Карыстачам нельга давяраць. У большасці сваёй яны гультаяватыя і замест бяспекі выбіраюць камфорт. Па статыстыцы, 21% запісваюць на паперы свае паролі ад працоўных акаўнтаў, 50% паказваюць аднолькавыя паролі для працоўных і асабістых сэрвісаў.

Серада таксама варожая. 74% арганізацый дазваляюць прыносіць на працу асабістыя прылады і падлучаць да карпаратыўнай сеткі. 94% карыстачоў не могуць адрозніць сапраўдны ліст ад фішынгавага, 11% націскалі на аттачменты.

Усе гэтыя праблемы вырашае карпаратыўная інфраструктура адчыненых ключоў (PKI), якая забяспечвае шыфраванне і аўтэнтыфікацыю пошты, а паролі замяняе лічбавымі сертыфікатамі. Гэтую інфраструктуру можна падняць на Windows Server. Згодна апісанні ад Microsoft, служба Active Directory Certificate Services (AD CS) – гэта сервер, які дазваляе стварыць у вашай арганізацыі PKI і выкарыстоўваць крыптаграфію з адкрытымі ключамі, лічбавыя сертыфікаты і лічбавы подпісы.

Але рашэнне ад Microsoft дастаткова дарагое.

Агульны кошт валодання для прыватнага цэнтра сертыфікацыі ад Microsoft

Параўнанне кошту валодання Microsoft CA і GlobalSign AEG. Крыніца

У многіх сітуацыях зручней і танней стварыць такі ж прыватны цэнтр сертыфікацыі, але са знешнім кіраваннем. Менавіта гэтую праблему вырашае GlobalSign Auto Enrollment Gateway (AEG). З агульнага кошту валодання выключаецца адразу некалькі радкоў выдаткаў (закупка абсталявання, выдаткі на падтрымку, навучанне персанала і інш.). Эканомія можа перавышаць 50% ад агульнага кошту валодання.

Што такое AEG

Auto Enrollment Gateway (AEG) – праграмная служба, якая дзейнічае як шлюз паміж службамі сертыфікатаў SaaS GlobalSign і карпаратыўным асяроддзем Windows.

AEG інтэгруецца з Active Directory, дазваляючы арганізацыям аўтаматызаваць рэгістрацыю, падрыхтоўку і кіраванне лічбавымі сертыфікатамі GlobalSign у асяроддзі Windows. Замяніўшы ўнутраныя цэнтры сертыфікацыі сэрвісамі GlobalSign, прадпрыемствы падвышаюць бяспеку і зніжаюць выдаткі на кіраванне складаным і дарагім унутраным цэнтрам сертыфікацыі Microsoft.

Службы сертыфікацыі GlobalSign SaaS – больш надзейны варыянт у параўнанні са слабымі і некіравальнымі сертыфікатамі на ўласнай інфраструктуры. Устараненне неабходнасці кіравання рэсурсаёмістым унутраным ЦС зніжае агульны кошт валодання PKI, а таксама рызыка збояў сістэмы.

Падтрымка пратаколаў SCEP і ACME пашырае магчымасці падтрымкі за межы Windows, у тым ліку аўтаматызаваную выдачу сертыфікатаў для сервераў Linux, мабільных, сеткавых і іншых прылад, а таксама кампутараў Apple OSX, зарэгістраваным у Active Directory.

падвышаная бяспека

Акрамя эканоміі бюджэту, знешняе кіраванне PKI падвышае бяспеку сістэмы. Як адзначаецца ў даследаванні Aberdeen Group, сертыфікаты ўсё часцей становяцца мішэнню зламыснікаў: яны паспяхова выкарыстоўваюць вядомыя ўразлівасці, такія як ненадзейныя самападпісаныя сертыфікаты, слабое шыфраванне і грувасткія механізмы водгуку. Акрамя таго, зламыснікі асвоілі больш складанымі эксплоіты, такія як ашуканская выдача сертыфікатаў ад давераных ЦС і падробка сертыфікатаў для подпісу кода.

