Օգտատերերին չի կարելի վստահել: Մեծ մասամբ նրանք ծույլ են և ընտրում են հարմարավետությունը, քան անվտանգությունը: Վիճակագրության համաձայն՝ 21%-ը աշխատանքային հաշիվների գաղտնաբառերը գրում է թղթի վրա, 50%-ը՝ աշխատանքի և անձնական ծառայությունների նույն գաղտնաբառերը:
Շրջակա միջավայրը նույնպես թշնամական է. Կազմակերպությունների 74%-ը թույլ է տալիս անձնական սարքերը բերել աշխատանքի և միացնել կորպորատիվ ցանցին։ Օգտատերերի 94%-ը չի կարողանում տարբերակել իրական էլ.փոստը ֆիշինգից, 11%-ը սեղմել է հավելվածների վրա:
Այս բոլոր խնդիրները լուծվում են կորպորատիվ հանրային բանալին ենթակառուցվածքի (PKI) միջոցով, որն ապահովում է փոստի կոդավորումը և նույնականացումը և գաղտնաբառերը փոխարինում է թվային վկայականներով: Այս ենթակառուցվածքը կարող է բարձրացվել Windows Server-ում: Համաձայն , Active Directory Certificate Services-ը (AD CS) սերվեր է, որը թույլ է տալիս ստեղծել PKI ձեր կազմակերպությունում և օգտագործել հանրային բանալիների կրիպտոգրաֆիա, թվային վկայագրեր և թվային ստորագրություններ:
Սակայն Microsoft-ի լուծումը բավականին թանկ արժե։
Microsoft-ի մասնավոր CA-ի սեփականության ընդհանուր արժեքը
Սեփականության արժեքի համեմատություն Microsoft CA-ի և GlobalSign AEG-ի միջև:
Շատ իրավիճակներում ավելի հարմար և էժան է ստեղծել նույն մասնավոր սերտիֆիկատի մարմինը, բայց արտաքին կառավարմամբ: Սա հենց այն խնդիրն է, որը լուծում է GlobalSign Auto Enrollment Gateway (AEG): Ծախսերի մի քանի տողեր բացառվում են սեփականության ընդհանուր արժեքից (սարքավորումների գնում, աջակցության ծախսեր, անձնակազմի վերապատրաստում և այլն): Խնայողությունները կարող են գերազանցել .
Ինչ է AEG-ը
(AEG) ծրագրային ծառայություն է, որը գործում է որպես դարպաս SaaS GlobalSign վկայագրի ծառայությունների և Windows ձեռնարկության միջավայրի միջև:
AEG-ը ինտեգրվում է Active Directory-ին՝ թույլ տալով կազմակերպություններին ավտոմատացնել GlobalSign թվային վկայագրերի գրանցումը, տրամադրումը և կառավարումը Windows միջավայրում: Ներքին CA-ները GlobalSign ծառայություններով փոխարինելով՝ ձեռնարկությունները մեծացնում են անվտանգությունը և նվազեցնում բարդ և թանկ ներքին Microsoft CA-ի կառավարման ծախսերը:
GlobalSign SaaS Certificate Services-ը ավելի հուսալի տարբերակ է, քան ձեր սեփական ենթակառուցվածքի թույլ և չկառավարվող վկայագրերը: Ռեսուրսներ պահանջող ներքին CA-ի կառավարման անհրաժեշտության վերացումը նվազեցնում է PKI-ի սեփականության ընդհանուր արժեքը, ինչպես նաև համակարգի խափանումների ռիսկը:
SCEP և ACME արձանագրությունների աջակցությունը տարածվում է Windows-ից դուրս՝ ներառյալ Linux սերվերների, շարժական սարքերի, ցանցային սարքերի և այլ սարքերի, ինչպես նաև Active Directory-ում գրանցված Apple OSX համակարգիչների ավտոմատացված վկայականի տրամադրումը:
Բարձրացված անվտանգություն
Փող խնայելուց բացի, PKI-ի կառավարումը բարելավում է համակարգի անվտանգությունը: Ինչպես նշում է Aberdeen Group-ի ուսումնասիրությունը, վկայագրերն ավելի ու ավելի են թիրախավորվում հարձակվողների կողմից, ովքեր հաջողությամբ օգտագործում են հայտնի խոցելիությունները, ինչպիսիք են անվստահելի ինքնստորագրված վկայագրերը, թույլ գաղտնագրումը և չեղյալ համարելու ծանր մեխանիզմները: Բացի այդ, հարձակվողները յուրացրել են ավելի բարդ շահագործումներ, ինչպիսիք են վստահելի CA-ներից վկայագրերի խարդախության տրամադրումը և ծածկագրի ստորագրման վկայագրերի կեղծումը:
«Ձեռնարկությունների մեծ մասը ակտիվորեն չի կառավարում այդ հարձակումների հետ կապված ռիսկերը և պատրաստ չեն արագ արձագանքել փոխզիջումներին»: Derek E. Brink, փոխնախագահ և ՏՏ անվտանգության աշխատակից Aberdeen Group-ում: «Ձեռնարկություններին թույլ տալով սերտիֆիկատների կառավարման գործառնական ասպեկտները դնել փորձագետների ձեռքում՝ միաժամանակ պահպանելով կորպորատիվ հսկողությունը Active Directory-ում խմբի քաղաքականության վրա, GlobalSign-ը նպատակ ունի ապահովել սերտիֆիկատների օգտագործման հետագա աճը՝ լուծելով գործնական անվտանգության և վստահության խնդիրները արդյունավետ և ծախսատար: - արդյունավետ տեղակայման մոդել»:
Ինչպես է աշխատում AEG-ը
AEG-ով բնորոշ համակարգը ներառում է չորս հիմնական բաղադրիչ՝ ապահովելու համար, որ ճիշտ վկայականներն ուղարկվեն ճիշտ մուտքի կետեր.
