לא ניתן לסמוך על משתמשים. לרוב, הם עצלנים ובוחרים בנוחות על פני בטיחות. לפי הסטטיסטיקה, 21% רושמים את הסיסמאות שלהם לחשבונות עבודה על הנייר, 50% מציינים את אותן סיסמאות לעבודה ולשירותים אישיים.

גם הסביבה עוינת. 74% מהארגונים מאפשרים להביא מכשירים אישיים לעבודה ולהתחבר לרשת הארגונית. 94% מהמשתמשים לא יכולים להבחין בין אימייל אמיתי לדיוג, 11% לחצו על קבצים מצורפים.

כל הבעיות הללו נפתרות על ידי תשתית מפתח ציבורי ארגוני (PKI), המספקת הצפנת דואר ואימות, ומחליפה סיסמאות בתעודות דיגיטליות. ניתן להעלות תשתית זו ב-Windows Server. לפי תיאור ממיקרוסופט, Active Directory Certificate Services (AD CS) הוא שרת המאפשר לך ליצור PKI בארגון שלך ולהשתמש בהצפנת מפתח ציבורי, אישורים דיגיטליים וחתימות דיגיטליות.

אבל הפתרון של מיקרוסופט די יקר.

עלות בעלות כוללת עבור CA פרטי של Microsoft

השוואת עלות הבעלות בין Microsoft CA לבין GlobalSign AEG. מקור

במצבים רבים נוח וזול יותר ליצור את אותה רשות אישורים פרטית, אך עם ניהול חיצוני. זו בדיוק הבעיה ש-GlobalSign Auto Enrollment Gateway (AEG) פותר. מספר שורות הוצאות אינן נכללות בעלות הכוללת של הבעלות (רכישת ציוד, עלויות תמיכה, הדרכת צוות וכו'). החיסכון יכול לעלות 50% מסך עלות הבעלות.

מה זה AEG

שער הרשמה אוטומטי (AEG) הוא שירות תוכנה הפועל כשער בין שירותי אישור SaaS GlobalSign לבין סביבת ארגונית של Windows.

AEG משתלבת עם Active Directory, ומאפשרת לארגונים להפוך את הרישום, האספקה ​​והניהול של תעודות דיגיטליות של GlobalSign בסביבת Windows לאוטומטי. על ידי החלפת CAs פנימיים בשירותי GlobalSign, ארגונים מגבירים את האבטחה ומפחיתים את העלות של ניהול CA פנימי מורכב ויקר של Microsoft.

GlobalSign SaaS Certificate Services היא אפשרות אמינה יותר מאשר תעודות חלשות ולא מנוהלות על התשתית שלך. ביטול הצורך בניהול CA פנימי עתיר משאבים מפחית את עלות הבעלות הכוללת של PKI, כמו גם את הסיכון לכשלים במערכת.

תמיכה בפרוטוקולי SCEP ו-ACME מרחיבה את התמיכה מעבר ל-Windows, כולל הנפקת אישור אוטומטי עבור שרתי לינוקס, מכשירים ניידים, התקני רשת והתקנים אחרים, כמו גם מחשבי Apple OSX הרשומים ב-Active Directory.

אבטחה משופרת

בנוסף לחיסכון בכסף, ניהול PKI במיקור חוץ משפר את אבטחת המערכת. כפי שמציין המחקר של קבוצת Aberdeen, תעודות ממוקדות יותר ויותר על ידי תוקפים המנצלים בהצלחה פגיעויות ידועות כגון אישורים לא מהימנים בחתימה עצמית, הצפנה חלשה ומנגנוני ביטול מסורבלים. בנוסף, התוקפים שלטו בניצולים מתוחכמים יותר, כגון הנפקת אישורים במרמה מ-CAs מהימנים וזיוף אישורי חתימת קוד.

