Gebruikers zijn niet te vertrouwen. Voor het grootste deel zijn ze lui en kiezen ze voor comfort boven veiligheid. Volgens statistieken schrijft 21% hun wachtwoorden voor werkaccounts op papier, 50% geeft dezelfde wachtwoorden aan voor werk en persoonlijke diensten.

De omgeving is ook vijandig. 74% van de organisaties staat toe dat persoonlijke apparaten naar het werk worden gebracht en worden aangesloten op het bedrijfsnetwerk. 94% van de gebruikers kan geen onderscheid maken tussen een echte e-mail en een phishingmail, 11% klikte op bijlagen.

Al deze problemen worden opgelost door een openbare-sleutelinfrastructuur (PKI) van het bedrijf, die e-mailversleuteling en -authenticatie biedt en wachtwoorden vervangt door digitale certificaten. Deze infrastructuur kan worden verhoogd op Windows Server. Volgens beschrijving van Microsoft, Active Directory Certificate Services (AD CS) is een server waarmee u een PKI in uw organisatie kunt maken en cryptografie met openbare sleutels, digitale certificaten en digitale handtekeningen kunt gebruiken.

Maar de oplossing van Microsoft is vrij duur.

Totale eigendomskosten voor een Microsoft Private CA

Vergelijking van eigendomskosten tussen Microsoft CA en GlobalSign AEG. Bron

In veel situaties is het handiger en goedkoper om dezelfde private certificeringsinstantie in het leven te roepen, maar dan met extern beheer. Dit is precies het probleem dat de GlobalSign Auto Enrollment Gateway (AEG) oplost. Verschillende uitgavenposten zijn uitgesloten van de totale eigendomskosten (aankoop van apparatuur, ondersteuningskosten, opleiding van personeel, enz.). Besparingen kunnen oplopen 50% van de totale eigendomskosten.

Wat is AEG

Gateway voor automatische inschrijving (AEG) is een softwareservice die fungeert als gateway tussen SaaS GlobalSign-certificaatservices en een Windows-bedrijfsomgeving.

AEG integreert met Active Directory, waardoor organisaties de registratie, levering en het beheer van digitale GlobalSign-certificaten in een Windows-omgeving kunnen automatiseren. Door interne CA's te vervangen door GlobalSign-services, verhogen ondernemingen de beveiliging en verlagen ze de kosten van het beheer van een complexe en dure interne Microsoft CA.

GlobalSign SaaS Certificate Services is een betrouwbaardere optie dan zwakke en onbeheerde certificaten op uw eigen infrastructuur. Het elimineren van de noodzaak om een ​​resource-intensieve interne CA te beheren, vermindert de totale eigendomskosten van PKI, evenals het risico op systeemstoringen.

Ondersteuning voor SCEP- en ACME-protocollen gaat verder dan alleen Windows, inclusief geautomatiseerde certificaatuitgifte voor Linux-servers, mobiele apparaten, netwerkapparaten en andere apparaten, evenals Apple OSX-computers die zijn geregistreerd in Active Directory.

Verbeterde beveiliging

Naast het besparen van geld, verbetert uitbesteed PKI-beheer de systeembeveiliging. Zoals de studie van de Aberdeen Group opmerkt, worden certificaten steeds vaker het doelwit van aanvallers die met succes bekende kwetsbaarheden misbruiken, zoals niet-vertrouwde zelfondertekende certificaten, zwakke codering en omslachtige intrekkingsmechanismen. Bovendien hebben aanvallers meer geavanceerde exploits onder de knie, zoals het op frauduleuze wijze uitgeven van certificaten van vertrouwde CA's en het vervalsen van certificaten voor codeondertekening.

"De meeste ondernemingen beheren de risico's die aan deze aanvallen zijn verbonden niet actief en zijn niet klaar om snel te reageren op afwegingen," hij schreef Derek E. Brink, Vice President en IT Security Fellow bij Aberdeen Group. "Door bedrijven in staat te stellen de operationele aspecten van certificaatbeheer in handen te leggen van experts, terwijl ze tegelijkertijd de controle over het groepsbeleid in Active Directory behouden, wil GlobalSign de toekomstige groei van het certificaatgebruik veiligstellen door praktische beveiligings- en vertrouwensproblemen op een efficiënte, kostenbesparende manier aan te pakken." -effectief inzetmodel."

Hoe AEG werkt

Een typisch systeem met AEG bevat vier belangrijke componenten om ervoor te zorgen dat de juiste certificaten naar de juiste toegangspunten worden verzonden:

1. AEG-software op Windows-server.
2. Active Directory-servers of domeincontrollers waarmee beheerders informatie over bronnen kunnen beheren en opslaan.
3. Eindpunten: gebruikers, apparaten, servers en werkstations - vrijwel elke entiteit die een "consument" is van digitale certificaten.
4. Een GlobalSign Certification Authority, of GCC, die bovenop een vertrouwd platform voor de uitgifte en het beheer van certificaten zit. Hier worden certificaten gegenereerd.

Drie van de vier getoonde componenten zijn on-premises bij de klant en de vierde bevindt zich in de cloud.

Eerst worden de eindpunten vooraf geconfigureerd met behulp van groepsbeleid: bijvoorbeeld certificaatvalidatie voor gebruikersauthenticatie, S/MIME-aanvraag voor het certificaat, enzovoort - voor daaropvolgende verbinding met de AEG-server. De verbinding is beveiligd via HTTPS.

De AEG-server vraagt ​​Active Directory via LDAP om een ​​lijst met certificaatsjablonen voor deze eindpunten en stuurt de lijst naar clients samen met de locatie van de CA. Na ontvangst van deze regels maken de endpoints opnieuw verbinding met de AEG-server, dit keer om de daadwerkelijke certificaten aan te vragen. AEG maakt op zijn beurt een API-aanroep met de gespecificeerde parameters en stuurt deze naar de GlobalSign Certification Authority of GCC voor verwerking.

Ten slotte verwerkt de GCC-backend de verzoeken, meestal binnen enkele seconden, en stuurt een API-antwoord samen met een certificaat dat op verzoek op de eindpunten wordt geïnstalleerd.

Het hele proces duurt enkele seconden en kan volledig worden geautomatiseerd door eindpunten te configureren om automatisch certificaten te verkrijgen met behulp van groepsbeleid.

Unieke AEG-functies

• U kunt zich inschrijven via het MDM-platform.
• Ontwikkeld door voormalige medewerkers van het Microsoft Crypto-team.
• Oplossing zonder klant.
• Vereenvoudigde implementatie en levenscyclusbeheer.

Architectuur voorbeelden

Extern PKI-beheer via de GlobalSign AEG-gateway betekent dus meer veiligheid, kostenbesparingen en risicovermindering. Een ander voordeel is eenvoudige schaalbaarheid en verbeterde prestaties. Een goed beheerde PKI zorgt voor een lange uptime, elimineert verstoring van kritieke activiteiten als gevolg van ongeldige certificaten en biedt werknemers veilige toegang op afstand tot bedrijfsnetwerken.

AEG ondersteunt een breed scala aan use-cases die tweefactorauthenticatie vereisen, van externe werkgroepclients die toegang hebben tot het netwerk via VPN en Wi-Fi, tot geprivilegieerde toegang tot zeer gevoelige bronnen via smartcards.

GlobalSign is een wereldleider in het leveren van cloud- en netwerk-PKI-oplossingen voor identiteits- en toegangsbeheer. Voor meer productinformatie kunt u contact opnemen met onze beheerders.

Bron: www.habr.com