Erabiltzaileak ezin dira fidatu. Gehienetan, alferrak dira eta segurtasunaren gainetik erosotasuna aukeratzen dute. Estatistiken arabera, %21ek laneko kontuetarako pasahitzak idazten ditu paperean, %50ek laneko eta zerbitzu pertsonaletarako pasahitz berdinak adierazten dituzte.

Ingurumena ere etsai da. Erakundeen % 74k gailu pertsonalak lanera ekartzea eta sare korporatibora konektatzea ahalbidetzen du. Erabiltzaileen % 94k ezin du bereizten benetako mezu elektronikoa eta phishing bat, % 11k eranskinetan klik egin zuen.

Arazo horiek guztiak gako publiko korporatiboaren azpiegiturak (PKI) konpontzen ditu, posta enkriptatzea eta autentifikazioa eskaintzen duena eta pasahitzak ziurtagiri digitalekin ordezkatzen dituena. Azpiegitura hau Windows Server-en planteatu daiteke. Ren arabera Microsoft-en deskribapena, Active Directory Certificate Services (AD CS) zure erakundean PKI bat sortzeko eta gako publikoen kriptografia, ziurtagiri digitalak eta sinadura digitalak erabiltzeko aukera ematen duen zerbitzari bat da.

Baina Microsoften irtenbidea nahiko garestia da.

Microsoft CA pribatu baten jabetza kostu osoa

Microsoft CA eta GlobalSign AEG-ren jabetza-kostuaren konparazioa. Iturria

Egoera askotan, erosoagoa eta merkeagoa da ziurtagiri autoritate pribatu bera sortzea, baina kanpoko kudeaketarekin. Hau da, hain zuzen, GlobalSign Auto Enrollment Gateway-k (AEG) konpontzen duen arazoa. Zenbait gastu-lerro jabetza-kostu osotik kanpo geratzen dira (ekipamenduak erostea, laguntza-gastuak, langileen prestakuntza, etab.). Aurrezkiak gaindi daitezke Jabetzaren kostu osoaren % 50.

Zer da AEG

Matrikulazio automatikoko pasabidea (AEG) SaaS GlobalSign ziurtagiri zerbitzuen eta Windows enpresa-ingurunearen arteko atebide gisa funtzionatzen duen software-zerbitzu bat da.

AEG Active Directory-rekin integratzen da, eta horri esker, erakundeek GlobalSign ziurtagiri digitalen erregistroa, hornidura eta kudeaketa automatiza ditzakete Windows ingurunean. Barne CA GlobalSign zerbitzuekin ordezkatuz, enpresek segurtasuna areagotzen dute eta Microsoft CA barne konplexu eta garesti bat kudeatzeko kostua murrizten dute.

GlobalSign SaaS Ziurtagiri Zerbitzuak zure azpiegiturako ziurtagiri ahulak eta kudeatu gabekoak baino aukera fidagarriagoa da. Baliabide intentsiboko barne CA bat kudeatzeko beharra ezabatzeak PKIren jabetza-kostu osoa murrizten du, baita sistemaren hutsegite arriskua ere.

SCEP eta ACME protokoloen laguntza Windows haratago zabaltzen du laguntza, Linux zerbitzarietarako, gailu mugikorretarako, sareko gailuetarako eta beste gailuetarako ziurtagiri automatizatuen igorpena barne, baita Active Directoryn erregistratutako Apple OSX ordenagailuetarako ere.

Segurtasun hobetua

Dirua aurrezteaz gain, azpikontratatutako PKI kudeaketak sistemaren segurtasuna hobetzen du. Aberdeen Taldearen azterketak dioen bezala, ziurtagiriak gero eta gehiago bideratzen dira ahultasun ezagunak arrakastaz ustiatzen dituzten erasotzaileek, hala nola, fidagarriak ez diren autosinatutako ziurtagiriak, enkriptazio ahula eta errebokatze mekanismo astunak. Horrez gain, erasotzaileek ustiapen sofistikatuagoak menperatu dituzte, hala nola, CA fidagarrien ziurtagiriak iruzurrez igortzea eta kodea sinatzeko ziurtagiriak faltsutzea.

