لا يمكن الوثوق بالمستخدمين. بالنسبة للجزء الأكبر ، يكونون كسالى ويختارون الراحة على السلامة. وفقًا للإحصاءات ، يكتب 21٪ كلمات المرور الخاصة بحسابات العمل على الورق ، ويشير 50٪ إلى نفس كلمات المرور الخاصة بالعمل والخدمات الشخصية.

كما أن البيئة معادية. 74٪ من المؤسسات تسمح بإحضار الأجهزة الشخصية للعمل وتوصيلها بشبكة الشركة. 94٪ من المستخدمين لا يستطيعون التمييز بين البريد الإلكتروني الحقيقي والبريد المخادع ، و 11٪ ينقرون على المرفقات.

يتم حل جميع هذه المشكلات من خلال البنية التحتية للمفتاح العام للشركة (PKI) ، والتي توفر تشفير البريد والمصادقة عليه ، واستبدال كلمات المرور بشهادات رقمية. يمكن رفع هذه البنية التحتية على Windows Server. وفق وصف من Microsoft، Active Directory Certificate Services (AD CS) هو خادم يسمح لك بإنشاء PKI في مؤسستك واستخدام تشفير المفتاح العام والشهادات الرقمية والتوقيعات الرقمية.

لكن حل Microsoft مكلف للغاية.

التكلفة الإجمالية للملكية لـ Microsoft Private CA

مقارنة تكلفة الملكية بين Microsoft CA و GlobalSign AEG. مصدر

في كثير من الحالات ، يكون من الأنسب والأرخص إنشاء نفس هيئة إصدار الشهادات الخاصة ، ولكن مع الإدارة الخارجية. هذه هي بالضبط المشكلة التي تحلها بوابة الانتساب التلقائي GlobalSign (AEG). يتم استبعاد عدة بنود من النفقات من التكلفة الإجمالية للملكية (شراء المعدات ، وتكاليف الدعم ، وتدريب الموظفين ، وما إلى ذلك). المدخرات يمكن أن تتجاوز 50٪ من التكلفة الإجمالية للملكية.

ما هو AEG

بوابة التسجيل التلقائي (AEG) هي خدمة برمجية تعمل كبوابة بين خدمات شهادة SaaS GlobalSign وبيئة مؤسسة Windows.

تتكامل AEG مع Active Directory ، مما يسمح للمؤسسات بأتمتة التسجيل وتوفير وإدارة شهادات GlobalSign الرقمية في بيئة Windows. من خلال استبدال المراجع المصدقة الداخلية بخدمات GlobalSign ، تعمل الشركات على زيادة الأمان وتقليل تكلفة إدارة Microsoft CA داخليًا معقدًا ومكلفًا.

تعد GlobalSign SaaS Certificate Services خيارًا أكثر موثوقية من الشهادات الضعيفة وغير المُدارة على البنية التحتية الخاصة بك. يؤدي إلغاء الحاجة إلى إدارة CA داخلي كثيف الموارد إلى تقليل التكلفة الإجمالية لملكية البنية التحتية للمفاتيح العمومية ، فضلاً عن مخاطر فشل النظام.

يمتد دعم بروتوكولات SCEP و ACME إلى ما بعد Windows ، بما في ذلك إصدار الشهادة المؤتمت لخوادم Linux والأجهزة المحمولة وأجهزة الشبكة والأجهزة الأخرى ، بالإضافة إلى أجهزة كمبيوتر Apple OSX المسجلة في Active Directory.

تعزيز الأمن

بالإضافة إلى توفير المال ، تعمل إدارة PKI الخارجية على تحسين أمان النظام. كما تشير دراسة مجموعة أبردين ، يتم استهداف الشهادات بشكل متزايد من قبل المهاجمين الذين يستغلون بنجاح نقاط الضعف المعروفة مثل الشهادات الموقعة ذاتيًا غير الموثوق بها والتشفير الضعيف وآليات الإلغاء المرهقة. بالإضافة إلى ذلك ، أتقن المهاجمون عمليات الاستغلال الأكثر تعقيدًا ، مثل إصدار الشهادات بشكل احتيالي من المراجع المصدقة الموثوقة وتزوير شهادات توقيع التعليمات البرمجية.

