На потребителите не може да се вярва. В по-голямата си част те са мързеливи и предпочитат комфорта пред безопасността. Според статистиката 21% записват своите пароли за работни акаунти на хартия, 50% посочват еднакви пароли за работа и лични услуги.

Средата също е враждебна. 74% от организациите позволяват личните устройства да се носят на работа и да се свързват към корпоративната мрежа. 94% от потребителите не могат да разграничат истински имейл от фишинг, 11% са кликнали върху прикачени файлове.

Всички тези проблеми се решават от корпоративна инфраструктура с публичен ключ (PKI), която осигурява криптиране и удостоверяване на пощата и заменя паролите с цифрови сертификати. Тази инфраструктура може да бъде издигната на Windows Server. Според описание от Microsoft, Active Directory Certificate Services (AD CS) е сървър, който ви позволява да създавате PKI във вашата организация и да използвате криптография с публичен ключ, цифрови сертификати и цифрови подписи.

Но решението на Microsoft е доста скъпо.

Обща цена на притежание за частен CA на Microsoft

Сравнение на разходите за притежание между Microsoft CA и GlobalSign AEG. източник

В много ситуации е по-удобно и по-евтино да се създаде същия частен сертифициращ орган, но с външно управление. Точно този проблем решава GlobalSign Auto Enrollment Gateway (AEG). Няколко реда разходи са изключени от общата цена на притежание (закупуване на оборудване, разходи за поддръжка, обучение на персонала и т.н.). Спестяванията могат да надхвърлят 50% от общата цена на собственост.

Какво е AEG

Шлюз за автоматично записване (AEG) е софтуерна услуга, която действа като шлюз между услугите за сертификати SaaS GlobalSign и корпоративна среда на Windows.

AEG се интегрира с Active Directory, позволявайки на организациите да автоматизират регистрацията, осигуряването и управлението на цифрови сертификати GlobalSign в среда на Windows. Като заменят вътрешните CA с услуги на GlobalSign, предприятията повишават сигурността и намаляват разходите за управление на сложен и скъп вътрешен Microsoft CA.

GlobalSign SaaS Certificate Services е по-надеждна опция от слабите и неуправляеми сертификати на вашата собствена инфраструктура. Премахването на необходимостта от управление на ресурсоемък вътрешен CA намалява общата цена на притежание на PKI, както и риска от системни повреди.

Поддръжката за протоколи SCEP и ACME разширява поддръжката извън Windows, включително автоматизирано издаване на сертификати за Linux сървъри, мобилни устройства, мрежови устройства и други устройства, както и Apple OSX компютри, регистрирани в Active Directory.

Подобрена сигурност

В допълнение към спестяването на пари, изнесеното PKI управление подобрява сигурността на системата. Както отбелязва проучването на Aberdeen Group, сертификатите стават все по-често обект на нападатели, които успешно използват известни уязвимости като ненадеждни самоподписани сертификати, слабо криптиране и тромави механизми за отмяна. В допълнение, нападателите са усвоили по-сложни експлойти, като например измамно издаване на сертификати от доверени CAs и фалшифициране на сертификати за подписване на код.

„Повечето предприятия не управляват активно рисковете, свързани с тези атаки, и не са готови да реагират бързо на компромиси,“ написах Дерек Е. Бринк, вицепрезидент и сътрудник по ИТ сигурност в Aberdeen Group. „Като дава възможност на предприятията да поставят оперативните аспекти на управлението на сертификати в ръцете на експерти, като същевременно поддържа корпоративен контрол върху груповите политики в Active Directory, GlobalSign има за цел да осигури бъдещия растеж на използването на сертификати чрез справяне с практически проблеми със сигурността и доверието по ефективен, рентабилен -ефективен модел на разгръщане."

Как работи AEG

Типичната AEG система включва четири ключови компонента, за да гарантира, че правилните сертификати се изпращат до правилните точки за достъп:

1. AEG софтуер на Windows сървър.
2. Сървъри на Active Directory или домейн контролери, които позволяват на администраторите да управляват и съхраняват информация за ресурси.
3. Крайни точки: потребители, устройства, сървъри и работни станции - практически всеки субект, който е "потребител" на цифрови сертификати.
4. Сертифициращ орган GlobalSign или GCC, който се намира на върха на надеждна платформа за издаване и управление на сертификати. Това е мястото, където се генерират сертификати.

Три от четирите показани компонента са локални на клиента, а четвъртият е в облака.

Първо, крайните точки са предварително конфигурирани с помощта на групови правила: например валидиране на сертификат за удостоверяване на потребителя, S/MIME заявка за сертификата и т.н. - за последваща връзка със сървъра на AEG. Връзката е защитена през HTTPS.

Сървърът на AEG отправя запитване към Active Directory чрез LDAP за списък с шаблони на сертификати за тези крайни точки и изпраща списъка на клиентите заедно с местоположението на CA. След като получат тези правила, крайните точки се свързват отново със сървъра на AEG, този път за да поискат действителните сертификати. AEG от своя страна създава API извикване с посочените параметри и го изпраща на GlobalSign Certification Authority или GCC за обработка.

И накрая, задната част на GCC обработва заявките, обикновено в рамките на няколко секунди, и изпраща API отговор заедно със сертификат, който ще бъде инсталиран на крайните точки при поискване.

Целият процес отнема няколко секунди и може да бъде напълно автоматизиран чрез конфигуриране на крайни точки за автоматично получаване на сертификати чрез групови правила.

Уникални характеристики на AEG

• Можете да се регистрирате през платформата MDM.
• Разработено от бивши служители от екипа на Microsoft Crypto.
• Решение без клиент.
• Опростено внедряване и управление на жизнения цикъл.

Примери за архитектура

По този начин външното управление на PKI чрез шлюза GlobalSign AEG означава повишена сигурност, спестяване на разходи и намаляване на риска. Друго предимство е лесната мащабируемост и подобрената производителност. Правилно управляваният PKI осигурява дълъг период на работа, елиминира прекъсването на критичните операции поради невалидни сертификати и предлага на служителите отдалечен, защитен достъп до фирмените мрежи.

AEG поддържа широка гама от случаи на употреба, които изискват двуфакторно удостоверяване, от отдалечени клиенти на работна група, които имат достъп до мрежата чрез VPN и Wi-Fi, до привилегирован достъп до силно чувствителни ресурси чрез смарт карти.

GlobalSign е глобален лидер в предоставянето на облачни и мрежови PKI решения за управление на идентичността и достъпа. За повече информация за продукта, моля свържете се с нашите мениджъри.

Източник: www.habr.com