PKI como servicio Implica implementar y gestionar las herramientas de una organización. Infraestructura de clave pública (PKI) en una plataforma basada en la nube. Este servicio gestiona todo el ciclo de vida de la PKI, desde la configuración de una Autoridad de certificación (CA) para emitir, administrar y revocar certificados de entidad final para dispositivos o dominios del usuario.
Características como mayor flexibilidad, procedimientos automatizados y menores costos generales hacen que sea sencillo para su organización establecer una autenticación sólida. cifrado de datos, y el control de la integridad de sus activos digitales y la protección de datos confidenciales.
Comprendamos la importancia de PKI como servicio, considerando un escenario en el que su organización, ya sea a pequeña o gran escala, maneja datos confidenciales como PII (Información de Identificación Personal, Información de Salud Personal), PCI (Información de Tarjeta Personal), para garantizar que los datos estén protegidos, la organización debe garantizar lo siguiente:
- Los datos en tránsito permanecen inalterados en toda la red de la organización y crean una conexión segura para proteger la identidad del usuario.
- Un certificado de servidor web en línea (por ejemplo, SSL / TLS Se requiere certificado) ya que la organización necesita autenticar dispositivos, usuarios y recursos internos a los que se accede dentro de esta aplicación por razones de seguridad.
- Los certificados de servidor válidos y seguros son un control de cumplimiento fundamental para cumplir con los requisitos reglamentarios (por ejemplo, NIST, FIP) como PCI-DSS. (Para obtener más información sobre la importancia de los certificados digitales, consulte este blog)
- Gestionar numerosos certificados digitales de forma manual requiere mucho tiempo y es propenso a errores humanos, lo que conduce a la necesidad de procesos automáticos de emisión, renovación y revocación de certificados.
PKI-as-a-Service no solo reduce los costos y los errores, sino que también aborda todos los desafíos mencionados anteriormente al automatizar el proceso del ciclo de vida del certificado, desde la emisión hasta la inscripción del mismo. Antes de profundizar más en PKI como servicio, Comprendamos el concepto de PKI y cómo se relaciona con PKI como servicio.
Infraestructura de clave pública (PKI)
PKI emite el certificado digital (por ejemplo, SSL/TLS) para autenticar la comunicación de datos mediante cifrado asimétrico, es decir, generando Certificados X.509 Utilizando claves de cifrado públicas y privadas. Estas claves facilitan el cifrado de extremo a extremo.
Los diversos componentes de la PKI son:
-
Claves públicas y privadas
Como se mencionó anteriormente, se utilizan claves públicas y privadas para realizar el cifrado asimétrico. Cuando un cliente necesita recibir información confidencial, comparte su clave pública con el remitente para cifrar los datos. Este proceso garantiza que solo el destinatario pueda descifrar y acceder a la información utilizando su clave privada correspondiente.
-
Certificados digitales
La clave privada firma el Certificados digitalesEstos certificados no solo sirven como identidad de la organización, sino que también la confirman como el legítimo propietario de la clave pública asociada.
-
Autoridad certificada
La Autoridad de Certificación firma el certificado digital con su clave privada y lo emite. Estos son los centros de confianza. Existen dos tipos de CA: la CA raíz y la CA emisora.
-
CA raíz
- La autoridad de certificación de nivel superior establece la base de confianza en la jerarquía de PKI.
- Emite y firma certificados para CA intermedias.
- Generalmente se mantiene en un entorno fuera de línea de alta seguridad para evitar el acceso no autorizado y garantizar la confianza a largo plazo.
-
Emisión de CA
- Procesa y firma solicitudes de certificados de entidad final (por ejemplo, SSL/TLS) desde el proxy MS CA u otras fuentes.
- Administra el ciclo de vida del certificado: emite, renueva y revoca certificados según sea necesario para diversas aplicaciones.
- Opera en línea y es responsable de las actividades diarias de gestión de certificados, garantizando la validez y seguridad continuas de los certificados emitidos.
-
CA raíz
-
Autoridad de Registro
La Autoridad de Registro actúa como puente entre los usuarios y la Autoridad de Certificación (AC). Primero verifica la identidad de quienes solicitan certificados digitales y luego reenvía las solicitudes validadas a la AC para su emisión.
¿Cómo elegir lo que es adecuado para usted: PKI o PKIaaS?
Los componentes mencionados anteriormente se utilizan para construir una PKI, lo cual es igualmente importante para los certificados emitidos por PKI como servicio como lo es para PKI local.
