Pengguna tidak boleh dipercayai. Untuk sebahagian besar, mereka malas dan memilih keselesaan daripada keselamatan. Menurut statistik, 21% menulis kata laluan mereka untuk akaun kerja di atas kertas, 50% menunjukkan kata laluan yang sama untuk perkhidmatan kerja dan peribadi.

Persekitaran juga bermusuhan. 74% organisasi membenarkan peranti peribadi dibawa ke tempat kerja dan disambungkan ke rangkaian korporat. 94% pengguna tidak dapat membezakan antara e-mel sebenar dan pancingan data, 11% mengklik pada lampiran.

Semua masalah ini diselesaikan oleh infrastruktur kunci awam (PKI) korporat, yang menyediakan penyulitan dan pengesahan mel, serta menggantikan kata laluan dengan sijil digital. Infrastruktur ini boleh dinaikkan pada Pelayan Windows. mengikut penerangan daripada Microsoft, Perkhidmatan Sijil Direktori Aktif (AD CS) ialah pelayan yang membolehkan anda membuat PKI dalam organisasi anda dan menggunakan kriptografi kunci awam, sijil digital dan tandatangan digital.

Tetapi penyelesaian Microsoft agak mahal.

Jumlah Kos Pemilikan untuk Microsoft Private CA

Perbandingan kos pemilikan antara Microsoft CA dan GlobalSign AEG. Source

Dalam banyak situasi, adalah lebih mudah dan lebih murah untuk mencipta pihak berkuasa sijil persendirian yang sama, tetapi dengan pengurusan luaran. Inilah masalah yang diselesaikan oleh GlobalSign Auto Enrollment Gateway (AEG). Beberapa baris perbelanjaan dikecualikan daripada jumlah kos pemilikan (pembelian peralatan, kos sokongan, latihan kakitangan, dsb.). Simpanan boleh melebihi 50% daripada jumlah kos pemilikan.

Apa itu AEG

Gerbang Pendaftaran Auto (AEG) ialah perkhidmatan perisian yang bertindak sebagai pintu masuk antara perkhidmatan sijil SaaS GlobalSign dan persekitaran perusahaan Windows.

AEG berintegrasi dengan Active Directory, membenarkan organisasi mengautomasikan pendaftaran, peruntukan dan pengurusan sijil digital GlobalSign dalam persekitaran Windows. Dengan menggantikan CA dalaman dengan perkhidmatan GlobalSign, perusahaan meningkatkan keselamatan dan mengurangkan kos mengurus Microsoft CA dalaman yang kompleks dan mahal.

Perkhidmatan Sijil GlobalSign SaaS ialah pilihan yang lebih dipercayai daripada sijil yang lemah dan tidak terurus pada infrastruktur anda sendiri. Menghapuskan keperluan untuk mengurus CA dalaman yang intensif sumber mengurangkan jumlah kos pemilikan PKI, serta risiko kegagalan sistem.

Sokongan untuk protokol SCEP dan ACME melanjutkan sokongan melangkaui Windows, termasuk pengeluaran sijil automatik untuk pelayan Linux, peranti mudah alih, peranti rangkaian dan peranti lain, serta komputer Apple OSX yang didaftarkan dalam Active Directory.

Keselamatan yang Dipertingkatkan

Selain menjimatkan wang, pengurusan PKI penyumberan luar meningkatkan keselamatan sistem. Sebagai nota kajian Kumpulan Aberdeen, sijil semakin disasarkan oleh penyerang yang berjaya mengeksploitasi kelemahan yang diketahui seperti sijil yang ditandatangani sendiri yang tidak dipercayai, penyulitan yang lemah dan mekanisme pembatalan yang menyusahkan. Selain itu, penyerang telah menguasai eksploitasi yang lebih canggih, seperti mengeluarkan sijil secara curang daripada CA yang dipercayai dan memalsukan sijil menandatangani kod.

