Non ci si può fidare degli utenti. Per la maggior parte sono pigri e preferiscono il comfort alla sicurezza. Secondo le statistiche, il 21% scrive su carta le proprie password per account di lavoro, il 50% indica le stesse password per lavoro e servizi personali.

Anche l'ambiente è ostile. Il 74% delle organizzazioni consente di portare i dispositivi personali al lavoro e di collegarli alla rete aziendale. Il 94% degli utenti non riesce a distinguere tra una vera e-mail e una di phishing, l'11% ha cliccato sugli allegati.

Tutti questi problemi sono risolti da un'infrastruttura a chiave pubblica aziendale (PKI), che fornisce crittografia e autenticazione della posta e sostituisce le password con certificati digitali. Questa infrastruttura può essere sollevata su Windows Server. Secondo descrizione da Microsoft, Active Directory Certificate Services (AD CS) è un server che consente di creare un'infrastruttura a chiave pubblica nell'organizzazione e di utilizzare la crittografia a chiave pubblica, i certificati digitali e le firme digitali.

Ma la soluzione di Microsoft è piuttosto costosa.

Costo totale di proprietà per una Microsoft Private CA

Confronto del costo di proprietà tra Microsoft CA e GlobalSign AEG. Fonte

In molte situazioni è più conveniente ed economico creare la stessa autorità di certificazione privata, ma con gestione esterna. Questo è esattamente il problema risolto da GlobalSign Auto Enrollment Gateway (AEG). Diverse linee di spesa sono escluse dal costo totale di proprietà (acquisto di attrezzature, costi di supporto, formazione del personale, ecc.). Il risparmio può superare 50% del costo totale di proprietà.

Cos'è l'AEG

Gateway di registrazione automatica (AEG) è un servizio software che funge da gateway tra i servizi di certificazione SaaS GlobalSign e un ambiente aziendale Windows.

AEG si integra con Active Directory, consentendo alle organizzazioni di automatizzare la registrazione, il provisioning e la gestione dei certificati digitali GlobalSign in un ambiente Windows. Sostituendo le CA interne con i servizi GlobalSign, le aziende aumentano la sicurezza e riducono i costi di gestione di una CA interna Microsoft complessa e costosa.

GlobalSign SaaS Certificate Services è un'opzione più affidabile rispetto ai certificati deboli e non gestiti sulla tua infrastruttura. L'eliminazione della necessità di gestire una CA interna a uso intensivo di risorse riduce il costo totale di proprietà dell'infrastruttura a chiave pubblica, nonché il rischio di guasti del sistema.

Il supporto per i protocolli SCEP e ACME estende il supporto oltre Windows, inclusa l'emissione automatizzata di certificati per server Linux, dispositivi mobili, dispositivi di rete e altri dispositivi, nonché computer Apple OSX registrati in Active Directory.

Maggiore sicurezza

Oltre a risparmiare denaro, la gestione PKI esternalizzata migliora la sicurezza del sistema. Come rileva lo studio di Aberdeen Group, i certificati sono sempre più presi di mira da aggressori che sfruttano con successo vulnerabilità note come certificati autofirmati non attendibili, crittografia debole e complicati meccanismi di revoca. Inoltre, gli aggressori sono riusciti a padroneggiare exploit più sofisticati, come l'emissione fraudolenta di certificati da CA attendibili e la contraffazione di certificati di firma del codice.

"La maggior parte delle aziende non gestisce attivamente i rischi associati a questi attacchi e non è pronta a rispondere rapidamente ai compromessi", ha scritto Derek E. Brink, Vice President e IT Security Fellow presso Aberdeen Group. "Consentendo alle aziende di mettere gli aspetti operativi della gestione dei certificati nelle mani di esperti mantenendo il controllo aziendale sui criteri di gruppo in Active Directory, GlobalSign mira a garantire la crescita futura dell'utilizzo dei certificati affrontando i problemi pratici di sicurezza e affidabilità in modo efficiente e conveniente modello di implementazione efficace."

Come funziona AEG

Un tipico sistema AEG include quattro componenti chiave per garantire che i certificati corretti vengano inviati ai punti di accesso corretti:

1. Software AEG su server Windows.
2. Server Active Directory o controller di dominio che consentono agli amministratori di gestire e archiviare informazioni sulle risorse.
3. Endpoint: utenti, dispositivi, server e workstation, praticamente qualsiasi entità che è un "consumatore" di certificati digitali.
4. Un'autorità di certificazione GlobalSign, o GCC, che si trova in cima a una piattaforma di emissione e gestione di certificati attendibili. Qui è dove vengono generati i certificati.

Tre dei quattro componenti mostrati sono locali presso il client e il quarto è nel cloud.

Innanzitutto, gli endpoint sono preconfigurati utilizzando criteri di gruppo: ad esempio, convalida del certificato per l'autenticazione dell'utente, richiesta S/MIME per il certificato e così via, per la successiva connessione al server AEG. La connessione è sicura tramite HTTPS.

Il server AEG richiede ad Active Directory tramite LDAP un elenco di modelli di certificato per questi endpoint e invia l'elenco ai client insieme alla posizione della CA. Dopo aver ricevuto queste regole, gli endpoint si connettono nuovamente al server AEG, questa volta per richiedere i certificati effettivi. AEG, a sua volta, crea una chiamata API con i parametri specificati e la invia all'autorità di certificazione GlobalSign o GCC per l'elaborazione.

Infine, il back-end GCC elabora le richieste, in genere entro pochi secondi, e invia una risposta API insieme a un certificato che verrà installato sugli endpoint su richiesta.

L'intero processo richiede pochi secondi e può essere completamente automatizzato configurando gli endpoint per ottenere automaticamente i certificati utilizzando i criteri di gruppo.

Caratteristiche uniche di AEG

• Puoi iscriverti tramite la piattaforma MDM.
• Sviluppato da ex dipendenti del team Microsoft Crypto.
• Soluzione senza cliente.
• Implementazione semplificata e gestione del ciclo di vita.

Esempi di architettura

Pertanto, la gestione PKI esterna tramite il gateway GlobalSign AEG significa maggiore sicurezza, risparmio sui costi e riduzione dei rischi. Un altro vantaggio è la facile scalabilità e il miglioramento delle prestazioni. Una PKI correttamente gestita garantisce lunghi tempi di attività, elimina l'interruzione delle operazioni critiche a causa di certificati non validi e offre ai dipendenti un accesso remoto e sicuro alle reti aziendali.

AEG supporta un'ampia gamma di casi d'uso che richiedono l'autenticazione a due fattori, dai client di gruppi di lavoro remoti che accedono alla rete tramite VPN e Wi-Fi, all'accesso privilegiato a risorse altamente sensibili tramite smart card.

GlobalSign è un leader globale nella fornitura di soluzioni PKI cloud e in rete per la gestione di identità e accessi. Per ulteriori informazioni sul prodotto, si prega di contattare nostri dirigenti.

Fonte: habr.com