Como hemos escrito anteriormente, MUCHAS personas dentro de la comunidad de seguridad en la nube están indignadas por lo decepcionante el anuncio de Microsoft sobre Intune Cloud PKI hace unas semanas fue. Si no lo habías escuchado (mira el video a continuación), carece de lo que muchos consideran los aspectos fundamentales de PKI, como SCEP, OCSP, ACME, distribución de tarjetas inteligentes, rotación de certificados AKV e integración de IoT Hub que no son de Intune, solo para nombrar unos pocos. Uno podría imaginar que una herramienta con tantas deficiencias obvias tendría un precio razonable, ¿verdad? No. El punto de inflexión final para la mayoría de la gente fue el precio de 2 dólares por usuario, lo que parece un robo en la carretera para casi todos los que han estado iniciando PKI debido a la ineptitud de Microsoft durante los últimos años. Para poner las cosas en perspectiva, esto sería como ingresar a un niño de primer grado en el draft de la NBA, tratar de hacerlo pasar por un prospecto de primer nivel y exigir un contrato récord.
Los profesionales de PKI se han acostumbrado a trabajar con herramientas PKI de terceros en la historia reciente, por lo que encontrar la mejor alternativa para Microsoft Cloud PKI no es nada nuevo. A continuación, analizaremos EZCA, SCEPMan y EJBCA de KeyFactor como alternativas viables y sopesaremos los pros y los contras.
El claro favorito aquí es EZCA, la PKI de Azure de Keytos. Literalmente construido por ex ingenieros de Microsoft para abordar estos problemas exactos EZCA elimina las complejidades de administrar PKI mientras mantiene los medios más sofisticados de seguridad de certificados. Estas son algunas de las razones por las que te va a encantar…
Integración nativa de Azure: EZCA es la primera y única solución PKI basada en la nube que fue diseñada para ser nativa de Azure, en Azure por ex ingenieros de Microsoft. Esto hace que EZCA parezca una extensión de Azure; no es necesario pensar en administrar los suyos propios: Módulos de seguridad de hardware (HSM), Listas de revocación de certificados (CRL), OCSP, disponibilidad de CA, ciclo de vida del certificado o cualquier tarea de enormes proporciones involucrada en la ejecución de su propia PKI.
Fácil configuración en Marketplace: como socio de Microsoft, estamos orgullosos de ofrecer EZCA en Azure Marketplace que permite a los clientes de Azure configurar de forma rápida y segura su PKI basada en la nube de Azure directamente desde Azure Portal.
Conexión de autoridad de certificación SCEP de Intune: administre los dispositivos de su organización sin la necesidad de tener un dominio local. Con EZCA, puede crear fácilmente una autoridad de certificación para Intune basada en Azure y emitir SCEP. certificados sin la sobrecarga de administrar una instancia de conector ADCS e Intune SCEP.
Integración de Azure Key Vault: Si bien EZCA ofrece muchos protocolos de emisión automática de certificados como SCEP y ACME, una de las funciones más utilizadas es nuestra integración de gestión y creación de certificados de Azure Key Vault con un solo clic.
Rotación automática de certificados de AAD: Estamos orgullosos de decir que EZCA es el único PKIaaS que ofrece rotación automática de certificados de solicitud AAD.
Integración de Sentinel: como socio de seguridad de Microsoft, todas las herramientas de Keytos envían todos los registros de seguridad a Azure Sentinel, lo que le permite tener un panel único donde su equipo de SOC puede monitorear su infraestructura y detectar anomalías.
Como puede ver claramente, la multitud de funciones e integraciones nativas de EZCA lo han convertido en la opción preferida para muchos dentro de la comunidad de seguridad que buscan una solución sólida a un precio razonable. Es pedir demasiado? ¡Creemos que no! ¿No nos crees? ¡BIEN! ¡Esta es la era de la confianza cero! …pero puedes consultar los precios de EZCA aquí mismo, u obtener más información sobre cómo funciona.
Es cierto que la alternativa SCEPMan a Intune Cloud PKI de Microsoft puede hacer el trabajo y lo ha estado haciendo desde hace bastante tiempo. Lo cual es un punto interesante, porque la tecnología parece no haberse actualizado desde que se construyó. Es relativamente rentable en el gran esquema de las cosas, pero tiene algunas deficiencias notables. Está limitado exclusivamente a SCEP y no es compatible con ACME, no admite tarjetas inteligentes y más. Creo que puedes ver por qué esto podría ser un problema. Además, la falta de integración con Azure plantea desafíos para las organizaciones profundamente integradas con los servicios de Azure. Por último, se le exige que administre la infraestructura, lo que complica la implementación y el mantenimiento continuo.
Si necesita PKI local, heredado y realmente costoso, entonces EJBCA de KeyFactor podría ser para usted. Se encuentra en el lado tremendamente alto del espectro de precios, y la complejidad de su implementación y mantenimiento se suma a sus desafíos, lo que requiere recursos y experiencia sustanciales. Además, la limitada capacidad de integración de KeyFactor
