Como seguramente sabrá, no se puede subestimar la importancia de las autoridades de certificación privadas, en el contexto de la ciberseguridad moderna. Empresas como Google y AWS han proporcionado PKI funcionales para sus usuarios, lo que hace que el proceso de emisión y gestión de certificados privados sea proverbialmente “pan comido”. ¿Pero qué pasa con Microsoft? ¿Azure tiene una autoridad de certificación en la nube? ¡Por supuesto que no! Los ingenieros de seguridad que operan dentro del ecosistema Microsoft/Azure han tenido que confiar en herramientas PKI de terceros para garantizar la seguridad de los datos en la nube. Para ser justos, han estado provocando el lanzamiento durante algunos años, y hace solo unas semanas, finalmente anunciaron que están listos para ofrecer una PKI en la nube para Intune. Uno podría imaginar que la comunidad de Seguridad estaría eufórica con lo anunciado, pero nada podría estar más lejos de la verdad. Para decirlo claramente, la PKI en la nube de Microsoft no cumple con las expectativas
Probablemente se esté preguntando: “¿Cuál es el problema de anunciar una nueva solución?” En general, los anuncios de nuevos productos son recibidos con gran entusiasmo. Pero cuando sus clientes esperan algo y usted no cumple en serio, se enterará. He aquí un vistazo rápido a lo que no tiene…
SCEP Para MDMs Que No Son Intune: Ha pasado más de un año desde que u/SecurityRabbit dijo esto en r/AZURE
“Sería bueno si ofrecieran un servicio SCEP que realmente funcione en lugar de tener que intentar usar algún complemento como SCEPman que es financieramente inviable.”
…Odio ser portador de malas noticias, pero no están incluidas.
OCSP: a diferencia de métodos más tradicionales como CRL, OCSP fue diseñado específicamente para recuperar el estado de revocación de certificados individuales, haciéndolo mucho más eficiente y, en consecuencia, más popular que su contraparte tradicional. Desafortunadamente, no está incluido en la nueva Cloud PKI de Microsoft, lo que lo hace incompatible con la mayoría de los dispositivos de autenticación de red y Radius.
Certificados de tarjeta inteligente: Las tarjetas inteligentes han sido uno de los métodos de autenticación más utilizados cuando necesitan credenciales sin contraseña y resistentes al phishing. Los propios Microsoft agregaron soporte para Azure CBA el año pasado. Sin embargo, esta nueva PKI solo puede emitir certificados para autenticación de factor único y no admite la versión más segura de tarjetas inteligentes o YubiKeys.
ACME: En pocas palabras, tener soporte ACME en una CA privada es una necesidad absoluta en estos tiempos para automatizar la emisión de certificados para servidores web.
Rotación de certificados de Key Vault: Azure Key Vault le permite administrar de forma segura sus certificados, e incluso los envía a sus máquinas virtuales de Azure. AKV ha habilitado la rotación automatizada de certificados para DigiCert durante más de 5 años, y agregar una funcionalidad similar para certificados privados haría que esta nueva oferta en la nube sea una excelente opción. Pero no lo es.
Integración de IoT Hub: fuera de Intune, el caso de uso más importante para los certificados se encuentra en Azure IoT Hub.
Como puedes ver, lo único que hace la Cloud PKI de Microsoft es emitir certificados a través de Intune SCEP. Es un buen comienzo, pero no es suficiente para las necesidades de las empresas modernas, muchas de las cuales ya mantienen hasta 9 CA diferentes de diferentes proveedores. Ahora probablemente se esté preguntando: “¿Cuál es la mejor alternativa a Azure PKI?”
Teniendo en cuenta las deficiencias obvias, los ingenieros continuaron buscando las mejores alternativas a la PKI en la nube de Microsoft. Sin lugar a dudas, EZCA de Keytos es el claro favorito. No solo es la solución más intuitiva y robusta, sino que también es la menos costosa. EZCA es la primera y única CA nativa de Azure y fue creada por ex ingenieros de PKI de Microsoft, específicamente para otros ingenieros de PKI. Por este motivo, se ha convertido en la solución de referencia para organizaciones de todo el mundo. Incluso existe una EZCA específica de la UE que ayuda a nuestros amigos del otro lado del charco a cumplir con sus normativas y cumplimiento únicos.
EZCA también se ha convertido en la PKI en la nube de facto para la comunidad de IoT debido a nuestra documentación excepcional que cubre todo, desde los conceptos básicos de la mejor seguridad de IoT prácticas, hasta configurar CBA en Azure IoT Hub, para proporcionar muestras de código de Azure IoT y paquetes NuGet… nos esforzamos por hacer que la implementación sea lo más sencilla posible. Sabemos cuánto le disgusta a la comunidad de ingeniería tener que atender llamadas de descubrimiento de ventas, por lo que hemos diseñado EZCA para que sea lo más fácil de hacer posible brindándole toda la información que necesitará para que todo esté en funcionamiento. Dicho esto, siempre estaremos encantados de conversar y nos enorgullecemos de brindar un excelente servicio al cliente. ¡No dude en reservar tiempo para hablar con nuestros expertos en identidad y obtener una evaluación de PKI GRATUITA!