Entonces, ¿qué hace que PKIaaS sea más beneficiosa que las soluciones PKI tradicionales?
| Factor | PKI como servicio | PKI tradicional |
| Despliegue | La configuración es rápida y administrada, con una infraestructura mínima por parte del proveedor de servicios requerida desde la perspectiva de su organización. | Se requiere una cantidad significativa de tiempo, experiencia y recursos para su implementación, lo que implica configuración de hardware, software y red. |
| Gestionamiento | Reduce los gastos operativos ya que la emisión, renovación y revocación del certificado digital serán gestionadas por el proveedor de servicios. | Las operaciones se gestionan internamente, lo que requiere personal dedicado a las tareas continuas de certificados digitales y mantenimiento. |
| Escalabilidad organizacional | Al utilizar la infraestructura de la nube, el servicio se ajusta automáticamente a sus requisitos de certificado a medida que su organización crece o fluctúa. | La ampliación requiere hardware adicional, licencias de software y cambios de configuración, lo que puede llevar mucho tiempo. |
| Costo | Al eliminar el costo de las compras de hardware, las instalaciones de software y el mantenimiento continuo, se reducen significativamente los costos operativos. (Encryption Consulting ofrece un modelo de suscripción, lo que minimiza el costo inicial) | La PKI tradicional requiere una alta inversión y recursos para compras de hardware, instalación de software y costos de gestión continuos. |
PKI como servicio Es una opción preferida por las organizaciones que priorizan la facilidad de uso, el ahorro de costos y una implementación más rápida.
Flujo de trabajo de PKI como servicio
A partir del proceso de iniciación de la Solicitud de firma de certificado Desde el punto de coordinación central y finalizando con la emisión del certificado digital, una serie de componentes PKIaaS interactúan en los pasos que se detallan a continuación:
-
Los solicitantes de certificados se inician
Cualquier organización (cliente) podría solicitar certificados digitales (por ejemplo, SSL/TLS) utilizando protocolos como ACME, SCEP o AfinadoEl proceso comienza enviando la solicitud de certificado a la Puerta de Enlace de Inscripción de Certificados (CEG). La CEG, usando su certificado de cliente, establece una conexión segura con el certificado del servidor de la Puerta de Enlace de Autoridad de Certificación (CAGW).
-
Procesando la solicitud
La puerta de enlace de la autoridad de certificación (CAGW), que está alojada en un sistema en contenedores, recibirá solicitudes de certificados y, a su vez, las enviará a una o más CA administradas apropiadas a través de un servidor intermediario o proxy seguro, lo que garantiza que todos los certificados se almacenen y administren.
-
Conexión con la CA emisora
El servidor intermediario o proxy actúa como puente entre la Puerta de Enlace de la Autoridad de Certificación (CAGW) y la CA emisora designada dentro del entorno PKI. La conexión se protege mediante un certificado de cliente y servidor (alojado en la CA emisora en línea).
-
Emisión de certificados
La CA emisora emite el Certificado de entidad final según la solicitud de certificado recibida mediante Servicio de certificados de Active Directory (ADCS).
-
Entrega de certificado
Tras emitir el certificado, este se devuelve a CAGW a través del proxy MS CA. Finalmente, CAGW envía este certificado, ya firmado, a CEG, que lo entregará al cliente que lo solicitó.
-
Gestión de infraestructura PKI
- Configuraciones simplificadas y centralizadas de PKI administrada, que permiten una fácil implementación de Autoridades de Certificación (CA) personalizadas según las necesidades de la organización (por ejemplo, separación opcional de CA raíz).
- Evalúa el ciclo de vida completo de las CA raíz y emisoras, garantizando que se sigan las mejores prácticas de la industria (por ejemplo, utilizando FIPS 140-2 HSM de nivel 3 para proteger las claves privadas de las autoridades de certificación (CA) con alta disponibilidad).
-
Seguridad de la autoridad de certificación
- Garantiza que las claves de CA raíz (par de claves pública-privada) se creen de forma segura y transparente para los usuarios.
- Automatiza la emisión y renovación de certificados mediante la implementación de protocolos de inscripción automática, como SCEP (Protocolo simple de inscripción de certificados), EST (Inscripción sobre Transporte Seguro), y ACME (Entorno de gestión automática de certificados) y API REST.
-
Gestión de Políticas y Cumplimiento
- Definir e implementar políticas y prácticas de certificación, como perfiles de certificados, períodos de validez y restricciones de uso de claves, personalizadas para satisfacer los requisitos de seguridad de su organización.
- Garantizar el cumplimiento de los requisitos reglamentarios de mejores prácticas de la industria (por ejemplo, NIST, FIPS, GDPS).
-
Integración y Automatización
- Utilizar API RESTful para integrar servicios PKI con otras aplicaciones y sistemas dentro de su organización para facilitar la gestión y la implementación de certificados.
