No se puede confiar en los usuarios. En su mayor parte, son perezosos y eligen la comodidad sobre la seguridad. Según las estadísticas, el 21% escribe sus contraseñas para cuentas de trabajo en papel, el 50% indica las mismas contraseñas para servicios laborales y personales.

El ambiente también es hostil. El 74 % de las organizaciones permiten que los dispositivos personales se lleven al trabajo y se conecten a la red corporativa. El 94% de los usuarios no puede distinguir entre un correo electrónico real y uno de phishing, el 11% hizo clic en los archivos adjuntos.

Todos estos problemas se resuelven mediante una infraestructura de clave pública (PKI) corporativa, que proporciona encriptación y autenticación de correo y reemplaza las contraseñas con certificados digitales. Esta infraestructura se puede elevar en Windows Server. De acuerdo a descripción de Microsoft, Active Directory Certificate Services (AD CS) es un servidor que le permite crear una PKI en su organización y usar criptografía de clave pública, certificados digitales y firmas digitales.

Pero la solución de Microsoft es bastante cara.

Costo total de propiedad para una CA privada de Microsoft

Comparación del costo de propiedad entre Microsoft CA y GlobalSign AEG. fuente

En muchas situaciones, es más conveniente y económico crear la misma autoridad de certificación privada, pero con administración externa. Este es exactamente el problema que resuelve GlobalSign Auto Enrollment Gateway (AEG). Varias líneas de gastos están excluidas del costo total de propiedad (compra de equipos, costos de soporte, capacitación del personal, etc.). Los ahorros pueden superar 50% del costo total de propiedad.

Que es AEG

Puerta de enlace de inscripción automática (AEG) es un servicio de software que actúa como puerta de enlace entre los servicios de certificados SaaS GlobalSign y un entorno empresarial de Windows.

AEG se integra con Active Directory, lo que permite a las organizaciones automatizar el registro, el aprovisionamiento y la gestión de certificados digitales de GlobalSign en un entorno Windows. Al reemplazar las CA internas con los servicios de GlobalSign, las empresas aumentan la seguridad y reducen el costo de administrar una CA interna compleja y costosa de Microsoft.

Los servicios de certificados SaaS de GlobalSign son una opción más confiable que los certificados débiles y no administrados en su propia infraestructura. Eliminar la necesidad de administrar una CA interna que consume muchos recursos reduce el costo total de propiedad de PKI, así como el riesgo de fallas en el sistema.

La compatibilidad con los protocolos SCEP y ACME amplía la compatibilidad más allá de Windows, incluida la emisión automática de certificados para servidores Linux, dispositivos móviles, dispositivos de red y otros dispositivos, así como computadoras Apple OSX registradas en Active Directory.

Seguridad mejorada

Además de ahorrar dinero, la gestión de PKI subcontratada mejora la seguridad del sistema. Como señala el estudio de Aberdeen Group, los certificados son cada vez más el objetivo de los atacantes que explotan con éxito las vulnerabilidades conocidas, como los certificados autofirmados que no son de confianza, el cifrado débil y los engorrosos mecanismos de revocación. Además, los atacantes han dominado vulnerabilidades más sofisticadas, como la emisión fraudulenta de certificados de CA de confianza y la falsificación de certificados de firma de código.

“La mayoría de las empresas no gestionan activamente los riesgos asociados con estos ataques y no están preparadas para responder rápidamente a las compensaciones”, написал Derek E. Brink, vicepresidente y miembro de seguridad de TI en Aberdeen Group. "Al permitir que las empresas coloquen los aspectos operativos de la gestión de certificados en manos de expertos mientras mantienen el control corporativo sobre las políticas de grupo en Active Directory, GlobalSign tiene como objetivo asegurar el crecimiento futuro del uso de certificados al abordar los problemas prácticos de seguridad y confianza de una manera eficiente y rentable". -modelo de despliegue efectivo".

Cómo funciona AEG

Un sistema típico con AEG incluye cuatro componentes clave para garantizar que los certificados correctos se envíen a los puntos de acceso correctos:

1. Software AEG en servidor Windows.
2. Servidores de Active Directory o controladores de dominio que permiten a los administradores administrar y almacenar información sobre los recursos.
3. Puntos finales: usuarios, dispositivos, servidores y estaciones de trabajo: prácticamente cualquier entidad que sea un "consumidor" de certificados digitales.
4. Una autoridad de certificación de GlobalSign, o GCC, que se asienta sobre una plataforma de gestión y emisión de certificados de confianza. Aquí es donde se generan los certificados.

Tres de los cuatro componentes que se muestran están en las instalaciones del cliente y el cuarto está en la nube.

En primer lugar, los puntos finales se preconfiguran mediante políticas de grupo: por ejemplo, validación de certificados para la autenticación de usuarios, solicitud S/MIME del certificado, etc., para la conexión posterior al servidor AEG. La conexión es segura a través de HTTPS.

El servidor AEG consulta Active Directory a través de LDAP para obtener una lista de plantillas de certificado para estos puntos finales y envía la lista a los clientes junto con la ubicación de la CA. Después de recibir estas reglas, los puntos finales se conectan nuevamente al servidor AEG, esta vez para solicitar los certificados reales. AEG, a su vez, crea una llamada API con los parámetros especificados y la envía a la Autoridad de Certificación de GlobalSign o GCC para su procesamiento.

Finalmente, el back-end de GCC procesa las solicitudes, generalmente en unos pocos segundos, y envía una respuesta API junto con un certificado que se instalará en los puntos finales a pedido.

Todo el proceso tarda unos segundos y se puede automatizar por completo configurando puntos finales para obtener certificados automáticamente mediante políticas de grupo.

Características únicas de AEG

• Puede inscribirse a través de la plataforma MDM.
• Desarrollado por ex empleados del equipo de Microsoft Crypto.
• Solución sin cliente.
• Implementación simplificada y gestión del ciclo de vida.

Ejemplos de arquitectura

Por lo tanto, la gestión de PKI externa a través de la puerta de enlace GlobalSign AEG significa mayor seguridad, ahorro de costos y reducción de riesgos. Otro beneficio es la fácil escalabilidad y el rendimiento mejorado. La PKI administrada correctamente garantiza un tiempo de actividad prolongado, elimina la interrupción de las operaciones críticas debido a certificados no válidos y ofrece a los empleados acceso remoto y seguro a las redes de la empresa.

AEG admite una amplia gama de casos de uso que requieren autenticación de dos factores, desde clientes de grupos de trabajo remotos que acceden a la red a través de VPN y Wi-Fi, hasta acceso privilegiado a recursos altamente confidenciales a través de tarjetas inteligentes.

GlobalSign es un líder mundial en el suministro de soluciones PKI en red y en la nube para la gestión de identidades y accesos. Para obtener más información sobre el producto, comuníquese con nuestros gerentes.

Fuente: habr.com