Хэрэглэгчдэд итгэх боломжгүй. Ихэнх тохиолдолд тэд залхуу бөгөөд аюулгүй байдлыг бус тайтгарлыг сонгодог. Статистик мэдээллээс харахад 21% нь ажлын дансны нууц үгээ цаасан дээр бичдэг бол 50% нь ажил, хувийн үйлчилгээний нууц үгийг зааж өгдөг.

Байгаль орчин нь бас дайсагнасан. Байгууллагуудын 74% нь хувийн төхөөрөмжөө ажилд авчирч, корпорацийн сүлжээнд холбохыг зөвшөөрдөг. Хэрэглэгчдийн 94% нь жинхэнэ цахим шуудан болон фишинг хоёрыг ялгаж чадахгүй, 11% нь хавсралт дээр дарсан байна.

Эдгээр бүх асуудлыг корпорацийн нийтийн түлхүүрийн дэд бүтцээр (PKI) шийддэг бөгөөд энэ нь шуудангийн шифрлэлт, баталгаажуулалтыг хангадаг бөгөөд нууц үгийг тоон сертификатаар сольдог. Энэ дэд бүтцийг Windows Server дээр суулгаж болно. дагуу Microsoft-ын тайлбар, Active Directory Certificate Services (AD CS) нь байгууллагадаа PKI үүсгэх, нийтийн түлхүүрийн криптограф, дижитал сертификат, тоон гарын үсгийг ашиглах боломжийг олгодог сервер юм.

Гэхдээ Microsoft-ын шийдэл нэлээд үнэтэй.

Майкрософт хувийн CA-ийн өмчлөлийн нийт зардал

Microsoft CA болон GlobalSign AEG хоорондын өмчлөлийн зардлыг харьцуулах. Эх сурвалж

Ихэнх тохиолдолд гадны удирдлагатай ижил хувийн гэрчилгээжүүлэх байгууллагыг бий болгох нь илүү тохиромжтой бөгөөд хямд байдаг. Энэ бол GlobalSign Auto Enrollment Gateway (AEG) нь яг энэ асуудлыг шийддэг. Өмчлөлийн нийт зардалд (тоног төхөөрөмж худалдан авах, туслах зардал, ажилтнуудын сургалт гэх мэт) хэд хэдэн шугамын зардлыг хассан болно. Хадгаламж хэтрэх боломжтой Нийт өмчлөлийн зардлын 50%.

AEG гэж юу вэ

Автомат элсэлтийн гарц (AEG) нь SaaS GlobalSign гэрчилгээний үйлчилгээ болон Windows байгууллагын орчны хооронд гарц болж ажилладаг програм хангамжийн үйлчилгээ юм.

AEG нь Active Directory-тэй нэгдэж, байгууллагуудад Windows орчинд GlobalSign дижитал сертификатын бүртгэл, хангамж, менежментийг автоматжуулах боломжийг олгодог. Дотоод CA-г GlobalSign үйлчилгээгээр сольсноор аж ахуйн нэгжүүд аюулгүй байдлыг нэмэгдүүлж, Microsoft-ын нарийн төвөгтэй, үнэтэй дотоод CA-г удирдах зардлыг бууруулдаг.

GlobalSign SaaS гэрчилгээний үйлчилгээ нь өөрийн дэд бүтцэд байгаа сул, удирдлагагүй сертификатуудаас илүү найдвартай сонголт юм. Нөөц их шаарддаг дотоод CA-г удирдах хэрэгцээг арилгаснаар PKI-ийн өмчлөлийн нийт зардал, түүнчлэн системийн эвдрэлийн эрсдлийг бууруулдаг.

SCEP болон ACME протоколуудын дэмжлэг нь Линукс серверүүд, мобайл төхөөрөмж, сүлжээний төхөөрөмж болон бусад төхөөрөмжүүд, мөн Active Directory-д бүртгэлтэй Apple OSX компьютерт зориулсан автомат гэрчилгээ олгох зэрэг Windows-ээс гадна дэмжлэгийг өргөжүүлдэг.

Сайжруулсан аюулгүй байдал

Мөнгө хэмнэхээс гадна гаднаас авсан PKI менежмент нь системийн аюулгүй байдлыг сайжруулдаг. Aberdeen Group-ийн судалгаагаар гэрчилгээ нь найдвартай бус өөрөө гарын үсэг зурсан гэрчилгээ, сул шифрлэлт, хүчингүй болгох төвөгтэй механизм гэх мэт мэдэгдэж буй эмзэг байдлыг амжилттай ашигладаг халдагчдад улам бүр байсаар байна. Нэмж дурдахад халдагчид итгэмжлэгдсэн CA-аас хуурамч гэрчилгээ олгох, код гарын үсэг зурах гэрчилгээг хуурамчаар үйлдэх зэрэг илүү боловсронгуй мөлжлөгүүдийг эзэмшсэн.

