Gestión de certificados

¿Qué es la gestión de certificados?

La gestión de certificados es el proceso que consiste en monitorear y gestionar los ciclos de vida —desde el aprovisionamiento y la implementación hasta el seguimiento de la renovación, el uso y la caducidad— de todos los certificados X.509 implementados en un entorno de red corporativo. Una solución ideal de gestión de certificados monitorea toda la infraestructura de certificados independientemente de la autoridad emisora en tiempo real, automatiza las operaciones de gestión de certificados y proporciona a los administradores de TI una visibilidad y un control totales sobre su ecosistema de certificados digitales.

¿Por qué las empresas necesitan una estrategia de gestión de certificados?

Aunque las organizaciones reconocen el creciente problema de la gestión de certificados digitales, la mayoría aún no cuenta con su propia estrategia de gestión de certificados para toda la empresa. Tratar los incidentes relacionados con los certificados de forma ad hoc, o confiar en herramientas caseras como las hojas de cálculo para gestionar los certificados, es inútil para superar los retos de la gestión del ciclo de vida. Estas son algunas razones por las que las organizaciones deberían invertir en una solución dedicada a la gestión del ciclo de vida de los certificados:

• 01

  La proliferación de certificados conduce a una escasa visibilidad

  La explosión de dispositivos en la red corporativa ha aumentado el número de certificados emitidos. A menudo, los administradores de TI tienen dificultades para controlar la emisión y el uso de los certificados, lo que resulta en un montón de certificados huérfanos que ponen a la organización en riesgo de sufrir interrupciones imprevistas del servicio y fallos de seguridad.

• 02

  La falta de un departamento dedicado a la gestión de certificados a menudo resulta en problemas de transparencia

  Aunque los administradores de la infraestructura de clave pública (PKI) son los responsables de gestionar los ciclos de vida de los certificados, la mayoría de las organizaciones no cuentan con un equipo de PKI interno dedicado. Como resultado, de la gestión de certificados se suele encargar al equipo de seguridad de TI, lo que aumenta la carga existente sobre los administradores de seguridad de TI y, a menudo, se convierte en un proceso desorganizado. Automatizar la gestión de certificados a través de una herramienta centralizada libera de cierta presión a los equipos de seguridad de TI y establece una visibilidad clara y un control centralizado sobre las operaciones relacionadas con los certificados.

• 03

  El sistema de gestión de certificados independiente del proveedor es más eficaz

  Las organizaciones implementan certificados adquiridos a entidades externas de confianza denominadas autoridades de certificación (CA) en sistemas y aplicaciones orientados al público. La mayoría de estas CA proporciona una herramienta para la gestión de certificados, pero el inconveniente es que sus capacidades de gestión se limitan a los certificados emitidos por el proveedor específico. Si su organización obtiene certificados de varios proveedores o utiliza certificados autofirmados, usar las herramientas de un proveedor individual puede dejar un enorme vacío en su estrategia global de gestión de certificados

• 04

  Un solo certificado caducado puede provocar costosas interrupciones de servicio

  Es crucial automatizar la gestión del ciclo de vida de los certificados, especialmente los que se implementan en servicios y aplicaciones orientados al público. Una y otra vez, hemos visto ejemplos de gigantes tecnológicos corporativos sucumbiendo a interrupciones masivas debido a certificados caducados. Las organizaciones no pueden permitirse que caduque ni un solo certificado, ya que la magnitud del impacto puede ser enorme, incluyendo el abandono de los clientes, la pérdida de credibilidad de la marca y, en ocasiones, las brechas de seguridad. Esto reafirma la necesidad de tener una solución de gestión de certificados unificada para toda la empresa que agilice y automatice la gestión del ciclo de vida de todo tipo de certificados X.509 en toda la red, independientemente de la autoridad emisora.

Estado actual de la gestión de certificados en la TI empresarial

• 61%

  de las empresas están implementando más claves y certificados debido a la menor vida útil de los certificados.

• 60%

  de las empresas no disponen de una estrategia criptográfica a escala empresarial para implementar claves y certificados.

• 51%

  de las empresas señalan que la criptoagilidad es una de las principales prioridades estratégicas para la seguridad de TI.

• 82%

  de las organizaciones considera que los certificados SSL/TLS son la identidad de equipo más crucial.

• 41%

  de las empresas experimentaron cuatro o más interrupciones del servicio debido a certificados caducados en los últimos 24 meses.

