Lietotājiem nevar uzticēties. Lielākoties viņi ir slinki un izvēlas komfortu, nevis drošību. Saskaņā ar statistiku 21% darba kontu paroles pieraksta uz papīra, 50% norāda vienas un tās pašas paroles darba un personīgajiem pakalpojumiem.

Arī vide ir naidīga. 74% organizāciju atļauj personīgās ierīces ienest darbā un savienot ar korporatīvo tīklu. 94% lietotāju nevar atšķirt īstu e-pastu no pikšķerēšanas, 11% noklikšķināja uz pielikumiem.

Visas šīs problēmas atrisina korporatīvā publiskās atslēgas infrastruktūra (PKI), kas nodrošina pasta šifrēšanu un autentifikāciju un aizstāj paroles ar digitālajiem sertifikātiem. Šo infrastruktūru var izveidot operētājsistēmā Windows Server. Saskaņā ar apraksts no Microsoft, Active Directory Certificate Services (AD CS) ir serveris, kas ļauj izveidot PKI jūsu organizācijā un izmantot publiskās atslēgas kriptogrāfiju, ciparsertifikātus un ciparparakstus.

Bet Microsoft risinājums ir diezgan dārgs.

Kopējās Microsoft privātās CA īpašumtiesību izmaksas

Īpašumtiesību izmaksu salīdzinājums starp Microsoft CA un GlobalSign AEG. Avots

Daudzās situācijās ērtāk un lētāk ir izveidot vienu un to pašu privāto sertifikātu iestādi, bet ar ārēju pārvaldību. Tieši šo problēmu atrisina GlobalSign Auto Enrollment Gateway (AEG). No kopējām īpašuma izmaksām tiek izslēgtas vairākas izdevumu pozīcijas (iekārtu iegāde, atbalsta izmaksas, personāla apmācība utt.). Ietaupījumi var pārsniegt 50% no kopējām īpašuma izmaksām.

Kas ir AEG

Automātiskās reģistrācijas vārteja (AEG) ir programmatūras pakalpojums, kas darbojas kā vārteja starp SaaS GlobalSign sertifikātu pakalpojumiem un Windows uzņēmuma vidi.

AEG integrējas ar Active Directory, ļaujot organizācijām automatizēt GlobalSign digitālo sertifikātu reģistrāciju, nodrošināšanu un pārvaldību Windows vidē. Aizstājot iekšējos CA ar GlobalSign pakalpojumiem, uzņēmumi palielina drošību un samazina sarežģītas un dārgas iekšējās Microsoft CA pārvaldības izmaksas.

GlobalSign SaaS sertifikātu pakalpojumi ir uzticamāka iespēja nekā vāji un nepārvaldīti sertifikāti jūsu infrastruktūrā. Atbrīvojoties no nepieciešamības pārvaldīt resursietilpīgu iekšējo CA, tiek samazinātas kopējās PKI īpašumtiesību izmaksas, kā arī sistēmas atteices risks.

SCEP un ACME protokolu atbalsts paplašina atbalstu ārpus Windows, tostarp automātisku sertifikātu izsniegšanu Linux serveriem, mobilajām ierīcēm, tīkla ierīcēm un citām ierīcēm, kā arī Apple OSX datoriem, kas reģistrēti Active Directory.

Uzlabota drošība

Papildus naudas taupīšanai ārpakalpojuma PKI pārvaldība uzlabo sistēmas drošību. Kā atzīmē Aberdeen Group pētījums, sertifikāti arvien vairāk tiek vērsti pret uzbrucējiem, kuri veiksmīgi izmanto zināmas ievainojamības, piemēram, neuzticamus pašparakstītus sertifikātus, vāju šifrēšanu un apgrūtinošus atsaukšanas mehānismus. Turklāt uzbrucēji ir apguvuši sarežģītākus paņēmienus, piemēram, krāpniecisku sertifikātu izsniegšanu no uzticamām CA un koda parakstīšanas sertifikātu viltošanu.