- AEG ծրագրակազմ Windows սերվերի վրա:
- Active Directory սերվերներ կամ տիրույթի կարգավորիչներ, որոնք թույլ են տալիս ադմինիստրատորներին կառավարել և պահպանել ռեսուրսների մասին տեղեկատվությունը:
- Վերջնակետեր. օգտատերեր, սարքեր, սերվերներ և աշխատանքային կայաններ՝ գրեթե ցանկացած կազմակերպություն, որը թվային վկայականների «սպառող» է:
- GlobalSign սերտիֆիկացման մարմին կամ GCC, որը գտնվում է վստահելի վկայագրի տրամադրման և կառավարման հարթակի վերևում: Այստեղ են գեներացվում վկայագրերը:
Ցուցադրված չորս բաղադրիչներից երեքը հաճախորդի ներսում են, իսկ չորրորդը՝ ամպի մեջ:
Նախ, վերջնակետերը նախապես կազմաձևված են՝ օգտագործելով խմբային քաղաքականությունը. օրինակ՝ վկայագրի վավերացում՝ օգտատիրոջ իսկորոշման համար, S/MIME հարցում վկայականի համար և այլն՝ AEG սերվերին հետագա միացման համար: Կապն ապահով է HTTPS-ի միջոցով:
AEG սերվերը LDAP-ի միջոցով հարցում է անում Active Directory-ին այս վերջնակետերի համար վկայականների ձևանմուշների ցանկի համար և ցուցակն ուղարկում է հաճախորդներին CA-ի գտնվելու վայրի հետ միասին: Այս կանոնները ստանալուց հետո վերջնակետերը կրկին միանում են AEG սերվերին, այս անգամ փաստացի վկայականները պահանջելու համար: AEG-ն, իր հերթին, ստեղծում է API զանգ՝ նշված պարամետրերով և ուղարկում այն GlobalSign Certification Authority կամ GCC՝ մշակման համար։
Վերջապես, GCC-ի հետին վերջը մշակում է հարցումները, սովորաբար մի քանի վայրկյանի ընթացքում, և ուղարկում է API-ի պատասխան՝ վկայականի հետ միասին, որը կտեղադրվի վերջնակետերում ըստ պահանջի:
Ամբողջ գործընթացը տևում է մի քանի վայրկյան և կարող է ամբողջությամբ ավտոմատացվել՝ վերջնակետերը կարգավորելով՝ խմբային քաղաքականության միջոցով ավտոմատ կերպով վկայագրեր ստանալու համար:
AEG-ի եզակի հատկություններ
- Դուք կարող եք գրանցվել MDM հարթակի միջոցով:
- Մշակված է Microsoft Crypto թիմի նախկին աշխատակիցների կողմից:
- Լուծում առանց հաճախորդի.
- Պարզեցված իրականացում և կյանքի ցիկլի կառավարում:
Ճարտարապետության օրինակներ
Այսպիսով, արտաքին PKI կառավարումը GlobalSign AEG gateway-ի միջոցով նշանակում է անվտանգության բարձրացում, ծախսերի խնայողություն և ռիսկերի նվազեցում: Մեկ այլ առավելություն է հեշտ մասշտաբայնությունը և բարելավված կատարումը: Պատշաճ կերպով կառավարվող PKI-ն ապահովում է երկար գործառնական ժամանակ, վերացնում է անվավեր վկայագրերի պատճառով կարևորագույն գործառնությունների խափանումները և աշխատակիցներին առաջարկում է հեռակա, անվտանգ մուտք դեպի ընկերության ցանցեր:
աջակցում է օգտագործման դեպքերի լայն շրջանակ, որոնք պահանջում են երկգործոն նույնականացում՝ սկսած հեռավոր աշխատանքային խմբի հաճախորդներից, որոնք մուտք են գործում ցանց VPN-ի և Wi-Fi-ի միջոցով, մինչև խելացի քարտերի միջոցով բարձր զգայուն ռեսուրսների արտոնյալ մուտք:
GlobalSign-ը գլոբալ առաջատար է ինքնության և մուտքի կառավարման համար ամպային և ցանցային PKI լուծումներ տրամադրելու հարցում: Ապրանքի մասին լրացուցիչ տեղեկությունների համար դիմեք .
Source: www.habr.com