İstifadəçilərə etibar etmək olmaz. Əksər hallarda onlar tənbəldirlər və təhlükəsizlikdən çox rahatlığı seçirlər. Statistikaya görə, 21% iş hesabları üçün parollarını kağız üzərində yazır, 50% iş və şəxsi xidmətlər üçün eyni parolları göstərir.
Ətraf mühit də düşməndir. Təşkilatların 74%-i şəxsi cihazların işə gətirilməsinə və korporativ şəbəkəyə qoşulmasına icazə verir. İstifadəçilərin 94%-i həqiqi e-poçtla fişinqi ayırd edə bilmir, 11%-i əlavələrə klikləyib.
Bütün bu problemlər poçtun şifrələnməsini və autentifikasiyasını təmin edən və parolları rəqəmsal sertifikatlarla əvəz edən korporativ açıq açar infrastrukturu (PKI) tərəfindən həll edilir. Bu infrastruktur Windows Server-də qaldırıla bilər. görə , Active Directory Sertifikat Xidmətləri (AD CS) təşkilatınızda PKI yaratmağa və açıq açar kriptoqrafiyasından, rəqəmsal sertifikatlardan və rəqəmsal imzalardan istifadə etməyə imkan verən serverdir.
Lakin Microsoft-un həlli kifayət qədər bahadır.
Microsoft Şəxsi CA üçün Ümumi Mülkiyyət Dəyəri
Microsoft CA və GlobalSign AEG arasında sahiblik dəyəri müqayisəsi.
Bir çox hallarda eyni özəl sertifikat orqanını yaratmaq daha rahat və daha ucuzdur, lakin kənar idarəetmə ilə. GlobalSign Avtomatik Qeydiyyat Şlüzünün (AEG) həll etdiyi problem məhz budur. Mülkiyyətin ümumi dəyərindən bir neçə xərc xətti (avadanlığın alınması, dəstək xərcləri, işçilərin təlimi və s.) çıxarılır. Qənaət aşa bilər .
AEG nədir
(AEG) SaaS GlobalSign sertifikat xidmətləri ilə Windows korporativ mühiti arasında keçid kimi çıxış edən proqram xidmətidir.
AEG Active Directory ilə inteqrasiya edərək təşkilatlara Windows mühitində GlobalSign rəqəmsal sertifikatlarının qeydiyyatını, təmin edilməsini və idarə olunmasını avtomatlaşdırmağa imkan verir. Daxili CA-ları GlobalSign xidmətləri ilə əvəz etməklə müəssisələr təhlükəsizliyi artırır və mürəkkəb və bahalı daxili Microsoft CA-nın idarə olunması xərclərini azaldır.
GlobalSign SaaS Sertifikat Xidmətləri öz infrastrukturunuzdakı zəif və idarə olunmayan sertifikatlardan daha etibarlı seçimdir. Resurs tutumlu daxili CA-nı idarə etmək ehtiyacının aradan qaldırılması PKI-yə sahibliyin ümumi dəyərini, eləcə də sistem uğursuzluqları riskini azaldır.
SCEP və ACME protokollarına dəstək Linux serverləri, mobil qurğular, şəbəkə cihazları və digər qurğular, həmçinin Active Directory-də qeydiyyatdan keçmiş Apple OSX kompüterləri üçün avtomatlaşdırılmış sertifikatın verilməsi daxil olmaqla dəstəyi Windows-dan kənara çıxarır.
Ətraflı təhlükəsizlik
Pula qənaət etməklə yanaşı, xarici PKI idarəetməsi sistemin təhlükəsizliyini yaxşılaşdırır. Aberdeen Group tədqiqatının qeyd etdiyi kimi, sertifikatlar getdikcə etibarsız öz-özünə imzalanmış sertifikatlar, zəif şifrələmə və çətin ləğvetmə mexanizmləri kimi məlum zəifliklərdən uğurla istifadə edən təcavüzkarlar tərəfindən hədəfə alınır. Bundan əlavə, təcavüzkarlar etibarlı CA-lardan saxta sertifikatlar vermək və kod imzalama sertifikatlarını saxtalaşdırmaq kimi daha mürəkkəb istismarları mənimsəmişlər.
