© 2022 ECSA.MUNDO
Diseño de páginas web

Diseño de una solución PKI

En los últimos días, varios reclutadores se me han acercado por un contrato que buscan cumplir para diseñar una solución de PKI. Si bien he hecho diseño de PKI antes y estoy interesado en volver a hacerlo, descubro que cada vez más reclutadores están tratando de rebajarme por lo que hago y, considerando cómo valoro mi tiempo, estoy comenzando. resistirse a responder a estos reclutadores. Eso, combinado con el hecho de que cambié al modelo de negocio de tarifa fija, arquitectura de seguridad como servicio, me hace encontrar cada vez menos atractivo pasar por los reclutadores. Prefiero trabajar con socios (NOTA: Llegar a redbud cibernético si buscas un buen Reclutador de CiberSeguridad. Son socios míos y revenden mi arquitectura de seguridad como servicio).

Dicho esto, hay bastantes cosas que la gente debería entender sobre el diseño de soluciones de PKI y, dado que me piden que complete un contrato, pensé en dar algunas ideas a aquellos de ustedes que buscan diseños de PKI. Y si está buscando diseñar una PKI, hágamelo saber y podemos sentarnos y hablar.

Cuando está diseñando una solución PKI, no es tan fácil como simplemente instalar los Servicios de certificados de Windows en su servidor de Windows. De hecho, con PKI, una de las peores cosas que puede hacer es mirarlo desde una perspectiva tecnológica. Recuerde, su solución PKI va a tener las llaves de su reino, por lo que necesita tener una visión muy profesional y detallada de cómo va a administrar sus certificados y pares de claves pública/privada.

Para empezar, recuerde que todas las soluciones tienen 3 componentes principales; Personas, Procesos y Tecnología. Aquellos de ustedes que me conocen entienden que en realidad creo que hay un cuarto componente y es la Gobernanza. Pero dejaré Gobernanza fuera de este artículo, de lo contrario, este artículo se convertirá en un libro.

Una vez que haya reunido los requisitos para su solución (y estos deben ser del nivel comercial, no del nivel técnico), comience a observar las capas de su arquitectura. Comenzaré con la arquitectura empresarial porque contendrá tanto las personas como las arquitecturas de procesos.

Con la arquitectura de personas, querrá crear una RACI para todas las personas involucradas en su solución PKI. No son sólo los administradores los que tienen que estar involucrados. Algunos de los otros roles en los que debe pensar son:

  • Solicitante de certificado/clave: esta es la persona que necesita el resultado de la solución PKI. Si se les deja en sus propios dispositivos, terminarán haciendo uso de certificados autofirmados y, cuando caduquen, terminará solucionando los problemas por los que fallaron las soluciones. Así que asegúrese de entender quién es su Solicitante y cómo va a realizar sus solicitudes.
  • Aprobador: el hecho de que alguien quiera un certificado no significa que deba obtener uno. Esto suele estar relacionado con la gobernanza de sus certificados y claves. Incluso pueden ser el propietario de la solución PKI.
  • Auditores: habrá roles que necesitarán auditar su sistema para garantizar la integridad de la solución PKI. Tal vez no necesite un alto nivel de integridad; si es así, tal vez este rol no sea demasiado importante. Pero si está buscando PCI o está en la industria financiera (o se ocupa de infraestructura crítica), querrá asegurarse de que se realice la auditoría.
  • Analistas de seguridad: mientras que los administradores cuidan y alimentan el sistema, normalmente sus analistas de seguridad son el usuario final de la solución PKI. Comprenda cómo interactuarán con su solución y qué procesos utilizarán para cumplir con las solicitudes.

Estos son solo algunos de los roles en los que debe pensar. Y cada rol tendrá sus propios procesos con los que deben lidiar (algunos de los cuales se insinúan solo en las descripciones que proporcioné).

Dado que estamos hablando de la arquitectura empresarial, asegúrese de comprender el modelo financiero que admite la solución PKI. ¿Cuáles son los volúmenes de certificados o claves que hay que gestionar? Si tienen un volumen lo suficientemente alto, es posible que desee reemplazar los roles humanos enumerados anteriormente con algún tipo de sistema automatizado como el que ofrece Venafi (no es un respaldo de Venafi). ¿O desea utilizar un proveedor de servicios externo como Entrust o Verasign? A veces, querrá tener un tercero de confianza para verificar una parte de un par de claves pública/privada. Pero hay costos asociados con esto, así que equilibre los costos de usar certificados autofirmados, terceros de confianza (es decir, proveedores de servicios en la nube) o construirlo usted mismo. Estas son las claves de sus activos principales, así que tome la decisión sabiamente.

Bien, pasemos a los componentes técnicos. Las soluciones de PKI se basan en un concepto conocido como "Autoridad de certificación". La Autoridad de certificación (o CA) es un punto de administración central para los certificados y las claves de una empresa. Sin la CA, no podría realizar un seguimiento eficiente de todos los certificados o claves implementados, no podría garantizar una relación de confianza con los pares de claves públicas/privadas y no podría garantizar que el cifrado dentro de la empresa se está aplicando de acuerdo con sus estándares de seguridad.

