Pengguna tidak dapat dipercaya. Sebagian besar, mereka malas dan lebih memilih kenyamanan daripada keamanan. Menurut statistik, 21% menuliskan kata sandi mereka untuk akun kerja di atas kertas, 50% menunjukkan kata sandi yang sama untuk pekerjaan dan layanan pribadi.
Lingkungan juga bermusuhan. 74% organisasi mengizinkan perangkat pribadi dibawa ke kantor dan terhubung ke jaringan perusahaan. 94% pengguna tidak dapat membedakan antara email asli dan phishing, 11% mengklik lampiran.
Semua masalah ini diselesaikan dengan infrastruktur kunci publik perusahaan (PKI), yang menyediakan enkripsi dan autentikasi surat, dan mengganti kata sandi dengan sertifikat digital. Infrastruktur ini dapat dimunculkan di Windows Server. Berdasarkan , Layanan Sertifikat Direktori Aktif (AD CS) adalah server yang memungkinkan Anda membuat PKI di organisasi Anda dan menggunakan kriptografi kunci publik, sertifikat digital, dan tanda tangan digital.
Tetapi solusi Microsoft cukup mahal.
Total Biaya Kepemilikan untuk Microsoft Private CA
Perbandingan biaya kepemilikan antara Microsoft CA dan GlobalSign AEG.
Dalam banyak situasi, akan lebih mudah dan lebih murah untuk membuat otoritas sertifikat privat yang sama, tetapi dengan manajemen eksternal. Inilah masalah yang dipecahkan oleh GlobalSign Auto Enrollment Gateway (AEG). Beberapa lini pengeluaran dikecualikan dari total biaya kepemilikan (pembelian peralatan, biaya pendukung, pelatihan staf, dll.). Penghematan bisa melebihi .
Apa itu AEG
(AEG) adalah layanan perangkat lunak yang bertindak sebagai gerbang antara layanan sertifikat SaaS GlobalSign dan lingkungan perusahaan Windows.
AEG terintegrasi dengan Active Directory, memungkinkan organisasi mengotomatiskan pendaftaran, penyediaan, dan pengelolaan sertifikat digital GlobalSign di lingkungan Windows. Dengan mengganti CA internal dengan layanan GlobalSign, perusahaan meningkatkan keamanan dan mengurangi biaya pengelolaan CA Microsoft internal yang kompleks dan mahal.
Layanan Sertifikat SaaS GlobalSign adalah opsi yang lebih andal daripada sertifikat yang lemah dan tidak terkelola pada infrastruktur Anda sendiri. Menghilangkan kebutuhan untuk mengelola CA internal yang intensif sumber daya mengurangi total biaya kepemilikan PKI, serta risiko kegagalan sistem.
Dukungan untuk protokol SCEP dan ACME memperluas dukungan di luar Windows, termasuk penerbitan sertifikat otomatis untuk server Linux, perangkat seluler, perangkat jaringan, dan perangkat lain, serta komputer Apple OSX yang terdaftar di Active Directory.
Keamanan yang ditingkatkan
Selain menghemat uang, manajemen PKI yang dialihdayakan meningkatkan keamanan sistem. Seperti yang dicatat oleh studi Aberdeen Group, sertifikat semakin menjadi sasaran penyerang yang berhasil mengeksploitasi kerentanan yang diketahui seperti sertifikat yang ditandatangani sendiri yang tidak dapat dipercaya, enkripsi yang lemah, dan mekanisme pencabutan yang tidak praktis. Selain itu, penyerang telah menguasai eksploitasi yang lebih canggih, seperti menerbitkan sertifikat secara curang dari CA tepercaya dan memalsukan sertifikat penandatanganan kode.
