Benutzern kann nicht vertraut werden. Meistens sind sie faul und bevorzugen Komfort statt Sicherheit. Laut Statistik schreiben 21 % ihre Passwörter für Arbeitskonten auf Papier, 50 % geben die gleichen Passwörter für geschäftliche und private Dienste an.

Auch die Umgebung ist feindselig. 74 % der Unternehmen erlauben die Mitnahme privater Geräte zur Arbeit und die Verbindung mit dem Unternehmensnetzwerk. 94 % der Nutzer können nicht zwischen einer echten E-Mail und einer Phishing-E-Mail unterscheiden, 11 % klickten auf Anhänge.

All diese Probleme werden durch eine firmeneigene Public-Key-Infrastruktur (PKI) gelöst, die E-Mail-Verschlüsselung und -Authentifizierung bereitstellt und Passwörter durch digitale Zertifikate ersetzt. Diese Infrastruktur kann auf Windows Server aufgebaut werden. Entsprechend Beschreibung von Microsoft, Active Directory Certificate Services (AD CS) ist ein Server, der es Ihnen ermöglicht, eine PKI in Ihrer Organisation zu erstellen und Public-Key-Kryptografie, digitale Zertifikate und digitale Signaturen zu verwenden.

Aber Microsofts Lösung ist ziemlich teuer.

Gesamtbetriebskosten für eine Microsoft Private CA

Vergleich der Betriebskosten zwischen Microsoft CA und GlobalSign AEG. Quelle

In vielen Situationen ist es bequemer und kostengünstiger, dieselbe private Zertifizierungsstelle zu erstellen, jedoch mit externer Verwaltung. Genau dieses Problem löst das GlobalSign Auto Enrollment Gateway (AEG). Mehrere Ausgabenposten sind von den Gesamtbetriebskosten ausgeschlossen (Kauf von Ausrüstung, Supportkosten, Personalschulung usw.). Die Einsparungen können übersteigen 50 % der Gesamtbetriebskosten.

Was ist AEG

Automatisches Registrierungs-Gateway (AEG) ist ein Softwaredienst, der als Gateway zwischen SaaS GlobalSign-Zertifikatdiensten und einer Windows-Unternehmensumgebung fungiert.

AEG lässt sich in Active Directory integrieren und ermöglicht es Unternehmen, die Registrierung, Bereitstellung und Verwaltung digitaler GlobalSign-Zertifikate in einer Windows-Umgebung zu automatisieren. Durch den Ersatz interner Zertifizierungsstellen durch GlobalSign-Dienste erhöhen Unternehmen die Sicherheit und senken die Kosten für die Verwaltung einer komplexen und teuren internen Microsoft-Zertifizierungsstelle.

GlobalSign SaaS Certificate Services sind eine zuverlässigere Option als schwache und nicht verwaltete Zertifikate auf Ihrer eigenen Infrastruktur. Durch den Wegfall der Notwendigkeit, eine ressourcenintensive interne Zertifizierungsstelle zu verwalten, reduzieren sich die Gesamtbetriebskosten der PKI und das Risiko von Systemausfällen.

Die Unterstützung der SCEP- und ACME-Protokolle erweitert die Unterstützung über Windows hinaus, einschließlich der automatischen Zertifikatsausstellung für Linux-Server, mobile Geräte, Netzwerkgeräte und andere Geräte sowie im Active Directory registrierte Apple OSX-Computer.

Verbesserte Sicherheit

Das ausgelagerte PKI-Management spart nicht nur Geld, sondern verbessert auch die Systemsicherheit. Wie die Studie der Aberdeen Group feststellt, geraten Zertifikate zunehmend ins Visier von Angreifern, die bekannte Schwachstellen wie nicht vertrauenswürdige selbstsignierte Zertifikate, schwache Verschlüsselung und umständliche Sperrmechanismen erfolgreich ausnutzen. Darüber hinaus beherrschen Angreifer ausgefeiltere Exploits, wie die betrügerische Ausstellung von Zertifikaten vertrauenswürdiger Zertifizierungsstellen und die Fälschung von Code-Signatur-Zertifikaten.

