Пайдаланушыларға сенуге болмайды. Көбінесе олар жалқау және қауіпсіздіктің орнына жайлылықты таңдайды. Статистикаға сәйкес, 21% жұмыс шоттары үшін парольдерді қағазға жазады, 50% жұмыс және жеке қызметтер үшін бірдей құпия сөздерді көрсетеді.

Қоршаған орта да жау. Ұйымдардың 74%-ы жеке құрылғыларды жұмысқа әкелуге және корпоративтік желіге қосуға мүмкіндік береді. Пайдаланушылардың 94%-ы нақты электрондық поштаны фишингтен ажырата алмайды, 11%-ы тіркемелерді басады.

Бұл мәселелердің барлығы поштаның шифрлануын және аутентификациясын қамтамасыз ететін, құпия сөздерді цифрлық сертификаттармен алмастыратын корпоративтік ашық кілттер инфрақұрылымы (PKI) арқылы шешіледі. Бұл инфрақұрылымды Windows серверінде көтеруге болады. Сәйкес Microsoft корпорациясының сипаттамасыActive Directory Certificate Services (AD CS) — ұйымыңызда PKI құруға және ашық кілт криптографиясын, сандық сертификаттарды және цифрлық қолтаңбаларды пайдалануға мүмкіндік беретін сервер.

Бірақ Microsoft шешімі өте қымбат.

Microsoft корпорациясының жеке куәлік орталығына иелік етудің жалпы құны

Microsoft CA және GlobalSign AEG иелену құнын салыстыру. Көзі

Көптеген жағдайларда бірдей жеке сертификаттау орталығын құру ыңғайлы және арзанырақ, бірақ сыртқы басқарумен. GlobalSign Auto Enrollment Gateway (AEG) дәл осы мәселені шешеді. Меншіктің жалпы құнынан (жабдықты сатып алу, қолдау шығындары, персоналды оқыту және т.б.) бірнеше шығындар сызығы алынып тасталады. Үнемдеу асып кетуі мүмкін Меншіктің жалпы құнының 50%.

AEG дегеніміз не

Автоматты тіркеу шлюзі (AEG) — GlobalSign компаниясының SaaS сертификат қызметтері мен Windows кәсіпорын ортасы арасындағы шлюз ретінде әрекет ететін бағдарламалық құрал қызметі.

AEG Active Directory қызметімен біріктіріліп, ұйымдарға Windows ортасында GlobalSign сандық сертификаттарын тіркеуді, қамтамасыз етуді және басқаруды автоматтандыруға мүмкіндік береді. Ішкі CA-ларды GlobalSign қызметтерімен ауыстыру арқылы кәсіпорындар қауіпсіздікті арттырады және күрделі және қымбат ішкі Microsoft CA басқару құнын төмендетеді.

GlobalSign SaaS сертификат қызметтері жеке инфрақұрылымыңыздағы әлсіз және басқарылмайтын сертификаттарға қарағанда қауіпсізрек опция болып табылады. Ресурсты көп қажет ететін ішкі CA басқару қажеттілігін жою PKI иеленудің жалпы құнын, сондай-ақ жүйе ақауларының қаупін азайтады.

SCEP және ACME протоколдарын қолдау Linux серверлері, ұялы телефондары, желілік және басқа құрылғылары, сондай-ақ Active Directory каталогында тіркелген Apple OSX компьютерлері үшін автоматтандырылған сертификатты шығаруды қоса алғанда, Windows жүйесінен тыс қолдауды кеңейтеді.

Жақсартылған қауіпсіздік

Бюджетті үнемдеумен қатар, сыртқы PKI басқару жүйе қауіпсіздігін жақсартады. Aberdeen Group зерттеуінде атап өтілгендей, сертификаттар әлсіз өздігінен қол қойылған сертификаттар, әлсіз шифрлау және күрделі кері қайтарып алу механизмдері сияқты белгілі осалдықтарды сәтті пайдаланатын шабуылдаушыларға көбірек бағытталған. Бұған қоса, шабуылдаушылар сенімді CA сертификаттарын алаяқтық жолмен шығару және кодқа қол қою сертификаттарын жасау сияқты күрделірек эксплуаттарды игерді.

