Колдонуучуларга ишенүүгө болбойт. Көпчүлүк учурда алар жалкоо жана коопсуздуктун ордуна комфортту тандашат. Статистикалык маалыматтарга ылайык, 21% жумуш эсептеринин сырсөздөрүн кагазга жазышат, 50%ы жумуш жана жеке кызматтар үчүн бирдей сырсөздөрдү көрсөтүшөт.
Айлана-чөйрө да душман. Уюмдардын 74% жеке түзмөктөрдү жумушка алып келүүгө жана корпоративдик тармакка туташтырууга уруксат берет. Колдонуучулардын 94% чыныгы электрондук почтаны фишингден айырмалай албайт, 11% тиркемелерди басышкан.
Бул көйгөйлөрдүн баары почтанын шифрлөөсүн жана аутентификациясын камсыз кылган жана сырсөздөрдү санариптик сертификаттарга алмаштырган корпоративдик ачык ачкыч инфраструктурасы (PKI) аркылуу чечилет. Бул инфраструктураны Windows серверинде көтөрсө болот. Ылайык
Бирок Microsoftтун чечими абдан кымбат.
Майкрософттун жеке тастыктама органы үчүн ээлик кылуунун жалпы баасы
Microsoft CA жана GlobalSign AEG ээлик кылуу наркын салыштыруу.
Көптөгөн жагдайларда ошол эле жеке сертификаттоо борборун түзүү ыңгайлуу жана арзан, бирок тышкы башкаруу менен. GlobalSign Auto Enrollment Gateway (AEG) дал ушул маселени чечет. Менчиктин жалпы наркынан бир нече чыгаша линиялары (жабдууларды сатып алуу, колдоо көрсөтүү чыгымдары, персоналды окутуу ж.б.у.с.) алынып салынат. Сактоо ашып кетиши мүмкүн
AEG деген эмне
AEG Active Directory менен интеграцияланып, уюмдарга Windows чөйрөсүндө GlobalSign санарип сертификаттарын каттоону, камсыздоону жана башкарууну автоматташтырууга мүмкүндүк берет. Ички CAларды GlobalSign кызматтары менен алмаштыруу менен ишканалар коопсуздукту жогорулатат жана татаал жана кымбат ички Microsoft CAны башкаруунун баасын азайтат.
GlobalSign SaaS күбөлүк кызматтары сиздин жеке инфраструктураңыздагы алсыз жана башкарылбаган сертификаттарга караганда коопсуз вариант. Ресурстарды көп талап кылган ички САны башкаруу зарылдыгын жоюу PKIга ээлик кылуунун жалпы наркын, ошондой эле системанын бузулуу коркунучун азайтат.
SCEP жана ACME протоколдорун колдоо Linux серверлери, мобилдик, тармактык жана башка түзмөктөр, ошондой эле Active Directoryде катталган Apple OSX компьютерлери үчүн автоматташтырылган сертификаттарды чыгарууну кошо алганда, Windows'тун чегинен тышкары колдоону кеңейтет.
Күчөтүлгөн коопсуздук
Бюджетти үнөмдөөдөн тышкары, тышкы PKI башкаруу тутумдун коопсуздугун жакшыртат. Aberdeen Group изилдөөсүндө белгиленгендей, сертификаттар барган сайын чабуулчулар тарабынан бутага алынууда, алар алсыз өз алдынча кол коюлган сертификаттар, алсыз шифрлөө жана ыңгайсыз жокко чыгаруу механизмдери сыяктуу белгилүү кемчиликтерди ийгиликтүү пайдаланышат. Мындан тышкары, чабуулчулар алдамчылык жол менен ишенимдүү CAдан сертификаттарды берүү жана кодго кол коюу сертификаттарын жасоо сыяктуу татаалыраак эксплуатацияларды өздөштүрүп алышкан.
"Көпчүлүк ишканалар бул чабуулдар менен байланышкан тобокелдиктерди башкарууда жетиштүү активдүү эмес жана соодалашууга тез жооп берүүгө даяр эмес"
AEG кантип иштейт?
Кадимки AEG системасы туура сертификаттардын туура кирүү чекиттерине берилишин камсыз кылуу үчүн төрт негизги компонентти камтыйт:
- Windows сервериндеги AEG программасы.
- Администраторлорго ресурстар жөнүндө маалыматты башкарууга жана сактоого мүмкүндүк берген Active Directory серверлери же домен контроллерлору.
- Соңку чекиттер: колдонуучулар, түзмөктөр, серверлер жана жумушчу станциялар — санариптик сертификаттардын “керектөөчүсү” болгон дээрлик бардык объектилер.
- Ишенимдүү сертификат берүү жана башкаруу платформасынын үстүндө турган GlobalSign күбөлүк органы же GCC. Бул жерде сертификаттар түзүлөт.
Көрсөтүлгөн төрт компоненттин үчөө кардардын жеринде, төртүнчүсү булуттун ичинде.
Биринчиден, акыркы чекиттер топтук саясаттарды колдонуу менен алдын ала конфигурацияланат: мисалы, колдонуучунун аутентификациясы үчүн сертификатты текшерүү, сертификатка S/MIME суроо-талап жана AEG серверине кийинки туташуу үчүн. Туташуу HTTPS аркылуу коопсуз.
AEG сервери бул акыркы чекиттер үчүн сертификат үлгүлөрүнүн тизмесин алуу үчүн LDAP аркылуу Active Directoryден сурайт жана тизмени сертификат органынын жайгашкан жери менен бирге кардарларга жөнөтөт. Бул эрежелерди алгандан кийин, акыркы чекиттер AEG серверине кайрадан туташып, бул жолу чыныгы сертификаттарды талап кылышат. AEG өз кезегинде көрсөтүлгөн параметрлер менен API чалуу жаратат жана аны GlobalSign тастыктама органына же GCC иштетүү үчүн жөнөтөт.
Акырында, GCC сервери сурамдарды, адатта, бир нече секунданын ичинде иштеп чыгат жана сурам боюнча акыркы чекиттерге орнотула турган сертификат менен бирге API'ге жооп жөнөтөт.
Бүт процесс бир нече секундду талап кылат жана топтук саясаттарды колдонуу менен сертификаттарды автоматтык түрдө алуу үчүн акыркы чекиттерди конфигурациялоо менен толук автоматташтырылышы мүмкүн.
Уникалдуу AEG өзгөчөлүктөрү
- MDM платформасы аркылуу катталсаңыз болот.
- Microsoft Crypto командасынын мурдагы кызматкерлери тарабынан иштелип чыккан.
- Кардарсыз чечим.
- Жөнөкөйлөтүлгөн ишке ашыруу жана жашоо циклин башкаруу.
Архитектуранын мисалдары
Ошентип, GlobalSign AEG шлюзи аркылуу тышкы PKI башкаруу коопсуздукту, чыгымдарды үнөмдөөнү жана тобокелдикти азайтууну билдирет. Дагы бир артыкчылыгы - жеңил масштабдалуу жана өндүрүмдүүлүктү жогорулатуу. Туура PKI башкаруу узак иштөө убактысын камсыз кылат, жараксыз сертификаттардан улам маанилүү операциялардын үзгүлтүккө учурашын жок кылат жана кызматкерлерге компаниянын тармактарына алыстан, коопсуз кирүү мүмкүнчүлүгүн сунуш кылат.
GlobalSign булут жана тармак PKI инсандыгын жана кирүү башкаруу чечимдерин камсыз кылуу боюнча дүйнөлүк лидер болуп саналат. Продукциялар жөнүндө көбүрөөк маалымат алуу үчүн, кайрылыңыз
Source: www.habr.com