Uzantoj ne estas fidindaj. Plejparte, ili estas maldiligentaj kaj elektas komforton super sekureco. Laŭ statistiko, 21% skribas siajn pasvortojn por laborkontoj sur papero, 50% indikas la samajn pasvortojn por laboro kaj personaj servoj.
La medio ankaŭ estas malamika. 74% de organizoj permesas al personaj aparatoj esti alportitaj al laboro kaj konektitaj al la kompania reto. 94% de uzantoj ne povas distingi inter vera retpoŝto kaj phishing unu, 11% klakis sur aldonaĵoj.
Ĉiuj ĉi tiuj problemoj estas solvitaj de kompania publika ŝlosila infrastrukturo (PKI), kiu provizas poŝtan ĉifradon kaj aŭtentikigon, kaj anstataŭigas pasvortojn per ciferecaj atestiloj. Ĉi tiu infrastrukturo povas esti altigita sur Windows Server. Laŭ , Active Directory Certificate Services (AD CS) estas servilo, kiu permesas vin krei PKI en via organizo kaj uzi publikan ŝlosilan kriptografion, ciferecajn atestojn kaj ciferecajn subskribojn.
Sed la solvo de Mikrosofto estas sufiĉe multekosta.
Tuta Kosto de Posedo por Microsoft Private CA
Komparo de posedkosto inter Microsoft CA kaj GlobalSign AEG.
En multaj situacioj, estas pli oportune kaj pli malmultekosta krei la saman privatan atestan aŭtoritaton, sed kun ekstera administrado. Ĝuste ĉi tio estas la problemo, kiun la GlobalSign Auto Enrollment Gateway (AEG) solvas. Pluraj linioj de elspezoj estas ekskluditaj de la totalkosto de posedo (aĉeto de ekipaĵo, subtenkostoj, dungitaro trejnado, ktp.). Ŝparaĵoj povas superi .
Kio estas AEG
(AEG) estas softvarservo kiu funkcias kiel enirejo inter SaaS GlobalSign-atestservoj kaj Vindoza entreprenmedio.
AEG integriĝas kun Active Directory, permesante al organizoj aŭtomatigi la registradon, provizon kaj administradon de GlobalSign ciferecaj atestiloj en Vindoza medio. Anstataŭigante internajn CA-ojn per GlobalSign-servoj, entreprenoj pliigas sekurecon kaj reduktas la koston de administrado de kompleksa kaj multekosta interna Microsoft CA.
GlobalSign SaaS Certificate Services estas pli fidinda elekto ol malfortaj kaj neadministrataj atestiloj pri via propra infrastrukturo. Forigi la bezonon administri rimedintensan internan CA reduktas la totalkoston de proprieto de PKI, same kiel la riskon de sistemfiaskoj.
Subteno por SCEP kaj ACME-protokoloj etendas subtenon preter Vindozo, inkluzive de aŭtomatigita atestilo por Linuksaj serviloj, porteblaj aparatoj, retaj aparatoj kaj aliaj aparatoj, same kiel Apple OSX-komputiloj registritaj en Active Directory.
Plibonigita sekureco
Krom ŝparado de mono, subkontraktita PKI-administrado plibonigas sisteman sekurecon. Kiel notas la studo de Aberdeen Group, atestiloj estas ĉiam pli celitaj de atakantoj, kiuj sukcese ekspluatas konatajn vundeblecojn kiel nefidindajn memsubskribitajn atestojn, malfortan ĉifradon kaj maloportunajn revokajn mekanismojn. Krome, atakantoj regis pli altnivelajn ekspluatojn, kiel ekzemple fraŭde eldonado de atestiloj de fidindaj CAs kaj forĝado de kodfirmaaj atestiloj.
