Korisnicima se ne može vjerovati. Uglavnom su lijeni i biraju udobnost umjesto sigurnosti. Prema statistikama, 21% zapisuje svoje lozinke za radne naloge na papiru, 50% navodi iste lozinke za poslovne i lične usluge.
Okruženje je takođe neprijateljsko. 74% organizacija dozvoljava donošenje ličnih uređaja na posao i povezivanje na korporativnu mrežu. 94% korisnika ne može razlikovati pravi email od phishing, 11% je kliknulo na priloge.
Sve ove probleme rješava korporativna infrastruktura javnih ključeva (PKI), koja omogućava enkripciju i autentifikaciju pošte, te zamjenjuje lozinke digitalnim certifikatima. Ova infrastruktura se može podići na Windows Serveru. Prema
Ali Microsoftovo rješenje je prilično skupo.
Ukupni troškovi vlasništva za privatni autoritet za izdavanje certifikata od Microsofta
Poređenje troškova vlasništva nad Microsoft CA i GlobalSign AEG.
U mnogim situacijama je zgodnije i jeftinije stvoriti isto privatno tijelo za sertifikaciju, ali s vanjskim upravljanjem. GlobalSign Auto Enrollment Gateway (AEG) rješava upravo ovaj problem. Nekoliko troškovnih linija isključeno je iz ukupnih troškova vlasništva (kupovina opreme, troškovi podrške, obuka osoblja, itd.). Uštede mogu premašiti
Šta je AEG?
AEG se integriše sa Active Directory, omogućavajući organizacijama da automatizuju upis, obezbeđivanje i upravljanje GlobalSign digitalnim sertifikatima u Windows okruženju. Zamjenom internih CA uslugama GlobalSign, preduzeća povećavaju sigurnost i smanjuju troškove upravljanja složenim i skupim internim Microsoft CA.
GlobalSign SaaS Certificate Services je sigurnija opcija od slabih i neupravljanih certifikata na vašoj vlastitoj infrastrukturi. Eliminacijom potrebe za upravljanjem internim CA koji zahtijeva puno resursa, smanjuje se ukupni trošak vlasništva PKI-a, kao i rizik od kvarova sistema.
Podrška za SCEP i ACME protokole proširuje podršku izvan Windowsa, uključujući automatizirano izdavanje certifikata za Linux servere, mobilne, mrežne i druge uređaje, kao i Apple OSX računare registrirane u Active Directory.
Poboljšana sigurnost
Pored uštede budžeta, eksterno upravljanje PKI-jem poboljšava sigurnost sistema. Kao što je navedeno u studiji Aberdeen grupe, certifikati su sve više na meti napadača, koji uspješno iskorištavaju poznate propuste kao što su slabi samopotpisani certifikati, slabo šifriranje i glomazni mehanizmi opoziva. Osim toga, napadači su ovladali sofisticiranijim eksploatacijama, kao što je lažno izdavanje certifikata od pouzdanih CA-a i krivotvorenje certifikata za potpisivanje koda.
“Većina preduzeća nije dovoljno proaktivna u upravljanju rizicima povezanim s ovim napadima i nije spremna brzo odgovoriti na kompromise”,
Kako AEG radi?
Tipičan AEG sistem uključuje četiri ključne komponente kako bi se osiguralo da se ispravni certifikati prosljeđuju na ispravne pristupne točke:
- AEG softver na Windows serveru.
- Serveri Active Directory ili kontroleri domena koji dozvoljavaju administratorima da upravljaju i pohranjuju informacije o resursima.
- Krajnje tačke: korisnici, uređaji, serveri i radne stanice—praktično svaki entitet koji je „potrošač“ digitalnih sertifikata.
- GlobalSign Certificate Authority ili GCC, koji se nalazi na vrhu pouzdane platforme za izdavanje i upravljanje certifikatima. Ovdje se generiraju certifikati.
Tri od četiri prikazane komponente su lokalno kod korisnika, a četvrta je u oblaku.
Prvo, krajnje točke su unaprijed konfigurirane korištenjem grupnih politika: na primjer, provjera certifikata za provjeru autentičnosti korisnika, S/MIME zahtjev za certifikat i tako dalje - za naknadno povezivanje s AEG serverom. Veza je sigurna putem HTTPS-a.
AEG server pita Active Directory preko LDAP-a da dobije listu predložaka certifikata za ove krajnje točke i šalje listu klijentima zajedno s lokacijom certifikacijskog tijela. Nakon primanja ovih pravila, krajnje tačke se ponovo povezuju sa AEG serverom, ovaj put da zahtevaju stvarne sertifikate. AEG zauzvrat kreira API poziv sa navedenim parametrima i šalje ga GlobalSign Certificate Authority ili GCC-u na obradu.
Konačno, GCC backend obrađuje zahtjeve, obično u roku od nekoliko sekundi, i šalje odgovor API-ju zajedno sa certifikatom koji će biti instaliran na krajnjim tačkama na zahtjev.
Cijeli proces traje nekoliko sekundi i može se u potpunosti automatizirati konfiguriranjem krajnjih tačaka za automatsko dobivanje certifikata korištenjem grupnih politika.
Jedinstvene AEG karakteristike
- Možete se registrovati preko MDM platforme.
- Razvijen od strane bivših zaposlenih iz Microsoft Crypto tima.
- Rešenje bez klijenta.
- Pojednostavljena implementacija i upravljanje životnim ciklusom.
Primjeri arhitekture
Dakle, eksterno upravljanje PKI preko GlobalSign AEG gateway-a znači povećanu sigurnost, uštedu troškova i smanjen rizik. Još jedna prednost je laka skalabilnost i povećane performanse. Pravilno upravljanje PKI-jem osigurava dugo vrijeme rada, eliminira prekid kritičnih operacija zbog nevažećih certifikata i nudi zaposlenima udaljeni, siguran pristup mrežama kompanije.
GlobalSign je globalni lider u pružanju rješenja za upravljanje PKI identitetom i pristupom u oblaku i mreži. Za detaljnije informacije o proizvodima kontaktirajte
izvor: www.habr.com