Brugere kan ikke stole på. For det meste er de dovne og vælger komfort frem for sikkerhed. Ifølge statistikker skriver 21 % deres adgangskoder til arbejdskonti ned på papir, 50 % angiver de samme adgangskoder til arbejde og personlige tjenester.
Miljøet er også fjendtligt. 74 % af organisationerne tillader, at personlige enheder bringes på arbejde og forbindes til virksomhedens netværk. 94 % af brugerne kan ikke skelne mellem en rigtig e-mail og en phishing, 11 % klikkede på vedhæftede filer.
Alle disse problemer løses af en virksomheds offentlige nøgleinfrastruktur (PKI), som leverer mailkryptering og godkendelse og erstatter adgangskoder med digitale certifikater. Denne infrastruktur kan opbygges på Windows Server. Ifølge
Men Microsofts løsning er ret dyr.
Samlede ejeromkostninger for en Microsoft Private CA
Sammenligning af ejeromkostninger mellem Microsoft CA og GlobalSign AEG.
I mange situationer er det mere bekvemt og billigere at oprette den samme private certifikatmyndighed, men med ekstern styring. Det er præcis det problem, som GlobalSign Auto Enrollment Gateway (AEG) løser. Flere udgiftslinjer er udelukket fra de samlede ejeromkostninger (køb af udstyr, supportomkostninger, personaleuddannelse osv.). Besparelser kan overstige
Hvad er AEG
AEG integreres med Active Directory, hvilket giver organisationer mulighed for at automatisere registrering, levering og administration af GlobalSign digitale certifikater i et Windows-miljø. Ved at erstatte interne CA'er med GlobalSign-tjenester øger virksomheder sikkerheden og reducerer omkostningerne ved at administrere en kompleks og dyr intern Microsoft CA.
GlobalSign SaaS Certificate Services er en mere pålidelig mulighed end svage og ikke-administrerede certifikater på din egen infrastruktur. Eliminering af behovet for at administrere en ressourcekrævende intern CA reducerer de samlede omkostninger ved ejerskab af PKI, såvel som risikoen for systemfejl.
Understøttelse af SCEP- og ACME-protokoller udvider understøttelsen ud over Windows, herunder automatisk udstedelse af certifikater til Linux-servere, mobile enheder, netværksenheder og andre enheder, samt Apple OSX-computere, der er registreret i Active Directory.
Forbedret sikkerhed
Ud over at spare penge forbedrer outsourcet PKI-styring systemsikkerheden. Som Aberdeen Group-undersøgelsen bemærker, bliver certifikater i stigende grad målrettet af angribere, der med succes udnytter kendte sårbarheder, såsom upålidelige selvsignerede certifikater, svag kryptering og besværlige tilbagekaldelsesmekanismer. Derudover har angribere mestret mere sofistikerede udnyttelser, såsom svigagtig udstedelse af certifikater fra betroede CA'er og forfalskning af kodesigneringscertifikater.
"De fleste virksomheder håndterer ikke aktivt de risici, der er forbundet med disse angreb og er ikke klar til hurtigt at reagere på afvejninger,"
Sådan fungerer AEG
Et typisk AEG-system inkluderer fire nøglekomponenter for at sikre, at de korrekte certifikater sendes til de korrekte adgangspunkter:
- AEG-software på Windows-server.
- Active Directory-servere eller domænecontrollere, der giver administratorer mulighed for at administrere og gemme oplysninger om ressourcer.
- Slutpunkter: brugere, enheder, servere og arbejdsstationer - stort set enhver enhed, der er en "forbruger" af digitale certifikater.
- En GlobalSign Certification Authority, eller GCC, som sidder på toppen af en pålidelig certifikatudstedelses- og administrationsplatform. Det er her certifikater genereres.
Tre af de fire viste komponenter er på stedet hos klienten, og den fjerde er i skyen.
For det første er endepunkterne prækonfigureret ved hjælp af gruppepolitikker: for eksempel certifikatvalidering til brugergodkendelse, S/MIME-anmodning om certifikatet og så videre - for efterfølgende forbindelse til AEG-serveren. Forbindelsen er sikker over HTTPS.
AEG-serveren forespørger Active Directory via LDAP om en liste over certifikatskabeloner for disse endepunkter og sender listen til klienter sammen med CA'ens placering. Efter at have modtaget disse regler, forbinder endepunkterne til AEG-serveren igen, denne gang for at anmode om de faktiske certifikater. AEG opretter til gengæld et API-kald med de angivne parametre og sender det til GlobalSign Certification Authority eller GCC til behandling.
Endelig behandler GCC-backend anmodningerne, normalt inden for et par sekunder, og sender et API-svar sammen med et certifikat, der efter anmodning vil blive installeret på slutpunkterne.
Hele processen tager et par sekunder og kan fuldautomatiseres ved at konfigurere slutpunkter til automatisk at opnå certifikater ved hjælp af gruppepolitikker.
AEG unikke funktioner
- Du kan tilmelde dig via MDM-platformen.
- Udviklet af tidligere medarbejdere fra Microsoft Crypto-teamet.
- Løsning uden klient.
- Forenklet implementering og livscyklusstyring.
Arkitektur eksempler
Ekstern PKI-styring gennem GlobalSign AEG-gatewayen betyder således øget sikkerhed, omkostningsbesparelser og risikoreduktion. En anden fordel er nem skalerbarhed og forbedret ydeevne. Korrekt styret PKI sikrer lang oppetid, eliminerer afbrydelser af kritiske operationer på grund af ugyldige certifikater og tilbyder medarbejderne sikker fjernadgang til virksomhedens netværk.
GlobalSign er en global leder inden for levering af cloud- og netværksforbundne PKI-løsninger til identitets- og adgangsstyring. For mere produktinformation, kontakt venligst
Kilde: www.habr.com