"Plej multaj entreprenoj ne aktive administras la riskojn asociitajn kun ĉi tiuj atakoj kaj ne pretas rapide respondi al kompromisoj," Derek E. Brink, Vicprezidanto kaj IT Security Fellow ĉe Aberdeen Group. "Ebligante entreprenojn meti la funkciajn aspektojn de atestila administrado en la manojn de spertuloj konservante kompanian kontrolon de gruppolitikoj en Active Directory, GlobalSign celas sekurigi la estontan kreskon de atestila uzo traktante praktikajn sekurecojn kaj fidajn problemojn en efika, kosto. -efika deploja modelo."
Kiel AEG funkcias
Tipa sistemo kun AEG inkluzivas kvar ŝlosilajn komponentojn por certigi, ke la ĝustaj atestiloj estas senditaj al la ĝustaj alirpunktoj:
- AEG-programaro sur Vindoza servilo.
- Active Directory-serviloj aŭ domajnaj regiloj, kiuj permesas al administrantoj administri kaj stoki informojn pri rimedoj.
- Finpunktoj: uzantoj, aparatoj, serviloj kaj laborstacioj - preskaŭ ajna ento, kiu estas "konsumanto" de ciferecaj atestiloj.
- GlobalSign Certification Authority, aŭ GCC, kiu sidas sur fidinda atestilo-emisio kaj administra platformo. Jen kie atestiloj estas generitaj.
Tri el la kvar komponentoj montritaj estas surlokaj ĉe la kliento, kaj la kvara estas en la nubo.
Unue, la finpunktoj estas antaŭ-konfiguritaj uzante gruppolitikojn: ekzemple, atestilvalidigo por uzantaŭtentigo, S/MIME-peto por la atestilo, kaj tiel plu - por posta konekto al la AEG-servilo. La konekto estas sekura per HTTPS.
La AEG-servilo demandas Active Directory per LDAP por listo de atestilŝablonoj por ĉi tiuj finpunktoj kaj sendas la liston al klientoj kune kun la loko de la CA. Post ricevi ĉi tiujn regulojn, la finpunktoj denove konektas al la AEG-servilo, ĉi-foje por peti la realajn atestilojn. AEG, siavice, kreas API-vokon kun la specifitaj parametroj kaj sendas ĝin al la GlobalSign Certification Authority aŭ GCC por prilaborado.
Fine, la GCC-a malantaŭo prilaboras la petojn, kutime ene de kelkaj sekundoj, kaj sendas API-respondon kune kun atestilo, kiu estos instalita sur la finpunktoj laŭ peto.
La tuta procezo daŭras kelkajn sekundojn kaj povas esti plene aŭtomatigita per agordo de finpunktoj por aŭtomate akiri atestojn uzante gruppolitikojn.
AEG Unika Trajtoj
- Vi povas enskribiĝi per la MDM-platformo.
- Disvolvita de iamaj dungitoj de la Microsoft Crypto-teamo.
- Solvo sen kliento.
- Simpligita efektivigo kaj vivciklo-administrado.
Ekzemploj de arkitekturo
Tiel, ekstera PKI-administrado per la enirejo GlobalSign AEG signifas pliigitan sekurecon, ŝparojn kaj riskon. Alia avantaĝo estas facila skaleblo kaj plibonigita efikeco. Ĝuste administrita PKI certigas longan funkciadon, forigas interrompon al kritikaj operacioj pro nevalidaj atestiloj kaj ofertas al dungitoj malproksiman, sekuran aliron al firmaaj retoj.
subtenas ampleksan gamon de uzkazoj kiuj postulas dufaktoran aŭtentikigon, de foraj laborgrupoklientoj alirantaj la reton per VPN kaj Wi-Fi, ĝis privilegia aliro al tre sentemaj rimedoj per inteligentaj kartoj.
GlobalSign estas tutmonda gvidanto en provizado de nubaj kaj interretaj PKI-solvoj por identeco kaj aliradministrado. Por pliaj produktaj informoj, bonvolu kontakti .
fonto: www.habr.com