Una CA privada es una autoridad de certificación (CA) específica de la empresa que funciona como una CA de confianza pública, pero que está administrada exclusivamente por, o para, la empresa. Con una CA privada, una empresa crea su propio certificado raíz privado que puede emitir certificados privados de entidad final para servidores y usuarios internos. Los certificados emitidos por una CA privada no son de confianza pública y no deben utilizarse fuera de la infraestructura y los miembros de confianza de la empresa.
En última instancia, una autoridad de certificación garantiza la identidad de cada máquina, usuario o proceso de código en la infraestructura. Sin este tipo de identidad sólida, es posible que se produzcan ataques mediante los cuales los programas de software de intermediarios roban información o emiten comandos falsos, lo que podría provocar la pérdida de datos, violaciones de seguridad, robo de fondos u otros problemas. En el caso de los mecanismos de confianza pública, como los certificados utilizados para proteger el tráfico web, el correo electrónico y el código distribuido, los certificados emitidos siguen una "cadena" criptográfica hasta las CA públicas. En el caso de una CA privada, la empresa se configura a sí misma como la última fuente de verdad sobre qué dispositivos, usuarios o procesos son confiables dentro de la red.
En el pasado, las empresas solían utilizar la herramienta CA de Microsoft para máquinas con Windows o cualquier elemento de la pila de tecnología de Microsoft. Microsoft CA era gratuito e integrado con Active Directory, por lo que se adaptaba bien a gran parte de este uso. Sin embargo, en los últimos años, tendencias como la compatibilidad con dispositivos móviles (incluido BYOD), Internet de las cosas (IoT), la computación en la nube y DevOps han obligado al uso de sistemas operativos que no son de Microsoft a gran escala para aplicaciones críticas para el negocio. Estas arquitecturas han requerido la adopción de otras ofertas de CA privadas, incluidas las aplicaciones de CA privadas de posventa de los proveedores de seguridad de TI.
Los usos comunes de las CA privadas incluyen:
- Sitios de intranet
- Autenticación VPN o inalámbrica
- Identificación del dispositivo
- Proyectos de Internet de las cosas (IoT)
- Comunicaciones seguras entre servicios internos
- Comunicaciones interoperables entre terceros, incluidos entornos de nube en contenedores o conectados a API.
¿Por qué son importantes las CA privadas?
La necesidad de una identidad controlada por certificado dentro de la empresa es enorme. Muchos de los casos de uso son inapropiados para los certificados comunes de confianza pública, por lo que las empresas deben emitir certificados desde su propia estructura de confianza para estas circunstancias. No implementar prácticas sólidas de identidad para los sistemas internos plantea un riesgo inaceptable de robo de datos u otras infracciones catastróficas.
Una oferta de CA privada comercial puede ayudar a una empresa a reducir el riesgo y ayudar al cumplimiento siguiendo las mejores prácticas de infraestructura de clave pública (PKI), criptografía y seguridad de TI, incluido el seguimiento y la automatización de la renovación de los certificados implementados. Puede reducir el tiempo de comercialización y aumentar la agilidad empresarial al permitir que los administradores de red administren certificados y prácticas en lugar de crear su propia PKI desde cero. Y puede liberar tiempo de los empleados para otras tareas al automatizar la mayoría de las tareas administrativas para los certificados internos.
¿Qué más debe saber el lector sobre las CA privadas?
Muchas de las arquitecturas que impulsan el mayor uso de certificados aún se encuentran en sus inicios. Los contenedores, la nube múltiple, el IoT y otras arquitecturas informáticas contemporáneas están aumentando la cantidad de certificados requeridos en órdenes de magnitud, lo que en muchos casos reduce la vida útil del certificado promedio en consecuencia. En estas arquitecturas, la automatización es un requisito para la implementación y administración de certificados.