Kasutajaid ei saa usaldada. Enamasti on nad laisad ja valivad turvalisuse asemel mugavuse. Statistika järgi kirjutab 21% oma töökontode paroolid paberile üles, 50% märgib samu paroole töö- ja isiklike teenuste jaoks.
Keskkond on ka vaenulik. 74% organisatsioonidest lubavad isiklikud seadmed tööle kaasa võtta ja ettevõtte võrku ühendada. 94% kasutajatest ei suuda vahet teha tõelisel meilil andmepüügil, 11% klõpsas manustele.
Kõik need probleemid lahendab ettevõtte avaliku võtme infrastruktuur (PKI), mis tagab kirjade krüptimise ja autentimise ning asendab paroolid digitaalsete sertifikaatidega. Seda infrastruktuuri saab arendada Windows Serveris. Vastavalt
Kuid Microsofti lahendus on üsna kallis.
Microsofti eraõigusliku CA omamise kogukulu
Omamiskulude võrdlus Microsoft CA ja GlobalSign AEG vahel.
Paljudes olukordades on mugavam ja odavam luua sama privaatne sertifitseerimisasutus, kuid välise haldusega. Just selle probleemi lahendab GlobalSign Auto Enrollment Gateway (AEG). Omamise kogumaksumusest jäetakse välja mitu kulurida (seadmete ost, tugikulud, personali koolitus jne). Kokkuhoid võib ületada
Mis on AEG
AEG integreerub Active Directoryga, võimaldades organisatsioonidel automatiseerida GlobalSigni digitaalsertifikaatide registreerimist, varustamist ja haldamist Windowsi keskkonnas. Asendades sisemised CA-d GlobalSigni teenustega, suurendavad ettevõtted turvalisust ja vähendavad keeruka ja kalli sisemise Microsofti CA haldamise kulusid.
GlobalSign SaaS-i sertifikaaditeenused on usaldusväärsem valik kui teie enda infrastruktuuri nõrgad ja haldamata sertifikaadid. Ressursimahuka sisemise CA haldamise vajaduse kaotamine vähendab PKI omamise kogumaksumust ja ka süsteemitõrgete riski.
SCEP- ja ACME-protokollide tugi laiendab tuge ka Windowsist kaugemale, sealhulgas Linuxi serveritele, mobiilseadmetele, võrguseadmetele ja muudele seadmetele, aga ka Active Directorysse registreeritud Apple OSX-arvutitele.
Tõhustatud turvalisus
Lisaks raha säästmisele parandab sisseostetav PKI haldus süsteemi turvalisust. Nagu Aberdeen Groupi uuring märgib, on sertifikaadid üha enam suunatud ründajatele, kes kasutavad edukalt ära tuntud turvaauke, nagu ebausaldusväärsed iseallkirjastatud sertifikaadid, nõrk krüptimine ja tülikad tühistamismehhanismid. Lisaks on ründajad omandanud keerukamaid ärakasutusi, nagu pettuse teel sertifikaatide väljastamine usaldusväärsetelt CA-delt ja koodiallkirjasertifikaatide võltsimine.
"Enamik ettevõtteid ei juhi aktiivselt nende rünnakutega seotud riske ega ole valmis kompromissidele kiiresti reageerima,"
Kuidas AEG töötab
Tüüpiline AEG süsteem sisaldab nelja põhikomponenti, mis tagavad õigete sertifikaatide saatmise õigetesse pääsupunktidesse:
- AEG tarkvara Windowsi serveris.
- Active Directory serverid või domeenikontrollerid, mis võimaldavad administraatoritel hallata ja salvestada teavet ressursside kohta.
- Lõpp-punktid: kasutajad, seadmed, serverid ja tööjaamad – praktiliselt kõik üksused, mis on digitaalsete sertifikaatide "tarbijad".
- GlobalSign Certification Authority ehk GCC, mis asub usaldusväärse sertifikaatide väljastamise ja haldamise platvormi peal. Siin genereeritakse sertifikaadid.
Kolm neljast näidatud komponendist on kliendis kohapeal ja neljas on pilves.
Esiteks konfigureeritakse lõpp-punktid rühmapoliitikate abil: näiteks sertifikaadi valideerimine kasutaja autentimiseks, S/MIME päring sertifikaadi jaoks ja nii edasi – edasiseks ühenduse loomiseks AEG serveriga. Ühendus on HTTPS-i kaudu turvaline.
AEG server küsib LDAP-i kaudu Active Directoryst nende lõpp-punktide sertifikaadimallide loendit ja saadab loendi klientidele koos CA asukohaga. Pärast nende reeglite saamist loovad lõpp-punktid uuesti ühenduse AEG serveriga, seekord tegelike sertifikaatide taotlemiseks. AEG omakorda loob määratud parameetritega API-kutse ja saadab selle töötlemiseks GlobalSign Certification Authorityle ehk GCC-le.
Lõpuks töötleb GCC taustarakendus päringud tavaliselt mõne sekundi jooksul ja saadab API vastuse koos sertifikaadiga, mis soovi korral lõpp-punktidesse installitakse.
Kogu protsess võtab paar sekundit ja seda saab täielikult automatiseerida, konfigureerides lõpp-punktid sertifikaatide automaatseks hankimiseks, kasutades rühmapoliitikaid.
AEG ainulaadsed omadused
- Saate registreeruda MDM-i platvormi kaudu.
- Välja töötatud endised töötajad Microsoft Crypto meeskonnast.
- Lahendus ilma kliendita.
- Lihtsustatud juurutamine ja elutsükli haldamine.
Arhitektuuri näited
Seega tähendab väline PKI haldamine GlobalSign AEG lüüsi kaudu suuremat turvalisust, kulude kokkuhoidu ja riskide vähendamist. Teine eelis on lihtne skaleeritavus ja parem jõudlus. Korralikult hallatud PKI tagab pika tööaja, välistab kehtetute sertifikaatide tõttu kriitiliste toimingute katkemise ning pakub töötajatele turvalist kaugjuurdepääsu ettevõtte võrkudele.
GlobalSign on ülemaailmne liider identiteedi- ja juurdepääsuhalduse pilve- ja võrgupõhise PKI-lahenduste pakkumisel. Lisateabe saamiseks toote kohta võtke ühendust
Allikas: www.habr.com