«Большасць прадпрыемстваў недастаткова актыўна кіруюць рызыкамі, звязанымі з гэтымі атакамі, і не гатовы хутка рэагаваць на кампраміс, — напісаў Дэрэк Э. Брынк, віцэ-прэзідэнт і навуковы супрацоўнік па IT-бяспецы ў Aberdeen Group. - Падаючы прадпрыемствам магчымасць перадаць аперацыйныя аспекты кіравання сертыфікатамі ў рукі экспертаў, захоўваючы пры гэтым карпаратыўны кантроль над групавымі палітыкамі ў Active Directory, GlobalSign імкнецца забяспечыць будучы рост выкарыстання сертыфікатаў, вырашаючы практычныя пытанні бяспекі і даверу ў эфектыўнай, эканамічнай мадэлі разгортвання».

Як працуе AEG

Тыповая сістэма з AEG уключае ў сябе чатыры ключавыя кампаненты, каб гарантаваць перадачу правільных сертыфікатаў правільным кропкам доступу:

1. Праграмнае забеспячэнне AEG на серверы Windows.
2. Серверы Active Directory або кантролеры дамена, якія дазваляюць адміністратарам кіраваць і захоўваць інфармацыю аб рэсурсах.
3. Канчатковыя кропкі: карыстачы, прылады, серверы і працоўныя станцыі - практычна любы аб'ект, які з'яўляецца "спажыўцом" лічбавых сертыфікатаў.
4. Цэнтр сертыфікацыі GlobalSign ці GCC, які знаходзіцца на вяршыні надзейнай платформы выдачы сертыфікатаў і кіравання. Тут генеруюцца сертыфікаты.

Тры з чатырох паказаных кампанентаў знаходзяцца ў лакальным асяроддзі ў кліента, а чацвёрты - у воблаку.

Спачатку канчатковыя кропкі папярэдне наладжваюцца з дапамогай групавых палітык: напрыклад, па праверцы сертыфіката на аўтэнтыфікацыю карыстача, запыт S/MIME для сертыфіката і гэтак далей – для наступнага падлучэння да сервера AEG. Падлучэнне адбываецца бяспечна праз HTTPS.

Сервер AEG адпраўляе запыт у Active Directory праз LDAP, каб атрымаць спіс шаблонаў сертыфікатаў для гэтых канчатковых кропак, і адпраўляе кліентам дадзены спіс разам з месцазнаходжаннем цэнтра сертыфікацыі. Пасля атрымання гэтых правіл канчатковыя кропкі зноў падключаюцца да сервера AEG, на гэты раз для запыту фактычных сертыфікатаў. AEG у сваю чаргу стварае выклік API з паказанымі параметрамі і адпраўляе яго ў Цэнтр сертыфікацыі GlobalSign ці GCC для апрацоўкі.

Нарэшце, серверная частка GCC апрацоўвае запыты, звычайна на працягу некалькіх секунд, і адпраўляе адказ API разам з сертыфікатам, які будзе па запыце ўсталяваны на канчатковых кропках.

Увесь працэс займае некалькі секунд і можа быць цалкам аўтаматызаваны шляхам наладкі канчатковых кропак для аўтаматычнага атрымання сертыфікатаў з дапамогай групавых палітык.

Унікальныя асаблівасці AEG

• Можна зарэгістравацца праз платформу MDM.
• Распрацавана былымі супрацоўнікамі з каманды Microsoft Crypto.
• Рашэнне "без кліента".
• Спрошчаная рэалізацыя і кіраванне жыццёвым цыклам.

Прыклады архітэктур

Такім чынам, знешняе кіраванне PKI праз шлюз GlobalSign AEG азначае падвышаную бяспеку, эканомію сродкаў і зніжэнне рызык. Яшчэ адна перавага - простая маштабаванасць і падвышаная прадукцыйнасць. Правільнае кіраванне PKI забяспечвае працяглы час безадмоўнай працы, выключае перапыненне крытычна важных аперацый з-за несапраўдных сертыфікатаў і прапануе супрацоўнікам выдалены, бяспечны доступ да сетак кампаніі.

AEG падтрымлівае шырокі спектр варыянтаў выкарыстання, якія патрабуюць двухфактарнай аўтэнтыфікацыі: ад кліентаў выдаленых працоўных груп, якія атрымліваюць доступ да сеткі праз VPN і Wi-Fi, да прывілеяванага доступу да высокачуллівых рэсурсаў па смарт-картах.

GlobalSign-сусветны лідэр у сферы прадастаўлення хмарных і сеткавых PKI-рашэнняў па кіраванні ідэнтыфікацыяй і доступам. Больш падрабязную інфармацыю аб прадуктах вы можаце ўдакладніць у нашых менеджэраў.

Крыніца: habr.com