L'utilizatori ùn ponu micca fiducia. Per a maiò parte, sò pigri è sceglie cunfortu invece di sicurità. Sicondu statistiche, 21% scrive e so password per i cunti di travagliu nantu à carta, 50% indicanu i stessi password per u travagliu è i servizii persunali.
L'ambiente hè ancu ostili. U 74% di l'urganisazione permettenu i dispositi persunali per esse purtati à u travagliu è cunnessi à a reta corporativa. U 94% di l'utilizatori ùn ponu micca distingue un email veru da un phishing, 11% cliccà nantu à l'attachments.
Tutti questi prublemi sò risolti da una infrastruttura di chjave publica corporativa (PKI), chì furnisce criptografia è autentificazione di mail, è rimpiazza password cù certificati digitale. Questa infrastruttura pò esse elevata in Windows Server. Secondu
Ma a suluzione di Microsoft hè abbastanza caru.
Costu Totale di Pruprietà per una Autorità di Certificatu Privata da Microsoft
Comparazione di u costu di pruprietà di Microsoft CA è GlobalSign AEG.
In parechje situazione, hè più convenientu è più prezzu di creà a stessa autorità di certificazione privata, ma cù una gestione esterna. GlobalSign Auto Enrollment Gateway (AEG) risolve esattamente stu prublema. Diversi linee di costu sò escluse da u costu tutale di pruprietà (acquistu di l'equipaggiu, costi di supportu, furmazione di u persunale, etc.). U risparmiu pò esse più
Cosa hè AEG
AEG si integra cù Active Directory, chì permette à l'urganisazioni di automatizà l'iscrizzione, l'approvvigionamentu è a gestione di i certificati digitali GlobalSign in un ambiente Windows. Sustituendu i CA interni cù servizii GlobalSign, l'imprese aumentanu a sicurezza è riducenu u costu di gestisce una CA interna Microsoft cumplessa è costosa.
GlobalSign SaaS Certificate Services hè una opzione più sicura chè i certificati debuli è micca gestiti nantu à a vostra propria infrastruttura. L'eliminazione di a necessità di gestisce una CA interna intensiva di risorse riduce u costu tutale di pruprietà di PKI è ancu u risicu di fallimenti di u sistema.
U supportu per i protokolli SCEP è ACME estende u supportu oltre Windows, cumprese l'emissione di certificati automatizati per i servitori Linux, mobili, rete è altri dispositi, è ancu l'ordinateur Apple OSX registrati in Active Directory.
Sicurezza aumentata
In più di risparmià u budgetu, a gestione esterna PKI mellora a sicurità di u sistema. Cum'è nutatu in u studiu di u Gruppu Aberdeen, i certificati sò sempre più destinati à l'attaccanti, chì sfruttanu cù successu e vulnerabilità cunnisciute cum'è certificati autofirmati debuli, criptografia debule è meccanismi di revocazione ingombranti. Inoltre, l'attaccanti anu ammaistratu sfruttamenti più sofisticati, cum'è l'emissione fraudulenta di certificati da CA di fiducia è a falsificazione di certificati di firma di codice.
"A maiò parte di l'imprese ùn sò micca abbastanza proattive in a gestione di i risichi assuciati à questi attacchi è ùn sò micca disposti à risponde rapidamente à i tradeoffs".
Cumu funziona AEG?
Un sistema AEG tipicu include quattru cumpunenti chjave per assicurà chì i certificati curretti sò passati à i punti d'accessu curretti:
- U software AEG nantu à u servitore Windows.
- Servitori di Active Directory o controller di duminiu chì permettenu à l'amministratori di gestisce è almacenà l'infurmazioni nantu à e risorse.
- Endpoints: utilizatori, dispusitivi, servitori è stazioni di travagliu - quasi ogni entità chì hè un "consumatore" di certificati digitale.
- GlobalSign Certificate Authority o GCC, chì si trova sopra à una piattaforma di emissione è gestione di certificati di fiducia. Questu hè induve i certificati sò generati.
Trè di i quattru cumpunenti mostrati sò in situ à u cliente, è u quartu hè in u nuvulu.
Prima, l'endpoints sò pre-configurati cù e pulitiche di gruppu: per esempiu, verificazione di certificatu per l'autentificazione di l'utilizatori, dumanda S/MIME per u certificatu, è cusì, per a cunnessione successiva à u servitore AEG. A cunnessione hè sicura via HTTPS.
U servitore AEG dumanda à Active Directory via LDAP per ottene una lista di mudelli di certificati per questi endpoints, è manda a lista à i clienti cù u locu di l'autorità di certificazione. Dopu avè ricivutu queste regule, i punti finali si cunnettanu à u servitore AEG di novu, sta volta per dumandà i certificati attuali. AEG à u turnu crea una chjama API cù i paràmetri specificati è u manda à l'Autorità di Certificazione GlobalSign o GCC per u processu.
Infine, u backend GCC processa e dumande, di solitu in pochi secondi, è manda una risposta à l'API cù un certificatu chì serà installatu nantu à i punti finali nantu à a dumanda.
U prucessu tutale dura uni pochi di seconde è pò esse cumplettamente automatizatu cunfigurà l'endpoints per ottene automaticamente certificati utilizendu pulitiche di gruppu.
Funzioni AEG uniche
- Pudete registrà attraversu a piattaforma MDM.
- Sviluppatu da ex impiegati da a squadra Microsoft Crypto.
- Soluzione senza cliente.
- Implementazione simplificata è gestione di u ciclu di vita.
Esempii di architetture
Cusì, a gestione esterna di PKI per mezu di u gateway GlobalSign AEG significa una sicurezza aumentata, un risparmiu di costi è un risicu riduttu. Un altru vantaghju hè una scalabilità faciule è un rendimentu aumentatu. A gestione PKI corretta assicura un longu uptime, elimina l'interruzzione di l'operazioni critiche per a missione per via di certificati invalidi, è offre à l'impiegati un accessu remotu è sicuru à e rete di a cumpagnia.
GlobalSign hè un capu globale in furnisce soluzioni di gestione di l'identità è di l'accessu PKI in nuvola è rete. Per infurmazione più dettagliata nantu à i prudutti, per piacè cuntattate
Source: www.habr.com