“Müəssisələrin əksəriyyəti bu hücumlarla bağlı riskləri aktiv şəkildə idarə etmir və güzəştlərə tez cavab verməyə hazır deyil”. Derek E. Brink, Aberdeen Group-un vitse-prezidenti və İT Təhlükəsizliyi üzrə İşçi. “GlobalSign, Active Directory-də qrup siyasətləri üzərində korporativ nəzarəti davam etdirərkən, sertifikatların idarə edilməsinin əməliyyat aspektlərini ekspertlərin əlinə verməyə imkan verməklə, GlobalSign praktiki təhlükəsizlik və etibar məsələlərini səmərəli, qiymətli şəkildə həll etməklə sertifikat istifadəsinin gələcək artımını təmin etməyi hədəfləyir. -effektiv yerləşdirmə modeli."
AEG necə işləyir
Tipik bir AEG sistemi düzgün sertifikatların düzgün giriş nöqtələrinə göndərilməsini təmin etmək üçün dörd əsas komponentdən ibarətdir:
- Windows serverində AEG proqramı.
- İnzibatçılara resurslar haqqında məlumatı idarə etməyə və saxlamağa imkan verən Active Directory serverləri və ya domen nəzarətçiləri.
- Son nöqtələr: istifadəçilər, cihazlar, serverlər və iş stansiyaları - rəqəmsal sertifikatların "istehlakçısı" olan faktiki olaraq hər hansı bir qurum.
- Etibarlı sertifikatların verilməsi və idarəetmə platformasının üstündə oturan GlobalSign Sertifikatlaşdırma Təşkilatı və ya GCC. Burada sertifikatlar yaradılır.
Göstərilən dörd komponentdən üçü müştəridə, dördüncüsü isə buluddadır.
Birincisi, son nöqtələr qrup siyasətlərindən istifadə etməklə əvvəlcədən konfiqurasiya edilir: məsələn, istifadəçinin autentifikasiyası üçün sertifikatın yoxlanılması, sertifikat üçün S/MIME sorğusu və s. - AEG serverinə sonrakı qoşulma üçün. Bağlantı HTTPS vasitəsilə təhlükəsizdir.
AEG serveri bu son nöqtələr üçün sertifikat şablonlarının siyahısı üçün LDAP vasitəsilə Active Directory sorğusunu aparır və siyahını CA-nın yeri ilə birlikdə müştərilərə göndərir. Bu qaydaları aldıqdan sonra son nöqtələr bu dəfə faktiki sertifikatları tələb etmək üçün yenidən AEG serverinə qoşulur. AEG, öz növbəsində, göstərilən parametrlərlə API çağırışı yaradır və onu emal üçün GlobalSign Sertifikatlaşdırma Təşkilatına və ya GCC-yə göndərir.
Nəhayət, GCC arxa ucu sorğuları adətən bir neçə saniyə ərzində emal edir və sorğu əsasında son nöqtələrdə quraşdırılacaq sertifikatla birlikdə API cavabını göndərir.
Bütün proses bir neçə saniyə çəkir və qrup siyasətlərindən istifadə edərək sertifikatları avtomatik əldə etmək üçün son nöqtələri konfiqurasiya etməklə tam avtomatlaşdırıla bilər.
AEG Unikal Xüsusiyyətləri
- MDM platforması vasitəsilə qeydiyyatdan keçə bilərsiniz.
- Microsoft Crypto komandasının keçmiş işçiləri tərəfindən hazırlanmışdır.
- Müştərisiz həll.
- Sadələşdirilmiş icra və həyat dövrünün idarə edilməsi.
Memarlıq nümunələri
Beləliklə, GlobalSign AEG şlüzü vasitəsilə xarici PKI idarəetməsi artan təhlükəsizlik, xərclərə qənaət və risklərin azaldılması deməkdir. Başqa bir üstünlük asan miqyaslanma və təkmilləşdirilmiş performansdır. Düzgün idarə olunan PKI uzun müddət işləmə müddətini təmin edir, etibarsız sertifikatlar səbəbindən kritik əməliyyatların pozulmasını aradan qaldırır və işçilərə şirkət şəbəkələrinə uzaqdan, təhlükəsiz giriş təklif edir.
VPN və Wi-Fi vasitəsilə şəbəkəyə daxil olan uzaq işçi qrup müştərilərindən tutmuş smart kartlar vasitəsilə yüksək həssas resurslara imtiyazlı girişə qədər iki faktorlu autentifikasiya tələb edən geniş istifadə hallarını dəstəkləyir.
GlobalSign şəxsiyyət və girişin idarə edilməsi üçün bulud və şəbəkəli PKI həlləri təqdim edən qlobal liderdir. Məhsul haqqında ətraflı məlumat üçün əlaqə saxlayın .
Mənbə: www.habr.com