A felhasználókban nem lehet megbízni. Többnyire lusták, és a kényelmet választják a biztonság helyett. A statisztikák szerint 21% írja le papírra a jelszavát a munkahelyi fiókokhoz, 50% jelzi ugyanazt a jelszót a munkahelyi és a személyes szolgáltatásokhoz.
A környezet is ellenséges. A szervezetek 74%-a lehetővé teszi a személyes eszközök munkába hozatalát és a vállalati hálózathoz való csatlakoztatását. A felhasználók 94%-a nem tud különbséget tenni a valódi és az adathalász e-mailek között, 11%-uk a mellékletekre kattintott.
Mindezeket a problémákat egy vállalati nyilvános kulcsú infrastruktúra (PKI) oldja meg, amely biztosítja a levelezés titkosítását és hitelesítését, valamint a jelszavakat digitális tanúsítványokra cseréli. Ez az infrastruktúra Windows Server rendszeren is létrehozható. Alapján
De a Microsoft megoldása meglehetősen drága.
A Microsoft Private CA teljes tulajdonlási költsége
A Microsoft CA és a GlobalSign AEG tulajdonlási költségeinek összehasonlítása.
Sok esetben kényelmesebb és olcsóbb ugyanazt a privát hitelesítő hatóságot létrehozni, de külső kezeléssel. Pontosan ezt a problémát oldja meg a GlobalSign Auto Enrollment Gateway (AEG). A teljes birtoklási költségből több költségsor kimarad (eszközbeszerzés, támogatási költségek, személyzet képzése stb.). A megtakarítás meghaladhatja
Mi az AEG
Az AEG integrálódik az Active Directoryba, lehetővé téve a szervezetek számára, hogy automatizálják a GlobalSign digitális tanúsítványok regisztrációját, rendelkezésre bocsátását és kezelését Windows környezetben. A belső CA-k GlobalSign-szolgáltatásokra cserélésével a vállalatok növelik a biztonságot és csökkentik a bonyolult és költséges belső Microsoft CA kezelésének költségeit.
A GlobalSign SaaS tanúsítványszolgáltatás megbízhatóbb megoldás, mint a gyenge és nem felügyelt tanúsítványok a saját infrastruktúrájában. Az erőforrás-igényes belső CA kezelésének megszüntetése csökkenti a PKI teljes birtoklási költségét, valamint a rendszerhibák kockázatát.
Az SCEP és ACME protokollok támogatása kiterjeszti a támogatást a Windowson túlra is, beleértve az automatikus tanúsítványkibocsátást Linux-szerverekhez, mobileszközökhöz, hálózati eszközökhöz és egyéb eszközökhöz, valamint az Active Directoryban regisztrált Apple OSX számítógépekhez.
Fokozott biztonság
A pénzmegtakarítás mellett a kiszervezett PKI-kezelés javítja a rendszer biztonságát. Amint az Aberdeen Group tanulmánya megjegyzi, a tanúsítványokat egyre gyakrabban veszik célba olyan támadók, akik sikeresen kihasználják az ismert sebezhetőségeket, például a nem megbízható önaláírt tanúsítványokat, a gyenge titkosítást és a nehézkes visszavonási mechanizmusokat. Ezen túlmenően a támadók kifinomultabb kihasználásokat is elsajátítottak, mint például a megbízható CA-któl származó tanúsítványok csalárd kibocsátása és a kódaláíró tanúsítványok hamisítása.
"A legtöbb vállalat nem kezeli aktívan az ezekkel a támadásokkal kapcsolatos kockázatokat, és nem hajlandó gyorsan reagálni a kompromisszumokra"
Hogyan működik az AEG
Egy tipikus AEG rendszer négy kulcsfontosságú összetevőt tartalmaz annak biztosítására, hogy a megfelelő tanúsítványokat a megfelelő hozzáférési pontokhoz küldjék:
- AEG szoftver Windows szerveren.
- Active Directory-kiszolgálók vagy tartományvezérlők, amelyek lehetővé teszik az adminisztrátorok számára az erőforrásokkal kapcsolatos információk kezelését és tárolását.
- Végpontok: felhasználók, eszközök, szerverek és munkaállomások – gyakorlatilag minden entitás, amely a digitális tanúsítványok „fogyasztója”.
- A GlobalSign Certification Authority vagy GCC, amely egy megbízható tanúsítványkibocsátási és -kezelési platform tetején található. Itt jönnek létre a tanúsítványok.
A négy látható összetevő közül három helyszíni az ügyfélnél, a negyedik pedig a felhőben található.
Először is, a végpontok előre konfigurálva vannak csoportházirendekkel: például tanúsítvány érvényesítése felhasználói hitelesítéshez, S/MIME-kérelem a tanúsítványhoz és így tovább – az AEG-kiszolgálóhoz való későbbi csatlakozáshoz. A kapcsolat HTTPS-en keresztül biztonságos.
Az AEG-kiszolgáló lekérdezi az Active Directorytól az LDAP-n keresztül a végpontokhoz tartozó tanúsítványsablonok listáját, és elküldi a listát az ügyfeleknek a CA helyével együtt. Miután megkapta ezeket a szabályokat, a végpontok ismét csatlakoznak az AEG-kiszolgálóhoz, ezúttal a tényleges tanúsítványok kérésére. Az AEG viszont létrehoz egy API-hívást a megadott paraméterekkel, és elküldi a GlobalSign Certification Authority-nek vagy a GCC-nek feldolgozásra.
Végül a GCC-háttér feldolgozza a kéréseket, általában néhány másodpercen belül, és API-választ küld egy tanúsítvánnyal együtt, amelyet kérésre telepítenek a végpontokra.
Az egész folyamat néhány másodpercet vesz igénybe, és teljesen automatizálható a végpontok konfigurálásával, hogy automatikusan megszerezzék a tanúsítványokat csoportházirendek használatával.
Az AEG egyedi jellemzői
- Jelentkezni az MDM platformon keresztül lehet.
- A Microsoft Crypto csapat korábbi alkalmazottai fejlesztették ki.
- Megoldás kliens nélkül.
- Egyszerűsített megvalósítás és életciklus-menedzsment.
Építészeti példák
Így a GlobalSign AEG átjárón keresztüli külső PKI-kezelés fokozott biztonságot, költségmegtakarítást és kockázatcsökkentést jelent. További előny a könnyű méretezhetőség és a jobb teljesítmény. A megfelelően kezelt PKI hosszú üzemidőt biztosít, kiküszöböli az érvénytelen tanúsítványok miatti megszakításokat a kritikus műveletekben, és távoli, biztonságos hozzáférést kínál az alkalmazottaknak a vállalati hálózatokhoz.
A GlobalSign globális vezető szerepet tölt be az identitás- és hozzáférés-kezelés felhőalapú és hálózati PKI-megoldásaiban. További termékinformációkért forduljon
Forrás: will.com