На корисниците не може да им се верува. Во најголем дел, тие се мрзеливи и избираат удобност наместо сигурност. Според статистичките податоци, 21% ги запишуваат своите лозинки за работните сметки на хартија, 50% ги наведуваат истите лозинки за работни и лични услуги.

Околината е исто така непријателска. 74% од организациите дозволуваат да се донесат лични уреди на работа и да се поврзат на корпоративната мрежа. 94% од корисниците не можат да разликуваат вистинска е-пошта од фишинг, 11% кликнале на прилозите.

Сите овие проблеми се решаваат со корпоративна инфраструктура за јавен клуч (PKI), која обезбедува шифрирање и автентикација на поштата и ги заменува лозинките со дигитални сертификати. Оваа инфраструктура може да се подигне на Windows Server. Според опис од MicrosoftActive Directory Certificate Services (AD CS) е сервер кој ви овозможува да креирате PKI во вашата организација и да користите криптографија со јавен клуч, дигитални сертификати и дигитални потписи.

Но, решението на Мајкрософт е прилично скапо.

Вкупни трошоци за сопственост за приватен орган за сертификати од Microsoft

Споредба на трошоците за сопственост на Microsoft CA и GlobalSign AEG. Извор

Во многу ситуации, попогодно и поевтино е да се создаде истиот приватен орган за сертификација, но со надворешно управување. GlobalSign Auto Enrollment Gateway (AEG) го решава токму овој проблем. Неколку линии на трошоци се исклучени од вкупните трошоци за сопственост (купување опрема, трошоци за поддршка, обука на персоналот итн.). Заштедите може да надминат 50% од вкупните трошоци на сопственост.

Што е AEG

Портал за автоматско запишување (AEG) е софтверска услуга која делува како порта помеѓу услугите за сертификати SaaS на GlobalSign и опкружувањето на претпријатието Windows.

AEG се интегрира со Active Directory, дозволувајќи им на организациите да го автоматизираат запишувањето, обезбедувањето и управувањето со дигиталните сертификати GlobalSign во околина на Windows. Со замена на внатрешните CA со услугите на GlobalSign, претпријатијата ја зголемуваат безбедноста и ги намалуваат трошоците за управување со комплексен и скап внатрешен Microsoft CA.

GlobalSign SaaS Certificate Services е посигурна опција од слабите и неуправувани сертификати на вашата инфраструктура. Елиминирањето на потребата за управување со внатрешен CA со интензивни ресурси ги намалува вкупните трошоци за сопственост на PKI, како и ризикот од дефекти на системот.

Поддршката за протоколите SCEP и ACME ја проширува поддршката надвор од Windows, вклучително и автоматско издавање сертификати за Linux сервери, мобилни, мрежни и други уреди, како и Apple OSX компјутери регистрирани во Active Directory.

Засилена безбедност

Покрај заштедата на буџетот, надворешното управување со PKI ја подобрува безбедноста на системот. Како што беше забележано во студијата на Aberdeen Group, сертификатите се повеќе се мета на напаѓачите, кои успешно ги искористуваат познатите пропусти како што се слабите самопотпишани сертификати, слабото шифрирање и незгодните механизми за отповикување. Покрај тоа, напаѓачите совладале пософистицирани експлоатирања, како што е измама издавање сертификати од доверливи CA и фалсификување сертификати за потпишување код.

„Повеќето претпријатија не се доволно проактивни во управувањето со ризиците поврзани со овие напади и не се подготвени брзо да одговорат на компромисите. пишува Дерек Е. Бринк е потпретседател и соработник за ИТ безбедност во Групацијата Абердин. „Со тоа што им овозможува на претпријатијата да ги стават оперативните аспекти на управувањето со сертификати во рацете на експерти, додека ја одржуваат корпоративната контрола врз групните политики во Active Directory, GlobalSign има за цел да овозможи иден раст во користењето на сертификатите преку решавање на практични прашања за безбедност и доверба на ефикасен, економичен ефективен модел на распоредување“.

Како работи AEG?

Типичен AEG систем вклучува четири клучни компоненти за да се осигура дека точните сертификати се пренесуваат до правилните точки за пристап:

1. Софтвер AEG на серверот Виндоус.
2. Сервери на Active Directory или контролери на домени кои им овозможуваат на администраторите да управуваат и складираат информации за ресурсите.
3. Крајни точки: корисници, уреди, сервери и работни станици - практично секој ентитет што е „потрошувач“ на дигитални сертификати.
4. GlobalSign Certificate Authority или GCC, кој се наоѓа на врвот на доверлива платформа за издавање и управување со сертификати. Ова е местото каде што се генерираат сертификати.

Три од четирите прикажани компоненти се во просториите на клиентот, а четвртата е во облакот.

Прво, крајните точки се претходно конфигурирани користејќи групни политики: на пример, потврда на сертификатот за автентикација на корисникот, барање S/MIME за сертификатот и така натаму, за последователно поврзување со серверот AEG. Врската е безбедна преку HTTPS.

Серверот AEG го бара Active Directory преку LDAP за да добие листа на шаблони за сертификати за овие крајни точки и ја испраќа листата до клиентите заедно со локацијата на органот за сертификати. По добивањето на овие правила, крајните точки повторно се поврзуваат со серверот AEG, овој пат за да ги побараат вистинските сертификати. AEG за возврат создава повик API со наведените параметри и го испраќа до GlobalSign Certificate Authority или GCC за обработка.

Конечно, GCC backend ги обработува барањата, обично во рок од неколку секунди, и испраќа одговор до API заедно со сертификат што ќе се инсталира на крајните точки по барање.

Целиот процес трае неколку секунди и може целосно да се автоматизира со конфигурирање на крајните точки за автоматско добивање сертификати користејќи групни политики.

Единствени карактеристики на AEG

• Можете да се регистрирате преку МДМ платформата.
• Развиено од поранешни вработени од тимот на Microsoft Crypto.
• Решение без клиент.
• Поедноставена имплементација и управување со животниот циклус.

Примери на архитектури

Така, надворешното управување со PKI преку портата GlobalSign AEG значи зголемена безбедност, заштеда на трошоци и намален ризик. Друга предност е лесната приспособливост и зголемените перформанси. Правилното управување со PKI обезбедува долго време на работа, го елиминира прекинот на операциите кои се клучни за мисијата поради неважечки сертификати и им нуди на вработените далечински, безбеден пристап до мрежите на компанијата.

AEG Поддржува широк опсег на случаи за употреба кои бараат автентикација со два фактори: од далечински клиенти на работна група што пристапуваат до мрежата преку VPN и Wi-Fi, до привилегиран пристап до високо чувствителни ресурси преку паметни картички.

GlobalSign е глобален лидер во обезбедување на решенија за идентитет на облак и мрежа PKI и управување со пристап. За подетални информации за производите, ве молиме контактирајте нашите менаџери.

Извор: www.habr.com