کاربران قابل اعتماد نیستند. در بیشتر موارد تنبل هستند و راحتی را به جای امنیت انتخاب می کنند. طبق آمار، 21٪ رمزهای عبور خود را برای حساب های کاری روی کاغذ می نویسند، 50٪ رمزهای عبور مشابه را برای خدمات کاری و شخصی نشان می دهند.

محیط نیز خصمانه است. 74 درصد از سازمان‌ها اجازه می‌دهند دستگاه‌های شخصی به محل کار آورده شوند و به شبکه شرکت متصل شوند. 94٪ از کاربران نمی توانند یک ایمیل واقعی را از یک فیشینگ تشخیص دهند، 11٪ روی پیوست ها کلیک کردند.

تمام این مشکلات توسط یک زیرساخت کلید عمومی شرکتی (PKI) حل می‌شوند که رمزگذاری و احراز هویت نامه‌ها را فراهم می‌کند و رمزهای عبور را با گواهی‌های دیجیتال جایگزین می‌کند. این زیرساخت را می توان در سرور ویندوز افزایش داد. مطابق با توضیحات از مایکروسافتActive Directory Certificate Services (AD CS) سروری است که به شما امکان می دهد یک PKI در سازمان خود ایجاد کنید و از رمزنگاری کلید عمومی، گواهی های دیجیتال و امضای دیجیتال استفاده کنید.

اما راه حل مایکروسافت بسیار گران است.

کل هزینه مالکیت برای یک مرجع صدور گواهی خصوصی از مایکروسافت

مقایسه هزینه مالکیت Microsoft CA و GlobalSign AEG. منبع

در بسیاری از شرایط، ایجاد همان مرجع صدور گواهینامه خصوصی، اما با مدیریت خارجی، راحت تر و ارزان تر است. GlobalSign Auto Enrollment Gateway (AEG) دقیقاً این مشکل را حل می کند. چندین خط هزینه از کل هزینه مالکیت حذف می شوند (خرید تجهیزات، هزینه های پشتیبانی، آموزش پرسنل و غیره). پس انداز می تواند بیشتر شود 50 درصد کل هزینه مالکیت.

AEG چیست؟

دروازه ثبت نام خودکار (AEG) یک سرویس نرم افزاری است که به عنوان دروازه ای بین خدمات گواهینامه SaaS GlobalSign و محیط سازمانی ویندوز عمل می کند.

AEG با Active Directory ادغام می‌شود و به سازمان‌ها اجازه می‌دهد تا ثبت‌نام، تهیه و مدیریت گواهی‌های دیجیتال GlobalSign را در محیط ویندوز به‌طور خودکار انجام دهند. با جایگزینی CA های داخلی با خدمات GlobalSign، شرکت ها امنیت را افزایش داده و هزینه مدیریت پیچیده و پرهزینه CA داخلی Microsoft را کاهش می دهند.

GlobalSign SaaS Certificate Services یک گزینه امن تر از گواهینامه های ضعیف و مدیریت نشده در زیرساخت شما است. حذف نیاز به مدیریت یک CA داخلی با منابع فشرده، هزینه کل مالکیت PKI و همچنین خطر خرابی سیستم را کاهش می دهد.

پشتیبانی از پروتکل‌های SCEP و ACME پشتیبانی فراتر از ویندوز را شامل می‌شود، از جمله صدور گواهی خودکار برای سرورهای لینوکس، تلفن همراه، شبکه و سایر دستگاه‌ها، و همچنین رایانه‌های Apple OSX ثبت‌شده در Active Directory.

امنیت پیشرفته

علاوه بر صرفه جویی در بودجه، مدیریت PKI خارجی امنیت سیستم را بهبود می بخشد. همانطور که در مطالعه Aberdeen Group اشاره شد، گواهی ها به طور فزاینده ای توسط مهاجمان مورد هدف قرار می گیرند، که با موفقیت از آسیب پذیری های شناخته شده مانند گواهینامه های خود امضای ضعیف، رمزگذاری ضعیف و مکانیسم های ابطال دست و پا گیر سوء استفاده می کنند. علاوه بر این، مهاجمان بر اکسپلویت‌های پیچیده‌تری مانند صدور گواهی‌های متقلبانه از CAهای مورد اعتماد و جعل گواهی‌های امضای کد تسلط یافته‌اند.

