Käyttäjiin ei voi luottaa. Suurimmaksi osaksi he ovat laiskoja ja valitsevat mukavuuden turvallisuuden sijaan. Tilastojen mukaan 21 % kirjoittaa työtilien salasanat paperille, 50 % ilmoittaa samat salasanat työhön ja henkilökohtaisiin palveluihin.
Ympäristö on myös vihamielinen. 74 % organisaatioista sallii henkilökohtaisten laitteiden tuomisen töihin ja yhdistämisen yrityksen verkkoon. 94 % käyttäjistä ei pysty erottamaan oikeaa sähköpostiviestiä tietojenkalasteluviestistä, 11 % klikkaa liitteitä.
Kaikki nämä ongelmat ratkaistaan yrityksen julkisen avaimen infrastruktuurilla (PKI), joka tarjoaa sähköpostin salauksen ja todennuksen sekä korvaa salasanat digitaalisilla varmenteilla. Tämä infrastruktuuri voidaan nostaa Windows Serverillä. Mukaan , Active Directory Certificate Services (AD CS) on palvelin, jonka avulla voit luoda PKI:n organisaatiossasi ja käyttää julkisen avaimen salausta, digitaalisia sertifikaatteja ja digitaalisia allekirjoituksia.
Mutta Microsoftin ratkaisu on melko kallis.
Microsoftin yksityisen varmentajan kokonaiskustannukset
Omistuskustannusten vertailu Microsoft CA:n ja GlobalSign AEG:n välillä.
Monissa tilanteissa on kätevämpää ja halvempaa luoda sama yksityinen varmenneviranomainen, mutta ulkoisella hallinnalla. Tämä on juuri se ongelma, jonka GlobalSign Auto Enrollment Gateway (AEG) ratkaisee. Omistuksen kokonaiskustannuksista on jätetty pois useita kulueriä (laitteiden hankinta, tukikulut, henkilöstön koulutus jne.). Säästöt voivat ylittää .
Mikä on AEG
(AEG) on ohjelmistopalvelu, joka toimii yhdyskäytävänä SaaS GlobalSign -varmennepalvelujen ja Windows-yritysympäristön välillä.
AEG integroituu Active Directoryn kanssa, jolloin organisaatiot voivat automatisoida GlobalSign-digitaalivarmenteiden rekisteröinnin, provisioinnin ja hallinnan Windows-ympäristössä. Korvaamalla sisäiset CA:t GlobalSign-palveluilla yritykset lisäävät turvallisuutta ja vähentävät monimutkaisen ja kalliin sisäisen Microsoftin varmentajan hallintakustannuksia.
GlobalSign SaaS Certificate Services on luotettavampi vaihtoehto kuin heikot ja hallitsemattomat varmenteet omassa infrastruktuurissasi. Resurssiintensiivisen sisäisen CA:n hallinnan tarpeen poistaminen vähentää PKI:n kokonaiskustannuksia sekä järjestelmävikojen riskiä.
SCEP- ja ACME-protokollien tuki laajentaa tuen Windowsin ulkopuolelle, mukaan lukien automaattisen varmenteen myöntämisen Linux-palvelimille, mobiililaitteille, verkkolaitteille ja muille laitteille sekä Active Directoryyn rekisteröidyille Apple OSX -tietokoneille.
Parannettu turvallisuus
Rahansäästön lisäksi ulkoistettu PKI-hallinta parantaa järjestelmän turvallisuutta. Kuten Aberdeen Groupin tutkimuksessa todetaan, varmenteet ovat yhä useammin hyökkääjien kohteena, jotka hyödyntävät menestyksekkäästi tunnettuja haavoittuvuuksia, kuten epäluotettavia itseallekirjoitettuja varmenteita, heikkoa salausta ja hankalia peruutusmekanismeja. Lisäksi hyökkääjät ovat oppineet kehittyneempiä hyväksikäyttöjä, kuten vilpillisesti myöntämään sertifikaatteja luotetuilta CA:ilta ja väärentämään koodin allekirjoitusvarmenteita.
