Itilizatè yo pa ka fè konfyans. Pou pati ki pi, yo parese epi chwazi konfò pase sekirite. Dapre estatistik, 21% ekri modpas yo pou kont travay yo sou papye, 50% endike modpas yo menm pou travay ak sèvis pèsonèl yo.

Anviwònman an tou ostil. 74% nan òganizasyon pèmèt aparèy pèsonèl yo dwe pote nan travay ak konekte nan rezo antrepriz la. 94% itilizatè yo pa ka fè distenksyon ant yon imèl reyèl ak yon èskrokri, 11% klike sou atachman.

Tout pwoblèm sa yo rezoud pa yon enfrastrikti kle piblik antrepriz (PKI), ki bay chifreman lapòs ak otantifikasyon, epi ranplase modpas ak sètifika dijital. Enfrastrikti sa a ka leve soti vivan sou Windows Server. Dapre deskripsyon soti nan Microsoft, Sèvis Sètifika Anyè Aktif (AD CS) se yon sèvè ki pèmèt ou kreye yon PKI nan òganizasyon w epi sèvi ak kriptografi kle piblik, sètifika dijital, ak siyati dijital.

Men, solisyon Microsoft a se byen chè.

Pri total de posesyon pou yon Microsoft Private CA

Konparezon pri de an komen ant Microsoft CA ak GlobalSign AEG. Sous

Nan anpil sitiyasyon, li pi bon ak pi bon mache pou kreye menm otorite sètifika prive, men ak jesyon ekstèn. Sa a se egzakteman pwoblèm nan ke GlobalSign Auto Enrollment Gateway (AEG) rezoud. Plizyè liy depans yo eskli nan pri total de de an komen (achte ekipman, depans sipò, fòmasyon anplwaye yo, elatriye). Ekonomi ka depase 50% pri total de de an komen.

ki sa ki AEG?

Oto Enskripsyon Gateway (AEG) se yon sèvis lojisyèl ki aji kòm yon pòtay ant sèvis sètifika SaaS GlobalSign ak yon anviwònman antrepriz Windows.

AEG entegre ak Active Directory, sa ki pèmèt òganizasyon yo otomatize anrejistreman, pwovizyon ak jesyon sètifika dijital GlobalSign nan yon anviwònman Windows. Lè yo ranplase CA entèn yo ak sèvis GlobalSign, antrepriz ogmante sekirite epi redwi pri pou jere yon Microsoft CA entèn konplèks ak chè.

Sèvis Sètifika GlobalSign SaaS se yon opsyon ki pi serye pase sètifika fèb ak san jere sou pwòp enfrastrikti ou. Elimine nesesite pou jere yon CA entèn ki entansif resous diminye pri total de posesyon PKI, osi byen ke risk pou echèk sistèm.

Sipò pou pwotokòl SCEP ak ACME pwolonje sipò pi lwen pase Windows, ki gen ladan emisyon sètifika otomatik pou serveurs Linux, aparèy mobil, aparèy rezo, ak lòt aparèy, osi byen ke òdinatè Apple OSX ki anrejistre nan Active Directory.

Amelyore sekirite

Anplis ekonomize lajan, jesyon PKI tretans amelyore sekirite sistèm lan. Kòm etid Aberdeen Group la note, atakè yo vize sètifika yo de pli zan pli ki byen eksplwate frajilite li te ye tankou sètifika ki pa fè konfyans yo siyen pwòp tèt yo, chifreman fèb, ak mekanis revokasyon ankonbran. Anplis de sa, atakè yo te metrize exploit ki pi sofistike, tankou fwod bay sètifika soti nan CA ou fè konfyans ak fòje sètifika siyen kòd.