„Die meisten Unternehmen managen die mit diesen Angriffen verbundenen Risiken nicht aktiv und sind nicht bereit, schnell auf Kompromisse zu reagieren.“ написал Derek E. Brink, Vizepräsident und IT Security Fellow bei der Aberdeen Group. „Indem es Unternehmen ermöglicht, die betrieblichen Aspekte der Zertifikatsverwaltung in die Hände von Experten zu legen und gleichzeitig die Unternehmenskontrolle über Gruppenrichtlinien in Active Directory zu behalten, möchte GlobalSign das zukünftige Wachstum der Zertifikatsnutzung sicherstellen, indem es praktische Sicherheits- und Vertrauensprobleme effizient und kostengünstig angeht.“ -effektives Bereitstellungsmodell.

So funktioniert AEG

Ein typisches System mit AEG umfasst vier Schlüsselkomponenten, um sicherzustellen, dass die richtigen Zertifikate an die richtigen Zugangspunkte gesendet werden:

1. AEG-Software auf Windows-Server.
2. Active Directory-Server oder Domänencontroller, die es Administratoren ermöglichen, Informationen über Ressourcen zu verwalten und zu speichern.
3. Endpunkte: Benutzer, Geräte, Server und Workstations – praktisch jede Entität, die ein „Konsum“ digitaler Zertifikate ist.
4. GlobalSign Certification Authority oder GCC, die auf einer vertrauenswürdigen Plattform zur Ausstellung und Verwaltung von Zertifikaten basiert. Hier werden Zertifikate generiert.

Drei der vier gezeigten Komponenten befinden sich vor Ort beim Kunden, die vierte befindet sich in der Cloud.

Zunächst werden die Endpunkte mithilfe von Gruppenrichtlinien vorkonfiguriert: beispielsweise Zertifikatsvalidierung zur Benutzerauthentifizierung, S/MIME-Anforderung für das Zertifikat usw. – für die anschließende Verbindung zum AEG-Server. Die Verbindung erfolgt sicher über HTTPS.

Der AEG-Server fragt Active Directory über LDAP nach einer Liste von Zertifikatvorlagen für diese Endpunkte ab und sendet die Liste zusammen mit dem Standort der Zertifizierungsstelle an Clients. Nach Erhalt dieser Regeln verbinden sich die Endpunkte erneut mit dem AEG-Server, diesmal um die eigentlichen Zertifikate anzufordern. AEG wiederum erstellt einen API-Aufruf mit den angegebenen Parametern und sendet ihn zur Verarbeitung an die GlobalSign Certification Authority oder GCC.

Schließlich verarbeitet das GCC-Backend die Anfragen, normalerweise innerhalb weniger Sekunden, und sendet eine API-Antwort zusammen mit einem Zertifikat, das auf Anfrage auf den Endpunkten installiert wird.

Der gesamte Vorgang dauert einige Sekunden und kann vollständig automatisiert werden, indem Endpunkte so konfiguriert werden, dass sie mithilfe von Gruppenrichtlinien automatisch Zertifikate erhalten.

Einzigartige AEG-Funktionen

• Sie können sich über die MDM-Plattform anmelden.
• Entwickelt von ehemaligen Mitarbeitern des Microsoft Crypto-Teams.
• Lösung ohne Client.
• Vereinfachte Implementierung und Lebenszyklusverwaltung.

Architekturbeispiele

Somit bedeutet die externe PKI-Verwaltung über das GlobalSign AEG-Gateway erhöhte Sicherheit, Kosteneinsparungen und Risikominderung. Ein weiterer Vorteil ist die einfache Skalierbarkeit und verbesserte Leistung. Eine ordnungsgemäß verwaltete PKI gewährleistet eine lange Betriebszeit, eliminiert Unterbrechungen kritischer Vorgänge aufgrund ungültiger Zertifikate und bietet Mitarbeitern sicheren Fernzugriff auf Unternehmensnetzwerke.

AEG unterstützt eine Vielzahl von Anwendungsfällen, die eine Zwei-Faktor-Authentifizierung erfordern, von Remote-Arbeitsgruppen-Clients, die über VPN und WLAN auf das Netzwerk zugreifen, bis hin zum privilegierten Zugriff auf hochsensible Ressourcen über Smartcards.

GlobalSign ist ein weltweit führender Anbieter von Cloud- und vernetzten PKI-Lösungen für das Identitäts- und Zugriffsmanagement. Für weitere Produktinformationen wenden Sie sich bitte an unsere Führungskräfte.

Source: habr.com