Kasutajaid ei saa usaldada. Enamasti on nad laisad ja valivad turvalisuse asemel mugavuse. Statistika järgi kirjutab 21% oma töökontode paroolid paberile üles, 50% märgib samu paroole töö- ja isiklike teenuste jaoks.
Keskkond on ka vaenulik. 74% organisatsioonidest lubavad isiklikud seadmed tööle kaasa võtta ja ettevõtte võrku ühendada. 94% kasutajatest ei suuda vahet teha tõelisel meilil andmepüügil, 11% klõpsas manustele.
Kõik need probleemid lahendab ettevõtte avaliku võtme infrastruktuur (PKI), mis tagab kirjade krüptimise ja autentimise ning asendab paroolid digitaalsete sertifikaatidega. Seda infrastruktuuri saab arendada Windows Serveris. Vastavalt , Active Directory sertifikaaditeenused (AD CS) on server, mis võimaldab teil luua oma organisatsioonis PKI ja kasutada avaliku võtmega krüptograafiat, digitaalseid sertifikaate ja digitaalallkirju.
Kuid Microsofti lahendus on üsna kallis.
Microsofti eraõigusliku CA omamise kogukulu
Omamiskulude võrdlus Microsoft CA ja GlobalSign AEG vahel.
Paljudes olukordades on mugavam ja odavam luua sama privaatne sertifitseerimisasutus, kuid välise haldusega. Just selle probleemi lahendab GlobalSign Auto Enrollment Gateway (AEG). Omamise kogumaksumusest jäetakse välja mitu kulurida (seadmete ost, tugikulud, personali koolitus jne). Kokkuhoid võib ületada .
Mis on AEG
(AEG) on tarkvarateenus, mis toimib lüüsina SaaS GlobalSigni sertifikaaditeenuste ja Windowsi ettevõttekeskkonna vahel.
AEG integreerub Active Directoryga, võimaldades organisatsioonidel automatiseerida GlobalSigni digitaalsertifikaatide registreerimist, varustamist ja haldamist Windowsi keskkonnas. Asendades sisemised CA-d GlobalSigni teenustega, suurendavad ettevõtted turvalisust ja vähendavad keeruka ja kalli sisemise Microsofti CA haldamise kulusid.
GlobalSign SaaS-i sertifikaaditeenused on usaldusväärsem valik kui teie enda infrastruktuuri nõrgad ja haldamata sertifikaadid. Ressursimahuka sisemise CA haldamise vajaduse kaotamine vähendab PKI omamise kogumaksumust ja ka süsteemitõrgete riski.
SCEP- ja ACME-protokollide tugi laiendab tuge ka Windowsist kaugemale, sealhulgas Linuxi serveritele, mobiilseadmetele, võrguseadmetele ja muudele seadmetele, aga ka Active Directorysse registreeritud Apple OSX-arvutitele.
Tõhustatud turvalisus
Lisaks raha säästmisele parandab sisseostetav PKI haldus süsteemi turvalisust. Nagu Aberdeen Groupi uuring märgib, on sertifikaadid üha enam suunatud ründajatele, kes kasutavad edukalt ära tuntud turvaauke, nagu ebausaldusväärsed iseallkirjastatud sertifikaadid, nõrk krüptimine ja tülikad tühistamismehhanismid. Lisaks on ründajad omandanud keerukamaid ärakasutusi, nagu pettuse teel sertifikaatide väljastamine usaldusväärsetelt CA-delt ja koodiallkirjasertifikaatide võltsimine.
"Enamik ettevõtteid ei juhi aktiivselt nende rünnakutega seotud riske ega ole valmis kompromissidele kiiresti reageerima," Derek E. Brink, Aberdeen Groupi asepresident ja IT-turbe teadur. "Võimaldades ettevõtetel anda sertifikaatide haldamise operatiivsed aspektid ekspertide kätte, säilitades samal ajal ettevõtte kontrolli Active Directory rühmapoliitika üle, on GlobalSigni eesmärk tagada sertifikaatide kasutamise kasv tulevikus, lahendades praktilisi turva- ja usaldusprobleeme tõhusalt ja kulukalt. - tõhus juurutamismudel."
Kuidas AEG töötab
Tüüpiline AEG süsteem sisaldab nelja põhikomponenti, mis tagavad õigete sertifikaatide saatmise õigetesse pääsupunktidesse:
- AEG tarkvara Windowsi serveris.
- Active Directory serverid või domeenikontrollerid, mis võimaldavad administraatoritel hallata ja salvestada teavet ressursside kohta.
- Lõpp-punktid: kasutajad, seadmed, serverid ja tööjaamad – praktiliselt kõik üksused, mis on digitaalsete sertifikaatide "tarbijad".
- GlobalSign Certification Authority ehk GCC, mis asub usaldusväärse sertifikaatide väljastamise ja haldamise platvormi peal. Siin genereeritakse sertifikaadid.
Kolm neljast näidatud komponendist on kliendis kohapeal ja neljas on pilves.
Esiteks konfigureeritakse lõpp-punktid rühmapoliitikate abil: näiteks sertifikaadi valideerimine kasutaja autentimiseks, S/MIME päring sertifikaadi jaoks ja nii edasi – edasiseks ühenduse loomiseks AEG serveriga. Ühendus on HTTPS-i kaudu turvaline.
AEG server küsib LDAP-i kaudu Active Directoryst nende lõpp-punktide sertifikaadimallide loendit ja saadab loendi klientidele koos CA asukohaga. Pärast nende reeglite saamist loovad lõpp-punktid uuesti ühenduse AEG serveriga, seekord tegelike sertifikaatide taotlemiseks. AEG omakorda loob määratud parameetritega API-kutse ja saadab selle töötlemiseks GlobalSign Certification Authorityle ehk GCC-le.
Lõpuks töötleb GCC taustarakendus päringud tavaliselt mõne sekundi jooksul ja saadab API vastuse koos sertifikaadiga, mis soovi korral lõpp-punktidesse installitakse.
Kogu protsess võtab paar sekundit ja seda saab täielikult automatiseerida, konfigureerides lõpp-punktid sertifikaatide automaatseks hankimiseks, kasutades rühmapoliitikaid.
AEG ainulaadsed omadused
- Saate registreeruda MDM-i platvormi kaudu.
- Välja töötatud endised töötajad Microsoft Crypto meeskonnast.
- Lahendus ilma kliendita.
- Lihtsustatud juurutamine ja elutsükli haldamine.
Arhitektuuri näited
Seega tähendab väline PKI haldamine GlobalSign AEG lüüsi kaudu suuremat turvalisust, kulude kokkuhoidu ja riskide vähendamist. Teine eelis on lihtne skaleeritavus ja parem jõudlus. Korralikult hallatud PKI tagab pika tööaja, välistab kehtetute sertifikaatide tõttu kriitiliste toimingute katkemise ning pakub töötajatele turvalist kaugjuurdepääsu ettevõtte võrkudele.
toetab mitmesuguseid kasutusjuhtumeid, mis nõuavad kahefaktorilist autentimist, alates kaugtöörühma klientidest, kes pääsevad võrku VPN-i ja Wi-Fi kaudu, kuni privilegeeritud juurdepääsuni väga tundlikele ressurssidele kiipkaartide kaudu.
GlobalSign on ülemaailmne liider identiteedi- ja juurdepääsuhalduse pilve- ja võrgupõhise PKI-lahenduste pakkumisel. Lisateabe saamiseks toote kohta võtke ühendust .
Allikas: www.habr.com