Brûkers kinne net fertroud wurde. Foar it meastepart binne se lui en kieze komfort boppe feiligens. Neffens statistiken skriuwt 21% har wachtwurden foar wurkakkounts op papier op, 50% jouwe deselde wachtwurden oan foar wurk en persoanlike tsjinsten.
De omjouwing is ek fijannich. 74% fan organisaasjes tastean persoanlike apparaten wurde brocht oan it wurk en ferbûn mei it bedriuwsnetwurk. 94% fan brûkers kinne net ûnderskiede tusken in echte e-post en in phishing, 11% klikte op taheaksels.
Al dizze problemen wurde oplost troch in corporate iepenbiere kaai ynfrastruktuer (PKI), dy't soarget foar fersifering en autentikaasje fan e-post, en ferfangt wachtwurden mei digitale sertifikaten. Dizze ynfrastruktuer kin wurde ferhege op Windows Server. Neffens , Active Directory Certificate Services (AD CS) is in server wêrmei jo in PKI yn jo organisaasje kinne meitsje en publike kaaikryptografy, digitale sertifikaten en digitale hantekeningen brûke.
Mar de oplossing fan Microsoft is frij djoer.
Totale kosten fan eigendom foar in Microsoft Private CA
Kosten fan eigendom ferliking tusken Microsoft CA en GlobalSign AEG.
Yn in protte situaasjes is it handiger en goedkeaper om deselde privee sertifikaatautoriteit te meitsjen, mar mei ekstern behear. Dit is krekt it probleem dat de GlobalSign Auto Enrollment Gateway (AEG) oplost. Ferskate rigels fan útjeften binne útsletten fan 'e totale kosten fan eigendom (oankeap fan apparatuer, stipekosten, training fan personiel, ensfh.). Savings kinne oerkomme .
Wat is AEG
(AEG) is in softwaretsjinst dy't fungearret as in poarte tusken SaaS GlobalSign-sertifikaattsjinsten en in Windows-bedriuwsomjouwing.
AEG yntegreart mei Active Directory, wêrtroch organisaasjes de registraasje, foarsjenning en behear fan GlobalSign digitale sertifikaten yn in Windows-omjouwing kinne automatisearje. Troch ynterne CA's te ferfangen troch GlobalSign-tsjinsten, ferheegje bedriuwen de feiligens en ferminderje de kosten fan it behearen fan in komplekse en djoere ynterne Microsoft CA.
GlobalSign SaaS Certificate Services is in betrouberere opsje dan swakke en net beheare sertifikaten op jo eigen ynfrastruktuer. It eliminearjen fan de needsaak om in boarne-yntinsive ynterne CA te behearjen ferminderet de totale eigendomskosten fan PKI, lykas ek it risiko fan systeemfalen.
Stipe foar SCEP- en ACME-protokollen wreidet stipe út bûten Windows, ynklusyf automatisearre sertifikaatútjefte foar Linux-tsjinners, mobile apparaten, netwurkapparaten en oare apparaten, lykas Apple OSX-kompjûters registrearre yn Active Directory.
Ferbettere befeiliging
Neist it besparjen fan jild, ferbetteret útbestege PKI-behear systeemfeiligens. Lykas de Aberdeen Group-stúdzje opmerkt, wurde sertifikaten hieltyd faker rjochte op oanfallers dy't mei súkses gebrûk meitsje fan bekende kwetsberens lykas net-fertroude sels-ûndertekene sertifikaten, swakke fersifering en omslachtige ynlûkingsmeganismen. Derneist hawwe oanfallers mear ferfine eksploaten behearske, lykas it frauduleus útjaan fan sertifikaten fan fertroude CA's en smeden fan sertifikaten foar koade-ûndertekening.
