Карыстачам нельга давяраць. У большасці сваёй яны гультаяватыя і замест бяспекі выбіраюць камфорт. Па статыстыцы, 21% запісваюць на паперы свае паролі ад працоўных акаўнтаў, 50% паказваюць аднолькавыя паролі для працоўных і асабістых сэрвісаў.
Серада таксама варожая. 74% арганізацый дазваляюць прыносіць на працу асабістыя прылады і падлучаць да карпаратыўнай сеткі. 94% карыстачоў не могуць адрозніць сапраўдны ліст ад фішынгавага, 11% націскалі на аттачменты.
Усе гэтыя праблемы вырашае карпаратыўная інфраструктура адчыненых ключоў (PKI), якая забяспечвае шыфраванне і аўтэнтыфікацыю пошты, а паролі замяняе лічбавымі сертыфікатамі. Гэтую інфраструктуру можна падняць на Windows Server. Згодна
Але рашэнне ад Microsoft дастаткова дарагое.
Агульны кошт валодання для прыватнага цэнтра сертыфікацыі ад Microsoft
Параўнанне кошту валодання Microsoft CA і GlobalSign AEG.
У многіх сітуацыях зручней і танней стварыць такі ж прыватны цэнтр сертыфікацыі, але са знешнім кіраваннем. Менавіта гэтую праблему вырашае GlobalSign Auto Enrollment Gateway (AEG). З агульнага кошту валодання выключаецца адразу некалькі радкоў выдаткаў (закупка абсталявання, выдаткі на падтрымку, навучанне персанала і інш.). Эканомія можа перавышаць
Што такое AEG
AEG інтэгруецца з Active Directory, дазваляючы арганізацыям аўтаматызаваць рэгістрацыю, падрыхтоўку і кіраванне лічбавымі сертыфікатамі GlobalSign у асяроддзі Windows. Замяніўшы ўнутраныя цэнтры сертыфікацыі сэрвісамі GlobalSign, прадпрыемствы падвышаюць бяспеку і зніжаюць выдаткі на кіраванне складаным і дарагім унутраным цэнтрам сертыфікацыі Microsoft.
Службы сертыфікацыі GlobalSign SaaS – больш надзейны варыянт у параўнанні са слабымі і некіравальнымі сертыфікатамі на ўласнай інфраструктуры. Устараненне неабходнасці кіравання рэсурсаёмістым унутраным ЦС зніжае агульны кошт валодання PKI, а таксама рызыка збояў сістэмы.
Падтрымка пратаколаў SCEP і ACME пашырае магчымасці падтрымкі за межы Windows, у тым ліку аўтаматызаваную выдачу сертыфікатаў для сервераў Linux, мабільных, сеткавых і іншых прылад, а таксама кампутараў Apple OSX, зарэгістраваным у Active Directory.
падвышаная бяспека
Акрамя эканоміі бюджэту, знешняе кіраванне PKI падвышае бяспеку сістэмы. Як адзначаецца ў даследаванні Aberdeen Group, сертыфікаты ўсё часцей становяцца мішэнню зламыснікаў: яны паспяхова выкарыстоўваюць вядомыя ўразлівасці, такія як ненадзейныя самападпісаныя сертыфікаты, слабое шыфраванне і грувасткія механізмы водгуку. Акрамя таго, зламыснікі асвоілі больш складанымі эксплоіты, такія як ашуканская выдача сертыфікатаў ад давераных ЦС і падробка сертыфікатаў для подпісу кода.
«Большасць прадпрыемстваў недастаткова актыўна кіруюць рызыкамі, звязанымі з гэтымі атакамі, і не гатовы хутка рэагаваць на кампраміс, —
Як працуе AEG
Тыповая сістэма з AEG уключае ў сябе чатыры ключавыя кампаненты, каб гарантаваць перадачу правільных сертыфікатаў правільным кропкам доступу:
- Праграмнае забеспячэнне AEG на серверы Windows.
- Серверы Active Directory або кантролеры дамена, якія дазваляюць адміністратарам кіраваць і захоўваць інфармацыю аб рэсурсах.
- Канчатковыя кропкі: карыстачы, прылады, серверы і працоўныя станцыі - практычна любы аб'ект, які з'яўляецца "спажыўцом" лічбавых сертыфікатаў.
- Цэнтр сертыфікацыі GlobalSign ці GCC, які знаходзіцца на вяршыні надзейнай платформы выдачы сертыфікатаў і кіравання. Тут генеруюцца сертыфікаты.
Тры з чатырох паказаных кампанентаў знаходзяцца ў лакальным асяроддзі ў кліента, а чацвёрты - у воблаку.
Спачатку канчатковыя кропкі папярэдне наладжваюцца з дапамогай групавых палітык: напрыклад, па праверцы сертыфіката на аўтэнтыфікацыю карыстача, запыт S/MIME для сертыфіката і гэтак далей – для наступнага падлучэння да сервера AEG. Падлучэнне адбываецца бяспечна праз HTTPS.
Сервер AEG адпраўляе запыт у Active Directory праз LDAP, каб атрымаць спіс шаблонаў сертыфікатаў для гэтых канчатковых кропак, і адпраўляе кліентам дадзены спіс разам з месцазнаходжаннем цэнтра сертыфікацыі. Пасля атрымання гэтых правіл канчатковыя кропкі зноў падключаюцца да сервера AEG, на гэты раз для запыту фактычных сертыфікатаў. AEG у сваю чаргу стварае выклік API з паказанымі параметрамі і адпраўляе яго ў Цэнтр сертыфікацыі GlobalSign ці GCC для апрацоўкі.
Нарэшце, серверная частка GCC апрацоўвае запыты, звычайна на працягу некалькіх секунд, і адпраўляе адказ API разам з сертыфікатам, які будзе па запыце ўсталяваны на канчатковых кропках.
Увесь працэс займае некалькі секунд і можа быць цалкам аўтаматызаваны шляхам наладкі канчатковых кропак для аўтаматычнага атрымання сертыфікатаў з дапамогай групавых палітык.
Унікальныя асаблівасці AEG
- Можна зарэгістравацца праз платформу MDM.
- Распрацавана былымі супрацоўнікамі з каманды Microsoft Crypto.
- Рашэнне "без кліента".
- Спрошчаная рэалізацыя і кіраванне жыццёвым цыклам.
Прыклады архітэктур
Такім чынам, знешняе кіраванне PKI праз шлюз GlobalSign AEG азначае падвышаную бяспеку, эканомію сродкаў і зніжэнне рызык. Яшчэ адна перавага - простая маштабаванасць і падвышаная прадукцыйнасць. Правільнае кіраванне PKI забяспечвае працяглы час безадмоўнай працы, выключае перапыненне крытычна важных аперацый з-за несапраўдных сертыфікатаў і прапануе супрацоўнікам выдалены, бяспечны доступ да сетак кампаніі.
GlobalSign-сусветны лідэр у сферы прадастаўлення хмарных і сеткавых PKI-рашэнняў па кіраванні ідэнтыфікацыяй і доступам. Больш падрабязную інфармацыю аб прадуктах вы можаце ўдакладніць у
Крыніца: habr.com