Δεν είναι δυνατή η εμπιστοσύνη των χρηστών. Ως επί το πλείστον, είναι τεμπέληδες και επιλέγουν την άνεση από την ασφάλεια. Σύμφωνα με στατιστικά στοιχεία, το 21% σημειώνει τους κωδικούς πρόσβασης για τους λογαριασμούς εργασίας σε χαρτί, το 50% αναφέρει τους ίδιους κωδικούς πρόσβασης για την εργασία και τις προσωπικές υπηρεσίες.

Το περιβάλλον είναι επίσης εχθρικό. Το 74% των οργανισμών επιτρέπουν τη μεταφορά προσωπικών συσκευών σε λειτουργία και τη σύνδεση στο εταιρικό δίκτυο. Το 94% των χρηστών δεν μπορεί να διακρίνει μεταξύ ενός πραγματικού email και ενός ηλεκτρονικού ψαρέματος, το 11% έκανε κλικ σε συνημμένα.

Όλα αυτά τα προβλήματα επιλύονται από μια εταιρική υποδομή δημόσιου κλειδιού (PKI), η οποία παρέχει κρυπτογράφηση και έλεγχο ταυτότητας αλληλογραφίας και αντικαθιστά τους κωδικούς πρόσβασης με ψηφιακά πιστοποιητικά. Αυτή η υποδομή μπορεί να αναπτυχθεί στον Windows Server. Σύμφωνα με περιγραφή από τη Microsoft, Οι υπηρεσίες πιστοποιητικών Active Directory (AD CS) είναι ένας διακομιστής που σας επιτρέπει να δημιουργήσετε ένα PKI στον οργανισμό σας και να χρησιμοποιήσετε κρυπτογραφία δημόσιου κλειδιού, ψηφιακά πιστοποιητικά και ψηφιακές υπογραφές.

Αλλά η λύση της Microsoft είναι αρκετά ακριβή.

Συνολικό κόστος ιδιοκτησίας για μια ιδιωτική αρχή έκδοσης πιστοποιητικών της Microsoft

Σύγκριση κόστους ιδιοκτησίας μεταξύ Microsoft CA και GlobalSign AEG. Πηγή

Σε πολλές περιπτώσεις, είναι πιο βολικό και φθηνότερο να δημιουργηθεί η ίδια ιδιωτική αρχή έκδοσης πιστοποιητικών, αλλά με εξωτερική διαχείριση. Αυτό ακριβώς είναι το πρόβλημα που λύνει η Πύλη Auto Enrollment (AEG) GlobalSign. Αρκετές γραμμές δαπανών εξαιρούνται από το συνολικό κόστος ιδιοκτησίας (αγορά εξοπλισμού, έξοδα υποστήριξης, εκπαίδευση προσωπικού κ.λπ.). Η εξοικονόμηση μπορεί να υπερβεί 50% του συνολικού κόστους ιδιοκτησίας.

Τι είναι η AEG

Πύλη αυτόματης εγγραφής (AEG) είναι μια υπηρεσία λογισμικού που λειτουργεί ως πύλη μεταξύ των υπηρεσιών πιστοποιητικών SaaS GlobalSign και ενός επιχειρηματικού περιβάλλοντος των Windows.

Η AEG ενσωματώνεται με την Active Directory, επιτρέποντας στους οργανισμούς να αυτοματοποιούν την εγγραφή, την παροχή και τη διαχείριση των ψηφιακών πιστοποιητικών GlobalSign σε περιβάλλον Windows. Αντικαθιστώντας τις εσωτερικές ΑΠ με ​​υπηρεσίες GlobalSign, οι επιχειρήσεις αυξάνουν την ασφάλεια και μειώνουν το κόστος διαχείρισης μιας πολύπλοκης και δαπανηρής εσωτερικής ΑΠ της Microsoft.

