CA privada del administrador de certificados de AWS

Las empresas de comercio electrónico dependerán cada vez más de la economía digital y de la información electrónica, lo que les permitirá contar con un marco exigente de cumplimiento de la privacidad y seguridad de los datos.

Infraestructura de clave pública (PKI) Se está volviendo esencial construir y mapear la relación segura entre usuarios, dispositivos, servicios y organizaciones con sus identidades digitales en forma de firmas y certificados digitales.

Para todos los ingenieros criptográficos, ¿alguna vez han pensado en una implementación de PKI con una configuración minimalista y un conjunto de características totalmente escalable que incluya todos los beneficios que ofrece la implementación de la nube?

Bienvenido a AWS Certificate Manager Private Autoridad certificada (ACM PCA). ACM PCA ofrece prácticamente las mismas funciones que ofrecen los proveedores de PKI locales.

Comprendamos las ofertas de PKI de AWS

AWS ofrece dos servicios en el espacio Cloud PKI

1. Administrador de certificados de AWS Es un servicio administrado por AWS conocido como ACM que proporciona SSL / TLS Certificados públicos X.509 basados ​​en la nube que se utilizan para diversos fines (p. ej., autenticación de servidor web, etc.). Este servicio está dirigido a clientes que necesitan una presencia web segura mediante certificados TLS. ACM implementa certificados mediante los servicios integrados de AWS.
   • Amazon
   • CloudFront
   • Equilibrio de carga elástica
   • Puerta de enlace API de Amazon
   • y otros servicios integrados.

   Las empresas con un sitio web público seguro con un tráfico web significativo preferirán esto gestión de certificados servicio que ofrece renovación automática, soporte para múltiples dominios y una experiencia de gestión de certificados sin complicaciones.

   Nota: Tenga en cuenta que no puede exportar el certificado público SSL/TLS desde el ACM, ya que el ACM no permite a los usuarios exportar las claves privadas de los certificados.

2. Autoridad de certificación privada de AWS Certificate Manager Es un servicio de CA privada gestionado por AWS, también conocido como ACM PCA, que aprovisiona certificados X.509. ACM PCA es ideal para pequeñas y medianas empresas que desean crear su propia Infraestructura de Clave Pública (PKI) en la nube de AWS y distribuirla para uso privado dentro de la organización. Dentro de una CA privada, los usuarios pueden crear su propia jerarquía de CA y emitir certificados para autenticar usuarios internos, aplicaciones, servicios, dispositivos IoT, etc.

Ahora, analicemos los diversos Modelos de PKI en la nube de dos niveles ofrecido por AWS para ACM PCA:

1. Nube privada: En este entorno, tanto la CA raíz como la CA subordinada existen en la nube de AWS.
   
2. Nube híbrida: En este entorno, la CA raíz se encuentra en un centro de datos local, mientras que la CA subordinada se encuentra en la nube de AWS. Esto requiere que la CA raíz (local) firme la CSR para la CA subordinada en la nube de AWS.
   

En la arquitectura de nube privada, puede alojar la CA raíz o la CA subordinada en la nube de AWS y usarla para todas sus necesidades de certificados, tanto locales como en la infraestructura de la nube. En cambio, en la arquitectura de nube híbrida, puede alojar la CA raíz local y la CA subordinada en la nube de AWS para todos los requisitos de certificados de la empresa. Ambos modelos tienen sus ventajas y desventajas. El "modelo de nube privada" le ofrece todas las ventajas de la nube (alta disponibilidad, facilidad de gestión, control de acceso, etc.), pero, como práctica recomendada de seguridad, podría querer tener control total sobre su CA raíz, con todas las claves criptográficas gestionadas en el HSM local, algo que no tiene con este enfoque. Por otro lado, el "modelo de nube híbrida" le proporciona control total sobre su CA raíz local; sin embargo, esto añade cierta complejidad a la arquitectura general al alojar dos CA (raíz y CA subordinada) en diferentes ubicaciones (local y en la nube de AWS).Nota: Hay varias combinaciones posibles para colocar las CA (raíz/política/subordinada/emisora) en entornos locales o en la nube, según las necesidades arquitectónicas de la organización (como administración del ciclo de vida de la CA, planificación de DR, etc.)

