Пользователям нельзя доверять. В большинстве своем они ленивы и вместо безопасности выбирают комфорт. По статистике, 21% записывают на бумаге свои пароли от рабочих аккаунтов, 50% указывают одинаковые пароли для рабочих и личных сервисов.

Среда тоже враждебна. 74% организаций разрешают приносить на работу личные устройства и подключать к корпоративной сети. 94% пользователей не могут отличить настоящее письмо от фишингового, 11% нажимали на аттачменты.

Все эти проблемы решает корпоративная инфраструктура открытых ключей (PKI), которая обеспечивает шифрование и аутентификацию почты, а пароли заменяет цифровыми сертификатами. Эту инфраструктуру можно поднять на Windows Server. Согласно описанию от Microsoft, служба Active Directory Certificate Services (AD CS) — это сервер, который позволяет создать в вашей организации PKI и использовать криптографию с открытыми ключами, цифровые сертификаты и цифровой подписи.

Но решение от Microsoft достаточно дорогостоящее.

Общая стоимость владения для частного центра сертификации от Microsoft

Сравнение стоимости владения Microsoft CA и GlobalSign AEG. Источник

Во многих ситуациях удобнее и дешевле создать такой же частный центр сертификации, но с внешним управлением. Именно эту проблему решает GlobalSign Auto Enrollment Gateway (AEG). Из общей стоимости владения исключается сразу несколько строк расходов (закупка оборудования, затраты на поддержку, обучение персонала и др.). Экономия может превышать 50% от общей стоимости владения.

Что такое AEG

Auto Enrollment Gateway (AEG) — программная служба, которая действует как шлюз между службами сертификатов SaaS GlobalSign и корпоративной средой Windows.

AEG интегрируется с Active Directory, позволяя организациям автоматизировать регистрацию, подготовку и управление цифровыми сертификатами GlobalSign в среде Windows. Заменив внутренние центры сертификации сервисами GlobalSign, предприятия повышают безопасность и снижают затраты на управление сложным и дорогостоящим внутренним центром сертификации Microsoft.

Службы сертификации GlobalSign SaaS — более надёжный вариант по сравнению со слабыми и неуправляемыми сертификатами на собственной инфраструктуре. Устранение необходимости управления ресурсоёмким внутренним ЦС снижает общую стоимость владения PKI, а также риск сбоев системы.

Поддержка протоколов SCEP и ACME расширяет возможности поддержки за пределы Windows, включая автоматизированную выдачу сертификатов для серверов Linux, мобильных, сетевых и других устройств, а также компьютеров Apple OSX, зарегистрированным в Active Directory.

Повышенная безопасность

Кроме экономии бюджета, внешнее управление PKI повышает безопасность системы. Как отмечается в исследовании Aberdeen Group, сертификаты всё чаще становятся мишенью злоумышленников: они успешно используют известные уязвимости, такие как ненадёжные самоподписанные сертификаты, слабое шифрование и громоздкие механизмы отзыва. Кроме того, злоумышленники освоили более сложными эксплоиты, такие как мошенническая выдача сертификатов от доверенных ЦС и подделка сертификатов для подписи кода.

«Большинство предприятий недостаточно активно управляют рисками, связанными с этими атаками, и не готовы быстро реагировать на компромисс, — написал Дерек Э. Бринк, вице-президент и научный сотрудник по IT-безопасности в Aberdeen Group. — Предоставляя предприятиям возможность передать операционные аспекты управления сертификатами в руки экспертов, сохраняя при этом корпоративный контроль над групповыми политиками в Active Directory, GlobalSign стремится обеспечить будущий рост использования сертификатов, решая практические вопросы безопасности и доверия в эффективной, экономичной модели развёртывания».

Как работает AEG

Типичная система с AEG включает в себя четыре ключевых компонента, чтобы гарантировать передачу правильных сертификатов правильным точкам доступа:

1. Программное обеспечение AEG на сервере Windows.
2. Серверы Active Directory или контроллеры домена, которые позволяют администраторам управлять и хранить информацию о ресурсах.
3. Конечные точки: пользователи, устройства, серверы и рабочие станции — практически любой объект, который является «потребителем» цифровых сертификатов.
4. Центр сертификации GlobalSign или GCC, который находится на вершине надежной платформы выдачи сертификатов и управления. Здесь генерируются сертификаты.

Три из четырёх показанных компонентов находятся в локальной среде у клиента, а четвёртый — в облаке.

Сначала конечные точки предварительно настраиваются с помощью групповых политик: например, по проверке сертификата на аутентификацию пользователя, запрос S/MIME для сертификата и так далее — для последующего подключения к серверу AEG. Подключение происходит безопасно через HTTPS.

Сервер AEG отправляет запрос в Active Directory через LDAP, чтобы получить список шаблонов сертификатов для этих конечных точек, и отправляет клиентам данный список вместе с местоположением центра сертификации. После получения этих правил конечные точки снова подключаются к серверу AEG, на этот раз для запроса фактических сертификатов. AEG в свою очередь создаёт вызов API с указанными параметрами и отправляет его в Центр сертификации GlobalSign или GCC для обработки.

Наконец, серверная часть GCC обрабатывает запросы, обычно в течение нескольких секунд, и отправляет ответ API вместе с сертификатом, который будет по запросу установлен на конечных точках.

Весь процесс занимает несколько секунд и может быть полностью автоматизирован путём настройки конечных точек для автоматического получения сертификатов с помощью групповых политик.

Уникальные особенности AEG

• Можно зарегистрироваться через платформу MDM.
• Разработана бывшими сотрудниками из команды Microsoft Crypto.
• Решение «без клиента».
• Упрощённая реализация и управление жизненным циклом.

Примеры архитектур

Таким образом, внешнее управление PKI через шлюз GlobalSign AEG означает повышенную безопасность, экономию средств и снижение рисков. Ещё одно преимущество — простая масштабируемость и повышенная производительность. Правильное управление PKI обеспечивает длительное время безотказной работы, исключает прерывание критически важных операций из-за недействительных сертификатов и предлагает сотрудникам удалённый, безопасный доступ к сетям компании.

AEG поддерживает широкий спектр вариантов использования, требующих двухфакторной аутентификации: от клиентов удалённых рабочих групп, получающих доступ к сети через VPN и Wi-Fi, до привилегированного доступа к высокочувствительным ресурсам по смарт-картам.

GlobalSign- мировой лидер в сфере предоставления облачных и сетевых PKI-решений по управлению идентификацией и доступом. Более подробную информацию о продуктах вы можете уточнить у наших менеджеров.

Источник: habr.com