"Enpresa gehienek ez dituzte modu aktiboan kudeatzen eraso hauekin lotutako arriskuak eta ez daude prest trukeei azkar erantzuteko". idatzi nuen Derek E. Brink, Aberdeen Taldeko presidenteordea eta IT Segurtasuneko kidea. "Enpresei ziurtagirien kudeaketaren alderdi operatiboak adituen eskuetan jartzeko aukera emanez, Active Directory-n talde-politiken gaineko kontrola korporatiboa mantentzen duten bitartean, GlobalSign-ek ziurtagirien erabileraren etorkizuneko hazkundea bermatzea du helburu, segurtasun eta konfiantza-arazo praktikoak modu eraginkorrean eta kostu batean zuzenduta. -Inplementazio eredu eraginkorra".

AEG nola funtzionatzen duen

AEG sistema tipiko batek lau osagai nagusi ditu ziurtagiri egokiak sarbide-puntu egokietara bidaltzen direla ziurtatzeko:

1. AEG softwarea Windows zerbitzarian.
2. Administratzaileei baliabideei buruzko informazioa kudeatzeko eta gordetzeko aukera ematen dieten Active Directory zerbitzariak edo domeinu-kontrolatzaileak.
3. Amaiera-puntuak: erabiltzaileak, gailuak, zerbitzariak eta lan-estazioak - ziurtagiri digitalen "kontsumitzaile" den ia edozein entitate.
4. GlobalSign Certification Authority edo GCC, ziurtagiriak jaulki eta kudeatzeko plataforma fidagarri baten gainean kokatzen dena. Hemen sortzen dira ziurtagiriak.

Erakusten diren lau osagaietatik hiru bezeroaren lokalean daude, eta laugarrena hodeian dago.

Lehenik eta behin, amaiera-puntuak aurrez konfiguratzen dira talde-politikak erabiliz: adibidez, erabiltzaileen autentifikaziorako ziurtagiriaren baliozkotzea, ziurtagiriaren S/MIME eskaera, eta abar - gero AEG zerbitzariarekin konektatzeko. Konexioa segurua da HTTPS bidez.

AEG zerbitzariak LDAP bidez Active Directory-ri galdetzen dio amaiera-puntu horien ziurtagiri-txantiloien zerrenda eta zerrenda bidaltzen die bezeroei CAren kokapenarekin batera. Arau hauek jaso ondoren, amaierako puntuak AEG zerbitzarira konektatzen dira berriro, oraingoan benetako ziurtagiriak eskatzeko. AEG-k, aldi berean, API dei bat sortzen du zehaztutako parametroekin eta GlobalSign Ziurtagiri Agintaritzari edo GCCri bidaltzen dio prozesatzeko.

Azkenik, GCC backend-ak eskaerak prozesatzen ditu, normalean segundo gutxiren buruan, eta API erantzun bat bidaltzen du eskaeraren arabera amaierako puntuetan instalatuko den ziurtagiriarekin batera.

Prozesu osoak segundo batzuk behar ditu eta guztiz automatizatu daiteke amaiera-puntuak konfiguratuz talde-politikak erabiliz ziurtagiriak automatikoki lortzeko.

AEG Ezaugarri bakarrak

• MDM plataformaren bidez eman dezakezu izena.
• Microsoft Crypto taldeko langile ohiek garatua.
• Bezerorik gabeko irtenbidea.
• Inplementazioa eta bizi-zikloaren kudeaketa sinplifikatua.

Arkitektura adibideak

Horrela, GlobalSign AEG atebidearen bidez kanpoko PKI kudeaketak segurtasuna areagotzea, kostuak aurreztea eta arriskuak murriztea dakar. Beste abantaila bat eskalagarritasun erraza eta errendimendu hobetua da. Behar bezala kudeatutako PKI-k funtzionamendu-epe luzea bermatzen du, ziurtagiri baliogabeen ondorioz eragiketa kritikoen etena ezabatzen du eta langileei urruneko sarbide segurua eskaintzen die enpresaren sareetarako.

AEG Bi faktoreko autentifikazioa eskatzen duten erabilera-kasu ugari onartzen ditu, sarera VPN eta Wi-Fi bidez sartzen diren urruneko lan-taldeetako bezeroak, txartel adimendunen bidez oso sentikorrak diren baliabideetarako sarbide pribilegiatua.

GlobalSign mundu mailako liderra da hodeian eta sareko PKI irtenbideak ematen identitatea eta sarbideen kudeaketarako. Produktuari buruzko informazio gehiago lortzeko, jarri harremanetan gure kudeatzaileak.

Iturria: www.habr.com