- Scripts y herramientas para automatizar los procesos de emisión y gestión de certificados.
-
Protocolos soportados
Para automatizar el proceso de inscripción de usuarios y dispositivos para certificados digitales, garantizando al mismo tiempo la correcta aplicación de todos los controles de seguridad en toda la organización, desglosemos los protocolos compatibles que garantizan la automatización del proceso de inscripción y emisión de certificados:
-
Entorno de gestión de certificados automatizado (ACME)
- Este protocolo automatiza la comunicación entre las autoridades de certificación (CA) y los clientes que solicitan emitir certificados de servidor para un dominio.
- El protocolo valida la propiedad del dominio para las solicitudes de certificado. Generalmente, implica desafíos como HTTP-01 (colocar un archivo en el servidor web) o DNS-01 (crear un registro DNS) para demostrar el control del dominio.
- Los clientes y servidores de ACME se comunican a través de HTTPS, lo que garantiza que el proceso de gestión de certificados sea seguro y esté protegido contra manipulaciones.
- Gracias a la fácil integración con los sistemas CA, se simplifica la gestión de certificados SSL/TLS.
-
Protocolo simple de inscripción de certificados (SCEP)
- SCEP automatiza el proceso de inscripción de certificados digitales, reduciendo el esfuerzo manual y facilitando el proceso de gestión de certificados para dispositivos como enrutadores, conmutadores, etc.
- El protocolo implementa métodos seguros para solicitudes y emisión de certificados, como el uso de PKCS#10 (Estándares de criptografía de clave pública) para solicitudes de certificados.
- SCEP ofrece herramientas de autenticación para garantizar la validez de las solicitudes de certificados. Verifica la identidad del dispositivo o usuario solicitante antes de emitir un certificado.
- SCEP está diseñado para gestionar implementaciones a gran escala de manera eficiente, lo que lo hace adecuado para entornos con numerosos dispositivos que requieren certificados.
- SCEP es un protocolo de comunicación PKI que permite a los administradores emitir certificados de forma automática y segura a los dispositivos móviles que implementan el protocolo.
-
PASO A PASO
- Un cliente de inscripción de Windows puede conectarse a un controlador de dominio a través del servicio web de política de inscripción de certificados y solicitar certificados de varias autoridades de certificación (CA).
- Los certificados digitales WSTEP permiten que solo los dispositivos autorizados accedan a servicios o recursos de red específicos, lo que mejora la seguridad general.
- Los canales seguros y el cifrado protegen la información confidencial intercambiada durante inscripción de certificado .
-
Entorno de gestión de certificados automatizado (ACME)
-
Integración con Microsoft Intune
- La Puerta de Enlace de Inscripción de Certificados puede recibir solicitudes SCEP con una CSR (solicitud de firma de certificado) de clientes Windows y enviar la CSR a Intune para su validación. Esto permite controlar el acceso de los usuarios a los recursos empresariales y optimizar la administración de aplicaciones y dispositivos en cientos de dispositivos móviles, ordenadores y endpoints virtuales.
- Gestionar eficazmente políticas/algoritmos criptográficos para cumplir con las regulaciones y el cumplimiento normativo.
- Invalidación más rápida de certificados con revocación automática en Intune, lo que conduce a un mejor plan de recuperación ante desastres.
-
Autenticación de punto final (UEM/MDM)
- Verifique que los certificados se emitan con configuraciones de seguridad sólidas, lo que le permitirá controlar el uso y la validez de los certificados.
- El protocolo proporciona autenticación de nombre de usuario y contraseña.
- Los clientes, como el software de administración de dispositivos móviles (MDM), deben autenticarse en Certificate Enrollment Gateway utilizando credenciales de inicio de sesión y contraseña válidas.
- Esta configuración contiene configuraciones secundarias para definir las credenciales de nombre de usuario y contraseña que los clientes usarán para autenticarse en Certificate Enrollment Gateway para el protocolo MDM.
- Para el protocolo MDM, el usuario debe definir al menos una credencial de nombre de usuario y contraseña.
- Dado que solo el personal autorizado debe tener permitido administrar funciones de certificados confidenciales, el control de acceso granular y los permisos basados en roles son criterios de cumplimiento importantes (NIST, FIPS 140-2).
- El control de acceso granular y los permisos basados en roles son cruciales para administrar funciones de certificados sensibles que cumplan con las normas NIST y FIPS.
- Después de evaluar tanto las comprobaciones de integridad como los niveles de parches de seguridad, se pueden emitir los certificados.
-
S / MIME
- Cifrado de mensajes de correo electrónico de extremo a extremo.