βSebagian besar perusahaan tidak secara aktif mengelola risiko yang terkait dengan serangan ini dan tidak siap untuk menanggapi timbal balik dengan cepat,β Derek E. Brink, Wakil Presiden dan Anggota Keamanan TI di Aberdeen Group. "Dengan memungkinkan perusahaan untuk menempatkan aspek operasional manajemen sertifikat di tangan para ahli sambil mempertahankan kontrol perusahaan atas kebijakan grup di Active Directory, GlobalSign bertujuan untuk memastikan pertumbuhan penggunaan sertifikat di masa depan dengan menangani masalah keamanan dan kepercayaan praktis dengan biaya yang efisien. -model penerapan yang efektif."
Cara kerja AEG
Sebuah sistem AEG tipikal mencakup empat komponen utama untuk memastikan bahwa sertifikat yang benar dikirim ke titik akses yang benar:
- Perangkat lunak AEG di server Windows.
- Server Direktori Aktif atau pengontrol domain yang memungkinkan administrator mengelola dan menyimpan informasi tentang sumber daya.
- Titik akhir: pengguna, perangkat, server, dan stasiun kerja - hampir semua entitas yang merupakan "konsumen" sertifikat digital.
- Otoritas Sertifikasi GlobalSign, atau GCC, yang berada di atas platform manajemen dan penerbitan sertifikat tepercaya. Di sinilah sertifikat dihasilkan.
Tiga dari empat komponen yang ditampilkan ada di tempat di klien, dan yang keempat ada di cloud.
Pertama, titik akhir telah dikonfigurasi sebelumnya menggunakan kebijakan grup: misalnya, validasi sertifikat untuk autentikasi pengguna, permintaan S/MIME untuk sertifikat, dan sebagainya - untuk koneksi berikutnya ke server AEG. Koneksi aman melalui HTTPS.
Server AEG mengkueri Direktori Aktif melalui LDAP untuk daftar templat sertifikat untuk titik akhir ini dan mengirimkan daftar tersebut ke klien bersama dengan lokasi CA. Setelah menerima aturan ini, titik akhir terhubung ke server AEG lagi, kali ini untuk meminta sertifikat yang sebenarnya. AEG, pada gilirannya, membuat panggilan API dengan parameter yang ditentukan dan mengirimkannya ke Otoritas Sertifikasi GlobalSign atau GCC untuk diproses.
Terakhir, backend GCC memproses permintaan, biasanya dalam beberapa detik, dan mengirimkan respons API bersama dengan sertifikat yang akan diinstal pada titik akhir berdasarkan permintaan.
Seluruh proses memakan waktu beberapa detik dan dapat sepenuhnya otomatis dengan mengonfigurasi titik akhir untuk mendapatkan sertifikat secara otomatis menggunakan kebijakan grup.
Fitur Unik AEG
- Anda dapat mendaftar melalui platform MDM.
- Dikembangkan oleh mantan karyawan dari tim Microsoft Crypto.
- Solusi tanpa klien.
- Implementasi yang disederhanakan dan manajemen siklus hidup.
Contoh arsitektur
Dengan demikian, manajemen PKI eksternal melalui gateway GlobalSign AEG berarti peningkatan keamanan, penghematan biaya, dan pengurangan risiko. Manfaat lainnya adalah skalabilitas yang mudah dan peningkatan kinerja. PKI yang dikelola dengan baik memastikan waktu kerja yang lama, meniadakan gangguan operasi penting karena sertifikat yang tidak valid, dan menawarkan akses jarak jauh yang aman ke jaringan perusahaan kepada karyawan.
mendukung berbagai kasus penggunaan yang memerlukan autentikasi dua faktor, dari klien grup kerja jarak jauh yang mengakses jaringan melalui VPN dan Wi-Fi, hingga akses istimewa ke sumber daya yang sangat sensitif melalui kartu pintar.
GlobalSign adalah pemimpin global dalam menyediakan solusi cloud dan jaringan PKI untuk manajemen identitas dan akses. Untuk informasi produk lebih lanjut, silahkan hubungi .
Sumber: www.habr.com