Descubra por qué la PKI es la solución para proteger su
sitio web, dispositivos, servicios internos y mucho más.
Su información es tan importante como cualquier otro activo de su empresa. Añadir capas extra de seguridad a sus sistemas y datos más valiosos ya no es simplemente una opción; ahora se ha vuelto imprescindible. La PKI permite utilizar la autenticación avanzada y los métodos de cifrado para mitigar los riesgos que afectan a su red.
La infraestructura de clave pública (PKI) es un sistema de procesos, tecnologías y políticas que permite cifrar y firmar datos. Con la PKI, es posible emitir certificados digitales que autentiquen la identidad de los usuarios, dispositivos o servicios. Estos certificados crean una conexión segura tanto para páginas web públicas como para sistemas privados, como su red privada virtual (VPN), Wi-Fi interna, páginas Wiki y otros servicios compatibles con la MFA. ¿Alguna pregunta?
La PKI privada le permite emitir sus propios certificados SSL privados con una raíz intermedia única, por lo general mantenida por una autoridad de certificación pública de confianza. De este modo, podrá adaptar los certificados a sus necesidades específicas e implementar certificados según demanda para fines internos.
La infraestructura de clave pública (PKI) es un sistema de procesos, tecnologías y políticas que permite cifrar o firmar datos. Con la PKI, es posible emitir certificados digitales que autentiquen la identidad de los usuarios, dispositivos o servicios. Estos certificados funcionan tanto para páginas web públicas como para servicios internos privados (por ejemplo, para autenticar dispositivos que se conectan con su VPN, Wiki, Wi-Fi, etc.)
Con la infraestructura de clave pública (PKI), el nivel de seguridad de su red mejora de forma considerable, gracias a tres ventajas clave:
Entre otras finalidades, la PKI se puede utilizar para lo siguiente:
Hablamos de cifrado completo cuando un mensaje se cifra en su dispositivo y se descifra en el dispositivo del receptor. Esto significa que ninguna tercera parte puede interceptar sus datos confidenciales.
Una autoridad de certificación (CA) es una tercera parte de confianza que verifica la identidad de una empresa que haya solicitado un certificado digital. Una vez verificada la identidad de la empresa, la CA emite un certificado que vincula la identidad de la empresa a una clave pública. Los certificados digitales son fiables porque están vinculados al certificado raíz de la CA.
Un certificado digital garantiza la identidad de su propietario. Como un permiso de conducir, el certificado ha sido emitido por una entidad externa de confianza, no se puede falsificar y contiene datos que identifican al titular.
Las claves públicas y privadas se utilizan para cifrar y descifrar la información. La información cifrada con una clave pública solo se puede descifrar con la clave privada. Este par de claves se denomina asimétrica (porque el cifrado se realiza mediante claves que no son iguales). Existe una relación matemática entre ambas claves, pero el hecho de conocer una clave no permite averiguar la otra.
Un proporciona la firma cuando se vincula una identidad a la clave pública. De este modo, se puede saber si un certificado es válido y digno de confianza.
En resumen, sí. TV ofrece soluciones tanto para PKI privadas como públicas, junto con una plataforma y una API RESTful que permiten automatizar la gestión de los certificados y personalizar los flujos de trabajo de PKI. Es posible que hasta ahora siempre haya acudido a una CA comercial para adquirir certificados SSL públicos. Si se trata de su única referencia, tal vez crea que los certificados privados tienen un coste similar al de los públicos, pero no es así. Emitir un certificado digital privado con TV cuesta mucho menos que obtener un certificado público.
A veces, los administradores e ingenieros de seguridad creen erróneamente que, si optan por una PKI privada alojada, tendrán que limitarse a ciertos perfiles de certificados porque solo tendrán acceso a perfiles de certificados aprobados por el CA/Browser Forum. Sin embargo, TV puede proporcionarle el perfil de certificado que necesite, no tienen por qué ser SSL/TLS. De hecho, ni siquiera tienen que ser necesariamente X.509.
La PKI gestionada (MPKI) es una solución proporcionada por una CA que permite empezar a automatizar los procesos de los certificados y a personalizar los flujos de trabajo de la PKI. Si llega un momento en que su empresa necesita un gran volumen de certificados, le resultará útil contar con una solución MPKI que simplifique la gestión.
Puede proteger sus servicios internos (VPN, WiFi, Wiki, etc.) con una CA interna. Para ello, las empresas suelen utilizar Microsoft CA. Sin embargo, crear y mantener una CA interna puede salir caro y exigir mucho tiempo de trabajo. Conviene calcular bien los costes de cada opción antes de decidir. Numerosas CA ofrecen soluciones alojadas con las que se ahorrará parte de los costes de hardware, software y personal que supone la creación de una PKI interna.
Una política de certificados (CP) es un documento creado para identificar a los diversos actores de una PKI, así como sus funciones y tareas. La CP especifica aspectos como el modo en que se pueden utilizar los certificados, la forma de elegir los nombres de los certificados, la manera de generar claves, etc. La CP asociada se suele especificar en un campo del certificado X.509. Para obtener información detallada sobre la CP, consulte el documento de referencia más actualizado (RFC 3647):
El almacenamiento de claves, que también se suele denominar «archivo de claves», consiste en guardar la clave privada de forma segura por si en algún momento se pierde. Para cumplir el y garantizar el máximo nivel de seguridad, le recomendamos que almacene las claves en un módulo de seguridad de hardware (HSM).
Un HSM es una solución basada en hardware de cifrado que permite guardar las claves de forma segura. Por lo general, los HSM se encuentran físicamente en las instalaciones de la empresa y exigen dedicar recursos internos a su mantenimiento, lo cual puede salir caro. Pero existen opciones menos costosas. Por ejemplo, permite almacenar claves de forma segura en el HSM en la nube de Microsoft. Para empresas de pequeño tamaño o que carezcan de los recursos necesarios para comprar y mantener su propio HSM, Microsoft Azure Key Vault es una posible solución. Algunas CA públicas, como TV, ofrecen integraciones con Microsoft Azure.
En primer lugar, tendrá que evaluar su entorno teniendo en cuenta sus necesidades y la tecnología con la que trabaja. Le sugerimos los siguientes cinco pasos para comenzar:
Si necesita ayuda, escriba a enterprise@digicert.com para ponerse en contacto con uno de nuestros arquitectos de PKI.