Configurar una PKI en la nube para Azure IoT nunca ha sido tan fácil como lo es ahora, gracias en parte a las innovadoras herramientas PKI de terceros como EZCA de Keytos! A medida que los dispositivos de IoT proliferaron y ganaron terreno en el mercado, la complejidad de gestionarlos a escala aumentó proporcionalmente. Debido al gran volumen de dispositivos que existen, los métodos tradicionales de autenticación simplemente ya no son suficientes. …Si aún no lo sabías, las contraseñas son un problema, incluso para dispositivos: La botnet Mirai es un gran ejemplo de por qué no debería usar contraseñas. Además, los métodos de autenticación tradicionales carecen de las medidas de seguridad dinámicas (piense en la automatización y el monitoreo) necesarias para proteger contra amenazas cibernéticas cada vez más sofisticadas, lo que los vuelve prácticamente inútiles en el ecosistema moderno de IoT y los hace inadecuados para la naturaleza interconectada y en continua evolución de los ecosistemas de IoT. Un vistazo rápido a algunos de los beneficios asociados con la implementación de la nube deja muy claro por qué tantas organizaciones están migrando al estándar de oro en seguridad de dispositivos. Desde seguridad mejorada a través del cifrado, pasando por la escalabilidad y la automatización, hasta el cumplimiento de estándares de cumplimiento específicos de la industria, cualquiera que se tome en serio la seguridad de los dispositivos IoT está tomando medidas proactivas para configurar su PKI en la nube rápidamente. En esta publicación, veremos cómo autenticarse con certificados en Azure IoT Hub. Vamos a profundizar en.
El primer paso obvio en prácticamente cualquier proceso es la planificación (claro). Cuando se trata de PKI de Azure IoT Cloud, son importantes varias consideraciones para una implementación exitosa. La escalabilidad es ante todo. Su PKI debe poder crecer con su entorno de IoT y adaptarse a un número cada vez mayor de dispositivos sin comprometer el rendimiento. La gestión eficiente de los certificados es crucial para mantener el ciclo de vida de seguridad de cada dispositivo, desde la emisión hasta la revocación. Esto incluye automatizar las renovaciones de certificados y garantizar que los certificados caducados se reemplacen rápidamente. Finalmente, considere la compatibilidad del dispositivo. La solución PKI que elija debe admitir varios tipos de dispositivos y plataformas en su ecosistema de IoT, lo que garantiza una integración y seguridad perfectas en todos los componentes conectados. Este enfoque integral sentará una base sólida para su estrategia PKI de Azure IoT Cloud. Una vez que tenga una comprensión sólida de qué es exactamente lo que está tratando de hacer, será mucho más fácil comenzar a amargarse e implementar la solución adecuada.
¡Esta es la parte divertida! … bueno, en realidad no… a menos que disfrutes de interminables llamadas de “calificación” con vendedores que no saben de PKI o escuches precios vagos “aproximados” con tarifas ocultas y complementos a la carta que eliminan por completo ciertos proveedores del conjunto de consideración. Despotricar sobre.
Francamente, la mayoría de las herramientas disponibles hacen más o menos exactamente lo mismo. Asegúrese de investigar lo suficiente para obtener una comprensión profunda de lo que está disponible y de lo que podría ser adecuado para usted. En un nivel alto, debería buscar soluciones que sean nativas de Azure, fáciles de instalar y administrar, que cumplan y superen sus estándares de cumplimiento, se integren con servicios como Azure Key Vault y tengan un precio razonable y proporcionar automatización. Lo más importante es buscar un proveedor que brinde un servicio al cliente de primer nivel. No me refiero sólo a los SLA.
Consejo profesional: envíe una solicitud entrante el viernes por la tarde y vea cuánto tiempo lleva obtener una respuesta.