"Ихэнх аж ахуйн нэгжүүд эдгээр халдлагатай холбоотой эрсдлийг идэвхтэй удирдаж чаддаггүй бөгөөд харилцан тохиролцоонд хурдан хариу өгөхөд бэлэн байдаггүй." бичсэн Дерек Э.Бринк, Абердин группын дэд ерөнхийлөгч, мэдээллийн технологийн аюулгүй байдлын мэргэжилтэн. "Аж ахуйн нэгжүүдэд гэрчилгээний менежментийн үйл ажиллагааны талыг мэргэжилтнүүдийн гарт өгөхийн зэрэгцээ Active Directory дахь бүлгийн бодлогод корпорацийн хяналт тавих боломжийг олгосноор GlobalSign нь практик аюулгүй байдал, итгэлцлийн асуудлыг үр ашигтай, өртөг зардлаар шийдвэрлэх замаар гэрчилгээний ашиглалтын ирээдүйн өсөлтийг хангах зорилготой юм. -үр дүнтэй байршуулах загвар."

AEG хэрхэн ажилладаг

AEG-тэй ердийн систем нь зөв гэрчилгээг зөв хандалтын цэг рүү илгээхийг баталгаажуулах дөрвөн үндсэн бүрэлдэхүүн хэсгийг агуулдаг:

1. Windows сервер дээрх AEG програм хангамж.
2. Администраторуудад нөөцийн талаарх мэдээллийг удирдах, хадгалах боломжийг олгодог Active Directory сервер эсвэл домэйн хянагч.
3. Төгсгөлийн цэгүүд: хэрэглэгчид, төхөөрөмжүүд, серверүүд болон ажлын станцууд - дижитал гэрчилгээний "хэрэглэгч" болох бараг бүх байгууллага.
4. Итгэмжлэгдсэн гэрчилгээ олгох, удирдах платформ дээр байрладаг GlobalSign гэрчилгээжүүлэх газар буюу GCC. Энд гэрчилгээ бий болдог.

Үзүүлсэн дөрвөн бүрэлдэхүүн хэсгийн гурав нь үйлчлүүлэгч дээр, дөрөв дэх нь үүлэн дээр байрладаг.

Нэгдүгээрт, төгсгөлийн цэгүүдийг бүлгийн бодлогыг ашиглан урьдчилан тохируулсан болно: жишээлбэл, хэрэглэгчийн баталгаажуулалтад зориулсан гэрчилгээ баталгаажуулалт, гэрчилгээний S/MIME хүсэлт гэх мэт - дараа нь AEG сервертэй холбогдохын тулд. Холболт нь HTTPS-ээр аюулгүй байна.

AEG сервер нь LDAP-ээр дамжуулан Active Directory-ээс эдгээр төгсгөлийн цэгүүдийн гэрчилгээний загваруудын жагсаалтыг асууж, жагсаалтыг CA-ийн байршлын хамт үйлчлүүлэгчдэд илгээдэг. Эдгээр дүрмийг хүлээн авсны дараа төгсгөлийн цэгүүд AEG серверт дахин холбогдож, энэ удаад бодит гэрчилгээг хүсэх болно. AEG нь эргээд заасан параметрүүдтэй API дуудлагыг үүсгэж, GlobalSign гэрчилгээжүүлэх газар эсвэл GCC руу боловсруулахаар илгээдэг.

Эцэст нь, GCC-ийн арын хэсэг нь хүсэлтийг ихэвчлэн хэдхэн секундын дотор боловсруулж, хүсэлтийн дагуу төгсгөлийн цэгүүд дээр суулгах гэрчилгээний хамт API хариултыг илгээдэг.

Бүх үйл явц нь хэдхэн секунд үргэлжлэх бөгөөд эцсийн цэгүүдийг групп бодлого ашиглан гэрчилгээг автоматаар авахын тулд тохируулснаар бүрэн автоматжуулж болно.

AEG өвөрмөц онцлог

• Та MDM платформоор дамжуулан бүртгүүлэх боломжтой.
• Microsoft Crypto багийн хуучин ажилчид боловсруулсан.
• Үйлчлүүлэгчгүй шийдэл.
• Хялбаршуулсан хэрэгжилт ба амьдралын мөчлөгийн менежмент.

Архитектурын жишээ

Тиймээс GlobalSign AEG гарцаар дамжуулан гадны PKI менежмент нь аюулгүй байдлыг нэмэгдүүлэх, зардлыг хэмнэх, эрсдэлийг бууруулах гэсэн үг юм. Өөр нэг давуу тал нь хялбархан өргөжүүлэх, сайжруулсан гүйцэтгэл юм. Зөв удирдсан PKI нь урт хугацааны ажиллах хугацааг баталгаажуулж, хүчингүй гэрчилгээний улмаас чухал үйл ажиллагааны тасалдлыг арилгаж, ажилтнуудад компанийн сүлжээнд алсаас, аюулгүй нэвтрэх боломжийг олгодог.

AEG VPN болон Wi-Fi-аар сүлжээнд нэвтэрч буй алсын ажлын хэсгийн үйлчлүүлэгчээс эхлээд ухаалаг картаар дамжуулан өндөр мэдрэмжтэй эх сурвалжид давуу эрх олгох зэрэг хоёр хүчин зүйлийн баталгаажуулалт шаарддаг өргөн хүрээний хэрэглээний тохиолдлуудыг дэмждэг.

GlobalSign нь таних болон хандалтын менежментэд зориулсан үүлэн болон сүлжээний PKI шийдлээр хангадаг дэлхийн тэргүүлэгч юм. Бүтээгдэхүүний дэлгэрэнгүй мэдээлэл авахыг хүсвэл холбогдоно уу манай менежерүүд.

Эх сурвалж: www.habr.com