Infraestructura de Clave Pública (PKI)

El uso de las infraestructuras de clave pública (PKI) en las empresas continúa en expansión a medida que se adapta a casos de uso cada vez más complejos, convirtiéndose en un componente fundamental de la vida digital. Sin embargo, a medida que la PKI se implementa a mayor escala y su uso se vuelve más complejo, surge un importante desafío: la falta de una gestión clara y una asignación de responsabilidades para el control de estos cambios.

Sin visibilidad y comprensión de cómo controlar PKI en estos nuevos contextos, las organizaciones se ven desafiadas a mantener su enfoque respecto de la seguridad e infraestructura como lo hicieron antes.

Una PKI completa implica una integración de software, políticas y procedimientos que establecen y administran colectivamente el cifrado de clave pública.

Considere las siguientes capacidades y características de PKI en una plataforma de seguridad criptográfica:

• Autoridad Certificadora multi certificados: Soporte para implementaciones de PKI empresarial con automatización de la gestión del ciclo de vida de los certificados para DevOps y micro servicios.

• CA con dos niveles de jerarquía para escalabilidad y flexibilidad  

• Estrategia de CA Dual para permitir una transición fluida entre CAs de Microsoft hacia una PKI empresarial moderna y adaptable.

• Soporte para la validación de los certificados en tiempo real incluyendo Lista de Certificados Revocados (CRL) y Protocolo del Status de los Certificados en línea (OCSP)

• Integración con bases de datos externas y módulos de seguridad de hardware (HSMS) para mejorar la seguridad de las llaves privadas y alinearse con los estándares de cumplimiento de la industria

• PKI adecuada a la computación cuántica con la capacidad de emitir Certificados seguros post quantum

• Escalabilidad bajo demanda

Gestión del Ciclo de Vida de los Certificados (CLM)

La automatización es un requisito clave para la Gestión del Ciclo de Vida de los Certificados Digitales (CLM) y garantizar procesos de inscripción y revocación de certificados sin problemas. Es absolutamente necesario al hacer una transición criptográfica como la de la criptografía posterior al quantum (PQC). Tener una solución CLM completa que proporcione visibilidad de la totalidad de certificados digitales de su organización y que permita la automatización, pues es clave tener el control y garantizar el cumplimiento del inventario completo de los certificados digitales de su empresa.

Considere las siguientes capacidades de su plataforma de seguridad criptográfica y características de gestión del ciclo de vida de los certificados digitales :

• Localización de certificados a través de escaneo de la red e importación automática de bases de datos de CA o servicios en la nube.

• Gestión centralizada de las políticas de los certificados: emisión, renovación y revocación, independiente del proveedor de la CA.

• Capacidad de gestionar los certificados  y gestionar la rotación de llaves y perfiles de certificado a través de los  endpoints

• Métodos de importación de certificados flexible, incluyendo descubrimiento vía scanning, importación masiva a través de API, upload manual a través de interface usuaria (UI) y  sincronización de fuente con bases de datos de CA.

• Controles, reportes, y notificaciones para una adecuada administración

• Control de acceso basado en roles (RBAC) con roles personalizables para ayudarlo con el cumplimiento regulatorio, la separación de tareas y la delegación de responsabilidades

Hardware Security Module (HSM)

Los HSM son dispositivos de hardware protegidos, resistentes a la manipulación, y que aseguran procesos criptográficos al generar, proteger y administrar llaves utilizadas para encriptar y descifrar datos y crear firmas y certificados digitales.

Los HSM se prueban, validan y certifican con los más altos estándares de seguridad, incluidos los estándares federales de procesamiento de información (FIPS) 140-2 y los Common Criteria de la UE.

Considere que los HSMS a utilizar le permitan a su organización:

• Cumplir y superar los estándares regulatorios establecidos y emergentes para la ciberseguridad, incluida la Regulación General de Protección de Datos (GDPR), la identificación electrónica, la autenticación y los Servicios de Fideicomiso (EIDAS), los Estándares de Seguridad de Datos de la Industria de Tarjetas de pago (PCI DSS), la Ley de Responsabilidad de los Seguros de Salud y la Ley de Responsabilidad (HIPAA) y más

• Lograr niveles más altos de seguridad y confianza de datos

• Mantener altos niveles de servicio y agilidad empresarial

• Soporte para los algoritmos PQC aprobados por el Instituto Nacional de Normas y Tecnología (NIST)

Gestión de Llaves y Secretos

A medida que las empresas utilizan cada vez más llaves y secretos criptográficos a gran escala para proteger aplicaciones, workloads  y datos, las soluciones de gestión de llaves tradicionales tienen desafíos  con el seguimiento y el control del uso de llaves o secretos en sus ciclos de vida.

