Brugere kan ikke stole på. For det meste er de dovne og vælger komfort frem for sikkerhed. Ifølge statistikker skriver 21 % deres adgangskoder til arbejdskonti ned på papir, 50 % angiver de samme adgangskoder til arbejde og personlige tjenester.

Miljøet er også fjendtligt. 74 % af organisationerne tillader, at personlige enheder bringes på arbejde og forbindes til virksomhedens netværk. 94 % af brugerne kan ikke skelne mellem en rigtig e-mail og en phishing, 11 % klikkede på vedhæftede filer.

Alle disse problemer løses af en virksomheds offentlige nøgleinfrastruktur (PKI), som leverer mailkryptering og godkendelse og erstatter adgangskoder med digitale certifikater. Denne infrastruktur kan opbygges på Windows Server. Ifølge beskrivelse fra Microsoft, Active Directory Certificate Services (AD CS) er en server, der giver dig mulighed for at oprette en PKI i din organisation og bruge offentlig nøglekryptering, digitale certifikater og digitale signaturer.

Men Microsofts løsning er ret dyr.

Samlede ejeromkostninger for en Microsoft Private CA

Sammenligning af ejeromkostninger mellem Microsoft CA og GlobalSign AEG. Kilde

I mange situationer er det mere bekvemt og billigere at oprette den samme private certifikatmyndighed, men med ekstern styring. Det er præcis det problem, som GlobalSign Auto Enrollment Gateway (AEG) løser. Flere udgiftslinjer er udelukket fra de samlede ejeromkostninger (køb af udstyr, supportomkostninger, personaleuddannelse osv.). Besparelser kan overstige 50 % af de samlede ejeromkostninger.

Hvad er AEG

Auto Enrollment Gateway (AEG) er en softwaretjeneste, der fungerer som en gateway mellem SaaS GlobalSign-certifikattjenester og et Windows-virksomhedsmiljø.

AEG integreres med Active Directory, hvilket giver organisationer mulighed for at automatisere registrering, levering og administration af GlobalSign digitale certifikater i et Windows-miljø. Ved at erstatte interne CA'er med GlobalSign-tjenester øger virksomheder sikkerheden og reducerer omkostningerne ved at administrere en kompleks og dyr intern Microsoft CA.

GlobalSign SaaS Certificate Services er en mere pålidelig mulighed end svage og ikke-administrerede certifikater på din egen infrastruktur. Eliminering af behovet for at administrere en ressourcekrævende intern CA reducerer de samlede omkostninger ved ejerskab af PKI, såvel som risikoen for systemfejl.

Understøttelse af SCEP- og ACME-protokoller udvider understøttelsen ud over Windows, herunder automatisk udstedelse af certifikater til Linux-servere, mobile enheder, netværksenheder og andre enheder, samt Apple OSX-computere, der er registreret i Active Directory.

Forbedret sikkerhed

Ud over at spare penge forbedrer outsourcet PKI-styring systemsikkerheden. Som Aberdeen Group-undersøgelsen bemærker, bliver certifikater i stigende grad målrettet af angribere, der med succes udnytter kendte sårbarheder, såsom upålidelige selvsignerede certifikater, svag kryptering og besværlige tilbagekaldelsesmekanismer. Derudover har angribere mestret mere sofistikerede udnyttelser, såsom svigagtig udstedelse af certifikater fra betroede CA'er og forfalskning af kodesigneringscertifikater.

"De fleste virksomheder håndterer ikke aktivt de risici, der er forbundet med disse angreb og er ikke klar til hurtigt at reagere på afvejninger," jeg skrev Derek E. Brink, Vice President og IT Security Fellow hos Aberdeen Group. "Ved at gøre det muligt for virksomheder at placere de operationelle aspekter af certifikatstyring i hænderne på eksperter og samtidig bevare virksomhedens kontrol over gruppepolitikker i Active Directory, sigter GlobalSign mod at sikre den fremtidige vækst i certifikatanvendelse ved at løse praktiske sikkerheds- og tillidsspørgsmål på en effektiv og omkostningseffektiv måde -effektiv implementeringsmodel."

Sådan fungerer AEG

Et typisk AEG-system inkluderer fire nøglekomponenter for at sikre, at de korrekte certifikater sendes til de korrekte adgangspunkter:

1. AEG-software på Windows-server.
2. Active Directory-servere eller domænecontrollere, der giver administratorer mulighed for at administrere og gemme oplysninger om ressourcer.
3. Slutpunkter: brugere, enheder, servere og arbejdsstationer - stort set enhver enhed, der er en "forbruger" af digitale certifikater.
4. En GlobalSign Certification Authority, eller GCC, som sidder på toppen af ​​en pålidelig certifikatudstedelses- og administrationsplatform. Det er her certifikater genereres.

Tre af de fire viste komponenter er på stedet hos klienten, og den fjerde er i skyen.

For det første er endepunkterne prækonfigureret ved hjælp af gruppepolitikker: for eksempel certifikatvalidering til brugergodkendelse, S/MIME-anmodning om certifikatet og så videre - for efterfølgende forbindelse til AEG-serveren. Forbindelsen er sikker over HTTPS.

AEG-serveren forespørger Active Directory via LDAP om en liste over certifikatskabeloner for disse endepunkter og sender listen til klienter sammen med CA'ens placering. Efter at have modtaget disse regler, forbinder endepunkterne til AEG-serveren igen, denne gang for at anmode om de faktiske certifikater. AEG opretter til gengæld et API-kald med de angivne parametre og sender det til GlobalSign Certification Authority eller GCC til behandling.

Endelig behandler GCC-backend anmodningerne, normalt inden for et par sekunder, og sender et API-svar sammen med et certifikat, der efter anmodning vil blive installeret på slutpunkterne.

Hele processen tager et par sekunder og kan fuldautomatiseres ved at konfigurere slutpunkter til automatisk at opnå certifikater ved hjælp af gruppepolitikker.

AEG unikke funktioner

• Du kan tilmelde dig via MDM-platformen.
• Udviklet af tidligere medarbejdere fra Microsoft Crypto-teamet.
• Løsning uden klient.
• Forenklet implementering og livscyklusstyring.

Arkitektur eksempler

Ekstern PKI-styring gennem GlobalSign AEG-gatewayen betyder således øget sikkerhed, omkostningsbesparelser og risikoreduktion. En anden fordel er nem skalerbarhed og forbedret ydeevne. Korrekt styret PKI sikrer lang oppetid, eliminerer afbrydelser af kritiske operationer på grund af ugyldige certifikater og tilbyder medarbejderne sikker fjernadgang til virksomhedens netværk.

AEG understøtter en lang række brugssager, der kræver to-faktor-godkendelse, fra eksterne arbejdsgruppeklienter, der får adgang til netværket via VPN og Wi-Fi, til privilegeret adgang til meget følsomme ressourcer via smart cards.

GlobalSign er en global leder inden for levering af cloud- og netværksforbundne PKI-løsninger til identitets- og adgangsstyring. For mere produktinformation, kontakt venligst vores ledere.

Kilde: www.habr.com