Recientemente, Microsoft finalmente anunció la fecha de lanzamiento de Microsoft Cloud PKI! Si bien esta noticia parece emocionante y revolucionaria en la superficie, una inmersión más profunda revela bastantes fallas en este servicio tan esperado. En este blog, analizaremos los pros y los contras de Microsoft Cloud PKI para ayudarle a decidir si vale la pena o no.
Entremos directamente en ello, una de las preguntas más importantes que tienen los ingenieros sobre Microsoft Cloud PKI es si funciona o no para servicios además de Intune. ¿La respuesta? No; Microsoft Cloud PKI es exclusivo de Intune. Esta exclusividad de Intune es impactante, ya que muchos equipos utilizan otros servicios como ManageEngine para sus necesidades de gestión de certificados. Si eso le suena a su equipo de PKI, entonces Microsoft Cloud PKI simplemente no es para usted, sin que sea culpa suya.
Una vez que supere el entusiasmo inicial de que Microsoft anuncie esta PKI en la nube, su siguiente paso lógico sería ver qué tiene y qué no tiene. Desafortunadamente para los ingenieros de todo el mundo, Microsoft Cloud PKI tiene un montón de omisiones sorprendentes. Echemos un vistazo a los mayores desaires, al menos en nuestra opinión:
Una característica destacada de Azure es Azure Key Vault (AKV). Azure Key Vault es conocido por su capacidad para manejar de forma segura certificados y servicios, y su capacidad para integrarlos sin problemas en máquinas virtuales (VM) de Azure. Además, durante más de cinco años, AKV ha sido competente en facilitar la rotación automatizada de certificados con DigiCert! Sorprendentemente, Microsoft decidió excluir la integración de Azure Key Vault de su PKI en la nube. La introducción de funciones comparables para certificados privados mejoraría aún más Microsoft Cloud PKI, convirtiéndolo en una opción aún más atractiva, por lo que la decisión de no integrarse con Azure Key Vault (un producto compañero de Microsoft, por cierto) es bastante sorprendente.
Si desea ver lo maravillosa que hubiera sido una experiencia con un certificado de Azure Key Vault, mire el video a continuación:
Además de Intune, Azure IoT Hub representa la aplicación de certificados más importante dentro de Azure, con millones de certificados emitidos con fines de autenticación por nuestra Azure IoT Hub CA. Desde una perspectiva empresarial, implementar una CA privada que atienda a dispositivos IoT tiene el potencial de desbloquear miles de millones en ingresos a través de otros servicios en la nube, incluidos Datalake, IoT Central y más. Como tal, la decisión de Microsoft de no integrar Microsoft Cloud PKI con Azure IoT Hub es alucinante. Al igual que Azure Key Vault, Azure IoT Hub es un servicio existente de Microsoft (y, como se mencionó anteriormente, muy rentable), por lo que no tiene sentido que Microsoft lo excluya de su PKI en la nube; Por desgracia, eso es exactamente lo que hicieron.
A medida que el uso de la autenticación basada en certificados (CBA) se vuelve cada vez más popular, es crucial mantener la validez y confiabilidad de estos certificados. Un método líder para monitorear y administrar los estados de los certificados es el Protocolo de estado de certificados en línea (OCSP). OCSP, distinto de enfoques más antiguos como Listas de Revocación de Certificados (CRL), está diseñado específicamente para verificar el estado de revocación de certificados individuales, ofreciendo mayor eficiencia que los métodos tradicionales.
Lamentablemente, OCSP no se ha incorporado a la PKI en la nube de Microsoft, lo cual es una gran decepción. Muchas organizaciones dependen de OCSP para administrar sus certificados, por lo que esta exclusión de Microsoft es un verdadero dolor de cabeza.
ACME se erige como un protocolo altamente eficaz destinado a agilizar la emisión de certificados para servidores web. a través de la automatización. Principalmente facilita la implementación y gestión automatizadas de certificados en servidores web. El objetivo clave de ACME es realizar la adquisición, renovación y administración de X.509 (también conocido como Certificados SSL/TLS) más sencillos y directos.