"معظم الشركات لا تدير بشكل فعال المخاطر المرتبطة بهذه الهجمات وليست مستعدة للاستجابة السريعة للمقايضات ،" написал ديريك برينك ، نائب الرئيس وزميل أمن تكنولوجيا المعلومات في مجموعة أبردين. "من خلال تمكين المؤسسات من وضع الجوانب التشغيلية لإدارة الشهادات في أيدي الخبراء مع الحفاظ على سيطرة الشركة على سياسات المجموعة في Active Directory ، تهدف GlobalSign إلى تأمين النمو المستقبلي لاستخدام الشهادة من خلال معالجة قضايا الأمان والثقة العملية بكفاءة وتكلفة - نموذج نشر فعال ".

كيف يعمل AEG

يشتمل نظام AEG النموذجي على أربعة مكونات رئيسية لضمان إرسال الشهادات الصحيحة إلى نقاط الوصول الصحيحة:

1. برنامج AEG على خادم Windows.
2. خوادم Active Directory أو وحدات تحكم المجال التي تسمح للمسؤولين بإدارة وتخزين المعلومات حول الموارد.
3. نقاط النهاية: المستخدمون والأجهزة والخوادم ومحطات العمل - تقريبًا أي كيان "مستهلك" للشهادات الرقمية.
4. سلطة تصديق GlobalSign ، أو GCC ، التي تقع على رأس إصدار الشهادات الموثوق بها ومنصة الإدارة. هذا هو المكان الذي يتم فيه إنشاء الشهادات.

ثلاثة من المكونات الأربعة المعروضة محليا لدى العميل ، والرابع في السحابة.

أولاً ، يتم تكوين نقاط النهاية مسبقًا باستخدام سياسات المجموعة: على سبيل المثال ، التحقق من صحة الشهادة لمصادقة المستخدم ، وطلب S / MIME للشهادة ، وما إلى ذلك - للاتصال اللاحق بخادم AEG. الاتصال آمن عبر HTTPS.

يستعلم خادم AEG عن Active Directory عبر LDAP للحصول على قائمة بقوالب الشهادات لنقاط النهاية هذه ويرسل القائمة إلى العملاء جنبًا إلى جنب مع موقع CA. بعد تلقي هذه القواعد ، تتصل نقاط النهاية بخادم AEG مرة أخرى ، وهذه المرة لطلب الشهادات الفعلية. تقوم AEG ، بدورها ، بإنشاء استدعاء API مع المعلمات المحددة وإرسالها إلى GlobalSign Certification Authority أو GCC للمعالجة.

أخيرًا ، تعالج الواجهة الخلفية لدول مجلس التعاون الخليجي الطلبات ، عادةً في غضون ثوانٍ قليلة ، وترسل استجابة واجهة برمجة التطبيقات مع شهادة سيتم تثبيتها على نقاط النهاية عند الطلب.

تستغرق العملية برمتها بضع ثوانٍ ويمكن أن تتم آليًا بالكامل من خلال تكوين نقاط النهاية للحصول على الشهادات تلقائيًا باستخدام سياسات المجموعة.

ميزات AEG الفريدة

• يمكنك التسجيل من خلال منصة MDM.
• تم تطويره بواسطة موظفين سابقين من فريق Microsoft Crypto.
• حل بدون عميل.
• التنفيذ المبسط وإدارة دورة الحياة.

أمثلة العمارة

وبالتالي ، فإن إدارة البنية التحتية للمفاتيح العمومية الخارجية من خلال بوابة GlobalSign AEG تعني زيادة الأمن وتوفير التكاليف وتقليل المخاطر. فائدة أخرى هي سهولة التوسع وتحسين الأداء. يضمن PKI المدار بشكل صحيح وقت تشغيل طويل ، ويزيل تعطيل العمليات الحرجة بسبب الشهادات غير الصالحة ، ويوفر للموظفين وصولاً آمنًا عن بُعد إلى شبكات الشركة.

AEG يدعم مجموعة واسعة من حالات الاستخدام التي تتطلب مصادقة ثنائية ، من عملاء مجموعة العمل البعيدين الذين يصلون إلى الشبكة عبر VPN و Wi-Fi ، إلى الوصول المميز إلى الموارد الحساسة للغاية عبر البطاقات الذكية.

GlobalSign هي شركة عالمية رائدة في توفير حلول PKI السحابية والشبكات لإدارة الهوية والوصول. لمزيد من المعلومات عن المنتج ، يرجى الاتصال مديرينا.

المصدر: www.habr.com