Yendo al grano, exploremos el proceso de implementación. Esta parte debería ser MUY sencilla, especialmente si ha dedicado tiempo a hablar con los proveedores sobre sus procesos y la congruencia con su infraestructura. Dicho esto, hemos escuchado en numerosas ocasiones que esta puede ser la parte más frustrante y que consume más tiempo de todo el proceso. Como se mencionó anteriormente, intente encontrar la solución que se adapte a sus necesidades específicas y que sea “fácil” de implementar. ¿Qué entendemos por fácil? Bueno, ¿qué tal una solución que pueda implementar usted mismo en lugar de una que requiera un equipo de “expertos” en el sitio para realizar el trabajo? He aquí un vistazo rápido a la simplicidad proporcionada por EZCA.
Le animamos a explorar nuestra lista de reproducción EZCA YouTube que le guiará en cada paso necesario para configurar su PKI en la nube para Azure IoT. ¿Más lector? ¡Eche un vistazo a nuestra documentación sobre cómo comenzar con EZCA!
Como se mencionó anteriormente en nuestro blog mejores prácticas de seguridad de Azure IoT, la parte más difícil del proceso es agregando su primer certificado al dispositivo IoT. ¡Con EZCA, crear su primer certificado de Azure IoT es muy sencillo! Además de la interfaz de usuario excepcionalmente intuitiva, los tutoriales escritos y en vídeo detallados paso a paso están disponibles en nuestra documentación, el encantador equipo de ingeniería aquí en Keytos ha creado un ejemplo de código disponible en GitHub para que usted lo use. ¡Simple como eso! ¡Mire el vídeo a continuación para ver cómo hacer esto en menos de 5 minutos!
Al aprovechar una CA en la nube, puede hacer que sus dispositivos se comuniquen directamente con la autoridad certificadora a través de protocolos modernos, como una simple llamada REST. Para hacerlo más fácil para los usuarios, hemos creado un paquete C# NuGet que hace que la renovación de certificados sea una simple línea de código. Si no está utilizando C#, puede utilizar el código de muestra o la swagger para escribir su propio código para renovar automáticamente sus certificados de IoT. Recuerde, dado que utilizamos una autoridad de certificación confiable, no necesitamos registrar el nuevo certificado en Azure, ¡sucederá automáticamente!
¿Recuerdas antes en la publicación cuando dije: “Francamente, la mayoría de las herramientas disponibles hacen más o menos exactamente las mismas cosas”? Bueno, hay una característica crucial específica de EZCA que la convierte en la opción clara. Un ingeniero de Keytos descubrió un error en Azure IoT relacionado con los certificados revocados y cómo aún pueden autenticarse incluso si han sido revocados. Al estilo típico de Microsoft, después de que les informamos sobre el problema (¡y nos pagaron una recompensa por errores!), solo tomó 1 año y 10 meses agregar el siguiente párrafo a su Documentación de Azure PKI:
Para ser claros, el error nunca se solucionó. Lo que significa que si desea que un certificado deje de funcionar, tendrá que desactivar manualmente el dispositivo. Suena como una pesadilla, ¿verdad? Seguro que lo hace. Nos complace anunciar que EZCA es la única CA de nube de Azure que deshabilita automáticamente los dispositivos cuando se revoca un certificado, lo que significa que nunca tendrás que preocuparte por la tediosa y lenta tarea de la desactivación manual. Imagínese cuánto tiempo ahorrará esto en comparación con la gestión manual del proceso. ¡EZCA es verdaderamente el mejor amigo del ingeniero de IoT cuando se trata de automatización de certificados en la nube de Azure IoT!
Está claro que hemos creado EZCA específicamente teniendo en cuenta el IoT. Como organización nativa de la nube, nos dedicamos a proporcionar las herramientas más completas y fáciles de usar. EZCA es la opción clara para el ingeniero de IoT moderno que necesita una solución en la que pueda confiar sin tener que gastar mucho dinero. Programe algo de tiempo para conversar con nuestro equipo de ingeniería sobre sus necesidades y para ver cómo podemos ayudarlo. Mientras tanto, mira este video sobre cómo “EZ” (¿ves lo que hice allí?) para comenzar.