Contáctenos

Cómo configurar la autoridad de certificación de Azure con Azure Key Vault

Autoridad certificadora Azure Key Vault. ADCS en Azure: cómo proteger sus claves privadas con Azure Key Vault o HSM dedicado.
15 Sep 2023

Cómo mover ADCS a Azure PKI

Con el paso a la nube, muchas personas buscan opciones sobre cómo migrar ADCS a Azure. Al revisar los foros de Microsoft, vemos preguntas como personas que desean una nueva PKI que se conecte a Azure Key Vault e Intune, hacer que Key Vault actúe como KSP para ejecutar ADCS en la nube y más. En este post hablaremos de diferentes alternativas para ejecutar Autoridades de Certificación en la nube para ayudarte a modernizar tu PKI.

Ejecución de Servicios de certificados de Active Directory (ADCS) en una máquina virtual de Azure

La primera opción que le viene a la mente cuando la administración le pide que mueva sus autoridades de certificación a la nube es ejecutar su infraestructura local existente en la nube. Si bien este es el camino familiar, existen algunas advertencias al intentar protegerlo, desde todas las configuraciones erróneas de ADCS conocidas que pueden causar una violación de seguridad hasta la necesidad de tener una conexión de ruta rápida a un HSM local para proteger sus claves ejecutar ADCS en una máquina virtual de Azure no es la forma más escalable ni económica de migrar su PKI.

Meme de mala configuración de ADCS

Uso de una PKI basada en la nube

Como Microsoft mencionó no están creando una PKI de Azure, algunos socios de Microsoft han creado ofertas de PKI en Azure; sin embargo, la única oferta de PKI en la nube que está completamente integrada con Azure (e incluso creada por un ex equipo de ingeniería de PKI de Microsoft) es EZCA. Las integraciones nativas de Azure de EZCA le permiten conectarse a recursos de Azure como lo haría de forma nativa desde otros recursos de Azure.

Emitir certificados SCEP de Intune

Con el creciente enfoque en la confianza cero, las organizaciones están trasladando la autenticación de sus dispositivos a una autenticación basada en certificados. Intune SCEP permite a las organizaciones distribuir estos certificados a los dispositivos de los usuarios. EZCA se conecta a Intune como PKI aprobada por Microsoft y le permite tener una infraestructura totalmente basada en la nube y configurar su PKI basada en la nube de Intune en horas en lugar de semanas.

autoridad de certificación scep en la nube para intune

Soporte ACME para certificados privados

Con el crecimiento exponencial de los certificados SSL, es imposible para los equipos de PKI verificar cada solicitud de certificado y emitir manualmente el certificado para los usuarios. Esto ha llevado a la creación de ACME, esta forma automatizada que permite a la CA validar la propiedad de un dominio solicitando al solicitante que coloque un desafío específico en el dominio. EZCA le permite habilitar ACME para su red privada, ya sea utilizando nuestras CA basadas en la nube con capacidad ACME o mediante modernizando su ADCS existente con ACME.

cómo funciona ACME para autoridades de certificación privadas


Rotar automáticamente certificados SSL en Azure Key Vault

Con el crecimiento de la adopción de la nube, administrar certificados manualmente se ha vuelto imposible; para ayudar con esto, nos hemos integrado con Azure Key Vault para permitir a los clientes de Microsoft rotar automáticamente sus certificados de CA privados en la nube.

Rotación automática de certificados de solicitud de Entra ID

Desafortunadamente, las aplicaciones de Azure AD aún no admiten la autenticación basada en sujetos para la autenticación de certificados, lo que significa que cada vez que se rota su certificado debe registrar la nueva huella digital en Azure AD. Para ayudar a las organizaciones a automatizar la administración de credenciales de sus aplicaciones de Azure AD, hemos mejorado nuestra función de rotación de certificados de Azure Key Vault con el registro automático del nuevo certificado en Azure AD, siendo la primera herramienta para automatizar la rotación de certificados para aplicaciones de Azure AD.

Autenticación basada en certificados con un clic con Azure IoT

La autenticación basada en certificados de Azure IoT es la forma más segura de autenticar sus dispositivos IoT en Azure. Si planeas utilizar tu CA para emitir certificados IoT, hemos creado una guía de mejores prácticas de seguridad IoT, así como una integración con un clic con Azure IoT, que permite a las organizaciones impulsar su desarrollo de IoT siguiendo las mejores prácticas de seguridad con un Certificado. Autoridad que puede escalar para satisfacer sus necesidades.

Herramientas de código abierto y paquete NuGet

Si bien las integraciones de Azure y los protocolos modernos como ACME pueden ser suficientes para el 90 % de los clientes de Azure, estamos comprometidos a permitir que todos tengan una PKI segura en Azure. Es por eso que hemos creado herramientas de rotación de certificados de código abierto, así como un popular Paquete NuGet con solicitudes de certificados de una línea, empoderando desde los ingenieros que mantienen la infraestructura heredada hasta los ingenieros que construyen la infraestructura del futuro, EZCA y Azure están aquí para ayudar.

Integración de Azure CBA

EZCA se integra perfectamente con EZCMS para permitir que las organizaciones no utilicen contraseñas en Azure mediante la gestión de la incorporación de usuarios, la distribución de claves de hardware e incluso la compatibilidad con la aplicación Microsoft Authenticator. , lo que hace que estas dos herramientas sean imprescindibles para las organizaciones que intentan dejar de usar contraseñas.

Administrar certificados de CA públicos

Si lees toda esta información sobre EZCA y esperas que este reemplazo de ADCS también gestione tus certificados públicos, estás de suerte, el mes pasado anunciamos gestión de certificados SSL públicos para EZCA, lo que le permite incorporar todas estas increíbles integraciones a su gestión de certificados públicos.

Conclusión

La migración a la nube es una tendencia inevitable, pero con ella surgen nuevos desafíos y preguntas, especialmente en torno a las transiciones seguras de PKI. La práctica tradicional de ejecutar Certificados de Certificado de Active Directory (ADCS) en una máquina virtual de Azure, si bien es familiar, puede que no siempre sea la más eficiente o segura. Las soluciones modernas, como las PKI basadas en la nube, ofrecen mayor flexibilidad, integración y seguridad, especialmente cuando están diseñadas específicamente para entornos Azure. EZCA se destaca como una herramienta integral con sus integraciones nativas de Azure, que brinda soluciones automatizadas para los desafíos modernos. Su compromiso con la adaptabilidad y la versatilidad es evidente con la inclusión de herramientas de código abierto y su paquete NuGet, lo que garantiza que puedan atender a una amplia gama de clientes de Azure. Para las organizaciones que buscan optimizar y fortalecer su PKI en Azure, recurrir a soluciones como EZCA, que están profundamente integradas y son conscientes de las complejidades de la nube, puede proporcionar una transición más fluida y un futuro digital más seguro.

También te Puede Interesar