На потребителите не може да се вярва. В по-голямата си част те са мързеливи и предпочитат комфорта пред безопасността. Според статистиката 21% записват своите пароли за работни акаунти на хартия, 50% посочват еднакви пароли за работа и лични услуги.
Средата също е враждебна. 74% от организациите позволяват личните устройства да се носят на работа и да се свързват към корпоративната мрежа. 94% от потребителите не могат да разграничат истински имейл от фишинг, 11% са кликнали върху прикачени файлове.
Всички тези проблеми се решават от корпоративна инфраструктура с публичен ключ (PKI), която осигурява криптиране и удостоверяване на пощата и заменя паролите с цифрови сертификати. Тази инфраструктура може да бъде издигната на Windows Server. Според
Но решението на Microsoft е доста скъпо.
Обща цена на притежание за частен CA на Microsoft
Сравнение на разходите за притежание между Microsoft CA и GlobalSign AEG.
В много ситуации е по-удобно и по-евтино да се създаде същия частен сертифициращ орган, но с външно управление. Точно този проблем решава GlobalSign Auto Enrollment Gateway (AEG). Няколко реда разходи са изключени от общата цена на притежание (закупуване на оборудване, разходи за поддръжка, обучение на персонала и т.н.). Спестяванията могат да надхвърлят
Какво е AEG
AEG се интегрира с Active Directory, позволявайки на организациите да автоматизират регистрацията, осигуряването и управлението на цифрови сертификати GlobalSign в среда на Windows. Като заменят вътрешните CA с услуги на GlobalSign, предприятията повишават сигурността и намаляват разходите за управление на сложен и скъп вътрешен Microsoft CA.
GlobalSign SaaS Certificate Services е по-надеждна опция от слабите и неуправляеми сертификати на вашата собствена инфраструктура. Премахването на необходимостта от управление на ресурсоемък вътрешен CA намалява общата цена на притежание на PKI, както и риска от системни повреди.
Поддръжката за протоколи SCEP и ACME разширява поддръжката извън Windows, включително автоматизирано издаване на сертификати за Linux сървъри, мобилни устройства, мрежови устройства и други устройства, както и Apple OSX компютри, регистрирани в Active Directory.
Подобрена сигурност
В допълнение към спестяването на пари, изнесеното PKI управление подобрява сигурността на системата. Както отбелязва проучването на Aberdeen Group, сертификатите стават все по-често обект на нападатели, които успешно използват известни уязвимости като ненадеждни самоподписани сертификати, слабо криптиране и тромави механизми за отмяна. В допълнение, нападателите са усвоили по-сложни експлойти, като например измамно издаване на сертификати от доверени CAs и фалшифициране на сертификати за подписване на код.
„Повечето предприятия не управляват активно рисковете, свързани с тези атаки, и не са готови да реагират бързо на компромиси,“
Как работи AEG
Типичната AEG система включва четири ключови компонента, за да гарантира, че правилните сертификати се изпращат до правилните точки за достъп:
- AEG софтуер на Windows сървър.
- Сървъри на Active Directory или домейн контролери, които позволяват на администраторите да управляват и съхраняват информация за ресурси.
- Крайни точки: потребители, устройства, сървъри и работни станции - практически всеки субект, който е "потребител" на цифрови сертификати.
- Сертифициращ орган GlobalSign или GCC, който се намира на върха на надеждна платформа за издаване и управление на сертификати. Това е мястото, където се генерират сертификати.
Три от четирите показани компонента са локални на клиента, а четвъртият е в облака.
Първо, крайните точки са предварително конфигурирани с помощта на групови правила: например валидиране на сертификат за удостоверяване на потребителя, S/MIME заявка за сертификата и т.н. - за последваща връзка със сървъра на AEG. Връзката е защитена през HTTPS.
Сървърът на AEG отправя запитване към Active Directory чрез LDAP за списък с шаблони на сертификати за тези крайни точки и изпраща списъка на клиентите заедно с местоположението на CA. След като получат тези правила, крайните точки се свързват отново със сървъра на AEG, този път за да поискат действителните сертификати. AEG от своя страна създава API извикване с посочените параметри и го изпраща на GlobalSign Certification Authority или GCC за обработка.
И накрая, задната част на GCC обработва заявките, обикновено в рамките на няколко секунди, и изпраща API отговор заедно със сертификат, който ще бъде инсталиран на крайните точки при поискване.
Целият процес отнема няколко секунди и може да бъде напълно автоматизиран чрез конфигуриране на крайни точки за автоматично получаване на сертификати чрез групови правила.
Уникални характеристики на AEG
- Можете да се регистрирате през платформата MDM.
- Разработено от бивши служители от екипа на Microsoft Crypto.
- Решение без клиент.
- Опростено внедряване и управление на жизнения цикъл.
Примери за архитектура
По този начин външното управление на PKI чрез шлюза GlobalSign AEG означава повишена сигурност, спестяване на разходи и намаляване на риска. Друго предимство е лесната мащабируемост и подобрената производителност. Правилно управляваният PKI осигурява дълъг период на работа, елиминира прекъсването на критичните операции поради невалидни сертификати и предлага на служителите отдалечен, защитен достъп до фирмените мрежи.
GlobalSign е глобален лидер в предоставянето на облачни и мрежови PKI решения за управление на идентичността и достъпа. За повече информация за продукта, моля свържете се с
Източник: www.habr.com