"بیشتر شرکت ها در مدیریت خطرات مرتبط با این حملات به اندازه کافی فعال نیستند و آمادگی واکنش سریع به معاوضه ها را ندارند." написал درک ای برینک، معاون رئیس جمهور و عضو امنیت فناوری اطلاعات در گروه آبردین است. هدف GlobalSign با ایجاد امکان به شرکت‌ها برای قرار دادن جنبه‌های عملیاتی مدیریت گواهی در دستان متخصصان و در عین حال حفظ کنترل شرکتی بر سیاست‌های گروه در Active Directory، فراهم کردن رشد آتی در استفاده از گواهی‌نامه با پرداختن به مسائل امنیتی عملی و اعتماد در یک کارآمد و مقرون به صرفه است. مدل استقرار موثر.»

AEG چگونه کار می کند؟

یک سیستم معمولی AEG شامل چهار جزء کلیدی است تا اطمینان حاصل شود که گواهینامه های صحیح به نقاط دسترسی صحیح منتقل می شوند:

1. نرم افزار AEG بر روی سرور ویندوز.
2. سرورهای اکتیو دایرکتوری یا کنترل کننده های دامنه که به مدیران اجازه می دهد اطلاعات مربوط به منابع را مدیریت و ذخیره کنند.
3. نقاط پایانی: کاربران، دستگاه‌ها، سرورها و ایستگاه‌های کاری – تقریباً هر نهادی که «مصرف‌کننده» گواهی‌های دیجیتال است.
4. GlobalSign Certificate Authority یا GCC، که در بالای یک پلت فرم صدور گواهی و مدیریت قابل اعتماد قرار دارد. اینجا جایی است که گواهی ها تولید می شوند.

سه مؤلفه از چهار مؤلفه نشان داده شده در محل مشتری است و چهارمی در فضای ابری است.

ابتدا، نقاط پایانی با استفاده از خط‌مشی‌های گروه از قبل پیکربندی می‌شوند: به عنوان مثال، تأیید گواهی برای تأیید اعتبار کاربر، درخواست S/MIME برای گواهی، و غیره، برای اتصال بعدی به سرور AEG. اتصال از طریق HTTPS امن است.

سرور AEG از طریق LDAP از اکتیو دایرکتوری درخواست می کند تا لیستی از الگوهای گواهی را برای این نقاط پایانی به دست آورد و لیست را همراه با مکان مرجع گواهی برای مشتریان ارسال می کند. پس از دریافت این قوانین، نقاط پایانی دوباره به سرور AEG متصل می شوند، این بار برای درخواست گواهی های واقعی. AEG به نوبه خود یک فراخوانی API با پارامترهای مشخص شده ایجاد می کند و آن را برای پردازش به GlobalSign Certificate Authority یا GCC ارسال می کند.

در نهایت، باطن GCC درخواست‌ها را معمولاً در عرض چند ثانیه پردازش می‌کند و پاسخی را به همراه یک گواهی به API ارسال می‌کند که در صورت درخواست روی نقاط پایانی نصب می‌شود.

کل فرآیند چند ثانیه طول می‌کشد و می‌توان با پیکربندی نقاط پایانی برای دریافت خودکار گواهی‌ها با استفاده از خط‌مشی‌های گروه، کاملاً خودکار شد.

ویژگی های منحصر به فرد AEG

• می توانید از طریق پلتفرم MDM ثبت نام کنید.
• توسط کارمندان سابق تیم Microsoft Crypto توسعه یافته است.
• راه حل بدون مشتری
• پیاده سازی ساده و مدیریت چرخه عمر.

نمونه هایی از معماری ها

بنابراین، مدیریت PKI خارجی از طریق دروازه GlobalSign AEG به معنای افزایش امنیت، صرفه جویی در هزینه و کاهش ریسک است. مزیت دیگر مقیاس پذیری آسان و افزایش عملکرد است. مدیریت صحیح PKI زمان طولانی را تضمین می کند، وقفه عملیات حیاتی ماموریت را به دلیل گواهینامه های نامعتبر حذف می کند، و دسترسی از راه دور و ایمن به شبکه های شرکت را به کارکنان ارائه می دهد.

AEG از طیف وسیعی از موارد استفاده که نیاز به احراز هویت دو مرحله‌ای دارند پشتیبانی می‌کند: از دسترسی مشتریان گروه کاری راه دور به شبکه از طریق VPN و Wi-Fi تا دسترسی ممتاز به منابع بسیار حساس از طریق کارت‌های هوشمند.

GlobalSign یک رهبر جهانی در ارائه راه حل های هویت و مدیریت دسترسی PKI ابر و شبکه است. برای اطلاعات بیشتر در مورد محصولات لطفا تماس بگیرید مدیران ما.

منبع: www.habr.com