Το GlobalSign SaaS Certificate Services είναι μια πιο αξιόπιστη επιλογή από τα αδύναμα και μη διαχειριζόμενα πιστοποιητικά στη δική σας υποδομή. Η εξάλειψη της ανάγκης διαχείρισης μιας εσωτερικής ΑΠ με ​​ένταση πόρων μειώνει το συνολικό κόστος ιδιοκτησίας του PKI, καθώς και τον κίνδυνο αστοχιών του συστήματος.

Η υποστήριξη για τα πρωτόκολλα SCEP και ACME επεκτείνει την υποστήριξη πέρα ​​από τα Windows, συμπεριλαμβανομένης της αυτοματοποιημένης έκδοσης πιστοποιητικών για διακομιστές Linux, κινητές συσκευές, συσκευές δικτύου και άλλες συσκευές, καθώς και υπολογιστές Apple OSX που είναι εγγεγραμμένοι στο Active Directory.

Βελτιωμένη ασφάλεια

Εκτός από την εξοικονόμηση χρημάτων, η διαχείριση PKI με εξωτερική ανάθεση βελτιώνει την ασφάλεια του συστήματος. Όπως σημειώνει η μελέτη του Aberdeen Group, τα πιστοποιητικά στοχοποιούνται ολοένα και περισσότερο από εισβολείς που εκμεταλλεύονται με επιτυχία γνωστά τρωτά σημεία, όπως μη αξιόπιστα αυτο-υπογεγραμμένα πιστοποιητικά, αδύναμη κρυπτογράφηση και δυσκίνητους μηχανισμούς ανάκλησης. Επιπλέον, οι εισβολείς έχουν κατακτήσει πιο εξελιγμένα exploits, όπως η δόλια έκδοση πιστοποιητικών από αξιόπιστες CA και η παραποίηση πιστοποιητικών υπογραφής κώδικα.

"Οι περισσότερες επιχειρήσεις δεν διαχειρίζονται ενεργά τους κινδύνους που σχετίζονται με αυτές τις επιθέσεις και δεν είναι έτοιμες να ανταποκριθούν γρήγορα σε συμβιβασμούς." написал Derek E. Brink, Αντιπρόεδρος και συνεργάτης IT Security στο Aberdeen Group. «Επιτρέποντας στις επιχειρήσεις να θέτουν τις λειτουργικές πτυχές της διαχείρισης πιστοποιητικών στα χέρια ειδικών διατηρώντας παράλληλα τον εταιρικό έλεγχο των πολιτικών του ομίλου στην Active Directory, η GlobalSign στοχεύει να εξασφαλίσει τη μελλοντική ανάπτυξη της χρήσης πιστοποιητικών αντιμετωπίζοντας πρακτικά ζητήματα ασφάλειας και εμπιστοσύνης με αποτελεσματικό και οικονομικό τρόπο. -αποτελεσματικό μοντέλο ανάπτυξης."

Πώς λειτουργεί η AEG

Ένα τυπικό σύστημα AEG περιλαμβάνει τέσσερα βασικά στοιχεία για να διασφαλιστεί ότι τα σωστά πιστοποιητικά αποστέλλονται στα σωστά σημεία πρόσβασης:

1. Λογισμικό AEG σε διακομιστή Windows.
2. Διακομιστές Active Directory ή ελεγκτές τομέα που επιτρέπουν στους διαχειριστές να διαχειρίζονται και να αποθηκεύουν πληροφορίες σχετικά με πόρους.
3. Τερματικά σημεία: χρήστες, συσκευές, διακομιστές και σταθμοί εργασίας - σχεδόν κάθε οντότητα που είναι «καταναλωτής» ψηφιακών πιστοποιητικών.
4. Μια GlobalSign Certification Authority ή GCC, η οποία βρίσκεται στην κορυφή μιας αξιόπιστης πλατφόρμας έκδοσης και διαχείρισης πιστοποιητικών. Εδώ δημιουργούνται τα πιστοποιητικά.

