Aplicaciones empresariales y PKI – Parte 1

Uso de PKI para proteger aplicaciones empresariales críticas

En un artículo anterior, definimos Infraestructura de clave pública (PKI) como un conjunto de roles, políticas, hardware, software y procedimientos necesarios para crear, administrar, distribuir, usar, almacenar y revocar Certificados digitales y gestionar la clave pública cifradoTambién identificamos algunas de las tendencias en digitalización que han impulsado la adopción de PKI. A medida que aumenta su adopción, las empresas necesitan comprender cuáles de sus aplicaciones deben estar habilitadas para PKI. En otras palabras, los planos arquitectónicos empresariales deben identificar claramente los escenarios de aplicación que utilizan PKI y también señalar los escenarios no conformes como posibles riesgos de seguridad. En este artículo, analizamos algunos de los escenarios de aplicación típicos que utilizan PKI para proteger a la empresa y reducir su perfil de riesgo.

1. Sitios web y aplicaciones web públicos: El símbolo del candado en la barra de URL de cualquier navegador web es ahora un requisito obligatorio para cualquier sitio web y aplicación pública. El candado representa un SSL/TLS (Capa de sockets seguros/Seguridad de la capa de transporte) Conexión cifrada entre el navegador y el sitio web, configurada mediante un certificado digital que se envía desde el servidor del sitio web o la aplicación web al navegador. El certificado confirma la identidad del sitio web o la aplicación web al navegador. ¿Cómo sabe el navegador si el certificado es válido y genuino? Verifica que no haya caducado y que haya sido emitido y firmado por un tercero de confianza, llamado... Autoridad de certificación (CA)Una vez verificado el certificado, el navegador envía su clave pública al servidor, que la utiliza para cifrar los datos que se le devuelven. El navegador descifra estos datos con su clave privada. Todo este proceso se lleva a cabo de forma fluida en segundo plano, gracias a la PKI.
2. Servicios de red privada virtual (VPN): La necesidad de acceder a una red empresarial de forma remota (por ejemplo, desde otra oficina o la de un socio) existe desde hace tiempo. La solución típica para esta necesidad es una línea dedicada: una línea física dedicada entre la ubicación remota y la red empresarial. Sin embargo, este método no es viable para trabajadores remotos que necesitan acceder a la red empresarial, como los empleados que trabajan desde casa. En este contexto, los servicios VPN, capaces de proporcionar un canal de comunicación seguro y cifrado para acceder a la red empresarial a través de internet, se han vuelto extremadamente populares.
   Cuando un usuario remoto accede a la red empresarial a través de una VPN, un único mecanismo de autenticación, por ejemplo, con nombre de usuario y contraseña, no es lo suficientemente seguro. La autenticación multifactor (MFA) es importante, y uno de los mecanismos de autenticación es un certificado digital. El canal VPN (o "túnel") se configura solo una vez completada la validación del certificado, como se describió anteriormente en este artículo.
3. Aplicaciones móviles: Dado que cada miembro de la fuerza laboral lleva al menos un dispositivo móvil (y a menudo más de uno) y los equipos distribuidos ("trabajan desde cualquier lugar") se vuelven cada vez más comunes, la movilidad empresarial está en auge. Las plataformas de gestión de dispositivos móviles (MDM) abordan algunos de los requisitos de la movilidad empresarial al proporcionar la capacidad de aprovisionar dispositivos, administrar aplicaciones móviles y aplicar la política de seguridad empresarial en el dispositivo. Sin embargo, la autenticación de dispositivos móviles y usuarios sigue siendo un desafío. Un enfoque basado únicamente en nombre de usuario y contraseña simplemente no es lo suficientemente seguro ni la mejor manera de garantizar la identidad del usuario. La validación de dispositivos móviles y la comunicación cifrada entre el dispositivo y la red empresarial mediante certificados digitales es un enfoque muy superior. Los dos principales sistemas operativos móviles actuales, iOS y Android, ofrecen compatibilidad nativa con certificados digitales.
4. Aplicaciones de software:Firma de código: Las empresas que necesitan distribuir software y las actualizaciones y parches asociados a sus clientes, socios o empleados generalmente lo hacen hoy a través de Internet.¹ Sin embargo, esto ha planteado nuevos desafíos. Anteriormente, el software que se distribuía en soportes físicos, como discos compactos (CD), se empaquetaba en una caja sellada. Cualquier manipulación del empaque y del sello alertaba al usuario. Sin embargo, cuando el software se distribuye por internet, ¿cómo sabe el usuario si el software que está descargando proviene del autor original? ¿Cómo sabe el usuario que no ha sido manipulado ni se le ha insertado código malicioso o malware? La firma de código proporciona la respuesta a estas preguntas. Cualquier empresa que desee distribuir software por internet utiliza un certificado de firma de código para firmar digitalmente el software. En el lado del cliente, el navegador utilizado para la descarga del software y el sistema operativo (SO) en el que se instala validan el certificado de firma de código y verifican su autenticidad. Si el software ha sido manipulado, el usuario recibe una alerta inmediata. Sin la firma de código, dependiendo de la configuración de seguridad del navegador, el usuario podría recibir una alerta o incluso no descargar el software. Si el usuario ignora la advertencia, descarga el software e intenta instalarlo, recibe otra advertencia, esta vez del sistema operativo, indicando que no se pudo verificar el editor del software. Como resultado de estas advertencias, los usuarios pueden optar por cancelar la descarga o la instalación del software; por eso es importante que las empresas se aseguren de firmar el software que publican. Estos son algunos de los escenarios de aplicaciones empresariales que requieren el uso de PKI. Hay algunos otros, que se abordarán en la segunda parte. ¡Estén atentos!