Probablemente estas aquí porque estabas leyendo la documentación de Microsoft sobre cómo habilitar la autenticación basada en certificados para Azure IoT Hub y terminé más confundido que cuando empezaste. Si bien no repasaremos cómo configurar una autoridad de certificación para dispositivos Azure IoT en este blog, repasaremos por qué es importante utilizar la autenticación de certificados para dispositivos IoT y por qué tiene sentido una PKI en la nube.
En el ámbito dinámico de Internet de las cosas (IoT), proteger sus dispositivos es primordial, y ahí es donde la autenticación basada en certificados para Azure IoT Hub interviene como un punto de inflexión. El uso de certificados para la autenticación no es solo un enfoque seguro, sino que también introduce la conveniencia y eficiencia de la rotación automática, fortaleciendo su seguridad de IoT sin la constante sobrecarga manual.
Imagínese esto: cada dispositivo de su ecosistema de IoT es como un individuo único en una vasta ciudad digital. Así como un pasaporte o un documento de identidad verifica de forma segura la identidad de una persona, un certificado digital hace lo mismo con sus dispositivos IoT. Estos certificados, emitidos por una autoridad certificadora (CA) confiable, sirven como pasaportes digitales sólidos, lo que garantiza que solo los dispositivos autenticados puedan conectarse a Azure IoT Hub.
Pero aquí está el factor decisivo: los certificados se pueden programar para que caduquen después de un cierto período, lo que requiere una renovación. Aquí es donde entra en juego la magia de la rotación automática. A través de este proceso, los certificados se actualizan automáticamente a intervalos regulares. Esto no sólo mejora la seguridad al reducir la ventana de oportunidad para cualquier posible compromiso, sino que también alivia la carga de las actualizaciones manuales, haciendo que todo el proceso de autenticación sea fluido y más seguro.
Si bien Azure IoT hub admite la autenticación basada en certificados sin una autoridad de certificación, tener una autoridad certificadora facilita todo el proceso. En lugar de tener que registrar cada certificado para cada dispositivo cuando se crea (o renueva), puede hacer que un determinado campo del certificado, como el nombre del sujeto, contenga la identificación del dispositivo y luego decirle a Azure IoT que cualquier certificado emitido por las autoridades de certificación que usted especifique puede ser aceptado y verificar el nombre del sujeto para ver qué dispositivo está llamando. Esto facilita aprovisionar y administrar certificados de IoT. Es lo mismo que cuando obtienes una licencia de conducir, la gente mira el nombre en la licencia y asume que eres tú, ya que está emitida por una autoridad confiable (el gobierno).
Bueno, ahora que hemos establecido eso, debemos utilizar una autoridad certificadora para IoT autenticación, la siguiente pregunta es cómo seleccionar una autoridad de certificación. El primer pensamiento que podría venir a la mente es Windows ofrece ADCS en el servidor Windows, pero como cualquier administrador de TI le dirá, configurar ADCS y mantenerlo no es fácil, y su trabajo probablemente sea crear dispositivos de IoT increíbles, no mantener la infraestructura vieja y anticuada, existen muchas soluciones PKI en la nube de IoT como EZCA que le permiten crear su autoridad de certificación en minutos en Azure y puede regresar para escribir su código.
Hablando de código, tendrás que automatizar la emisión y administración de certificados para tus dispositivos IoT. Por suerte para ti, EZCA fue creado por desarrolladores para desarrolladores, desde nuestro swagger hasta nuestro paquete NuGet o incluso nuestra documentación con ejemplos de código de IoT debería ayudarle a comenzar a emitir certificados en poco tiempo.
Pasemos ahora a la pregunta que le hará la gerencia; ¿Por qué debería utilizar una oferta de PKI administrada en lugar de usar ADCS o OpenSSL CA en una máquina virtual. La respuesta a esto es simple:
1) Se está mudando a la nube para automatizar la gestión de su infraestructura. Y tu trabajo en crear increíbles servicios de IoT no Administrar una PKI. Las PKIs de la nube siguen mejores prácticas de PKI, para que tu no te tengas que preocupar por la seguridad de tu CAs.
2) Esos servicios (ADCS y OpenSSL) fueron diseñados y creados para sistemas locales viejos. No tienen API REST modernas para que pueda solicitar certificados ni una forma sencilla de hacerlo georedundante y su escalabilidad está limitada.
Si está listo para comenzar su implementación de Azure IoT, consulte nuestra guía de mejores prácticas, o si tiene más preguntas, hable con nuestros expertos en identidad sobre cómo implementar autenticación basada en certificados para sus dispositivos IoT.
