Non se pode confiar nos usuarios. Na súa maioría, son preguiceiros e elixen a comodidade en lugar da seguridade. Segundo as estatísticas, o 21% anota os seus contrasinais para as contas de traballo en papel, o 50% indica os mesmos contrasinais para os servizos laborais e persoais.

O medio ambiente tamén é hostil. O 74% das organizacións permite que os dispositivos persoais sexan levados ao traballo e conectados á rede corporativa. O 94% dos usuarios non pode distinguir un correo electrónico real dun de phishing, o 11% fixo clic nos anexos.

Todos estes problemas son resoltos por unha infraestrutura de clave pública (PKI) corporativa, que proporciona cifrado e autenticación do correo e substitúe os contrasinais por certificados dixitais. Esta infraestrutura pódese crear en Windows Server. Dacordo con descrición de MicrosoftActive Directory Certificate Services (AD CS) é un servidor que che permite crear unha PKI na túa organización e usar criptografía de chave pública, certificados dixitais e sinaturas dixitais.

Pero a solución de Microsoft é bastante cara.

Custo total de propiedade dunha autoridade de certificación privada de Microsoft

Comparación do custo de propiedade de Microsoft CA e GlobalSign AEG. Orixe

En moitas situacións, é máis cómodo e barato crear a mesma autoridade de certificación privada, pero con xestión externa. GlobalSign Auto Enrollment Gateway (AEG) resolve exactamente este problema. Varias liñas de custo quedan excluídas do custo total de propiedade (compra de equipos, custos de apoio, formación de persoal, etc.). O aforro pode superar 50% do custo total de propiedade.

O que é AEG

Pasarela de inscrición automática (AEG) é un servizo de software que actúa como pasarela entre os servizos de certificados SaaS de GlobalSign e o ambiente empresarial de Windows.

AEG intégrase con Active Directory, o que permite ás organizacións automatizar a inscrición, a subministración e a xestión de certificados dixitais GlobalSign nun ambiente Windows. Ao substituír as CA internas por servizos GlobalSign, as empresas aumentan a seguridade e reducen o custo da xestión dunha CA interna de Microsoft complexa e custosa.

Os servizos de certificados GlobalSign SaaS son unha opción máis segura que os certificados débiles e non xestionados na súa propia infraestrutura. A eliminación da necesidade de xestionar unha CA interna con uso intensivo de recursos reduce o custo total de propiedade da PKI, así como o risco de fallos do sistema.

A compatibilidade cos protocolos SCEP e ACME amplía a compatibilidade máis aló de Windows, incluíndo a emisión automatizada de certificados para servidores Linux, móbiles, redes e outros dispositivos, así como para ordenadores Apple OSX rexistrados en Active Directory.

Seguridade mellorada

Ademais de aforrar orzamento, a xestión externa da PKI mellora a seguridade do sistema. Como se sinala no estudo do Grupo Aberdeen, os certificados son cada vez máis atacados por atacantes, que explotan con éxito vulnerabilidades coñecidas, como certificados autoasinados débiles, cifrado débil e mecanismos de revogación engorrosos. Ademais, os atacantes dominaron exploits máis sofisticados, como a emisión fraudulenta de certificados de CA de confianza e a falsificación de certificados de sinatura de código.

"A maioría das empresas non son o suficientemente proactivas á hora de xestionar os riscos asociados a estes ataques e non están preparadas para responder rapidamente aos compromisos". escribiu Derek E. Brink é vicepresidente e bolseiro de seguridade informática en Aberdeen Group. "Ao permitir ás empresas poñer os aspectos operativos da xestión de certificados en mans de expertos mantendo o control corporativo sobre as políticas de grupo en Active Directory, GlobalSign pretende permitir o crecemento futuro no uso de certificados abordando problemas prácticos de seguridade e confianza dunha forma eficiente e custosa. modelo de implantación eficaz”.

Como funciona AEG?

Un sistema AEG típico inclúe catro compoñentes clave para garantir que os certificados correctos se pasan aos puntos de acceso correctos:

1. Software AEG no servidor Windows.
2. Servidores de Active Directory ou controladores de dominio que permiten aos administradores xestionar e almacenar información sobre recursos.
3. Puntos finais: usuarios, dispositivos, servidores e estacións de traballo, practicamente calquera entidade que sexa "consumidora" de certificados dixitais.
4. GlobalSign Certificate Authority ou GCC, que se sitúa enriba dunha plataforma de xestión e emisión de certificados de confianza. Aquí é onde se xeran os certificados.

Tres dos catro compoñentes que se mostran están na instalación do cliente e o cuarto está na nube.

En primeiro lugar, os puntos finais están preconfigurados mediante políticas de grupo: por exemplo, a verificación do certificado para a autenticación do usuario, a solicitude S/MIME para o certificado, etc., para a conexión posterior ao servidor AEG. A conexión é segura a través de HTTPS.

O servidor AEG consulta Active Directory a través de LDAP para obter unha lista de modelos de certificado para estes puntos finais e envía a lista aos clientes xunto coa localización da autoridade de certificación. Despois de recibir estas regras, os puntos finais conéctanse de novo ao servidor AEG, esta vez para solicitar os certificados reais. AEG á súa vez crea unha chamada á API cos parámetros especificados e envíaa á Autoridade de Certificación GlobalSign ou GCC para procesala.

Finalmente, o backend de GCC procesa as solicitudes, normalmente nuns segundos, e envía unha resposta á API xunto cun certificado que se instalará nos puntos finais cando o solicite.

Todo o proceso leva uns segundos e pódese automatizar completamente configurando os puntos finais para obter certificados automaticamente mediante políticas de grupo.

Características únicas de AEG

• Podes rexistrarte a través da plataforma MDM.
• Desenvolvido por antigos empregados do equipo Microsoft Crypto.
• Solución sen cliente.
• Implementación simplificada e xestión do ciclo de vida.

Exemplos de arquitecturas

Así, a xestión externa da PKI a través da pasarela GlobalSign AEG supón unha maior seguridade, un aforro de custos e un risco reducido. Outra vantaxe é a fácil escalabilidade e un maior rendemento. A xestión adecuada da PKI garante un tempo de actividade prolongado, elimina a interrupción das operacións de misión crítica debido a certificados non válidos e ofrece aos empregados acceso remoto e seguro ás redes da empresa.

AEG Admite unha ampla gama de casos de uso que requiren autenticación de dous factores: desde clientes de grupos de traballo remotos que acceden á rede mediante VPN e Wi-Fi ata acceso privilexiado a recursos altamente sensibles mediante tarxetas intelixentes.

GlobalSign é líder mundial na subministración de solucións de xestión de acceso e identidade PKI en nube e rede. Para obter información máis detallada sobre os produtos, póñase en contacto os nosos xestores.

Fonte: www.habr.com