Por lo general, hay 4 componentes en una jerarquía de CA; la CA raíz, la CA intermedia subordinada, la CA emisora subordinada y el certificado. Estos se muestran en el siguiente diagrama (tomado de TechNet de Microsoft):

Los certificados digitales creados por una Autoridad de certificación (CA) de Infraestructura de clave pública (PKI) se verifican mediante una cadena de confianza. El ancla de confianza para el certificado digital es la Autoridad de certificación raíz (CA), y cualquier Autoridad de certificación (CA) que se encuentre bajo la Autoridad de certificación raíz (CA raíz) se conoce como Autoridad de certificación (CA) subordinada. La siguiente figura muestra la jerarquía de la autoridad de certificación.

CA raíz:Una CA raíz es la autoridad de certificación (CA) más alta en una jerarquía de autoridad de certificación (CA). Cada jerarquía de Autoridad de certificación (CA) comienza con la CA raíz y varias CA se ramifican desde esta CA raíz en una relación padre-hijo. Todas las CA secundarias deben estar certificadas por la CA principal correspondiente a la CA raíz. La CA raíz se mantiene en un área segura y, por lo general, es una CA fuera de línea independiente (para que sea la autoridad de certificación (CA) más segura). La CA raíz proporciona certificados para las CA intermedias. Los certificados se pueden revocar si se ven comprometidos. Recomendaría que mantenga la CA raíz fuera de línea, si es posible.

CA intermedias: Una Autoridad de certificación (CA) intermedia es una CA que está subordinada a otra CA (CA raíz u otra CA intermedia) y emite certificados a otras CA en la jerarquía de CA. Las CA intermedias suelen ser CA independientes sin conexión, como las CA raíz.

CA emisoras: Las CA emisoras se utilizan para proporcionar certificados a usuarios, equipos y otros servicios. Puede haber varias CA emisoras, y una CA emisora se puede usar para generar certificados de computadora y otra se puede usar para generar certificados de usuario.

También hay otros tres componentes clave a tener en cuenta en una solución PKI (algunas personas pueden decir más, pero estoy siendo simplista para los fines de este artículo. Esos son su Active Directory (para los roles que interactúan con la solución PKI). así como dónde puede almacenar sus certificados/claves), sus Firewalls (para proteger las CA) y su HSM (almacenamiento de claves). Por cierto, configure su HSM para que tenga una partición para cada SubCA.

Una recomendación que sugeriría es que tenga una SubCA (emisora) para cada dominio. Esto le permite establecer relaciones de confianza mediante el intercambio de claves si está involucrado en niveles más altos de seguridad.

Si está configurando un servidor de certificados basado en Windows, puede utilizar plantillas de certificado. Estas son plantillas que le permiten duplicar la configuración de certificados y claves siempre que necesite un nuevo conjunto de certificados. Hay una lista estándar disponible a través de Windows Server que puede aprovechar si lo desea.

Cuando llegue el momento de analizar los algoritmos aprobados, le recomiendo que aproveche el trabajo que está realizando el NIST. De esta manera, no tiene que estar al tanto de los diferentes algoritmos; deje que NIST lo haga por usted. Puede consultar los algoritmos aprobados en esta página del NIST.

Hay un último conjunto de detalles que debe determinar como parte de su diseño (hay MUCHO con lo que lidiar, así que no deje que este artículo lo engañe y piense que esto es todo con lo que tiene que lidiar). Las cosas que usted quiere considerar son:

  • Longitud de la clave: por lo general, esto se establecerá en 2048, pero cuanto más larga, mejor (por ejemplo, 4096 bits)
  • Período de validez: cuánto tiempo serán válidos los certificados o claves. Esto depende del tipo de CA que realiza la emisión. Desearía que los certificados de la CA raíz fueran mucho más largos que las CA emisoras (por lo general, es el doble de tiempo) y dependerían de cuánto tiempo estará en funcionamiento el equipo que utiliza los certificados/claves. Las empresas de servicios públicos, por ejemplo, instalarán medidores inteligentes con una vida útil de más de 30 años para que las claves/certificados tengan al menos esa duración.
  • Punto de distribución de CRL: debe poder señalar dónde se almacena la lista de revocación de certificados (CRL). Por lo general, es su Active Directory, pero puede ser cualquier ubicación a la que puedan acceder los dispositivos que reciben los certificados/claves.
  • Estrategia de copia de seguridad y recuperación ante desastres: sus autoridades de certificación son extremadamente importantes para su organización, por lo que debe tener muy claro cómo va a realizar copias de seguridad de los servidores de CA y cuál es la estrategia de recuperación ante desastres para ellos.

Como dije antes, este es un artículo muy simplista sobre un tema complejo. Asegúrese de haber considerado completamente todas las áreas asociadas con su certificado y administración de claves. Y si necesita ayuda, asegúrese de preguntarle a alguien que haya hecho esto antes.

Espero que esto ayude …

neil