A medida que las organizaciones se esfuerzan por facilitar la gestión de su PKI, es común consolidar y migrar varias PKI dispares a una única solución PKI multiusuario (como EJBCA). Otra tendencia en este ámbito es el uso de PKI como servicio (PKIaaS).

Si bien la consolidación de PKI y PKISaaS están ganando popularidad y es fácil creer que ambos son una solución integral, la realidad es que las grandes organizaciones seguirán teniendo varios silos de PKI. Para mal y a veces para bien, los silos de PKI están presentes en todas partes.

Una situación en la que un silo puede ser beneficioso es cuando los requisitos son tan específicos para un entorno que las demandas son incompatibles con otros sistemas de PKI y podrían causar riesgos no deseados de seguridad o disponibilidad para otro sistema en una PKI consolidada. Por ejemplo, los requisitos de latencia muy estrictos suelen ser difíciles de cumplir en un entorno multiuso, los requisitos fuera de línea donde la conectividad no siempre está disponible, o la necesidad de procesar solicitudes de clientes de alto riesgo o en entornos de alto riesgo. A continuación, se describen ejemplos prácticos de silos de PKI en una gran organización:

• Una PKI empresarial consolidada en la sede central que presta servicio a muchas sucursales remotas de la organización.

• Varias oficinas en ubicaciones remotas necesitan su propia PKI local por razones prácticas o políticas.

• Una nueva PKI para dispositivos IoT.

• Fábricas que necesitan acceso urgente y que no están 100% en línea, nuevas líneas de productos seguras que requieren integración OT/IT.

• Flujos de trabajo de DevOps que respaldan una mayor seguridad en la cadena de suministro de software y que necesitan cambios rápidos de PKI e integraciones que cambian rápidamente.

• Aplicaciones comerciales específicas con requisitos de PKI que son tan diferentes de otros que están motivados con un entorno separado.

Los silos de PKI pueden provocar una pérdida de control sobre las políticas y operaciones o, en otras palabras, un riesgo de gobernanza para un activo crítico para la organización, además de la necesidad de contar con competencias distribuidas en PKI y HSM. La solución es dar soporte a los silos mediante una plataforma común de tecnología y gobernanza. Al estandarizar y optimizar las políticas y operaciones en múltiples silos, se recupera la gobernanza y se minimiza el mantenimiento y los riesgos. Además, se obtiene la posibilidad de implementar PKI en entornos de prueba y producción con un alto grado de automatización.

Tres componentes son clave para mantener la gobernanza central de la PKI y defender el control y la política de seguridad en toda la organización:

• Consolide las PKI en una PKI común para múltiples inquilinos cuando sea posible, consulte Migración de otras CA a EJBCA .
  

• Automatice la instalación y configuración de implementaciones de PKI y permita que se implementen políticas y perfiles controlados de forma centralizada en cualquier lugar; consulte Ejecución de PKI y servicios de firma en entornos DevOps .

• Consolide el uso de HSM en un conjunto de plataformas HSM que funcionen de la misma manera, o de manera bastante similar, en todos los silos, independientemente de si están en las instalaciones o en la nube.
  
  

La automatización de la implementación, el aprovisionamiento de software y las herramientas de gestión de la configuración le permiten implementar fácilmente la plataforma PKI, los controladores HSM y configurar el acceso a los HSM desde la instalación de PKI, incluso utilizando diferentes tipos de HSM. Estandarizar el uso de HSM en todas las implementaciones facilita considerablemente la gobernanza de PKI, ya que permite aprovechar la experiencia de toda la organización. Esto permite utilizar una misma tecnología y un único conjunto de estrategias de aprovisionamiento automatizado en todos los silos de PKI. No se requiere especialización en determinados silos.

Una plataforma tecnológica con soporte total para la operación híbrida permite consolidar lo que se puede consolidar, implementar PKI de forma segura en todos los silos necesarios y aprovisionar rápidamente nuevas PKI (en la plataforma consolidada o como silo) cuando los nuevos casos de negocio lo requieran. Esta implementación híbrida proporciona una plataforma conjunta con competencia dentro de la organización, sin depender de unos pocos especialistas locales ni de implementaciones ad hoc inseguras.