El dilema de la propiedad

A pesar de conocer la importancia de la gestión de certificados, las organizaciones a menudo luchan por diseñar y aplicar un programa sostenible de gestión de certificados. Un gran obstáculo es el dilema de la propiedad. ¿Qué departamento es responsable de gestionar los incidentes relacionados con los certificados o las interrupciones del servicio debido a certificados caducados? Lo ideal es que las operaciones relacionadas con los certificados estén a cargo del equipo de PKI, un subconjunto dependiente del departamento de seguridad de TI. Sin embargo, en la práctica, cada organización no puede permitirse tener un equipo de PKI dedicado, por lo que la responsabilidad se transfiere a los equipos de DevOps, aplicaciones, o red, añadiendo más responsabilidades a su sobrecargado trabajo. En el caso de la gestión de certificados, la ausencia de un equipo dedicado que tenga experiencia tanto en los aspectos técnicos como políticos de la PKI dificulta la prevención de incidentes relacionados con los certificados —como el tiempo de inactividad del servicio— lo que en última instancia se traduce en una mala experiencia del cliente y la pérdida de credibilidad de la marca.

La externalización de la gestión de certificados es una solución al dilema de la propiedad, pero conlleva ciertos inconvenientes. Los servicios gestionados son costosos y muchas organizaciones prefieren contener las funciones de PKI dentro de sus instalaciones. En el ecosistema de TI actual, altamente conectado, cada vez es más necesario que el software de gestión de certificados se integre con otros departamentos, como ITSM, MDM y DevOps. Además, las herramientas convencionales y caseras —como las hojas de cálculo— a menudo no ofrecen esta funcionalidad.

La verdadera solución al problema de la gestión de certificados es una plataforma unificada que proporcione una visibilidad y un control completos sobre el ecosistema SSL/TLS de la organización. Esto permite a los administradores de TI agilizar y automatizar todo el proceso de gestión del ciclo de vida de los certificados, desde el aprovisionamiento y la implementación hasta el seguimiento de la renovación, el uso y la caducidad de todos los certificados X.509 implementados en el entorno de red.

Etapas de la gestión de certificados

• Descubrir: Descubra todos los certificados SSL/TLS implementados en su red
• Consolidar: Consolide los certificados descubiertos en un repositorio seguro y centralizado.
• Centralizar: Inhiba la proliferación de certificados centralizando su creación e implementación.
• Automatizar: Agilice y automatice la gestión del ciclo de vida completo de los certificados públicos, desde la generación de CSR hasta el aprovisionamiento, implementación y renovación.
• Escanear: Escanee y corrija las vulnerabilidades de la configuración SSL con regularidad después de que se hayan implementado los certificados.
• Monitorear: Establezca el tipo adecuado de mecanismo de alerta para allanar el camino a la renovación proactiva de los certificados mucho antes de su caducidad.

Eliminar la fatiga de certificados y centralizar la gestión del ciclo de vida con Key Manager Plus

Key Manager Plus, la herramienta de gestión de claves y certificados basada en web de ManageEngine, proporciona a los administradores de TI la visibilidad y el control que tanto necesitan sobre el ecosistema SSL/TLS. Centraliza, automatiza y orquesta las operaciones de gestión del ciclo de vida de los certificados desde una interfaz única y fácil de usar, y ayuda a los equipos de TI a adelantarse a los ataques de suplantación de identidad, los problemas de cumplimiento y las interrupciones del sitio debido a las caducidades inesperadas de los certificados. Aquí hay un rápido vistazo a las funciones de Key Manager Plus.

Cómo gestionar certificados con Key Manager Plus

Key Manager Plus le ayuda a gestionar sus certificados SSL/TLS durante todo su ciclo de vida. Esto significa que puede gestionar sus certificados de principio a fin, desde la creación de los certificados hasta su implementación en los endpoints de destino. Esto simplifica enormemente la gestión de los certificados para sus administradores desde una consola centralizada, evitando cambiar entre múltiples aplicaciones. Las siguientes secciones detallan cómo puede gestionar sus certificados SSL/TLS con Key Manager Plus.

Descubrir certificados SSL y TLS en entornos y endpoints heterogéneos

La herramienta de descubrimiento SSL y TLS incorporada de Key Manager Plus ayuda a los administradores de TI a realizar descubrimientos basados en la red de todo tipo de certificados X.509 implementados en la organización. Esto incluye certificados autofirmados, certificados de usuario de Active Directory, certificados de servidor de correo, certificados implementados en equilibradores de carga, certificados alojados en Amazon Web Services, entre otros.