Profundicemos más en el servicio PCA de ACM

Con ACM Private CA, puede crear una jerarquía de autoridades de certificación con hasta cinco niveles. Es decir, la CA raíz, en la cima de la jerarquía, puede tener hasta cuatro niveles de CA subordinadas. Puede crear múltiples jerarquías, cada una con su propia raíz.

La PCA de ACM puede emitir certificados de entidad final X.509 para crear canales cifrados, autenticar usuarios, computadoras, puntos finales de API y dispositivos IoT. firma de código escenarios y también implementar el Protocolo de estado de certificado en línea (OCSP) para obtener el estado de revocación del certificado.

Como se mencionó, ACM PCA proporciona certificados X.509 a la entidad final. Si AWS Certificate Manager emite un certificado privado, este puede asociarse con cualquier servicio integrado con ACM (p. ej., Amazon CloudFront, Elastic Load Balancing, Amazon API Gateway, etc.). Esto aplica en ambos casos: la CA raíz puede estar en la nube de AWS o no, pero la CA subordinada solo puede estar en la nube de AWS. Además, si utiliza la API de CA privada de ACM o la CLI de AWS para emitir o exportar un certificado privado desde ACM, puede instalarlo en cualquier lugar, según su caso de uso.

Tras aprovisionar la CA privada de ACM, puede emitir certificados directamente sin necesidad de validación por parte de ninguna CA externa y según las necesidades internas de su empresa. Algunos ejemplos de usos estándar son:

• Certificados de suministro con cualquier nombre de sujeto/plazo de vencimiento.
• Mejorar el tiempo de actividad mediante flujos de trabajo automatizados para la gestión de certificados
• Emisión de certificados de restricción mediante plantillas.

ACM PCA ofrece un modelo de responsabilidad compartida para la seguridad en la nube de AWS, donde la "Seguridad de la nube" pertenece a AWS y la "Seguridad en la nube" al "Cliente". Este modelo de seguridad compartida podría implementarse con la ayuda de Servicios de protección de datos de AWS (por ejemplo, Macie, IAM, acceso entre cuentas, registro, monitoreo, informe de auditoría, etc.).

Como nota final, me gustaría llamar su atención sobre algunas de las mejores prácticas para utilizar eficazmente ACM PCA:

1. Explicación lógica de su infraestructura PKI (ubicación de las CA)
2. Procedimientos de política de documentos para períodos de validez/longitud de ruta
3. Mantenga su clave privada segura y evite cualquier forma de compromiso
4. Mantenga su Gestión de certificados PKI actualizado. Revocar certificados cuando sea necesario, eliminar certificados antiguos o no utilizados y formular un procedimiento documentado para las renovaciones y vencimientos de certificados.

Nota rápida sobre precios
A la cuenta de AWS se le cobra una tarifa mensual de $400 Para cada CA privada desde su creación. Existe un cargo asociado a cada certificado emitido o exportado (con su clave privada), según el modelo "cuanto más genere o emita, menos pagará". Para obtener la información más reciente sobre precios de CA privadas de ACM, consulte la página de precios de ACM.
aws.amazon.com/certificate-manager/pricing/ en el sitio web de AWS, ya que los precios pueden variar de vez en cuando.

Resumen

Si desea proteger sus datos de extremo a extremo con la garantía de un remitente legítimo, es imprescindible usar la Infraestructura de Clave Pública (PKI). Existen múltiples implementaciones de PKI con distintos niveles de complejidad; sin embargo, AWS Certificate Manager Private CA lo ofrece con la máxima facilidad y una infraestructura robusta, ofreciendo todas las ventajas de la nube: reducción de costes de mantenimiento, escalabilidad, continuidad del negocio, eficiencia, flexibilidad y automatización de operaciones de seguridad.