Estas soluciones también carecen de características avanzadas que permiten a las empresas cumplir con sus mandatos de cumplimiento y requisitos de política de seguridad.

Busque que las siguientes capacidades y características estén presentes en su plataforma de seguridad criptográfica para la gestión de llaves y secretos :

• Cumplimiento y gestión de políticas para evaluar el grado de cumplimiento de llaves, secretos y certificados con regulaciones, estándares y políticas corporativas.

• Políticas de cumplimiento incorporadas para evaluar varios tipos de llaves, como llaves de protocolo de interoperabilidad de gestión de llaves (KMIP), llaves de cifrado de datos transparentes (TDE) y llaves API.

• Flexibilidad para implementar las llaves y las bóvedas de secretos utilizando tanto un enfoque centralizado como un modelo descentralizado según sea lo más adecuado para las regulaciones locales o el enfoque de seguridad.

• Soporte para una gama de integraciones nativas de nube y DevOps que incluya Ansible, Jenkins, Datadog, Terraform, Kubernetes, Red Hat Openshift y VMware Tanzu

• Gestión de cuentas y sesiones privilegiadas (PASM) para asegurar, controlar y monitorear el uso de cuentas privilegiadas que tienen acceso a llaves y secretos.

• Capacidad de Bring your own key (BYOK) tanto para Microsoft Azure, Google Cloud Platform (GCP), Amazon Web Services (AWS), Oracle Cloud Infrastructure (OCI) y entornos de Salesforce en la nube para mantener la creación y el control de sus llaves criptográficas.

Gestión del Cumplimiento 

Más allá de las ciber amenazas, un entorno regulatorio cada vez más complejo trae sus propios riesgos. Asegurar el cumplimiento de los requisitos legales y los estándares de la industria es un desafío cuando no hay visibilidad centralizada en llaves y/o están mal documentados.

A medida que las organizaciones administran un número cada vez mayor y  diverso de activos criptográficos, como llaves, secretos y certificados, una estrategia global consistente para administrar estos activos a través de la infraestructura de TI debe incluir visibilidad completa, así como toda la información relacionada, del propietario, el uso, el historial, la forma en que se generó el activo criptográfico y su propósito.

Los procesos manuales para crear y administrar activos criptográficos a menudo conducen a una higiene llaves deficiente, incluida la falta de documentación de llaves, cumplimiento y rotación de llaves, lo que aumenta aún más el riesgo de violaciones de datos. 

Busque las siguientes capacidades de gestión de cumplimiento y características en una plataforma de seguridad criptográfica:

• Inventario de llaves, secretos y certificados en todos los sistemas de su organización ya sea on premise o en la nube.

• Soporte a todo tipo de llaves y secretos incluyendo  (KMIP, TDE, Secure Shell (SSH), llaves de la aplicación y de la nube, claves, tokens, y más

• Soporte de servicios públicos de la nube incluyendo AWS Key Management Service (KMS), Azure Key Vault, GCP, OCI, y otros

• Flujos de trabajo de documentación de activos criptográficos

• Informes de llaves y alertas

• Opciones de despliegue flexible que incluyen un dispositivo virtual on premise o en la nube, a través de un modelo de servicio en la nube, o como un servicio gestionado.

• Soporte de alta disponibilidad con clustering activo-activo

• Soporte para separación de tareas, menos privilegios, control dual y multitenancy

• Registros de auditoría y exportación forense

• Cumplimiento automatizado para estándares de seguridad de datos de la industria de tarjetas de pago (PCI DSS), NIST 800-130, NIST 800-57 y otros estándares además de soporte para operaciones de cumplimiento personalizadas

Basado en “Cryptography for Dummies” de Lawrence Miller.