"Useimmat yritykset eivät aktiivisesti hallitse näihin hyökkäyksiin liittyviä riskejä eivätkä ole valmiita reagoimaan nopeasti kompromisseihin." Derek E. Brink, Aberdeen Groupin varapuheenjohtaja ja IT-tietoturvatutkija. "GlobalSign pyrkii turvaamaan varmenteiden käytön tulevan kasvun käsittelemällä käytännön turvallisuus- ja luottamusongelmia tehokkaalla ja kustannustehokkaalla tavalla antamalla yrityksille mahdollisuuden antaa varmenteiden hallinnan operatiiviset näkökohdat asiantuntijoiden käsiin ja säilyttää samalla yrityksen hallinnan Active Directoryn ryhmäkäytännöistä. -tehokas käyttöönottomalli."
Miten AEG toimii
Tyypillinen AEG-järjestelmä sisältää neljä avainkomponenttia, joilla varmistetaan, että oikeat varmenteet lähetetään oikeille tukiasemille:
- AEG-ohjelmisto Windows-palvelimella.
- Active Directory -palvelimet tai toimialueen ohjauskoneet, joiden avulla järjestelmänvalvojat voivat hallita ja tallentaa tietoja resursseista.
- Päätepisteet: käyttäjät, laitteet, palvelimet ja työasemat – käytännössä mikä tahansa kokonaisuus, joka on digitaalisten sertifikaattien "kuluttaja".
- GlobalSign Certification Authority eli GCC, joka sijaitsee luotettavan varmenteiden myöntämis- ja hallintaalustan päällä. Täällä luodaan varmenteita.
Kolme neljästä näytetystä komponentista ovat asiakkaan tiloissa ja neljäs on pilvessä.
Ensinnäkin päätepisteet on esikonfiguroitu ryhmäkäytäntöjen avulla: esimerkiksi varmenteen vahvistus käyttäjän todennusta varten, S/MIME-pyyntö varmennetta varten ja niin edelleen - myöhempää yhteyttä varten AEG-palvelimeen. Yhteys on suojattu HTTPS:n kautta.
AEG-palvelin kysyy Active Directorysta LDAP:n kautta luetteloa näiden päätepisteiden varmennemalleista ja lähettää luettelon asiakkaille yhdessä varmentajan sijainnin kanssa. Saatuaan nämä säännöt päätepisteet muodostavat jälleen yhteyden AEG-palvelimeen, tällä kertaa pyytääkseen varsinaisia varmenteita. AEG puolestaan luo API-kutsun määritetyillä parametreilla ja lähettää sen GlobalSign Certification Authoritylle tai GCC:lle käsittelyä varten.
Lopuksi GCC-tausta käsittelee pyynnöt, yleensä muutamassa sekunnissa, ja lähettää API-vastauksen sekä varmenteen, joka asennetaan päätepisteisiin pyynnöstä.
Koko prosessi kestää muutaman sekunnin, ja se voidaan täysin automatisoida määrittämällä päätepisteet hankkimaan automaattisesti varmenteita ryhmäkäytäntöjen avulla.
AEG:n ainutlaatuiset ominaisuudet
- Voit ilmoittautua MDM-alustan kautta.
- Microsoft Crypto -tiimin entisten työntekijöiden kehittämä.
- Ratkaisu ilman asiakasta.
- Yksinkertaistettu käyttöönotto ja elinkaarihallinta.
Esimerkkejä arkkitehtuurista
Siten ulkoinen PKI-hallinta GlobalSign AEG -yhdyskäytävän kautta lisää turvallisuutta, säästää kustannuksia ja vähentää riskejä. Toinen etu on helppo skaalautuvuus ja parempi suorituskyky. Oikein hallittu PKI varmistaa pitkän käytettävyyden, eliminoi virheellisten varmenteiden aiheuttamat häiriöt kriittisissä toiminnoissa ja tarjoaa työntekijöille suojatun etäyhteyden yrityksen verkkoihin.
tukee monenlaisia käyttötapauksia, jotka vaativat kaksivaiheista todennusta, aina etätyöryhmäasiakkaista, jotka käyttävät verkkoa VPN:n ja Wi-Fi:n kautta, erittäin herkkien resurssien etuoikeutettuun käyttöön älykorttien avulla.
GlobalSign on maailman johtava pilvi- ja verkkopohjaisten PKI-ratkaisujen tarjoaja identiteetin ja pääsyn hallintaan. Jos haluat lisätietoja tuotteesta, ota yhteyttä .
Lähde: will.com