Sin lugar a dudas, el cambio de sistemas locales a soluciones basadas en la nube ha cobrado un impulso significativo y continúa haciéndolo. No debería sorprender en absoluto que en el entorno empresarial moderno de hoy, cada vez más ingenieros de seguridad estén explorando cómo configurar una PKI (autoridad de certificación) en la nube en AKV para proteger sus claves mover ADCS a Azure Key Vault. Si investigamos un poco y echamos un vistazo atrás a los foros de Microsoft, ya hace 3 años, existe una curiosidad notable sobre el establecimiento de una nueva infraestructura de clave pública (PKI) que se integra perfectamente con Intune y Azure Key Vault. Además, existe un gran interés en aprovechar Azure Key Vault como proveedor de almacenamiento de claves (KSP) para facilitar la ejecución de autoridades de certificación en la nube. En esta publicación, exploraremos varias opciones para operar autoridades de certificación en la nube, con el objetivo de ayudar a su organización en su viaje hacia la modernización de PKI.
Cuando se le asigna la tarea de migrar sus autoridades de certificación (CA) a la nube desde una configuración local, la idea inmediata podría ser replicar su infraestructura existente en la nube, esencialmente en una máquina virtual de Azure. Este enfoque parece sencillo y cómodamente familiar. Sin embargo, esto no está exento de trampas. Hay que estar atento a posibles errores de configuración en la CA que podrían provocar violaciones de seguridad. Además, mantener una conexión de ruta sólida con su módulo de seguridad de hardware (HSM) local se vuelve esencial para garantizar la seguridad de las claves. A pesar de su aparente simplicidad, implementar autoridades de certificación en una máquina virtual de Azure no es la estrategia más rentable ni escalable para realizar la transición de su PKI a la nube. Consulte aquí para obtener más información sobre cómo crear certificados SSL RDP para máquinas virtuales de Azure.
Tras el anuncio de Microsoft de que no desarrollarán una PKI basada en Azure, varios socios de Microsoft han dado un paso adelante para llenar este vacío con sus propias soluciones PKI en Azure. Entre ellos, EZCA de Keytos se destaca como la única oferta de PKI en la nube totalmente integrada con Azure. Esta integración única es un aspecto digno de mención, especialmente considerando que el equipo de EZCA incluye ex ingenieros de PKI de Microsoft. Las integraciones perfectas de Azure de EZCA le permiten conectarse a recursos de Azure tal como lo haría desde otros servicios nativos de Azure. Esto convierte a EZCA en una opción distintiva y eficiente para quienes buscan una solución PKI sólida y centrada en Azure. Estas son algunas de las cosas que deberá considerar…
A raíz de la creciente tendencia hacia modelos de seguridad de confianza cero, se está produciendo un cambio significativo en la forma en que las organizaciones manejan la autenticación de dispositivos, avanzando hacia la autenticación basada en certificados (CBA). Para facilitar esto, Intune SCEP proporciona una forma simplificada para que las organizaciones distribuyan certificados a los dispositivos de los usuarios de manera eficiente. EZCA, como PKI aprobada por Microsoft, se integra perfectamente con Intune, lo que permite una infraestructura basada en la nube. Esta integración no solo se alinea con el paradigma de confianza cero, sino que también permite la configuración rápida de su PKI basada en la nube de Intune. Sorprendentemente, lo que antes llevaba semanas ahora se puede lograr en tan solo unas horas, lo que marca un avance significativo en la facilidad y velocidad de implementar sistemas de autenticación seguros.
A medida que el uso de los certificados SSL ha seguido aumentando, la tarea de verificar y emitir manualmente cada certificado se ha vuelto inmanejable para los equipos de PKI. Este desafío llevó al desarrollo de ACME (Entorno de gestión automática de certificados), un protocolo de automatización que simplifica el proceso. ACME permite a la autoridad de certificación validar la propiedad del dominio al exigir que el solicitante realice un desafío específico en el dominio. Al reconocer esta necesidad, EZCA ofrece soporte para ACME dentro de redes privadas. Esta integración agiliza el proceso de emisión de certificados, haciéndolo más eficiente y menos laborioso.
