No es pot confiar en els usuaris. En la seva majoria, són mandrosos i trien la comoditat per sobre de la seguretat. Segons les estadístiques, el 21% anota les seves contrasenyes per als comptes de treball en paper, el 50% indica les mateixes contrasenyes per a la feina i els serveis personals.

L'entorn també és hostil. El 74% de les organitzacions permet portar els dispositius personals al treball i connectar-los a la xarxa corporativa. El 94% dels usuaris no poden distingir entre un correu electrònic real i un de phishing, l'11% ha fet clic als fitxers adjunts.

Tots aquests problemes es resolen mitjançant una infraestructura de clau pública (PKI) corporativa, que proporciona xifratge i autenticació del correu i substitueix les contrasenyes per certificats digitals. Aquesta infraestructura es pot plantejar a Windows Server. D'acord amb descripció de Microsoft, Active Directory Certificate Services (AD CS) és un servidor que us permet crear una PKI a la vostra organització i utilitzar criptografia de clau pública, certificats digitals i signatures digitals.

Però la solució de Microsoft és bastant cara.

Cost total de propietat per a una CA privada de Microsoft

Comparació del cost de propietat entre Microsoft CA i GlobalSign AEG. Font

En moltes situacions, és més còmode i econòmic crear la mateixa autoritat de certificació privada, però amb una gestió externa. Aquest és exactament el problema que resol la passarel·la d'inscripció automàtica (AEG) de GlobalSign. Diverses línies de despeses queden excloses del cost total de propietat (adquisició d'equips, despeses de suport, formació del personal, etc.). Els estalvis poden superar 50% del cost total de propietat.

Què és AEG

Passarel de inscripció automàtica (AEG) és un servei de programari que actua com a passarel·la entre els serveis de certificats SaaS GlobalSign i un entorn empresarial de Windows.

AEG s'integra amb Active Directory, permetent a les organitzacions automatitzar el registre, el subministrament i la gestió dels certificats digitals GlobalSign en un entorn Windows. En substituir les CA internes per serveis GlobalSign, les empreses augmenten la seguretat i redueixen el cost de la gestió d'una CA interna complexa i costosa de Microsoft.

Els serveis de certificats GlobalSign SaaS són una opció més fiable que els certificats febles i no gestionats a la vostra pròpia infraestructura. L'eliminació de la necessitat de gestionar una CA interna que consumeix molts recursos redueix el cost total de propietat de la PKI, així com el risc de fallades del sistema.

El suport per als protocols SCEP i ACME amplia el suport més enllà de Windows, inclosa l'emissió de certificats automatitzat per a servidors Linux, dispositius mòbils, dispositius de xarxa i altres dispositius, així com ordinadors Apple OSX registrats a Active Directory.

Seguretat millorada

A més d'estalviar diners, la gestió de PKI subcontractada millora la seguretat del sistema. Tal com assenyala l'estudi del Grup Aberdeen, els certificats són cada cop més atacats per atacants que exploten amb èxit vulnerabilitats conegudes, com ara certificats autofirmats no fiables, xifratge feble i mecanismes de revocació complicats. A més, els atacants han dominat explotacions més sofisticades, com ara l'emissió fraudulenta de certificats de CA de confiança i la falsificació de certificats de signatura de codi.

"La majoria de les empreses no gestionen activament els riscos associats amb aquests atacs i no estan preparades per respondre ràpidament als compromisos", va escriure Derek E. Brink, vicepresident i company de seguretat informàtica d'Aberdeen Group. "En permetre a les empreses posar els aspectes operatius de la gestió de certificats en mans d'experts alhora que mantenen el control corporatiu sobre les polítiques de grup a Active Directory, GlobalSign pretén assegurar el creixement futur de l'ús de certificats abordant problemes pràctics de seguretat i confiança d'una manera eficient i de cost. - model de desplegament efectiu".

Com funciona AEG

Un sistema típic amb AEG inclou quatre components clau per garantir que els certificats correctes s'enviïn als punts d'accés correctes:

1. Programari AEG al servidor Windows.
2. Servidors d'Active Directory o controladors de domini que permeten als administradors gestionar i emmagatzemar informació sobre recursos.
3. Punts finals: usuaris, dispositius, servidors i estacions de treball, pràcticament qualsevol entitat que sigui "consumidora" de certificats digitals.
4. Una autoritat de certificació de GlobalSign, o GCC, que es troba a la part superior d'una plataforma de gestió i emissió de certificats de confiança. Aquí és on es generen els certificats.

Tres dels quatre components que es mostren són locals al client i el quart es troba al núvol.

En primer lloc, els punts finals es configuren prèviament mitjançant polítiques de grup: per exemple, la validació del certificat per a l'autenticació d'usuari, la sol·licitud S/MIME del certificat, etc., per a la connexió posterior al servidor AEG. La connexió és segura mitjançant HTTPS.

El servidor AEG consulta Active Directory mitjançant LDAP per obtenir una llista de plantilles de certificat per a aquests punts finals i envia la llista als clients juntament amb la ubicació de la CA. Després de rebre aquestes regles, els punts finals es connecten de nou al servidor AEG, aquesta vegada per sol·licitar els certificats reals. AEG, al seu torn, crea una trucada a l'API amb els paràmetres especificats i l'envia a l'Autoritat de Certificació de GlobalSign o GCC perquè la processi.

Finalment, el backend de GCC processa les sol·licituds, normalment en pocs segons, i envia una resposta de l'API juntament amb un certificat que s'instal·larà als punts finals a petició.

Tot el procés dura uns quants segons i es pot automatitzar completament configurant els punts finals per obtenir certificats automàticament mitjançant polítiques de grup.

Característiques úniques d'AEG

• Pots inscriure't a través de la plataforma MDM.
• Desenvolupat per antics empleats de l'equip de Microsoft Crypto.
• Solució sense client.
• Implementació simplificada i gestió del cicle de vida.

Exemples d'arquitectura

Així, la gestió externa de la PKI a través de la passarel·la GlobalSign AEG significa una major seguretat, estalvi de costos i reducció de riscos. Un altre avantatge és la fàcil escalabilitat i el rendiment millorat. La PKI gestionada correctament garanteix un temps de funcionament llarg, elimina les interrupcions de les operacions crítiques a causa de certificats no vàlids i ofereix als empleats un accés remot i segur a les xarxes de l'empresa.

AEG Admet una àmplia gamma de casos d'ús que requereixen una autenticació de dos factors, des de clients de grups de treball remots que accedeixen a la xarxa mitjançant VPN i Wi-Fi, fins a l'accés privilegiat a recursos altament sensibles mitjançant targetes intel·ligents.

GlobalSign és un líder global en la prestació de solucions PKI en núvol i en xarxa per a la gestió d'identitats i accés. Per obtenir més informació sobre el producte, poseu-vos en contacte amb els nostres gestors.

Font: www.habr.com