A felhasználókban nem lehet megbízni. Többnyire lusták, és a kényelmet választják a biztonság helyett. A statisztikák szerint 21% írja le papírra a jelszavát a munkahelyi fiókokhoz, 50% jelzi ugyanazt a jelszót a munkahelyi és a személyes szolgáltatásokhoz.

A környezet is ellenséges. A szervezetek 74%-a lehetővé teszi a személyes eszközök munkába hozatalát és a vállalati hálózathoz való csatlakoztatását. A felhasználók 94%-a nem tud különbséget tenni a valódi és az adathalász e-mailek között, 11%-uk a mellékletekre kattintott.

Mindezeket a problémákat egy vállalati nyilvános kulcsú infrastruktúra (PKI) oldja meg, amely biztosítja a levelezés titkosítását és hitelesítését, valamint a jelszavakat digitális tanúsítványokra cseréli. Ez az infrastruktúra Windows Server rendszeren is létrehozható. Alapján leírás a Microsofttól, Az Active Directory Certificate Services (AD CS) egy olyan kiszolgáló, amely lehetővé teszi PKI létrehozását a szervezetben, valamint nyilvános kulcsú titkosítás, digitális tanúsítványok és digitális aláírások használatát.

De a Microsoft megoldása meglehetősen drága.

A Microsoft Private CA teljes tulajdonlási költsége

A Microsoft CA és a GlobalSign AEG tulajdonlási költségeinek összehasonlítása. Forrás

Sok esetben kényelmesebb és olcsóbb ugyanazt a privát hitelesítő hatóságot létrehozni, de külső kezeléssel. Pontosan ezt a problémát oldja meg a GlobalSign Auto Enrollment Gateway (AEG). A teljes birtoklási költségből több költségsor kimarad (eszközbeszerzés, támogatási költségek, személyzet képzése stb.). A megtakarítás meghaladhatja A teljes birtoklási költség 50%-a.

Mi az AEG

Automatikus regisztrációs átjáró (AEG) egy szoftverszolgáltatás, amely átjáróként működik a SaaS GlobalSign tanúsítványszolgáltatások és a Windows vállalati környezet között.

Az AEG integrálódik az Active Directoryba, lehetővé téve a szervezetek számára, hogy automatizálják a GlobalSign digitális tanúsítványok regisztrációját, rendelkezésre bocsátását és kezelését Windows környezetben. A belső CA-k GlobalSign-szolgáltatásokra cserélésével a vállalatok növelik a biztonságot és csökkentik a bonyolult és költséges belső Microsoft CA kezelésének költségeit.

A GlobalSign SaaS tanúsítványszolgáltatás megbízhatóbb megoldás, mint a gyenge és nem felügyelt tanúsítványok a saját infrastruktúrájában. Az erőforrás-igényes belső CA kezelésének megszüntetése csökkenti a PKI teljes birtoklási költségét, valamint a rendszerhibák kockázatát.

Az SCEP és ACME protokollok támogatása kiterjeszti a támogatást a Windowson túlra is, beleértve az automatikus tanúsítványkibocsátást Linux-szerverekhez, mobileszközökhöz, hálózati eszközökhöz és egyéb eszközökhöz, valamint az Active Directoryban regisztrált Apple OSX számítógépekhez.

Fokozott biztonság

A pénzmegtakarítás mellett a kiszervezett PKI-kezelés javítja a rendszer biztonságát. Amint az Aberdeen Group tanulmánya megjegyzi, a tanúsítványokat egyre gyakrabban veszik célba olyan támadók, akik sikeresen kihasználják az ismert sebezhetőségeket, például a nem megbízható önaláírt tanúsítványokat, a gyenge titkosítást és a nehézkes visszavonási mechanizmusokat. Ezen túlmenően a támadók kifinomultabb kihasználásokat is elsajátítottak, mint például a megbízható CA-któl származó tanúsítványok csalárd kibocsátása és a kódaláíró tanúsítványok hamisítása.

