کاربران قابل اعتماد نیستند. در بیشتر موارد تنبل هستند و راحتی را به جای امنیت انتخاب می کنند. طبق آمار، 21٪ رمزهای عبور خود را برای حساب های کاری روی کاغذ می نویسند، 50٪ رمزهای عبور مشابه را برای خدمات کاری و شخصی نشان می دهند.
محیط نیز خصمانه است. 74 درصد از سازمانها اجازه میدهند دستگاههای شخصی به محل کار آورده شوند و به شبکه شرکت متصل شوند. 94٪ از کاربران نمی توانند یک ایمیل واقعی را از یک فیشینگ تشخیص دهند، 11٪ روی پیوست ها کلیک کردند.
تمام این مشکلات توسط یک زیرساخت کلید عمومی شرکتی (PKI) حل میشوند که رمزگذاری و احراز هویت نامهها را فراهم میکند و رمزهای عبور را با گواهیهای دیجیتال جایگزین میکند. این زیرساخت را می توان در سرور ویندوز افزایش داد. مطابق با
اما راه حل مایکروسافت بسیار گران است.
کل هزینه مالکیت برای یک مرجع صدور گواهی خصوصی از مایکروسافت
مقایسه هزینه مالکیت Microsoft CA و GlobalSign AEG.
در بسیاری از شرایط، ایجاد همان مرجع صدور گواهینامه خصوصی، اما با مدیریت خارجی، راحت تر و ارزان تر است. GlobalSign Auto Enrollment Gateway (AEG) دقیقاً این مشکل را حل می کند. چندین خط هزینه از کل هزینه مالکیت حذف می شوند (خرید تجهیزات، هزینه های پشتیبانی، آموزش پرسنل و غیره). پس انداز می تواند بیشتر شود
AEG چیست؟
AEG با Active Directory ادغام میشود و به سازمانها اجازه میدهد تا ثبتنام، تهیه و مدیریت گواهیهای دیجیتال GlobalSign را در محیط ویندوز بهطور خودکار انجام دهند. با جایگزینی CA های داخلی با خدمات GlobalSign، شرکت ها امنیت را افزایش داده و هزینه مدیریت پیچیده و پرهزینه CA داخلی Microsoft را کاهش می دهند.
GlobalSign SaaS Certificate Services یک گزینه امن تر از گواهینامه های ضعیف و مدیریت نشده در زیرساخت شما است. حذف نیاز به مدیریت یک CA داخلی با منابع فشرده، هزینه کل مالکیت PKI و همچنین خطر خرابی سیستم را کاهش می دهد.
پشتیبانی از پروتکلهای SCEP و ACME پشتیبانی فراتر از ویندوز را شامل میشود، از جمله صدور گواهی خودکار برای سرورهای لینوکس، تلفن همراه، شبکه و سایر دستگاهها، و همچنین رایانههای Apple OSX ثبتشده در Active Directory.
امنیت پیشرفته
علاوه بر صرفه جویی در بودجه، مدیریت PKI خارجی امنیت سیستم را بهبود می بخشد. همانطور که در مطالعه Aberdeen Group اشاره شد، گواهی ها به طور فزاینده ای توسط مهاجمان مورد هدف قرار می گیرند، که با موفقیت از آسیب پذیری های شناخته شده مانند گواهینامه های خود امضای ضعیف، رمزگذاری ضعیف و مکانیسم های ابطال دست و پا گیر سوء استفاده می کنند. علاوه بر این، مهاجمان بر اکسپلویتهای پیچیدهتری مانند صدور گواهیهای متقلبانه از CAهای مورد اعتماد و جعل گواهیهای امضای کد تسلط یافتهاند.
"بیشتر شرکت ها در مدیریت خطرات مرتبط با این حملات به اندازه کافی فعال نیستند و آمادگی واکنش سریع به معاوضه ها را ندارند."
AEG چگونه کار می کند؟
یک سیستم معمولی AEG شامل چهار جزء کلیدی است تا اطمینان حاصل شود که گواهینامه های صحیح به نقاط دسترسی صحیح منتقل می شوند:
- نرم افزار AEG بر روی سرور ویندوز.
- سرورهای اکتیو دایرکتوری یا کنترل کننده های دامنه که به مدیران اجازه می دهد اطلاعات مربوط به منابع را مدیریت و ذخیره کنند.
- نقاط پایانی: کاربران، دستگاهها، سرورها و ایستگاههای کاری – تقریباً هر نهادی که «مصرفکننده» گواهیهای دیجیتال است.
- GlobalSign Certificate Authority یا GCC، که در بالای یک پلت فرم صدور گواهی و مدیریت قابل اعتماد قرار دارد. اینجا جایی است که گواهی ها تولید می شوند.
سه مؤلفه از چهار مؤلفه نشان داده شده در محل مشتری است و چهارمی در فضای ابری است.
ابتدا، نقاط پایانی با استفاده از خطمشیهای گروه از قبل پیکربندی میشوند: به عنوان مثال، تأیید گواهی برای تأیید اعتبار کاربر، درخواست S/MIME برای گواهی، و غیره، برای اتصال بعدی به سرور AEG. اتصال از طریق HTTPS امن است.
سرور AEG از طریق LDAP از اکتیو دایرکتوری درخواست می کند تا لیستی از الگوهای گواهی را برای این نقاط پایانی به دست آورد و لیست را همراه با مکان مرجع گواهی برای مشتریان ارسال می کند. پس از دریافت این قوانین، نقاط پایانی دوباره به سرور AEG متصل می شوند، این بار برای درخواست گواهی های واقعی. AEG به نوبه خود یک فراخوانی API با پارامترهای مشخص شده ایجاد می کند و آن را برای پردازش به GlobalSign Certificate Authority یا GCC ارسال می کند.
در نهایت، باطن GCC درخواستها را معمولاً در عرض چند ثانیه پردازش میکند و پاسخی را به همراه یک گواهی به API ارسال میکند که در صورت درخواست روی نقاط پایانی نصب میشود.
کل فرآیند چند ثانیه طول میکشد و میتوان با پیکربندی نقاط پایانی برای دریافت خودکار گواهیها با استفاده از خطمشیهای گروه، کاملاً خودکار شد.
ویژگی های منحصر به فرد AEG
- می توانید از طریق پلتفرم MDM ثبت نام کنید.
- توسط کارمندان سابق تیم Microsoft Crypto توسعه یافته است.
- راه حل بدون مشتری
- پیاده سازی ساده و مدیریت چرخه عمر.
نمونه هایی از معماری ها
بنابراین، مدیریت PKI خارجی از طریق دروازه GlobalSign AEG به معنای افزایش امنیت، صرفه جویی در هزینه و کاهش ریسک است. مزیت دیگر مقیاس پذیری آسان و افزایش عملکرد است. مدیریت صحیح PKI زمان طولانی را تضمین می کند، وقفه عملیات حیاتی ماموریت را به دلیل گواهینامه های نامعتبر حذف می کند، و دسترسی از راه دور و ایمن به شبکه های شرکت را به کارکنان ارائه می دهد.
GlobalSign یک رهبر جهانی در ارائه راه حل های هویت و مدیریت دسترسی PKI ابر و شبکه است. برای اطلاعات بیشتر در مورد محصولات لطفا تماس بگیرید
منبع: www.habr.com