ユーザーは信頼できません。 ほとんどの場合、彼らは怠け者で、安全ではなく快適さを選択します。 統計によると、21% が仕事用アカウントのパスワードを紙に書き留めており、50% が仕事用サービスと個人用サービスで同じパスワードを使用しています。

環境も過酷です。 組織の 74% は、個人のデバイスを職場に持ち込んで企業ネットワークに接続することを許可しています。 ユーザーの 94% は本物のメールとフィッシングメールを区別できず、11% は添付ファイルをクリックしました。

これらの問題はすべて、メールの暗号化と認証を提供し、パスワードをデジタル証明書に置き換える企業公開キー基盤 (PKI) によって解決されます。 このインフラストラクチャは Windows Server 上で構築できます。 によると マイクロソフトからの説明Active Directory 証明書サービス (AD CS) は、組織内で PKI を作成し、公開キー暗号化、デジタル証明書、およびデジタル署名を使用できるようにするサーバーです。

しかし、Microsoft のソリューションは非常に高価です。

Microsoft のプライベート認証局の総所有コスト

Microsoft CA と GlobalSign AEG の所有コストの比較。 ソース

多くの場合、同じプライベート認証局を作成し、外部管理を使用する方が便利で安価です。 GlobalSign 自動登録ゲートウェイ (AEG) は、まさにこの問題を解決します。 いくつかのコスト項目は総所有コストから除外されます (機器の購入、サポートコスト、人材トレーニングなど)。 節約できる金額は超過する可能性があります 総所有コストの 50%.

電動ガンとは

自動登録ゲートウェイ (AEG) は、GlobalSign の SaaS 証明書サービスと Windows エンタープライズ環境の間のゲートウェイとして機能するソフトウェア サービスです。

AEG は Active Directory と統合されており、組織は Windows 環境での GlobalSign デジタル証明書の登録、プロビジョニング、管理を自動化できます。 内部 CA を GlobalSign サービスに置き換えることで、企業はセキュリティを強化し、複雑で高価な内部 Microsoft CA の管理コストを削減します。

GlobalSign SaaS 証明書サービスは、独自のインフラストラクチャ上で脆弱で管理されていない証明書よりも安全なオプションです。 リソースを大量に消費する内部 CA を管理する必要がなくなることで、PKI の総所有コストとシステム障害のリスクが削減されます。

SCEP および ACME プロトコルのサポートにより、Linux サーバー、モバイル、ネットワーク、その他のデバイス、および Active Directory に登録された Apple OSX コンピューターに対する証明書の自動発行など、サポートが Windows 以外にも拡張されます。

強化されたセキュリティ

予算の節約に加えて、外部 PKI 管理によりシステムのセキュリティが向上します。 Aberdeen Group の調査で指摘されているように、証明書は攻撃者の標的となることが増えており、脆弱な自己署名証明書、弱い暗号化、面倒な失効メカニズムなどの既知の脆弱性を悪用することに成功しています。 さらに、攻撃者は、信頼できる CA から証明書を不正に発行したり、コード署名証明書を偽造したりするなど、より高度なエクスプロイトを習得しています。

「ほとんどの企業は、これらの攻撃に関連するリスクの管理に十分に積極的ではなく、トレードオフに迅速に対応する準備ができていません。」 написал Derek E. Brink は、Aberdeen Group の副社長兼 IT セキュリティフェローです。 「GlobalSign は、企業が Active Directory 内のグループ ポリシーに対する企業制御を維持しながら、証明書管理の運用面を専門家の手に委ねることができるようにすることで、効率的かつコストの高い方法で実際のセキュリティと信頼の問題に対処し、証明書の使用量を将来的に拡大できるようにすることを目指しています。」効果的な展開モデル。」

AEGはどのように機能しますか?

一般的な AEG システムには、正しい証明書が正しいアクセス ポイントに確実に渡されるようにするための XNUMX つの主要なコンポーネントが含まれています。

1. Windowsサーバー上のAEGソフトウェア。
2. 管理者がリソースに関する情報を管理および保存できるようにする Active Directory サーバーまたはドメイン コントローラー。
3. エンドポイント: ユーザー、デバイス、サーバー、ワークステーションなど、デジタル証明書の「消費者」である事実上すべてのエンティティ。
4. GlobalSign 認証局 (GCC)。信頼できる証明書の発行および管理プラットフォームの上にあります。 ここで証明書が生成されます。

示されている XNUMX つのコンポーネントのうち XNUMX つは顧客のオンプレミスにあり、XNUMX つ目はクラウドにあります。

まず、エンドポイントはグループ ポリシーを使用して事前設定されます。たとえば、ユーザー認証のための証明書検証、証明書に対する S/MIME リクエストなど、その後の AEG サーバーへの接続に使用されます。 接続は HTTPS 経由で安全です。

AEG サーバーは、LDAP 経由で Active Directory にクエリを実行して、これらのエンドポイントの証明書テンプレートのリストを取得し、そのリストを認証局の場所とともにクライアントに送信します。 これらのルールを受信した後、エンドポイントは再び AEG サーバーに接続し、今度は実際の証明書を要求します。 次に、AEG は、指定されたパラメーターを使用して API 呼び出しを作成し、それを処理のために GlobalSign 認証局または GCC に送信します。

最後に、GCC バックエンドは通常は数秒以内にリクエストを処理し、リクエストに応じてエンドポイントにインストールされる証明書とともに応答を API に送信します。

プロセス全体には数秒かかりますが、グループ ポリシーを使用して証明書を自動的に取得するようにエンドポイントを構成することで完全に自動化できます。

ユニークな電動ガン機能

• MDM プラットフォームを通じて登録できます。
• Microsoft Crypto チームの元従業員によって開発されました。
• クライアントレスのソリューション。
• 実装とライフサイクル管理の簡素化。

アーキテクチャの例

したがって、GlobalSign AEG ゲートウェイを介した外部 PKI 管理は、セキュリティの向上、コストの削減、リスクの軽減を意味します。 もう XNUMX つの利点は、拡張が容易でパフォーマンスが向上することです。 適切な PKI 管理により、長い稼働時間が確保され、無効な証明書によるミッションクリティカルな業務の中断がなくなり、従業員が企業ネットワークにリモートで安全にアクセスできるようになります。

AEG VPN や Wi-Fi 経由でネットワークにアクセスするリモート ワークグループ クライアントから、スマート カード経由の機密性の高いリソースへの特権アクセスまで、XNUMX 要素認証を必要とする幅広いユースケースをサポートします。

GlobalSign は、クラウドおよびネットワーク PKI ID およびアクセス管理ソリューションを提供する世界的リーダーです。 製品に関する詳しい情報については、お問い合わせください。 私たちのマネージャー.

出所： habr.com