"De measte bedriuwen beheare de risiko's ferbûn mei dizze oanfallen net aktyf en binne net ree om fluch te reagearjen op ôfwikselingen," Derek E. Brink, Vice President en IT Security Fellow by Aberdeen Group. "Troch bedriuwen yn te skeakeljen om de operasjonele aspekten fan sertifikaatbehear yn 'e hannen fan saakkundigen te pleatsen, wylst se bedriuwskontrôle behâlde oer groepbelied yn Active Directory, is GlobalSign fan doel de takomstige groei fan sertifikaatgebrûk te befeiligjen troch praktyske feiligens- en fertrouwenproblemen oan te pakken yn in effisjinte, kosten - effektyf ynsetmodel."
Hoe AEG wurket
In typysk AEG-systeem omfettet fjouwer wichtige komponinten om te soargjen dat de juste sertifikaten nei de juste tagongspunten stjoerd wurde:
- AEG software op Windows tsjinner.
- Active Directory-tsjinners as domeincontrollers wêrmei behearders ynformaasje oer boarnen kinne beheare en opslaan.
- Einpunten: brûkers, apparaten, servers en wurkstasjons - praktysk elke entiteit dy't in "konsumint" is fan digitale sertifikaten.
- In GlobalSign Certification Authority, of GCC, dy't sit boppe op in fertroud sertifikaat útjefte en behear platfoarm. Dit is wêr't sertifikaten wurde generearre.
Trije fan 'e fjouwer toand komponinten binne op it terrein by de kliïnt, en de fjirde is yn' e wolk.
Earst wurde de einpunten foarôf konfigureare mei help fan groepbelied: bygelyks sertifikaatvalidaasje foar brûkersferifikaasje, S/MIME-oanfraach foar it sertifikaat, ensafuorthinne - foar folgjende ferbining mei de AEG-tsjinner. De ferbining is feilich fia HTTPS.
De AEG-tsjinner freget Active Directory fia LDAP foar in list mei sertifikaatsjabloanen foar dizze einpunten en stjoert de list nei kliïnten tegearre mei de lokaasje fan 'e CA. Nei it ûntfangen fan dizze regels ferbine de einpunten wer mei de AEG-tsjinner, dizze kear om de eigentlike sertifikaten oan te freegjen. AEG makket op syn beurt in API-oprop mei de opjûne parameters en stjoert it nei de GlobalSign Certification Authority of GCC foar ferwurking.
Uteinlik ferwurket de GCC-efterkant de oanfragen, meastentiids binnen in pear sekonden, en stjoert in API-antwurd tegearre mei in sertifikaat dat op oanfraach ynstalleare sil op 'e einpunten.
It hiele proses duorret in pear sekonden en kin folslein automatisearre wurde troch it konfigurearjen fan einpunten om automatysk sertifikaten te krijen mei groepbelied.
AEG unike eigenskippen
- Jo kinne ynskriuwe fia it MDM-platfoarm.
- Untwikkele troch eardere meiwurkers fan it Microsoft Crypto-team.
- Oplossing sûnder klant.
- Ienfâldige ymplemintaasje en libbenssyklusbehear.
Arsjitektuer foarbylden
Sa, eksterne PKI behear troch de GlobalSign AEG poarte betsjut ferhege feiligens, kosten besparring en risiko reduksje. In oar foardiel is maklike skalberens en ferbettere prestaasjes. Goed beheare PKI soarget foar lange uptime, elimineert fersteuring fan krityske operaasjes fanwege ûnjildige sertifikaten, en biedt meiwurkers op ôfstân, feilige tagong ta bedriuwsnetwurken.
stipet in breed skala oan gebrûk gefallen dy't fereaskje twa-faktor autentikaasje, fan eksterne wurkgroep kliïnten tagong ta it netwurk fia VPN en Wi-Fi, foar befoarrjochte tagong ta tige gefoelige boarnen fia smart cards.
GlobalSign is in wrâldwide lieder yn it leverjen fan wolk- en netwurke PKI-oplossingen foar identiteits- en tagongsbehear. Foar mear produktynformaasje, nim dan kontakt op .
Boarne: www.habr.com