Les utilisateurs ne sont pas dignes de confiance. Pour la plupart, ils sont paresseux et préfèrent le confort à la sécurité. Selon les statistiques, 21% écrivent leurs mots de passe pour les comptes professionnels sur papier, 50% indiquent les mêmes mots de passe pour les services professionnels et personnels.

L'environnement est également hostile. 74 % des organisations permettent d'amener les appareils personnels au travail et de les connecter au réseau de l'entreprise. 94% des utilisateurs ne peuvent pas faire la distinction entre un vrai e-mail et un hameçonnage, 11% ont cliqué sur les pièces jointes.

Tous ces problèmes sont résolus par une infrastructure à clé publique (PKI) d'entreprise, qui assure le chiffrement et l'authentification du courrier et remplace les mots de passe par des certificats numériques. Cette infrastructure peut être montée sur Windows Server. Selon descriptif de Microsoft, Active Directory Certificate Services (AD CS) est un serveur qui vous permet de créer une PKI dans votre organisation et d'utiliser la cryptographie à clé publique, les certificats numériques et les signatures numériques.

Mais la solution de Microsoft est assez chère.

Coût total de possession d'une autorité de certification privée Microsoft

Comparaison du coût de possession entre Microsoft CA et GlobalSign AEG. Source

Dans de nombreuses situations, il est plus pratique et moins coûteux de créer la même autorité de certification privée, mais avec une gestion externe. C'est exactement le problème que la passerelle d'inscription automatique GlobalSign (AEG) résout. Plusieurs lignes de dépenses sont exclues du coût total de possession (achat de matériel, frais de support, formation du personnel, etc.). Les économies peuvent dépasser 50 % du coût total de possession.

Qu'est-ce qu'AEG

Passerelle d'inscription automatique (AEG) est un service logiciel qui agit comme une passerelle entre les services de certificat SaaS GlobalSign et un environnement d'entreprise Windows.

AEG s'intègre à Active Directory, permettant aux organisations d'automatiser l'enregistrement, l'approvisionnement et la gestion des certificats numériques GlobalSign dans un environnement Windows. En remplaçant les autorités de certification internes par les services de GlobalSign, les entreprises renforcent la sécurité et réduisent les coûts de gestion d'une autorité de certification interne complexe et coûteuse de Microsoft.

GlobalSign SaaS Certificate Services est une option plus fiable que les certificats faibles et non gérés sur votre propre infrastructure. L'élimination de la nécessité de gérer une autorité de certification interne gourmande en ressources réduit le coût total de possession de l'infrastructure à clé publique, ainsi que le risque de défaillance du système.

La prise en charge des protocoles SCEP et ACME étend la prise en charge au-delà de Windows, y compris l'émission automatisée de certificats pour les serveurs Linux, les appareils mobiles, les appareils réseau et d'autres appareils, ainsi que les ordinateurs Apple OSX enregistrés dans Active Directory.

Sécurité renforcée

En plus d'économiser de l'argent, la gestion PKI externalisée améliore la sécurité du système. Comme le note l'étude d'Aberdeen Group, les certificats sont de plus en plus la cible d'attaquants qui exploitent avec succès des vulnérabilités connues telles que des certificats auto-signés non fiables, un cryptage faible et des mécanismes de révocation encombrants. De plus, les attaquants ont maîtrisé des exploits plus sophistiqués, tels que l'émission frauduleuse de certificats à partir d'autorités de certification de confiance et la falsification de certificats de signature de code.

"La plupart des entreprises ne gèrent pas activement les risques associés à ces attaques et ne sont pas prêtes à réagir rapidement aux compromis", écrit Derek E. Brink, vice-président et chargé de la sécurité informatique chez Aberdeen Group. "En permettant aux entreprises de confier les aspects opérationnels de la gestion des certificats à des experts tout en maintenant le contrôle de l'entreprise sur les politiques de groupe dans Active Directory, GlobalSign vise à sécuriser la croissance future de l'utilisation des certificats en abordant les problèmes pratiques de sécurité et de confiance de manière efficace et économique. -modèle de déploiement efficace."

Comment fonctionne AEG

Un système typique avec AEG comprend quatre composants clés pour garantir que les bons certificats sont envoyés aux bons points d'accès :

1. Logiciel AEG sur serveur Windows.
2. Serveurs Active Directory ou contrôleurs de domaine qui permettent aux administrateurs de gérer et de stocker des informations sur les ressources.
3. Points finaux : utilisateurs, appareils, serveurs et postes de travail - pratiquement toute entité qui est un « consommateur » de certificats numériques.
4. Une autorité de certification GlobalSign, ou GCC, qui se trouve au-dessus d'une plate-forme d'émission et de gestion de certificats de confiance. C'est là que les certificats sont générés.

Trois des quatre composants présentés sont sur site chez le client et le quatrième est dans le cloud.

Tout d'abord, les points de terminaison sont préconfigurés à l'aide de stratégies de groupe : par exemple, la validation du certificat pour l'authentification de l'utilisateur, la demande S/MIME pour le certificat, etc. - pour une connexion ultérieure au serveur AEG. La connexion est sécurisée via HTTPS.

Le serveur AEG interroge Active Directory via LDAP pour obtenir une liste de modèles de certificats pour ces points de terminaison et envoie la liste aux clients avec l'emplacement de l'autorité de certification. Après avoir reçu ces règles, les terminaux se reconnectent au serveur AEG, cette fois pour demander les certificats réels. AEG, à son tour, crée un appel API avec les paramètres spécifiés et l'envoie à l'autorité de certification GlobalSign ou GCC pour traitement.

Enfin, le back-end GCC traite les requêtes, généralement en quelques secondes, et envoie une réponse API accompagnée d'un certificat qui sera installé sur les points de terminaison sur demande.

L'ensemble du processus prend quelques secondes et peut être entièrement automatisé en configurant les points de terminaison pour obtenir automatiquement des certificats à l'aide de stratégies de groupe.

Caractéristiques uniques d'AEG

• Vous pouvez vous inscrire via la plateforme MDM.
• Développé par d'anciens employés de l'équipe Microsoft Crypto.
• Solution sans client.
• Mise en œuvre et gestion du cycle de vie simplifiées.

Exemples d'architecture

Ainsi, la gestion PKI externe via la passerelle GlobalSign AEG signifie une sécurité accrue, des économies de coûts et une réduction des risques. Un autre avantage est une évolutivité facile et des performances améliorées. Une PKI correctement gérée garantit une longue disponibilité, élimine les interruptions des opérations critiques dues à des certificats non valides et offre aux employés un accès distant et sécurisé aux réseaux de l'entreprise.

AEG prend en charge un large éventail de cas d'utilisation nécessitant une authentification à deux facteurs, des clients de groupe de travail distants accédant au réseau via VPN et Wi-Fi, à l'accès privilégié à des ressources hautement sensibles via des cartes à puce.

GlobalSign est un leader mondial dans la fourniture de solutions PKI cloud et en réseau pour la gestion des identités et des accès. Pour plus d'informations sur le produit, veuillez contacter nos gérants.

Source: habr.com