"Kebanyakan perusahaan tidak mengurus secara aktif risiko yang berkaitan dengan serangan ini dan tidak bersedia untuk bertindak balas dengan cepat terhadap pertukaran," menulis Derek E. Brink, Naib Presiden dan Felo Keselamatan IT di Aberdeen Group. "Dengan membolehkan perusahaan meletakkan aspek operasi pengurusan sijil di tangan pakar sambil mengekalkan kawalan korporat ke atas dasar kumpulan dalam Active Directory, GlobalSign menyasarkan untuk memastikan pertumbuhan masa depan penggunaan sijil dengan menangani isu keselamatan dan kepercayaan praktikal dalam kos yang cekap dan cekap. -model penggunaan yang berkesan."

Bagaimana AEG berfungsi

Sistem biasa dengan AEG termasuk empat komponen utama untuk memastikan sijil yang betul dihantar ke pusat akses yang betul:

1. Perisian AEG pada pelayan Windows.
2. Pelayan Active Directory atau pengawal domain yang membenarkan pentadbir mengurus dan menyimpan maklumat tentang sumber.
3. Titik akhir: pengguna, peranti, pelayan dan stesen kerja - hampir mana-mana entiti yang merupakan "pengguna" sijil digital.
4. Pihak Berkuasa Pensijilan GlobalSign, atau GCC, yang berada di atas platform pengurusan dan pengeluaran sijil yang dipercayai. Di sinilah sijil dijana.

Tiga daripada empat komponen yang ditunjukkan adalah di premis di pelanggan, dan yang keempat adalah dalam awan.

Pertama, titik akhir diprakonfigurasikan menggunakan dasar kumpulan: contohnya, pengesahan sijil untuk pengesahan pengguna, permintaan S/MIME untuk sijil dan seterusnya - untuk sambungan seterusnya ke pelayan AEG. Sambungan selamat melalui HTTPS.

Pelayan AEG membuat pertanyaan kepada Direktori Aktif melalui LDAP untuk mendapatkan senarai templat sijil untuk titik akhir ini dan menghantar senarai tersebut kepada pelanggan bersama-sama dengan lokasi CA. Selepas menerima peraturan ini, titik akhir menyambung ke pelayan AEG sekali lagi, kali ini untuk meminta sijil sebenar. AEG, seterusnya, mencipta panggilan API dengan parameter yang ditentukan dan menghantarnya kepada Pihak Berkuasa Pensijilan GlobalSign atau GCC untuk diproses.

Akhir sekali, bahagian belakang GCC memproses permintaan, biasanya dalam masa beberapa saat, dan menghantar respons API bersama-sama dengan sijil yang akan dipasang pada titik akhir atas permintaan.

Keseluruhan proses mengambil masa beberapa saat dan boleh diautomatikkan sepenuhnya dengan mengkonfigurasi titik akhir untuk mendapatkan sijil secara automatik menggunakan dasar kumpulan.

Ciri Unik AEG

• Anda boleh mendaftar melalui platform MDM.
• Dibangunkan oleh bekas pekerja dari pasukan Microsoft Crypto.
• Penyelesaian tanpa pelanggan.
• Pelaksanaan yang dipermudahkan dan pengurusan kitaran hayat.

Contoh seni bina

Oleh itu, pengurusan PKI luaran melalui gerbang GlobalSign AEG bermakna peningkatan keselamatan, penjimatan kos dan pengurangan risiko. Faedah lain ialah kebolehskalaan yang mudah dan prestasi yang dipertingkatkan. PKI yang diurus dengan betul memastikan masa beroperasi yang lama, menghapuskan gangguan kepada operasi kritikal akibat sijil yang tidak sah, dan menawarkan pekerja jauh, akses selamat kepada rangkaian syarikat.

AEG menyokong pelbagai kes penggunaan yang memerlukan pengesahan dua faktor, daripada pelanggan kumpulan kerja jauh yang mengakses rangkaian melalui VPN dan Wi-Fi, kepada akses istimewa kepada sumber yang sangat sensitif melalui kad pintar.

GlobalSign ialah peneraju global dalam menyediakan penyelesaian PKI awan dan rangkaian untuk pengurusan identiti dan akses. Untuk maklumat lanjut produk, sila hubungi pengurus kami.

Sumber: www.habr.com