«Кәсіпорындардың көпшілігі осы шабуылдарға байланысты тәуекелдерді басқаруда жеткілікті белсенді емес және айырбастарға тез жауап беруге дайын емес», жазды Дерек Э. Бринк Aberdeen Group компаниясының вице-президенті және IT қауіпсіздік жөніндегі қызметкері. «Кәсіпорындарға Active Directory топтық саясаттарына корпоративтік бақылауды сақтай отырып, сертификаттарды басқарудың операциялық аспектілерін сарапшылардың қолына беруге мүмкіндік бере отырып, GlobalSign практикалық қауіпсіздік пен сенім мәселелерін тиімді, шығынсыз шешу арқылы сертификатты пайдаланудың болашақта өсуіне мүмкіндік беруді мақсат етеді. тиімді орналастыру моделі».

AEG қалай жұмыс істейді?

Әдеттегі AEG жүйесі дұрыс сертификаттардың дұрыс кіру нүктелеріне берілуін қамтамасыз ету үшін төрт негізгі компонентті қамтиды:

1. Windows серверіндегі AEG бағдарламалық құралы.
2. Әкімшілерге ресурстар туралы ақпаратты басқаруға және сақтауға мүмкіндік беретін Active Directory серверлері немесе домен контроллері.
3. Соңғы нүктелер: пайдаланушылар, құрылғылар, серверлер және жұмыс станциялары — сандық сертификаттарды «тұтынушы» болып табылатын іс жүзінде кез келген нысан.
4. Сенімді сертификатты шығару және басқару платформасының жоғарғы жағында орналасқан GlobalSign сертификаттар орталығы немесе GCC. Бұл жерде сертификаттар жасалады.

Көрсетілген төрт құрамдастың үшеуі тұтынушыда жергілікті, ал төртіншісі бұлтта.

Біріншіден, соңғы нүктелер топтық саясаттарды қолдану арқылы алдын ала конфигурацияланады: мысалы, пайдаланушы аутентификациясы үшін сертификатты тексеру, сертификатқа арналған S/MIME сұрауы және т.б., кейіннен AEG серверіне қосылу үшін. Қосылым HTTPS арқылы қауіпсіз.

AEG сервері осы соңғы нүктелер үшін сертификат үлгілерінің тізімін алу үшін LDAP арқылы Active Directory сұрайды және тізімді сертификаттау органының орналасқан жерімен бірге клиенттерге жібереді. Осы ережелерді алғаннан кейін соңғы нүктелер AEG серверіне қайта қосылады, бұл жолы нақты сертификаттарды сұрау үшін. AEG өз кезегінде көрсетілген параметрлермен API шақыруын жасайды және оны GlobalSign сертификаттау орталығына немесе GCC өңдеуге жібереді.

Соңында, GCC сервері сұрауларды әдетте бірнеше секунд ішінде өңдейді және сұрау бойынша соңғы нүктелерде орнатылатын сертификатпен бірге API-ге жауапты жібереді.

Бүкіл процесс бірнеше секундқа созылады және топтық саясаттарды пайдаланып сертификаттарды автоматты түрде алу үшін соңғы нүктелерді конфигурациялау арқылы толығымен автоматтандырылуы мүмкін.

Бірегей AEG мүмкіндіктері

• MDM платформасы арқылы тіркелуге болады.
• Microsoft Crypto командасының бұрынғы қызметкерлері әзірлеген.
• Клиентсіз шешім.
• Жеңілдетілген енгізу және өмірлік циклді басқару.

Архитектураның мысалдары

Осылайша, GlobalSign AEG шлюзі арқылы сыртқы PKI басқару қауіпсіздікті арттыруды, шығындарды үнемдеуді және тәуекелді азайтуды білдіреді. Тағы бір артықшылығы - жеңіл масштабтау және өнімділікті арттыру. PKI-ді дұрыс басқару ұзақ жұмыс уақытын қамтамасыз етеді, жарамсыз сертификаттарға байланысты маңызды жұмыстардың үзілуін болдырмайды және қызметкерлерге компания желілеріне қашықтан, қауіпсіз қол жеткізуді ұсынады.

AEG Екі факторлы аутентификацияны қажет ететін пайдалану жағдайларының кең ауқымын қолдайды: VPN және Wi-Fi арқылы желіге қатынайтын қашықтағы жұмыс тобының клиенттерінен бастап смарт карталар арқылы жоғары сезімтал ресурстарға артықшылықты қол жеткізуге дейін.

GlobalSign - бұлттық және желілік PKI сәйкестендіру және қол жеткізуді басқару шешімдерін ұсынуда әлемдік көшбасшы. Өнімдер туралы толық ақпарат алу үшін хабарласыңыз біздің менеджерлер.

Ақпарат көзі: www.habr.com