Korisnicima se ne može vjerovati. Uglavnom su lijeni i biraju udobnost umjesto sigurnosti. Prema statistikama, 21% zapisuje svoje lozinke za radne naloge na papiru, 50% navodi iste lozinke za poslovne i lične usluge.

Okruženje je takođe neprijateljsko. 74% organizacija dozvoljava donošenje ličnih uređaja na posao i povezivanje na korporativnu mrežu. 94% korisnika ne može razlikovati pravi email od phishing, 11% je kliknulo na priloge.

Sve ove probleme rješava korporativna infrastruktura javnih ključeva (PKI), koja omogućava enkripciju i autentifikaciju pošte, te zamjenjuje lozinke digitalnim certifikatima. Ova infrastruktura se može podići na Windows Serveru. Prema opis od MicrosoftaActive Directory Certificate Services (AD CS) je server koji vam omogućava da kreirate PKI u vašoj organizaciji i koristite kriptografiju javnog ključa, digitalne certifikate i digitalne potpise.

Ali Microsoftovo rješenje je prilično skupo.

Ukupni troškovi vlasništva za privatni autoritet za izdavanje certifikata od Microsofta

Poređenje troškova vlasništva nad Microsoft CA i GlobalSign AEG. Izvor

U mnogim situacijama je zgodnije i jeftinije stvoriti isto privatno tijelo za sertifikaciju, ali s vanjskim upravljanjem. GlobalSign Auto Enrollment Gateway (AEG) rješava upravo ovaj problem. Nekoliko troškovnih linija isključeno je iz ukupnih troškova vlasništva (kupovina opreme, troškovi podrške, obuka osoblja, itd.). Uštede mogu premašiti 50% ukupne cijene vlasništva.

Šta je AEG?

Auto Enrollment Gateway (AEG) je softverska usluga koja djeluje kao prolaz između GlobalSign servisa SaaS certifikata i Windows poslovnog okruženja.

AEG se integriše sa Active Directory, omogućavajući organizacijama da automatizuju upis, obezbeđivanje i upravljanje GlobalSign digitalnim sertifikatima u Windows okruženju. Zamjenom internih CA uslugama GlobalSign, preduzeća povećavaju sigurnost i smanjuju troškove upravljanja složenim i skupim internim Microsoft CA.

GlobalSign SaaS Certificate Services je sigurnija opcija od slabih i neupravljanih certifikata na vašoj vlastitoj infrastrukturi. Eliminacijom potrebe za upravljanjem internim CA koji zahtijeva puno resursa, smanjuje se ukupni trošak vlasništva PKI-a, kao i rizik od kvarova sistema.

Podrška za SCEP i ACME protokole proširuje podršku izvan Windowsa, uključujući automatizirano izdavanje certifikata za Linux servere, mobilne, mrežne i druge uređaje, kao i Apple OSX računare registrirane u Active Directory.

Poboljšana sigurnost

Pored uštede budžeta, eksterno upravljanje PKI-jem poboljšava sigurnost sistema. Kao što je navedeno u studiji Aberdeen grupe, certifikati su sve više na meti napadača, koji uspješno iskorištavaju poznate propuste kao što su slabi samopotpisani certifikati, slabo šifriranje i glomazni mehanizmi opoziva. Osim toga, napadači su ovladali sofisticiranijim eksploatacijama, kao što je lažno izdavanje certifikata od pouzdanih CA-a i krivotvorenje certifikata za potpisivanje koda.

“Većina preduzeća nije dovoljno proaktivna u upravljanju rizicima povezanim s ovim napadima i nije spremna brzo odgovoriti na kompromise”, napisao je Derek E. Brink je potpredsjednik i saradnik za IT sigurnost u Aberdeen Group. „Omogućavajući preduzećima da stave operativne aspekte upravljanja certifikatima u ruke stručnjaka, uz zadržavanje korporativne kontrole nad grupnim politikama u Active Directory-u, GlobalSign ima za cilj omogućiti budući rast u korištenju certifikata rješavanjem praktičnih pitanja sigurnosti i povjerenja na efikasan, troškovno- efikasan model implementacije.”

Kako AEG radi?

Tipičan AEG sistem uključuje četiri ključne komponente kako bi se osiguralo da se ispravni certifikati prosljeđuju na ispravne pristupne točke:

1. AEG softver na Windows serveru.
2. Serveri Active Directory ili kontroleri domena koji dozvoljavaju administratorima da upravljaju i pohranjuju informacije o resursima.
3. Krajnje tačke: korisnici, uređaji, serveri i radne stanice—praktično svaki entitet koji je „potrošač“ digitalnih sertifikata.
4. GlobalSign Certificate Authority ili GCC, koji se nalazi na vrhu pouzdane platforme za izdavanje i upravljanje certifikatima. Ovdje se generiraju certifikati.

Tri od četiri prikazane komponente su lokalno kod korisnika, a četvrta je u oblaku.

Prvo, krajnje točke su unaprijed konfigurirane korištenjem grupnih politika: na primjer, provjera certifikata za provjeru autentičnosti korisnika, S/MIME zahtjev za certifikat i tako dalje - za naknadno povezivanje s AEG serverom. Veza je sigurna putem HTTPS-a.

AEG server pita Active Directory preko LDAP-a da dobije listu predložaka certifikata za ove krajnje točke i šalje listu klijentima zajedno s lokacijom certifikacijskog tijela. Nakon primanja ovih pravila, krajnje tačke se ponovo povezuju sa AEG serverom, ovaj put da zahtevaju stvarne sertifikate. AEG zauzvrat kreira API poziv sa navedenim parametrima i šalje ga GlobalSign Certificate Authority ili GCC-u na obradu.

Konačno, GCC backend obrađuje zahtjeve, obično u roku od nekoliko sekundi, i šalje odgovor API-ju zajedno sa certifikatom koji će biti instaliran na krajnjim tačkama na zahtjev.

Cijeli proces traje nekoliko sekundi i može se u potpunosti automatizirati konfiguriranjem krajnjih tačaka za automatsko dobivanje certifikata korištenjem grupnih politika.

Jedinstvene AEG karakteristike

• Možete se registrovati preko MDM platforme.
• Razvijen od strane bivših zaposlenih iz Microsoft Crypto tima.
• Rešenje bez klijenta.
• Pojednostavljena implementacija i upravljanje životnim ciklusom.

Primjeri arhitekture

Dakle, eksterno upravljanje PKI preko GlobalSign AEG gateway-a znači povećanu sigurnost, uštedu troškova i smanjen rizik. Još jedna prednost je laka skalabilnost i povećane performanse. Pravilno upravljanje PKI-jem osigurava dugo vrijeme rada, eliminira prekid kritičnih operacija zbog nevažećih certifikata i nudi zaposlenima udaljeni, siguran pristup mrežama kompanije.

AEG Podržava širok raspon slučajeva upotrebe koji zahtijevaju autentifikaciju u dva faktora: od udaljenih klijenata radne grupe koji pristupaju mreži preko VPN-a i Wi-Fi-ja, do privilegovanog pristupa visoko osjetljivim resursima putem pametnih kartica.

GlobalSign je globalni lider u pružanju rješenja za upravljanje PKI identitetom i pristupom u oblaku i mreži. Za detaljnije informacije o proizvodima kontaktirajte naši menadžeri.

izvor: www.habr.com