Uživatelům nelze věřit. Většinou jsou líní a volí pohodlí před bezpečností. Podle statistik si 21 % zapisuje hesla k pracovním účtům na papír, 50 % uvádí stejná hesla k pracovním i osobním službám.
Prostředí je také nepřátelské. 74 % organizací umožňuje přenos osobních zařízení do práce a připojení k podnikové síti. 94 % uživatelů nedokáže rozlišit mezi skutečným e-mailem a phishingovým, 11 % kliklo na přílohy.
Všechny tyto problémy řeší infrastruktura podnikových veřejných klíčů (PKI), která zajišťuje šifrování a ověřování pošty a nahrazuje hesla digitálními certifikáty. Tato infrastruktura může být vytvořena na Windows Server. Podle , Active Directory Certificate Services (AD CS) je server, který umožňuje vytvářet PKI ve vaší organizaci a používat kryptografii veřejného klíče, digitální certifikáty a digitální podpisy.
Řešení Microsoftu je ale dost drahé.
Celkové náklady na vlastnictví pro soukromou CA společnosti Microsoft
Srovnání nákladů na vlastnictví mezi Microsoft CA a GlobalSign AEG.
V mnoha situacích je pohodlnější a levnější vytvořit stejnou soukromou certifikační autoritu, ale s externí správou. Přesně tento problém řeší GlobalSign Auto Enrollment Gateway (AEG). Z celkových nákladů na vlastnictví je vyloučeno několik položek výdajů (nákup vybavení, náklady na podporu, školení personálu atd.). Úspory mohou přesáhnout .
Co je AEG
(AEG) je softwarová služba, která funguje jako brána mezi certifikačními službami SaaS GlobalSign a podnikovým prostředím Windows.
AEG se integruje s Active Directory a umožňuje organizacím automatizovat registraci, poskytování a správu digitálních certifikátů GlobalSign v prostředí Windows. Nahrazením interních CA službami GlobalSign podniky zvyšují zabezpečení a snižují náklady na správu složité a drahé interní CA společnosti Microsoft.
GlobalSign SaaS Certificate Services je spolehlivější možností než slabé a nespravované certifikáty na vaší vlastní infrastruktuře. Odstranění potřeby spravovat interní CA náročné na zdroje snižuje celkové náklady na vlastnictví PKI a také riziko selhání systému.
Podpora protokolů SCEP a ACME rozšiřuje podporu mimo Windows, včetně automatického vydávání certifikátů pro servery Linux, mobilní zařízení, síťová zařízení a další zařízení, stejně jako počítače Apple OSX registrované v Active Directory.
Zvýšené zabezpečení
Kromě úspory peněz vylepšuje outsourcovaná správa PKI zabezpečení systému. Jak poznamenává studie Aberdeen Group, certifikáty jsou stále častěji terčem útočníků, kteří úspěšně využívají známé zranitelnosti, jako jsou nedůvěryhodné certifikáty s vlastním podpisem, slabé šifrování a těžkopádné mechanismy odvolávání. Útočníci navíc zvládli sofistikovanější exploity, jako je například podvodné vydávání certifikátů od důvěryhodných CA a padělání certifikátů pro podepisování kódu.
„Většina podniků aktivně neřídí rizika spojená s těmito útoky a není připravena rychle reagovat na kompromisy,“ Derek E. Brink, viceprezident a IT Security Fellow ve společnosti Aberdeen Group. „Tím, že umožňuje podnikům svěřit provozní aspekty správy certifikátů do rukou odborníků při zachování podnikové kontroly nad skupinovými zásadami v Active Directory, usiluje GlobalSign o zajištění budoucího růstu používání certifikátů řešením praktických problémů se zabezpečením a důvěrou, a to efektivním a nákladným způsobem. -efektivní model nasazení."
Jak funguje AEG
Typický systém s AEG obsahuje čtyři klíčové komponenty, které zajistí, že správné certifikáty budou zaslány správným přístupovým bodům:
- Software AEG na serveru Windows.
- Servery Active Directory nebo řadiče domény, které správcům umožňují spravovat a ukládat informace o prostředcích.
- Koncové body: uživatelé, zařízení, servery a pracovní stanice – prakticky jakákoli entita, která je „spotřebitelem“ digitálních certifikátů.
- Certifikační autorita GlobalSign neboli GCC, která je umístěna nad důvěryhodnou platformou pro vydávání a správu certifikátů. Zde se generují certifikáty.
Tři ze čtyř zobrazených komponent jsou na místě u klienta a čtvrtá je v cloudu.
Nejprve jsou koncové body předem nakonfigurovány pomocí skupinových zásad: například ověření certifikátu pro ověření uživatele, požadavek S/MIME na certifikát atd. – pro následné připojení k serveru AEG. Připojení je zabezpečené přes HTTPS.
Server AEG se dotáže Active Directory přes LDAP na seznam šablon certifikátů pro tyto koncové body a odešle seznam klientům spolu s umístěním CA. Po obdržení těchto pravidel se koncové body znovu připojí k serveru AEG, tentokrát za účelem vyžádání skutečných certifikátů. AEG zase vytvoří volání API se zadanými parametry a odešle je ke zpracování do certifikační autority GlobalSign nebo GCC.
Nakonec back-end GCC zpracuje požadavky, obvykle během několika sekund, a odešle odpověď API spolu s certifikátem, který bude na žádost nainstalován na koncové body.
Celý proces trvá několik sekund a může být plně automatizován konfigurací koncových bodů pro automatické získávání certifikátů pomocí skupinových zásad.
Jedinečné vlastnosti AEG
- Můžete se zaregistrovat prostřednictvím platformy MDM.
- Vyvinutý bývalými zaměstnanci týmu Microsoft Crypto.
- Řešení bez klienta.
- Zjednodušená implementace a správa životního cyklu.
Příklady architektury
Externí správa PKI prostřednictvím brány GlobalSign AEG tedy znamená zvýšenou bezpečnost, úsporu nákladů a snížení rizik. Další výhodou je snadná škálovatelnost a vyšší výkon. Správně spravované PKI zajišťuje dlouhou dobu provozuschopnosti, eliminuje narušení kritických operací kvůli neplatným certifikátům a zaměstnancům nabízí vzdálený a bezpečný přístup k firemním sítím.
podporuje širokou škálu případů použití, které vyžadují dvoufaktorovou autentizaci, od klientů vzdálené pracovní skupiny přistupujících k síti přes VPN a Wi-Fi až po privilegovaný přístup k vysoce citlivým zdrojům prostřednictvím čipových karet.
GlobalSign je globálním lídrem v poskytování cloudových a síťových řešení PKI pro správu identit a přístupu. Pro více informací o produktu prosím kontaktujte .
Zdroj: www.habr.com