La adopción de la nube y el aumento de la arquitectura de microservicios han aumentado exponencialmente la cantidad de credenciales de servicio que las organizaciones deben mantener. Este aumento de identidades, junto con la eliminación de contraseñas para un certificado criptográfico de duración determinada más seguro, ha hecho imposible que los humanos realicen un seguimiento y roten cada una de estas credenciales.
Como resultado, los ingenieros suelen recurrir a una de las dos “soluciones” siguientes:
1) Utilice el mismo certificado para todo, lo que aumentará drásticamente su superficie.
2) Tenga certificados de larga duración, lo que también crea exposición y un escenario en el que, si el ingeniero se va o se olvida de rotar los certificados, tendrá una costosa interrupción.
De hecho, el 81% de las organizaciones ha experimentado interrupciones relacionadas con certificados en los últimos 2 años.
¿La solución? Elimina el elemento humano de la ecuación. Emisión de certificados ACME (Entorno de Gestión Automatizada de Certificados) solucionó este problema para los certificados SSL, ahora veamos nuestras opciones para certificados de servicio.
Si sus servicios están alojados en Azure, probablemente haya oído hablar de Azure Managed Identities, una identidad administrada de Azure que Azure rotará automáticamente y su servicio la usará. Si bien esta es una gran solución y una gran parte de nuestra estrategia sin contraseña en Keytos, tiene un par de limitaciones:
1) Solo trabajan en Azure.
2) No admiten el acceso de múltiples inquilinos para que su servicio se autentique ante otros inquilinos.
Cuando las máquinas externas intentan autenticarse en Azure, o usted debe autenticarse ante otro inquilino, debe confiar en la “forma antigua” de autenticación del sistema mediante una entidad de servicio de Azure normal y una autenticación basada en certificados. (Por favor, no utilice contraseñas, así fue el año pasado).
Estos pasos solían ser una tarea manual y tediosa para los ingenieros, ¡pero ya no! Desde su creación, EZCA ha admitido la rotación automática de certificados en Azure Key Vault, y ahora hemos mejorado nuestras capacidades de rotación automática de certificados para rotar automáticamente los certificados de la aplicación Azure AD cuando se crea un nuevo certificado EZCA.
Si todavía no utiliza EZCA, comuníquese con nuestro equipo de expertos en PKI y únase hoy al futuro sin contraseña.