"A legtöbb vállalat nem kezeli aktívan az ezekkel a támadásokkal kapcsolatos kockázatokat, és nem hajlandó gyorsan reagálni a kompromisszumokra" írtam Derek E. Brink, az Aberdeen Group alelnöke és IT-biztonsági munkatársa. "Azáltal, hogy lehetővé teszi a vállalatok számára, hogy a tanúsítványkezelés működési szempontjait szakértők kezébe adják, miközben fenntartják a vállalati ellenőrzést a csoportházirendek felett az Active Directoryban, a GlobalSign célja a tanúsítványhasználat jövőbeli növekedésének biztosítása a gyakorlati biztonsági és bizalmi problémák hatékony és költséges megoldásával. - hatékony telepítési modell."

Hogyan működik az AEG

Egy tipikus AEG rendszer négy kulcsfontosságú összetevőt tartalmaz annak biztosítására, hogy a megfelelő tanúsítványokat a megfelelő hozzáférési pontokhoz küldjék:

1. AEG szoftver Windows szerveren.
2. Active Directory-kiszolgálók vagy tartományvezérlők, amelyek lehetővé teszik az adminisztrátorok számára az erőforrásokkal kapcsolatos információk kezelését és tárolását.
3. Végpontok: felhasználók, eszközök, szerverek és munkaállomások – gyakorlatilag minden entitás, amely a digitális tanúsítványok „fogyasztója”.
4. A GlobalSign Certification Authority vagy GCC, amely egy megbízható tanúsítványkibocsátási és -kezelési platform tetején található. Itt jönnek létre a tanúsítványok.

A négy látható összetevő közül három helyszíni az ügyfélnél, a negyedik pedig a felhőben található.

Először is, a végpontok előre konfigurálva vannak csoportházirendekkel: például tanúsítvány érvényesítése felhasználói hitelesítéshez, S/MIME-kérelem a tanúsítványhoz és így tovább – az AEG-kiszolgálóhoz való későbbi csatlakozáshoz. A kapcsolat HTTPS-en keresztül biztonságos.

Az AEG-kiszolgáló lekérdezi az Active Directorytól az LDAP-n keresztül a végpontokhoz tartozó tanúsítványsablonok listáját, és elküldi a listát az ügyfeleknek a CA helyével együtt. Miután megkapta ezeket a szabályokat, a végpontok ismét csatlakoznak az AEG-kiszolgálóhoz, ezúttal a tényleges tanúsítványok kérésére. Az AEG viszont létrehoz egy API-hívást a megadott paraméterekkel, és elküldi a GlobalSign Certification Authority-nek vagy a GCC-nek feldolgozásra.

Végül a GCC-háttér feldolgozza a kéréseket, általában néhány másodpercen belül, és API-választ küld egy tanúsítvánnyal együtt, amelyet kérésre telepítenek a végpontokra.

Az egész folyamat néhány másodpercet vesz igénybe, és teljesen automatizálható a végpontok konfigurálásával, hogy automatikusan megszerezzék a tanúsítványokat csoportházirendek használatával.

Az AEG egyedi jellemzői

• Jelentkezni az MDM platformon keresztül lehet.
• A Microsoft Crypto csapat korábbi alkalmazottai fejlesztették ki.
• Megoldás kliens nélkül.
• Egyszerűsített megvalósítás és életciklus-menedzsment.

Építészeti példák

Így a GlobalSign AEG átjárón keresztüli külső PKI-kezelés fokozott biztonságot, költségmegtakarítást és kockázatcsökkentést jelent. További előny a könnyű méretezhetőség és a jobb teljesítmény. A megfelelően kezelt PKI hosszú üzemidőt biztosít, kiküszöböli az érvénytelen tanúsítványok miatti megszakításokat a kritikus műveletekben, és távoli, biztonságos hozzáférést kínál az alkalmazottaknak a vállalati hálózatokhoz.

AEG a kéttényezős hitelesítést igénylő felhasználási esetek széles skáláját támogatja, a VPN-en és Wi-Fi-n keresztül a hálózatot elérő távoli munkacsoport-kliensektől a rendkívül érzékeny erőforrásokhoz intelligens kártyákon keresztüli kiváltságos hozzáférésig.

A GlobalSign globális vezető szerepet tölt be az identitás- és hozzáférés-kezelés felhőalapú és hálózati PKI-megoldásaiban. További termékinformációkért forduljon vezetőink.

Forrás: will.com