- Separación de la funcionalidad de firma y cifrado, los certificados S/MIME permiten que ambas se realicen a la vez sin repudio.
- La gestión del historial de claves y la copia de seguridad automatizada salvan el día en lo que respecta al almacenamiento ininterrumpido de claves criptográficas.
- Funciona con múltiples dispositivos y sistemas operativos como Windows, macOS, iOS y Android.
-
PKI administrada
- Configuración segura para su infraestructura de CA raíz que cumple con los estándares ISO 27001, salvaguardando sus activos criptográficos.
- Mantenga el control total sobre sus claves privadas, garantizando una supervisión completa de sus certificados digitales y operaciones criptográficas.
- Las claves privadas se almacenan en un sistema certificado FIPS 140-2 Nivel 3. Módulos de seguridad de hardware (HSM) para evitar el acceso no autorizado o la manipulación.
- CRL (Lista de revocación de certificados) y OCSP (Protocolo de estado de certificado en línea) servicios para verificar la validez y el estado de los certificados, manteniendo la confianza en su ecosistema PKI.
-
Soluciones Personalizables y Escalables
- Integración flexible: Extendemos un marco personalizado según los requerimientos de seguridad específicos de su organización, con su amplia gama y amplio soporte para diferentes Autoridades de Certificación (CAs), mejorando la adaptabilidad.
- Escalabilidad: Equilibrar el crecimiento de certificados y usuarios sin obstaculizar el rendimiento.
-
Funciones de soporte consistentes
- Alta seguridad: Ofrecemos sólidas funciones de seguridad de PKIaaS y garantizamos el cumplimiento de estándares como HIPAAPCI-DSS y RGPD. Ayuda a controlar y gestionar las políticas de certificados (mitigando el riesgo y mejorando la seguridad digital).
- Refuerzo de soporte: Recibir el apoyo necesario ante cualquier problema en el funcionamiento diario, garantizando así un funcionamiento más fluido.
- PKI local: PKI administrada que se implementará dentro de la infraestructura de su organización, lo que significa que los componentes de PKI, como las autoridades de certificación (CA) emisoras y raíz, se alojan dentro de una plataforma local.
- PKI de SaaS: La configuración de PKI para la gestión del ciclo de vida de los certificados se configurará en la plataforma basada en la nube de su organización, mejorando la seguridad y estableciendo identidades digitales para los usuarios.
- PKIaaS: Gestión automatizada del ciclo de vida de certificados y ManagedPKI personalizada que se alojará y gestionará en el entorno de nube de Encryption Consulting con la flexibilidad de personalizar la PKI en función de su dominio y sus requisitos de seguridad.
Al hacerlo, el certificado del servidor y del cliente manejan de forma segura cada paso desde el inicio de la solicitud hasta que se entregan los certificados de extremo a extremo. Servicio PKI (Infraestructura de clave pública).
Características de PKI como servicio
PKI como servicio (PKIaaS) Proporciona un conjunto completo de funciones para gestionar certificados digitales y pares de claves públicas y privadas, reforzando así la seguridad en toda la organización. Las características clave de PKIaaS son las siguientes:
Casos de uso
¿Por qué Encryption Consulting LLC?
Implemente PKI como servicio en su entorno.
Encryption Consulting ofrece un servicio altamente flexible, confiable y de alta seguridad. Solución PKIaaS Con mayor escalabilidad y funciones de soporte consistentes, se mejora aún más la gestión y la funcionalidad de los certificados digitales en toda la organización. A continuación, un breve resumen de las características principales:
Diferentes métodos de implementación:
Para facilitar la implementación en el entorno de su organización, proporcionamos la solución PKIaaS para implementarse en varias plataformas:
Conclusión
PKIaaS Es una nueva versión de alto rendimiento de la solución PKI tradicional alojada en su centro de datos. Independientemente del tamaño de su organización, todos manejan datos confidenciales, como información de identificación personal (PII) e información sanitaria protegida (PHI), lo que significa que las PKI son imprescindibles para una comunicación segura. PKIaaS cumple con todos estos requisitos al ofrecer... servicio basado en la nube que gestiona todo el ciclo de vida de los certificados y ofrece seguridad, cumplimiento y eficiencia operativa.
Esta solución segura y fácil de usar ha sido diseñada para optimizar la gestión de certificados y aumentar sus capacidades de seguridad, a la vez que reduce los costos. PKIaaS se ha consolidado como la solución ideal para empresas que enfrentan dinámicas de seguridad digital y cumplimiento normativo, ofreciendo capacidades avanzadas para almacenar certificados de forma segura y, al mismo tiempo, facilitar comunicaciones seguras en todos los ámbitos funcionales.
