A medida que más y más sistemas se trasladan del entorno local a la nube, más personas están considerando cómo trasladar las autoridades de certificación a Azure. Al navegar por los foros de Microsoft de hace incluso años, podemos ver que la gente quiere cosas como una nueva PKI que se conecta a Intune y Azure Key Vault y hacer que Key Vault actúe como KSP para ejecutar autoridades de certificación en la nube. En este blog, analizaremos algunas alternativas para ejecutar CA en la nube para ayudar mejor a su organización a modernizar su PKI.
Lo primero que probablemente piense cuando la administración le solicite que mueva sus CA a la nube desde las instalaciones es simplemente ejecutar su infraestructura local en la nube. Fácil, ¿verdad? Desafortunadamente, si bien este método resulta cómodo y familiar, hay ciertas cosas a las que hay que prestar atención. Por ejemplo, debe tener cuidado con cualquier configuración incorrecta de CA que pueda causar una infracción y la necesidad de tener una conexión de ruta rápida a un HSM local existente para proteger sus claves. En resumen, ejecutar autoridades de certificación en una máquina virtual de Azure no es el método más económico ni escalable para migrar su PKI a la nube.
Dado que Microsoft ha declarado que no construirá una PKI de Azure, un puñado de socios de Microsoft han creado, por tanto, sus propias soluciones PKI en Azure. De todas estas ofertas, ¿sabía que solo una está completamente integrada con Azure? Así es, y esa PKI es EZCA by Keytos. Con las integraciones nativas de Azure de EZCA, puede conectarse a cualquier recurso de Azure de la misma manera que lo haría de forma nativa desde cualquier otro recurso de Azure.
Con el reciente revuelo en torno a la confianza cero, muchas empresas ahora están haciendo que la autenticación de sus dispositivos sea CBA (autenticación basada en certificados). Con Intune SCEP, las organizaciones pueden distribuir certificados en los dispositivos de los usuarios. EZCA se conecta a Intune como una PKI aprobada por Microsoft, permitiéndote tener una infraestructura totalmente basada en la nube y configurar tu PKI basada en la nube de Intune en apenas unas horas.
Debido al rápido aumento de los certificados SSL, simplemente se ha vuelto inviable para los equipos de PKI verificar cada solicitud de certificado y luego emitirlos manualmente a los usuarios. Como resultado, se desarrolló ACME para automatizar el proceso, permitiendo a la CA confirmar la propiedad del dominio haciendo que el solicitante inserte un desafío particular en el dominio. EZCA ofrece la opción de activar ACME dentro de su red privada, ya sea a través de sus CA basadas en la nube que admiten ACME o modernizando sus autoridades de certificación actuales para que sean compatibles con ACME.
A medida que el uso de la nube sigue aumentando, la gestión manual de certificados ya no es factible. Para abordar este desafío, nos hemos asociado con Azure Key Vault. Esta integración permite a los usuarios de Microsoft rotar automáticamente y sin problemas sus certificados de CA privados en la nube.
Lamentablemente, las aplicaciones Entra ID aún tienen que incorporar la autenticación basada en sujetos para la validación de certificados. Esto implica que, con cada renovación de certificado, se debe registrar una nueva huella digital en Entra ID. Con el objetivo de agilizar este proceso para las organizaciones, hemos actualizado nuestra función de rotación de certificados de Azure Key Vault para incluir una función de registro automático para el certificado nuevo en Entra ID, convirtiéndonos en la primera herramienta que facilita la rotación automática de certificados para aplicaciones de Entra ID.
Usar CBA para Azure IoT es el método más seguro para conectar sus dispositivos IoT a Azure. Para aquellos que estén considerando utilizar su CA para distribuir certificados de IoT, hemos compilado una guía de mejores prácticas de seguridad de IoT. Además, ofrecemos integración con Azure IoT en un clic. Esto garantiza que las organizaciones puedan comenzar sus proyectos de IoT adhiriéndose a los estándares de seguridad y empleando una autoridad de certificación adaptada a su crecimiento.
Si bien los protocolos modernos como ACME y las integraciones de Azure pueden ser suficientes para la mayoría de los usuarios de Azure, nuestro objetivo es garantizar que cada usuario establezca una PKI segura dentro de Azure. Esa es la fuerza impulsora detrás de nuestro desarrollo de herramientas de rotación de certificados de código abierto y un popular paquete NuGet que ofrece solicitudes de certificados de una sola línea. Desde los ingenieros que supervisan los sistemas más antiguos hasta los que dan forma a la infraestructura del futuro, EZCA y Azure están listos para ayudar.
EZCA se integra perfectamente con EZCMS, nuestra herramienta de incorporación sin contraseña, para permitir a las empresas adoptar un enfoque completamente sin contraseña en Azure. Esta combinación gestiona el onboarding de usuarios, la distribución de claves de hardware, y también brinda soporte para ¡La aplicación Microsoft Authenticator! Para las organizaciones que buscan hacer la transición a un sistema sin contraseñas, estas herramientas son indispensables.
Para aquellos que han leído hasta aquí y desean que EZCA también pueda manejar sus certificados públicos, ¡les esperan buenas noticias! Recientemente introdujimos una función en EZCA para la gestión de certificados SSL públicos! Ahora, todas las impresionantes integraciones que ha aprendido también se pueden aplicar a su gestión de certificados públicos.
El cambio a la nube desde el entorno local es inevitable, pero trae consigo nuevas complejidades e incertidumbres, particularmente en lo que respecta a las migraciones seguras de PKI. Si bien el método convencional de operar autoridades de certificación en Azure VM puede ser una ruta familiar, no siempre es la opción más óptima o segura de ninguna manera. Las soluciones contemporáneas, como las PKI basadas en la nube, prometen una mayor adaptabilidad, integración y protección, especialmente cuando están diseñadas para configuraciones de Azure. EZCA surge como una herramienta integral, que cuenta con integraciones innatas de Azure y respuestas automatizadas a los obstáculos actuales. La dedicación de Keytos a la flexibilidad y los enfoques multifacéticos se refleja en nuestras utilidades de código abierto y el paquete NuGet, lo que garantiza que abordamos las necesidades de un amplio espectro de usuarios de Azure. Para las organizaciones que buscan perfeccionar y reforzar su PKI dentro de Azure, aprovechar las herramientas con EZCA, que están profundamente arraigadas y conscientes de los matices de la nube, puede garantizar un cambio más fluido y un futuro digital fortalecido.