Antes de ACME, estos procesos implicaban intervenciones manuales que podían resultar particularmente engorrosas, especialmente en operaciones a gran escala o situaciones con certificados que caducaban con frecuencia. En esencia, ACME ha supuesto un importante ahorro de tiempo y esfuerzo para las comunidades de ingeniería y desarrollo de seguridad. Para resumirlo en pocas palabras: incorporar soporte ACME en una autoridad de certificación privada es esencial para cualquier PKI en la nube.
Lamentablemente, Cloud PKI de Microsoft no es compatible con ACME. Esta es otra omisión impactante por parte del equipo de Microsoft: como mencionamos anteriormente, tener soporte ACME en una CA privada hoy en día es una necesidad absoluta, por lo que su falta de inclusión en Microsoft Cloud PKI es desconcertante y definitivamente una estafa.
Durante muchos años, las tarjetas inteligentes han sido un método de autenticación destacado vinculado con CBA. El año pasado, Microsoft introdujo la compatibilidad con Azure CBA, pero se limita a certificados de un solo factor. En particular, esta compatibilidad con Azure CBA no se extiende a las variantes más seguras de tarjetas inteligentes, ni incluye compatibilidad con YubiKeys. También se podría pensar que agregar la distribución de certificados de tarjetas inteligentes a su PKI en la nube sería una obviedad para Microsoft; de alguna manera, estaría equivocado. Esta es otra más en una larga lista de omisiones de Microsoft Cloud PKI que nos hacen preguntarnos si Microsoft está promocionando un producto inacabado.
El anuncio de Microsoft de su PKI en la nube se centra principalmente en la emisión de certificados vía Intune SCEP, pero quizás lo más significativo es que no menciona el soporte para certificados SCEP que no se administran a través de Intune, como aquellos para dispositivos de red. Esta falta de soporte está lejos de ser ideal: una breve revisión de algunos de los principales foros de discusión de Azure revela que el tema de SCEP Las capacidades han sido un tema sensible y significativo para los ingenieros durante bastante tiempo. Desde la actualización de 2022, ha habido una cautelosa esperanza entre los usuarios de que esta característica sea parte de la oferta de Microsoft Cloud PKI, pero lamentablemente y desconcertantemente, no lo es.
Según Microsoft, la “Cloud PKI de Microsoft como complemento independiente costará 2 dólares por usuario al mes”. A primera vista, 2 dólares al mes no luce mal, al menos no estéticamente. ¡Diablos, eso es menos que comprar prácticamente cualquier cosa en Starbucks una vez al mes! ¿Cuál es el truco? Esas dos palabras en el medio: “por usuario”. $2 por usuario al mes es, por decirlo suavemente, una locura. Para las organizaciones más pequeñas que han estado esperando pacientemente el lanzamiento de una PKI en la nube de Microsoft, esto es un golpe absoluto y va más allá de lo perjudicial para sus resultados; honestamente, conocemos algunas organizaciones grandes que estarían bastante molestas por tener que gastar todo ese dinero también.
Si parece que todo este blog se ha estado acumulando en Microsoft Cloud PKI una y otra vez… tienes razón. Pero ¿qué vamos a hacer de otra manera? El hecho es que Microsoft Cloud PKI simplemente no vale la pena, sin importar cómo se mire. La combinación de la falta de características sustanciales y el precio increíblemente alto lo colocaron en la cima de la lista de “No Comprar.”
La respuesta inicial al anuncio ha sido muchas cosas, pero se puede resumir en gran medida en una palabra: desilusión. Muchos han considerado a Microsoft como líder global en PKI, pero en los últimos años han sido superados drásticamente por otras tecnologías como EZCA que satisfacen mejor las necesidades de los clientes. Necesidades de PKI para Azure. La comunidad de seguridad necesita desesperadamente una solución más integral y existe una notable sensación de decepción debido a la funcionalidad limitada de esta nueva PKI en la nube de Microsoft. Como resultado, los ingenieros recurren cada vez más a soluciones PKI más avanzadas y sofisticadas, como EZCA de Keytos, que es la primera CA nativa de Azure.
Entonces, en conclusión, ahorre dinero y busque en otra parte de Microsoft cuando se trata de una PKI en la nube. Alternativas como EZCA demuestran que existen mejores servicios por mucho menos dinero, y hasta que Microsoft intensifique su juego, seguirá así.