"רוב הארגונים אינם מנהלים באופן פעיל את הסיכונים הכרוכים בהתקפות אלו ואינם מוכנים להגיב במהירות לפשרות", написал דרק א. ברינק, סגן נשיא ועמית אבטחת IT בקבוצת אברדין. "על ידי מתן אפשרות לארגונים להציב את ההיבטים התפעוליים של ניהול תעודות בידי מומחים תוך שמירה על שליטה ארגונית על מדיניות קבוצתית ב-Active Directory, GlobalSign שואפת להבטיח את הצמיחה העתידית של השימוש בתעודות על ידי טיפול בבעיות אבטחה ואמון מעשיות ביעילות ובעלות -מודל פריסה יעיל."

איך AEG עובד

מערכת טיפוסית עם AEG כוללת ארבעה מרכיבי מפתח כדי להבטיח שהאישורים הנכונים נשלחים לנקודות הגישה הנכונות:

1. תוכנת AEG בשרת Windows.
2. שרתי Active Directory או בקרי תחום המאפשרים למנהלי מערכת לנהל ולאחסן מידע על משאבים.
3. נקודות קצה: משתמשים, מכשירים, שרתים ותחנות עבודה - למעשה כל ישות שהיא "צרכן" של תעודות דיגיטליות.
4. רשות אישורים של GlobalSign, או GCC, היושבת על גבי פלטפורמת הנפקת וניהול תעודות מהימנות. כאן נוצרות אישורים.

שלושה מתוך ארבעת הרכיבים המוצגים נמצאים באתר הלקוח, והרביעי נמצא בענן.

ראשית, נקודות הקצה מוגדרות מראש באמצעות מדיניות קבוצתית: למשל, אימות תעודה לאימות משתמש, בקשת S/MIME עבור התעודה וכן הלאה - לחיבור לאחר מכן לשרת AEG. החיבור מאובטח באמצעות HTTPS.

שרת AEG שואל את Active Directory דרך LDAP עבור רשימה של תבניות אישורים עבור נקודות קצה אלה ושולח את הרשימה ללקוחות יחד עם מיקום ה-CA. לאחר קבלת כללים אלה, נקודות הקצה מתחברות שוב לשרת AEG, הפעם כדי לבקש את האישורים בפועל. AEG, בתורה, יוצרת קריאת API עם הפרמטרים שצוינו ושולחת אותה ל-GlobalSign Certification Authority או ל-GCC לעיבוד.

לבסוף, הקצה האחורי של GCC מעבד את הבקשות, בדרך כלל תוך מספר שניות, ושולח תגובת API יחד עם אישור שיותקן בנקודות הקצה לפי בקשה.

התהליך כולו אורך מספר שניות וניתן לבצע אוטומציה מלאה על ידי הגדרת נקודות קצה לקבלת אישורים אוטומטית באמצעות מדיניות קבוצתית.

תכונות ייחודיות של AEG

• אתה יכול להירשם דרך פלטפורמת MDM.
• פותח על ידי עובדים לשעבר מצוות Microsoft Crypto.
• פתרון ללא לקוח.
• הטמעה פשוטה וניהול מחזור חיים.

דוגמאות אדריכלות

לפיכך, ניהול PKI חיצוני באמצעות שער GlobalSign AEG פירושו אבטחה מוגברת, חיסכון בעלויות והפחתת סיכונים. יתרון נוסף הוא מדרגיות קלה וביצועים משופרים. PKI מנוהל כהלכה מבטיח זמן פעולה ארוך, מבטל הפרעות לפעולות קריטיות עקב אישורים לא חוקיים, ומציע לעובדים גישה מרחוק ומאובטחת לרשתות החברה.

AEG תומך במגוון רחב של מקרי שימוש הדורשים אימות דו-גורמי, החל מלקוחות קבוצת עבודה מרוחקים הניגשים לרשת באמצעות VPN ו-Wi-Fi, ועד לגישה מועדפת למשאבים רגישים ביותר באמצעות כרטיסים חכמים.

GlobalSign היא מובילה עולמית באספקת פתרונות PKI בענן ורשתות לניהול זהויות וגישה. למידע נוסף על המוצר, אנא צור קשר המנהלים שלנו.

מקור: www.habr.com