"Pifò antrepwiz pa aktivman jere risk ki asosye ak atak sa yo epi yo pa pare pou reponn byen vit nan konpwomi," te ekri Derek E. Brink, Vis Prezidan ak IT Security Fellow nan Aberdeen Group. "Lè pèmèt antrepriz yo mete aspè operasyonèl yo nan jesyon sètifika nan men ekspè yo pandan y ap kenbe kontwòl antrepriz sou politik gwoup yo nan Active Directory, GlobalSign gen pou objaktif pou sekirize kwasans nan lavni nan itilizasyon sètifika nan abòde sekirite pratik ak pwoblèm konfyans nan yon pri efikas. -modèl deplwaman efikas."

Ki jan AEG travay

Yon sistèm tipik ak AEG gen ladan kat eleman kle pou asire ke sètifika kòrèk yo voye nan pwen aksè kòrèk yo:

1. Lojisyèl AEG sou sèvè Windows.
2. Sèvè Active Directory oswa kontwolè domèn ki pèmèt administratè yo jere ak estoke enfòmasyon sou resous yo.
3. Pwen final: itilizatè, aparèy, sèvè ak estasyon travay - nòmalman nenpòt antite ki se yon "konsomatè" sètifika dijital.
4. Yon Otorite Sètifikasyon GlobalSign, oswa GCC, ki chita sou tèt yon platfòm emisyon ak jesyon sètifika ou fè konfyans. Sa a se kote sètifika yo pwodwi.

Twa nan kat eleman yo montre yo sou lokal nan kliyan an, ak katriyèm lan se nan nwaj la.

Premyèman, pwen final yo pre-konfigirasyon lè l sèvi avèk règleman gwoup: pou egzanp, validation sètifika pou otantifikasyon itilizatè, demann S/MIME pou sètifika a, ak sou sa - pou koneksyon ki vin apre a sèvè AEG la. Koneksyon an an sekirite atravè HTTPS.

Sèvè AEG mande Active Directory atravè LDAP pou jwenn yon lis modèl sètifika pou pwen final sa yo epi voye lis la bay kliyan ansanm ak kote CA a. Apre yo fin resevwa règ sa yo, pwen final yo konekte ak sèvè AEG ankò, fwa sa a pou mande sètifika aktyèl yo. AEG, nan vire, kreye yon apèl API ak paramèt yo espesifye epi voye li bay GlobalSign Certification Authority oswa GCC pou trete.

Finalman, GCC back end trete demann yo, anjeneral nan kèk segonn, epi voye yon repons API ansanm ak yon sètifika ki pral enstale sou pwen final yo sou demann.

Tout pwosesis la pran kèk segonn epi yo ka konplètman otomatize pa konfigirasyon pwen final yo otomatikman jwenn sètifika lè l sèvi avèk politik gwoup.

Karakteristik inik AEG

• Ou ka enskri atravè platfòm MDM la.
• Devlope pa ansyen anplwaye nan ekip Microsoft Crypto la.
• Solisyon san kliyan.
• Senplifye aplikasyon ak jesyon lavi.

Egzanp achitekti

Kidonk, jesyon ekstèn PKI atravè pòtay GlobalSign AEG la vle di ogmante sekirite, ekonomi pri ak rediksyon risk. Yon lòt benefis se évolutivité fasil ak pèfòmans amelyore. PKI byen jere asire yon tan disponib, elimine dezòd nan operasyon enpòtan akòz sètifika ki pa valab, epi li ofri anplwaye yo aksè a distans ak sekirite nan rezo konpayi yo.

Eg sipòte yon pakèt ka itilizasyon ki mande pou otantifikasyon de faktè, soti nan kliyan gwoup travay aleka ki gen aksè nan rezo a atravè VPN ak Wi-Fi, ak aksè privilejye nan resous trè sansib atravè kat entelijan.

GlobalSign se yon lidè mondyal nan bay solisyon nwaj ak rezo PKI pou jesyon idantite ak aksè. Pou plis enfòmasyon sou pwodwi, tanpri kontakte manadjè nou yo.

Sous: www.habr.com