Korisnicima se ne može vjerovati. Većinom su lijeni i biraju udobnost umjesto sigurnosti. Prema statistikama, 21% zapisuje svoje lozinke za poslovne račune na papiru, 50% navodi iste lozinke za poslovne i osobne usluge.
Okolina je također neprijateljska. 74% organizacija dopušta nošenje osobnih uređaja na posao i povezivanje s korporativnom mrežom. 94% korisnika ne može razlikovati pravi email od phishing, 11% kliknulo je na privitke.
Sve te probleme rješava korporativna infrastruktura javnih ključeva (PKI), koja omogućuje enkripciju i autentifikaciju pošte te zamjenjuje lozinke digitalnim certifikatima. Ova se infrastruktura može podići na Windows Serveru. Prema , Active Directory Certificate Services (AD CS) je poslužitelj koji vam omogućuje stvaranje PKI-ja u vašoj organizaciji i korištenje kriptografije s javnim ključem, digitalnih certifikata i digitalnih potpisa.
Ali Microsoftovo rješenje je prilično skupo.
Ukupni trošak vlasništva za Microsoft Private CA
Usporedba troškova vlasništva između Microsoft CA i GlobalSign AEG.
U mnogim je situacijama praktičnije i jeftinije stvoriti isti privatni autoritet za izdavanje certifikata, ali s vanjskim upravljanjem. Upravo je to problem koji GlobalSign Auto Enrollment Gateway (AEG) rješava. Nekoliko linija troškova isključeno je iz ukupnog troška vlasništva (kupnja opreme, troškovi podrške, obuka osoblja itd.). Uštede mogu premašiti .
Što je AEG
(AEG) je softverska usluga koja djeluje kao pristupnik između usluga certifikata SaaS GlobalSign i Windows poslovnog okruženja.
AEG se integrira s Active Directoryjem, omogućujući organizacijama da automatiziraju registraciju, dodjelu i upravljanje GlobalSign digitalnim certifikatima u Windows okruženju. Zamjenom internih CA uslugama GlobalSign, poduzeća povećavaju sigurnost i smanjuju troškove upravljanja složenim i skupim internim Microsoft CA.
GlobalSign SaaS Certificate Services je pouzdanija opcija od slabih i neupravljanih certifikata na vašoj vlastitoj infrastrukturi. Uklanjanje potrebe za upravljanjem resursno intenzivnim internim CA smanjuje ukupne troškove vlasništva PKI-ja, kao i rizik od kvarova sustava.
Podrška za SCEP i ACME protokole proširuje podršku izvan Windowsa, uključujući automatizirano izdavanje certifikata za Linux poslužitelje, mobilne uređaje, mrežne uređaje i druge uređaje, kao i Apple OSX računala registrirana u Active Directory.
Pojačana sigurnost
Osim što štedi novac, vanjsko upravljanje PKI-jem poboljšava sigurnost sustava. Kao što navodi studija Aberdeen grupe, certifikati su sve više meta napadača koji uspješno iskorištavaju poznate ranjivosti kao što su nepouzdani samopotpisani certifikati, slaba enkripcija i glomazni mehanizmi opoziva. Osim toga, napadači su ovladali sofisticiranijim pothvatima, kao što je lažno izdavanje certifikata od pouzdanih CA-ova i krivotvorenje certifikata za potpisivanje koda.
"Većina poduzeća ne upravlja aktivno rizicima povezanim s ovim napadima i nisu spremni brzo odgovoriti na kompromise," Derek E. Brink, potpredsjednik i suradnik za IT sigurnost u Aberdeen Group. "Omogućujući poduzećima da operativne aspekte upravljanja certifikatima stave u ruke stručnjaka uz zadržavanje korporativne kontrole nad pravilima grupe u Active Directoryju, GlobalSign ima za cilj osigurati budući rast upotrebe certifikata rješavanjem praktičnih pitanja sigurnosti i povjerenja na učinkovit, trošak - učinkovit model implementacije."
Kako radi AEG
Tipičan sustav s AEG-om uključuje četiri ključne komponente kako bi se osiguralo slanje ispravnih certifikata na ispravne pristupne točke:
- AEG softver na Windows poslužitelju.
- Active Directory poslužitelji ili kontroleri domene koji administratorima omogućuju upravljanje i pohranjivanje informacija o resursima.
- Krajnje točke: korisnici, uređaji, poslužitelji i radne stanice – gotovo svaki entitet koji je „potrošač“ digitalnih certifikata.
- GlobalSign Certification Authority ili GCC, koji se nalazi na vrhu pouzdane platforme za izdavanje i upravljanje certifikatima. Ovdje se generiraju certifikati.
Tri od četiri prikazane komponente nalaze se na lokaciji klijenta, a četvrta je u oblaku.
Prvo, krajnje točke su unaprijed konfigurirane korištenjem pravila grupe: na primjer, provjera valjanosti certifikata za autentifikaciju korisnika, S/MIME zahtjev za certifikat, i tako dalje - za naknadno povezivanje s AEG poslužiteljem. Veza je sigurna putem HTTPS-a.
AEG poslužitelj postavlja upit Active Directoryju putem LDAP-a za popis predložaka certifikata za te krajnje točke i šalje popis klijentima zajedno s lokacijom CA. Nakon primanja ovih pravila, krajnje točke ponovno se povezuju s AEG poslužiteljem, ovaj put kako bi zatražile stvarne certifikate. AEG zauzvrat stvara API poziv s navedenim parametrima i šalje ga GlobalSign Certification Authority ili GCC-u na obradu.
Na kraju, GCC pozadina obrađuje zahtjeve, obično u roku od nekoliko sekundi, i šalje API odgovor zajedno s certifikatom koji će se na zahtjev instalirati na krajnje točke.
Cijeli proces traje nekoliko sekundi i može se potpuno automatizirati konfiguriranjem krajnjih točaka za automatsko dobivanje certifikata pomoću pravila grupe.
AEG jedinstvene značajke
- Možete se prijaviti putem MDM platforme.
- Razvili bivši zaposlenici Microsoft Crypto tima.
- Rješenje bez klijenta.
- Pojednostavljena implementacija i upravljanje životnim ciklusom.
Primjeri arhitekture
Stoga vanjsko upravljanje PKI-jem putem GlobalSign AEG pristupnika znači povećanu sigurnost, uštedu troškova i smanjenje rizika. Još jedna prednost je laka skalabilnost i poboljšana izvedba. Ispravno upravljana PKI osigurava dugo vrijeme neprekidnog rada, eliminira smetnje u kritičnim operacijama zbog nevažećih certifikata i nudi zaposlenicima udaljeni, siguran pristup mrežama tvrtke.
podržava širok raspon slučajeva korištenja koji zahtijevaju dvofaktorsku autentifikaciju, od udaljenih klijenata radne grupe koji pristupaju mreži putem VPN-a i Wi-Fi-ja, do povlaštenog pristupa visoko osjetljivim resursima putem pametnih kartica.
GlobalSign je globalni lider u pružanju cloud i umreženih PKI rješenja za upravljanje identitetom i pristupom. Za više informacija o proizvodu, molimo kontaktirajte .
Izvor: www.habr.com