuarios pueden solicitar certificados comodín

c. ¿Qué nombres DNS están en la lista blanca y se pueden agregar a los certificados?

d. Y finalmente, las políticas de contraseñas para los archivos PFX

Además, podemos definir qué departamento tiene acceso a qué plantillas, lo que impone restricciones adicionales sobre las plantillas a las que puede acceder un usuario. Por ejemplo, el equipo de producción necesitará acceso a DigiCert, mientras que el equipo de desarrollo no. Del mismo modo, el equipo de TI podría necesitar acceso a las plantillas del servidor web, pero no a los certificados de firma de código.

4. Principio del Mínimo Privilegio

Una vez definidas las políticas, los clientes también pueden definir roles que se pueden asignar a los usuarios. Los usuarios pueden entonces realizar funciones que solo están definidas por los permisos establecidos por el administrador.

5. Monitoreo y alertas integrales

Con CertSecureLos clientes pueden integrar alertas con Teams, correo electrónico y ServiceNow, con un protocolo de escalamiento adecuado para garantizar que los certificados caducados o las interrupciones de la infraestructura de clave pública (PKI) se notifiquen lo antes posible. Esto ayuda a las organizaciones a minimizar el tiempo de inactividad y, al mismo tiempo, les brinda la tranquilidad de mantener la seguridad y la funcionalidad de la infraestructura subyacente, así como de los certificados que emite.

6. Informes programados

Con CertSecure, los usuarios pueden programar informes que se enviarán directamente a su correo electrónico semanal o mensualmente. Esto simplificará la gestión operativa y proporcionará visibilidad y un registro de las operaciones realizadas por la infraestructura de clave pública (PKI).

7. Fácil incorporación

Los usuarios pueden incorporarse fácilmente a CertSecure mediante grupos de AD (incluidos los grupos de Azure AD), lo que permite a CertSecure supervisar y agregar o eliminar usuarios a medida que se añaden o se eliminan del grupo. Al dar de baja al usuario, la propiedad de los certificados se transfiere a los administradores del departamento, lo que facilita la gestión y el control de la propiedad de los certificados, así como el procesamiento de las alertas definidas.

Conclusión

Administrador de CertSecure CertSecure Manager se distingue por ser una solución integral diseñada para abordar los complejos desafíos de la gestión del ciclo de vida de los certificados (CLM). Gracias a su perfecta integración con autoridades de certificación tanto privadas como públicas, CertSecure Manager ofrece una visibilidad y un control centralizados sin precedentes, lo que permite a las organizaciones gestionar sus certificados con mayor eficiencia y seguridad.

Gracias a funciones como la gestión automatizada del ciclo de vida, la aplicación de políticas, la monitorización integral y la generación de informes programados, CertSecure Manager garantiza que su infraestructura de certificados no solo sea robusta, sino también resistente a posibles interrupciones. Su enfoque en el principio de mínimo privilegio mejora aún más la seguridad, garantizando que los usuarios accedan únicamente a los recursos que necesitan, minimizando así el riesgo de amenazas internas.

La facilidad de incorporación, junto con las integraciones con Microsoft AD y Azure AD, simplifica la gestión de usuarios y agiliza los procesos del ciclo de vida de los certificados. Con alertas y protocolos de escalamiento, CertSecure Manager ofrece tranquilidad, garantizando la pronta resolución de problemas críticos, minimizando el tiempo de inactividad y manteniendo la integridad de su infraestructura de PKI.

El compromiso de Encryption Consulting con la mejora continua y las soluciones centradas en el cliente se evidencia en el desarrollo de CertSecure Manager. Seguimos comprometidos a ayudar a las organizaciones a alcanzar estándares más altos de seguridad, cumplimiento y eficiencia operativa. Permita que CertSecure Manager sea su socio de confianza para abordar las complejidades de gestión de certificados, garantizando que sus activos digitales permanezcan seguros, compatibles y completamente operativos.