La detección de certificados también se puede realizar de forma masiva bajo demanda o automáticamente a intervalos periódicos creando tareas programadas. Los nuevos certificados se pueden configurar para que se añadan automáticamente en el repositorio de certificados de Key Manager Plus a medida que se generan. Esto proporciona a los administradores de TI una visibilidad completa sobre sus entornos SSL y TLS, permitiéndoles identificar y remediar rápidamente los certificados falsos y no válidos dentro de la red.

Centralizar la implementación de certificados en los sistemas y aplicaciones de destino

Es bastante habitual que las empresas obtengan certificados de varias CA para sus sistemas y aplicaciones. Esto hace que los administradores deban hacer malabarismos entre dos o más portales de proveedores para gestionarlos sin tener mucha visibilidad.

El inventario de certificados de Key Manager Plus alberga certificados de todo tipo, independientemente de la CA emisora, lo que facilita un flujo de trabajo de implementación de certificados centralizado que no requiere cambiar entre varias interfaces. Los administradores de TI también pueden generar e implementar certificados autofirmados desde Key Manager Plus para fines internos, eliminando cualquier dependencia innecesaria de equipos intermediarios.

Mantenerse al tanto de las renovaciones de certificados mediante alertas de caducidad oportunas

Los certificados SSL y TLS implementados en sistemas y aplicaciones vienen con fechas de caducidad establecidas, lo que significa que deben renovarse cada cierto tiempo. Los vencimientos imprevistos de los certificados provocan tiempos de inactividad del servicio, lo que puede afectar a la productividad, dañar la credibilidad de la marca e incluso actuar como punto de lanzamiento para las brechas de seguridad en casos extremos.

Controlar la caducidad de todos los certificados dentro de la organización es una ardua tarea. Key Manager Plus ayuda a supervisar la caducidad de los certificados a través de alertas automatizadas mediante correos electrónicos, traps SNMP y mensajes syslog. Los administradores de TI pueden iniciar renovaciones, implementar nuevos certificados y realizar un seguimiento de su uso, todo ello desde una única interfaz unificada.

Aprovechar las integraciones out-of-the-box con CA de terceros para controlar los ciclos de vida de los certificados desde una única interfaz

Los certificados emitidos por las CA de terceros tienen un periodo de validez determinado a partir del cual los navegadores no confían en ellos. Los equipos de TI de las empresas carecen de una visibilidad holística sobre el uso y los periodos de validez de los certificados, especialmente cuando hay varias CA implicadas en el aprovisionamiento de certificados. Además, los portales de gestión ofrecidos por los proveedores de certificados facilitan la automatización del ciclo de vida sólo para los certificados nativos y no amplían la compatibilidad con otras marcas.

El módulo de gestión de certificados de Key Manager Plus ofrece una gestión del ciclo de vida de los certificados independiente del proveedor: una combinación de flujos de trabajo estrechamente integrados que permite a los administradores de TI obtener, consolidar, implementar, renovar y controlar los ciclos de vida de los certificados emitidos por una amplia gama de CA de terceros. Puede encontrar la lista completa de CA integradas out-of-the-box con Key Manager Plus aquí.

Gestionar exclusivamente certificados de Microsoft Certificate Store y certificados emitidos por Microsoft Certificate Authority

Para facilitar la comunicación segura dentro de las aplicaciones y servidores internos, los equipos de TI de las empresas suelen crear CA internas, como Microsoft Certificate Authority, e implementan los certificados generados localmente en varios puntos nodales de la red. Una vez más, estos certificados se deben monitorear y gestionar constantemente para evitar interrupciones de la conexión.

Gestionar manualmente los certificados de CA internas puede suponer un reto para los administradores de TI, especialmente cuando se realiza a gran escala. Key Manager Plus proporciona flujos de trabajo dedicados que ayudan a los equipos de TI de las empresas a gestionar, automatizar y orquestar la gestión de certificados en Microsoft Certificate Store y certificados emitidos por Microsoft Certificate Authority sin intervención manual.

Obtener información más detallada mediante pistas de auditoría a prueba de manipulaciones e informes exhaustivos

Key Manager Plus proporciona un sólido mecanismo de auditoría que registra cada operación y la categoriza en torno al uso de claves SSH y certificados SSL/TLS. Además, las organizaciones pueden aprovechar el mecanismo de grabación de sesiones, el mejor de su clase, que graba en vídeo las operaciones realizadas por los usuarios durante las sesiones privilegiadas iniciadas desde Key Manager Plus. La solución también proporciona informes intuitivos sobre todas las actividades de gestión de claves y certificados dentro de la empresa, lo que permite a los administradores tomar decisiones empresariales más informadas.