Τρία από τα τέσσερα στοιχεία που εμφανίζονται είναι εντός εγκατάστασης στον πελάτη και το τέταρτο είναι στο cloud.

Πρώτον, τα τελικά σημεία έχουν προρυθμιστεί χρησιμοποιώντας πολιτικές ομάδας: για παράδειγμα, επικύρωση πιστοποιητικού για έλεγχο ταυτότητας χρήστη, αίτημα S/MIME για το πιστοποιητικό και ούτω καθεξής - για επακόλουθη σύνδεση με τον διακομιστή AEG. Η σύνδεση είναι ασφαλής μέσω HTTPS.

Ο διακομιστής AEG ρωτά την υπηρεσία καταλόγου Active Directory μέσω LDAP για μια λίστα προτύπων πιστοποιητικών για αυτά τα τελικά σημεία και στέλνει τη λίστα στους πελάτες μαζί με την τοποθεσία της ΑΠ. Μετά τη λήψη αυτών των κανόνων, τα τελικά σημεία συνδέονται ξανά στον διακομιστή AEG, αυτή τη φορά για να ζητήσουν τα πραγματικά πιστοποιητικά. Η AEG, με τη σειρά της, δημιουργεί μια κλήση API με τις καθορισμένες παραμέτρους και τη στέλνει στην GlobalSign Certification Authority ή στο GCC για επεξεργασία.

Τέλος, το back end του GCC επεξεργάζεται τα αιτήματα, συνήθως μέσα σε λίγα δευτερόλεπτα, και στέλνει μια απάντηση API μαζί με ένα πιστοποιητικό που θα εγκατασταθεί στα τελικά σημεία κατόπιν αιτήματος.

Η όλη διαδικασία διαρκεί λίγα δευτερόλεπτα και μπορεί να αυτοματοποιηθεί πλήρως διαμορφώνοντας τα τελικά σημεία για αυτόματη λήψη πιστοποιητικών χρησιμοποιώντας πολιτικές ομάδας.

Μοναδικά χαρακτηριστικά της AEG

• Μπορείτε να εγγραφείτε μέσω της πλατφόρμας MDM.
• Αναπτύχθηκε από πρώην υπαλλήλους της ομάδας Microsoft Crypto.
• Λύση χωρίς πελάτη.
• Απλοποιημένη εφαρμογή και διαχείριση κύκλου ζωής.

Παραδείγματα αρχιτεκτονικής

Έτσι, η εξωτερική διαχείριση PKI μέσω της πύλης GlobalSign AEG σημαίνει αυξημένη ασφάλεια, εξοικονόμηση κόστους και μείωση κινδύνου. Ένα άλλο πλεονέκτημα είναι η εύκολη κλιμάκωση και η βελτιωμένη απόδοση. Η σωστή διαχείριση του PKI διασφαλίζει μεγάλο χρόνο λειτουργίας, εξαλείφει την αναστάτωση σε κρίσιμες λειτουργίες λόγω μη έγκυρων πιστοποιητικών και προσφέρει στους υπαλλήλους απομακρυσμένη, ασφαλή πρόσβαση στα εταιρικά δίκτυα.

AEG υποστηρίζει ένα ευρύ φάσμα περιπτώσεων χρήσης που απαιτούν έλεγχο ταυτότητας δύο παραγόντων, από απομακρυσμένους πελάτες ομάδας εργασίας που έχουν πρόσβαση στο δίκτυο μέσω VPN και Wi-Fi, έως προνομιακή πρόσβαση σε εξαιρετικά ευαίσθητους πόρους μέσω έξυπνων καρτών.

Η GlobalSign είναι παγκόσμιος ηγέτης στην παροχή λύσεων cloud και δικτυωμένων PKI για διαχείριση ταυτότητας και πρόσβασης. Για περισσότερες πληροφορίες προϊόντος, επικοινωνήστε οι διευθυντές μας.

Πηγή: www.habr.com