Lietotājiem nevar uzticēties. Lielākoties viņi ir slinki un izvēlas komfortu, nevis drošību. Saskaņā ar statistiku 21% darba kontu paroles pieraksta uz papīra, 50% norāda vienas un tās pašas paroles darba un personīgajiem pakalpojumiem.
Arī vide ir naidīga. 74% organizāciju atļauj personīgās ierīces ienest darbā un savienot ar korporatīvo tīklu. 94% lietotāju nevar atšķirt īstu e-pastu no pikšķerēšanas, 11% noklikšķināja uz pielikumiem.
Visas šīs problēmas atrisina korporatīvā publiskās atslēgas infrastruktūra (PKI), kas nodrošina pasta šifrēšanu un autentifikāciju un aizstāj paroles ar digitālajiem sertifikātiem. Šo infrastruktūru var izveidot operētājsistēmā Windows Server. Saskaņā ar
Bet Microsoft risinājums ir diezgan dārgs.
Kopējās Microsoft privātās CA īpašumtiesību izmaksas
Īpašumtiesību izmaksu salīdzinājums starp Microsoft CA un GlobalSign AEG.
Daudzās situācijās ērtāk un lētāk ir izveidot vienu un to pašu privāto sertifikātu iestādi, bet ar ārēju pārvaldību. Tieši šo problēmu atrisina GlobalSign Auto Enrollment Gateway (AEG). No kopējām īpašuma izmaksām tiek izslēgtas vairākas izdevumu pozīcijas (iekārtu iegāde, atbalsta izmaksas, personāla apmācība utt.). Ietaupījumi var pārsniegt
Kas ir AEG
AEG integrējas ar Active Directory, ļaujot organizācijām automatizēt GlobalSign digitālo sertifikātu reģistrāciju, nodrošināšanu un pārvaldību Windows vidē. Aizstājot iekšējos CA ar GlobalSign pakalpojumiem, uzņēmumi palielina drošību un samazina sarežģītas un dārgas iekšējās Microsoft CA pārvaldības izmaksas.
GlobalSign SaaS sertifikātu pakalpojumi ir uzticamāka iespēja nekā vāji un nepārvaldīti sertifikāti jūsu infrastruktūrā. Atbrīvojoties no nepieciešamības pārvaldīt resursietilpīgu iekšējo CA, tiek samazinātas kopējās PKI īpašumtiesību izmaksas, kā arī sistēmas atteices risks.
SCEP un ACME protokolu atbalsts paplašina atbalstu ārpus Windows, tostarp automātisku sertifikātu izsniegšanu Linux serveriem, mobilajām ierīcēm, tīkla ierīcēm un citām ierīcēm, kā arī Apple OSX datoriem, kas reģistrēti Active Directory.
Uzlabota drošība
Papildus naudas taupīšanai ārpakalpojuma PKI pārvaldība uzlabo sistēmas drošību. Kā atzīmē Aberdeen Group pētījums, sertifikāti arvien vairāk tiek vērsti pret uzbrucējiem, kuri veiksmīgi izmanto zināmas ievainojamības, piemēram, neuzticamus pašparakstītus sertifikātus, vāju šifrēšanu un apgrūtinošus atsaukšanas mehānismus. Turklāt uzbrucēji ir apguvuši sarežģītākus paņēmienus, piemēram, krāpniecisku sertifikātu izsniegšanu no uzticamām CA un koda parakstīšanas sertifikātu viltošanu.
"Lielākā daļa uzņēmumu aktīvi nepārvalda ar šiem uzbrukumiem saistītos riskus un nav gatavi ātri reaģēt uz kompromisiem,"
Kā darbojas AEG
Tipiskā AEG sistēma ietver četrus galvenos komponentus, lai nodrošinātu, ka pareizie sertifikāti tiek nosūtīti pareizajiem piekļuves punktiem:
- AEG programmatūra Windows serverī.
- Active Directory serveri vai domēna kontrolleri, kas ļauj administratoriem pārvaldīt un uzglabāt informāciju par resursiem.
- Galapunkti: lietotāji, ierīces, serveri un darbstacijas — praktiski jebkura vienība, kas ir digitālo sertifikātu "patērētājs".
- GlobalSign sertifikācijas iestāde jeb GCC, kas atrodas uzticamas sertifikātu izsniegšanas un pārvaldības platformas augšpusē. Šeit tiek ģenerēti sertifikāti.
Trīs no četriem parādītajiem komponentiem ir klienta lokāli, bet ceturtais ir mākonī.
Pirmkārt, galapunkti ir iepriekš konfigurēti, izmantojot grupas politikas: piemēram, sertifikāta validācija lietotāja autentifikācijai, S/MIME pieprasījums sertifikātam un tā tālāk - turpmākai savienošanai ar AEG serveri. Savienojums ir drošs, izmantojot HTTPS.
AEG serveris pieprasa Active Directory, izmantojot LDAP, lai iegūtu šo galapunktu sertifikātu veidņu sarakstu, un nosūta sarakstu klientiem kopā ar CA atrašanās vietu. Pēc šo noteikumu saņemšanas galapunkti atkal izveido savienojumu ar AEG serveri, šoreiz, lai pieprasītu faktiskos sertifikātus. Savukārt AEG izveido API zvanu ar norādītajiem parametriem un nosūta apstrādei GlobalSign Certification Authority jeb GCC.
Visbeidzot, GCC aizmugure apstrādā pieprasījumus, parasti dažu sekunžu laikā, un nosūta API atbildi kopā ar sertifikātu, kas tiks instalēts galapunktos pēc pieprasījuma.
Viss process aizņem dažas sekundes, un to var pilnībā automatizēt, konfigurējot galapunktus, lai automātiski iegūtu sertifikātus, izmantojot grupas politikas.
AEG unikālās īpašības
- Jūs varat reģistrēties, izmantojot MDM platformu.
- Izstrādāja bijušie darbinieki no Microsoft Crypto komandas.
- Risinājums bez klienta.
- Vienkāršota ieviešana un dzīves cikla pārvaldība.
Arhitektūras piemēri
Tādējādi ārējā PKI pārvaldība, izmantojot GlobalSign AEG vārteju, nozīmē paaugstinātu drošību, izmaksu ietaupījumu un riska samazināšanu. Vēl viena priekšrocība ir viegla mērogojamība un uzlabota veiktspēja. Pareizi pārvaldīts PKI nodrošina ilgu darbības laiku, novērš kritisko darbību traucējumus nederīgu sertifikātu dēļ un piedāvā darbiniekiem attālu, drošu piekļuvi uzņēmuma tīkliem.
GlobalSign ir globāls līderis mākoņdatošanas un tīkla PKI risinājumu nodrošināšanā identitātes un piekļuves pārvaldībai. Lai iegūtu vairāk informācijas par produktu, lūdzu, sazinieties ar
Avots: www.habr.com