Vartotojais pasitikėti negalima. Dažniausiai jie yra tinginiai ir renkasi komfortą, o ne saugumą. Pagal statistiką, 21% darbo paskyrų slaptažodžius užsirašo ant popieriaus, 50% nurodo tuos pačius darbo ir asmeninių paslaugų slaptažodžius.
Aplinka taip pat priešiška. 74% organizacijų leidžia į darbą atsinešti asmeninius įrenginius ir prijungti juos prie įmonės tinklo. 94% vartotojų negali atskirti tikro el. laiško nuo sukčiavimo, 11% spustelėjo priedus.
Visas šias problemas išsprendžia įmonės viešojo rakto infrastruktūra (PKI), kuri užtikrina pašto šifravimą ir autentifikavimą, o slaptažodžius pakeičia skaitmeniniais sertifikatais. Šią infrastruktūrą galima sukurti naudojant „Windows Server“. Pagal „Active Directory Certificate Services“ (AD CS) yra serveris, leidžiantis sukurti PKI jūsų organizacijoje ir naudoti viešojo rakto kriptografiją, skaitmeninius sertifikatus ir skaitmeninius parašus.
Tačiau „Microsoft“ sprendimas yra gana brangus.
Bendros „Microsoft“ privačios sertifikatų institucijos nuosavybės išlaidos
„Microsoft CA“ ir „GlobalSign AEG“ nuosavybės išlaidų palyginimas.
Daugeliu atvejų patogiau ir pigiau sukurti tą pačią privačią sertifikavimo instituciją, bet su išoriniu valdymu. „GlobalSign Auto Enrollment Gateway“ (AEG) išsprendžia būtent šią problemą. Kelios išlaidų eilutės neįtraukiamos į visas nuosavybės išlaidas (įrangos įsigijimas, palaikymo išlaidos, personalo mokymas ir kt.). Taupymas gali viršyti .
Kas yra AEG
(AEG) yra programinės įrangos paslauga, kuri veikia kaip vartai tarp GlobalSign SaaS sertifikatų paslaugų ir Windows įmonės aplinkos.
AEG integruojasi su Active Directory, todėl organizacijos gali automatizuoti GlobalSign skaitmeninių sertifikatų registravimą, aprūpinimą ir valdymą Windows aplinkoje. Vidines CA pakeitusios GlobalSign paslaugomis, įmonės padidina saugumą ir sumažina sudėtingos ir brangios vidinės Microsoft CA valdymo išlaidas.
„GlobalSign SaaS“ sertifikatų paslaugos yra saugesnė parinktis nei silpni ir nevaldomi sertifikatai jūsų infrastruktūroje. Panaikinus poreikį valdyti daug išteklių reikalaujančią vidinę CA, sumažėja bendrosios PKI nuosavybės išlaidos ir sistemos gedimų rizika.
SCEP ir ACME protokolų palaikymas išplečia palaikymą už Windows ribų, įskaitant automatinį sertifikatų išdavimą Linux serveriams, mobiliesiems, tinklo ir kitiems įrenginiams, taip pat Apple OSX kompiuteriams, registruotiems Active Directory.
Padidintas saugumas
Be biudžeto taupymo, išorinis PKI valdymas pagerina sistemos saugumą. Kaip pažymima „Aberdeen Group“ tyrime, sertifikatus vis dažniau taikosi užpuolikai, sėkmingai išnaudojantys žinomus pažeidžiamumus, tokius kaip silpni savarankiškai pasirašyti sertifikatai, silpnas šifravimas ir sudėtingi atšaukimo mechanizmai. Be to, užpuolikai įvaldė sudėtingesnius išnaudojimus, pvz., apgaulingą sertifikatų išdavimą iš patikimų CA ir kodo pasirašymo sertifikatų klastojimą.