"Lielākā daļa uzņēmumu aktīvi nepārvalda ar šiem uzbrukumiem saistītos riskus un nav gatavi ātri reaģēt uz kompromisiem," rakstīja: Dereks E. Brinks, Aberdeen Group viceprezidents un IT drošības līdzstrādnieks. "Ļaujot uzņēmumiem nodot sertifikātu pārvaldības darbības aspektus ekspertu rokās, vienlaikus saglabājot korporatīvo kontroli pār grupas politikām programmā Active Directory, GlobalSign mērķis ir nodrošināt sertifikātu izmantošanas turpmāko izaugsmi, risinot praktiskas drošības un uzticamības problēmas ar efektīvu un izmaksu līmeni. -efektīvs izvietošanas modelis."

Kā darbojas AEG

Tipiskā AEG sistēma ietver četrus galvenos komponentus, lai nodrošinātu, ka pareizie sertifikāti tiek nosūtīti pareizajiem piekļuves punktiem:

1. AEG programmatūra Windows serverī.
2. Active Directory serveri vai domēna kontrolleri, kas ļauj administratoriem pārvaldīt un uzglabāt informāciju par resursiem.
3. Galapunkti: lietotāji, ierīces, serveri un darbstacijas — praktiski jebkura vienība, kas ir digitālo sertifikātu "patērētājs".
4. GlobalSign sertifikācijas iestāde jeb GCC, kas atrodas uzticamas sertifikātu izsniegšanas un pārvaldības platformas augšpusē. Šeit tiek ģenerēti sertifikāti.

Trīs no četriem parādītajiem komponentiem ir klienta lokāli, bet ceturtais ir mākonī.

Pirmkārt, galapunkti ir iepriekš konfigurēti, izmantojot grupas politikas: piemēram, sertifikāta validācija lietotāja autentifikācijai, S/MIME pieprasījums sertifikātam un tā tālāk - turpmākai savienošanai ar AEG serveri. Savienojums ir drošs, izmantojot HTTPS.

AEG serveris pieprasa Active Directory, izmantojot LDAP, lai iegūtu šo galapunktu sertifikātu veidņu sarakstu, un nosūta sarakstu klientiem kopā ar CA atrašanās vietu. Pēc šo noteikumu saņemšanas galapunkti atkal izveido savienojumu ar AEG serveri, šoreiz, lai pieprasītu faktiskos sertifikātus. Savukārt AEG izveido API zvanu ar norādītajiem parametriem un nosūta apstrādei GlobalSign Certification Authority jeb GCC.

Visbeidzot, GCC aizmugure apstrādā pieprasījumus, parasti dažu sekunžu laikā, un nosūta API atbildi kopā ar sertifikātu, kas tiks instalēts galapunktos pēc pieprasījuma.

Viss process aizņem dažas sekundes, un to var pilnībā automatizēt, konfigurējot galapunktus, lai automātiski iegūtu sertifikātus, izmantojot grupas politikas.

AEG unikālās īpašības

• Jūs varat reģistrēties, izmantojot MDM platformu.
• Izstrādāja bijušie darbinieki no Microsoft Crypto komandas.
• Risinājums bez klienta.
• Vienkāršota ieviešana un dzīves cikla pārvaldība.

Arhitektūras piemēri

Tādējādi ārējā PKI pārvaldība, izmantojot GlobalSign AEG vārteju, nozīmē paaugstinātu drošību, izmaksu ietaupījumu un riska samazināšanu. Vēl viena priekšrocība ir viegla mērogojamība un uzlabota veiktspēja. Pareizi pārvaldīts PKI nodrošina ilgu darbības laiku, novērš kritisko darbību traucējumus nederīgu sertifikātu dēļ un piedāvā darbiniekiem attālu, drošu piekļuvi uzņēmuma tīkliem.

AEG atbalsta plašu lietošanas gadījumu klāstu, kam nepieciešama divu faktoru autentifikācija, sākot no attāliem darba grupas klientiem, kas piekļūst tīklam, izmantojot VPN un Wi-Fi, līdz priviliģētai piekļuvei ļoti sensitīviem resursiem, izmantojot viedkartes.

GlobalSign ir globāls līderis mākoņdatošanas un tīkla PKI risinājumu nodrošināšanā identitātes un piekļuves pārvaldībai. Lai iegūtu vairāk informācijas par produktu, lūdzu, sazinieties ar mūsu vadītāji.

Avots: www.habr.com