A medida que aumenta la adopción de la nube, la gestión manual de los certificados SSL se ha convertido en una tarea poco práctica. Para agilizar este proceso, lo hemos integrado con Azure Key Vault. Al aprovechar las capacidades de Azure Key Vault, los usuarios ahora pueden asegurarse de que sus certificados se administren de forma transparente y segura, manteniendo el ritmo de las demandas dinámicas y crecientes de los entornos basados en la nube.
Lamentablemente, las aplicaciones de Azure AD todavía no admiten la autenticación basada en sujetos para la autenticación de certificados. ¿Qué significa eso exactamente? Bueno, cada vez que se rota su certificado, debe registrar la nueva huella digital en Azure AD. Para ayudar a las organizaciones a automatizar su administración de credenciales, hemos mejorado nuestra función de rotación de certificados de Azure Key Vault con el registro automático del nuevo certificado, lo que convierte a EZCA en la primera herramienta para automatizar la rotación de certificados para aplicaciones de Azure AD!
El uso de autenticación basada en certificados para Azure IoT es el método más seguro para conectar sus dispositivos IoT a Azure. Para aquellos que estén considerando usar su CA para distribuir certificados de IoT, hemos compilado una guía de mejores prácticas de seguridad de IoT. Además, ofrecemos una integración con un solo clic con Azure IoT. Esto garantiza que las organizaciones puedan comenzar sus proyectos de IoT adhiriéndose a los estándares de seguridad y empleando una autoridad de certificación adaptada a su crecimiento.
Si bien las integraciones de Azure y los protocolos modernos como ACME pueden ser suficientes para el 90 % de los clientes de Azure, estamos comprometidos a permitir que todos tengan una PKI segura en Azure. Es por eso que hemos creado herramientas de rotación de certificados de código abierto, así como un popular Paquete NuGet con solicitudes de certificado de una línea.
EZCA se integra perfectamente con EZCMS, nuestra herramienta de incorporación sin contraseña, para permitir a las organizaciones adoptar un enfoque completamente sin contraseña en Azure. Esta combinación gestiona la incorporación de usuarios, el envío y distribución de claves de hardware y también brinda soporte. para la aplicación Microsoft Authenticator!
Para aquellos que han leído hasta aquí y desean que EZCA también pueda manejar sus certificados públicos, ¡les esperan buenas noticias! Recientemente presentamos una función en EZCA para la gestión de certificados SSL públicos! Ahora, todas las impresionantes integraciones que ha aprendido también se pueden aplicar a su gestión de certificados públicos.
A medida que continúa el inevitable cambio de la infraestructura local a la nube, trae consigo nuevas complejidades y preguntas, particularmente en torno a la migración segura de la PKI local a la nube. Si bien el método tradicional de ejecutar Servicios de certificados de Active Directory (ADCS) en una máquina virtual de Azure puede parecer familiar, a menudo se queda corto en términos de eficiencia y seguridad. Las soluciones PKI modernas basadas en la nube ofrecen un enfoque más refinado, con mayor flexibilidad, integración y seguridad, especialmente cuando se adaptan a entornos Azure. EZCA ejemplifica este enfoque moderno como una herramienta integral con integraciones nativas de Azure. Ofrece soluciones automatizadas a los desafíos contemporáneos, encarnando el compromiso de Keytos con la adaptabilidad y la versatilidad. Esto se evidencia aún más en su variedad de herramientas de código abierto y el paquete NuGet, que atiende a una amplia gama de clientes de Azure. Para las organizaciones que buscan actualizar y proteger su PKI dentro de Azure, la adopción de soluciones como EZCA, que están profundamente integradas y en sintonía con los matices de la nube, promete una transición más fluida y un futuro digital más sólido y seguro.