„Dauguma įmonių nėra pakankamai aktyvios valdydamos su šiomis atakomis susijusią riziką ir nėra pasirengusios greitai reaguoti į kompromisus. Derekas E. Brinkas yra „Aberdeen Group“ viceprezidentas ir IT saugumo bendradarbis. „Suteikdama įmonėms galimybę perduoti sertifikatų valdymo veiklos aspektus į ekspertų rankas, kartu išlaikant įmonių grupės politikos kontrolę Active Directory, GlobalSign siekia sudaryti sąlygas ateityje augti sertifikatų naudojimui, sprendžiant praktines saugumo ir pasitikėjimo problemas efektyviai ir ekonomiškai. efektyvus diegimo modelis“.
Kaip veikia AEG?
Įprastą AEG sistemą sudaro keturi pagrindiniai komponentai, užtikrinantys, kad teisingi sertifikatai būtų perduoti teisingiems prieigos taškams:
- AEG programinė įranga Windows serveryje.
- Active Directory serveriai arba domeno valdikliai, leidžiantys administratoriams valdyti ir saugoti informaciją apie išteklius.
- Galiniai taškai: vartotojai, įrenginiai, serveriai ir darbo stotys – praktiškai bet koks subjektas, kuris yra skaitmeninių sertifikatų „vartotojas“.
- „GlobalSign Certificate Authority“ arba GCC, kuri yra patikimos sertifikatų išdavimo ir valdymo platformos viršuje. Čia generuojami sertifikatai.
Trys iš keturių rodomų komponentų yra kliento vietoje, o ketvirtasis yra debesyje.
Pirma, galutiniai taškai iš anksto sukonfigūruojami naudojant grupės strategijas: pavyzdžiui, vartotojo autentifikavimo sertifikato patikrinimas, sertifikato S/MIME užklausa ir t. t., kad vėliau būtų galima prisijungti prie AEG serverio. Ryšys yra saugus per HTTPS.
AEG serveris pateikia užklausą Active Directory per LDAP, kad gautų šių galinių taškų sertifikatų šablonų sąrašą, ir siunčia sąrašą klientams kartu su sertifikatų institucijos vieta. Gavę šias taisykles, galiniai taškai vėl prisijungia prie AEG serverio, šį kartą norėdami paprašyti tikrųjų sertifikatų. AEG savo ruožtu sukuria API iškvietimą su nurodytais parametrais ir siunčia jį GlobalSign sertifikatų institucijai arba GCC apdoroti.
Galiausiai GCC programa apdoroja užklausas, paprastai per kelias sekundes, ir išsiunčia atsakymą į API kartu su sertifikatu, kuris bus įdiegtas galiniuose taškuose, gavus užklausą.
Visas procesas trunka kelias sekundes ir gali būti visiškai automatizuotas sukonfigūravus galutinius taškus, kad būtų automatiškai gauti sertifikatai naudojant grupės politiką.
Unikalios AEG savybės
- Registruotis galite per MDM platformą.
- Sukūrė buvę „Microsoft Crypto“ komandos darbuotojai.
- Sprendimas be klientų.
- Supaprastintas diegimas ir gyvavimo ciklo valdymas.
Architektūrų pavyzdžiai
Taigi išorinis PKI valdymas per „GlobalSign AEG gateway“ padidina saugumą, sutaupo išlaidas ir sumažina riziką. Kitas privalumas yra lengvas mastelio keitimas ir didesnis našumas. Tinkamas PKI valdymas užtikrina ilgą veikimo laiką, pašalina misijai svarbių operacijų pertrūkius dėl negaliojančių sertifikatų ir siūlo darbuotojams nuotolinę, saugią prieigą prie įmonės tinklų.
Palaiko įvairius naudojimo atvejus, kuriems reikalingas dviejų veiksnių autentifikavimas: nuo nuotolinių darbo grupių klientų, kurie pasiekia tinklą per VPN ir Wi-Fi, iki privilegijuotos prieigos prie labai jautrių išteklių naudojant intelektualiąsias korteles.
GlobalSign yra pasaulinė lyderė, teikianti debesų ir tinklo PKI tapatybės ir prieigos valdymo sprendimus. Dėl išsamesnės informacijos apie gaminius kreipkitės .
Šaltinis: www.habr.com