Brukere kan ikke stole på. For det meste er de late og velger komfort fremfor sikkerhet. I følge statistikk skriver 21 % ned passordene sine for arbeidskontoer på papir, 50 % angir de samme passordene for jobb og personlige tjenester.
Miljøet er også fiendtlig. 74 % av organisasjonene tillater at personlige enheter tas med på jobb og kobles til bedriftsnettverket. 94 % av brukerne kan ikke skille mellom en ekte e-post og en phishing, 11 % klikket på vedlegg.
Alle disse problemene løses av en bedriftens offentlige nøkkelinfrastruktur (PKI), som gir e-postkryptering og autentisering, og erstatter passord med digitale sertifikater. Denne infrastrukturen kan bygges opp på Windows Server. I følge , Active Directory Certificate Services (AD CS) er en server som lar deg opprette en PKI i organisasjonen din og bruke offentlig nøkkelkryptering, digitale sertifikater og digitale signaturer.
Men Microsofts løsning er ganske dyr.
Totale eierkostnader for en Microsoft Private CA
Sammenligning av eierkostnader mellom Microsoft CA og GlobalSign AEG.
I mange situasjoner er det mer praktisk og billigere å opprette den samme private sertifiseringsinstansen, men med ekstern ledelse. Dette er akkurat problemet GlobalSign Auto Enrollment Gateway (AEG) løser. Flere utgiftslinjer er ekskludert fra de totale eierkostnadene (kjøp av utstyr, støttekostnader, opplæring av personalet osv.). Besparelser kan overstige .
Hva er AEG
(AEG) er en programvaretjeneste som fungerer som en gateway mellom SaaS GlobalSign-sertifikattjenester og et Windows-bedriftsmiljø.
AEG integreres med Active Directory, slik at organisasjoner kan automatisere registrering, klargjøring og administrasjon av GlobalSign digitale sertifikater i et Windows-miljø. Ved å erstatte interne CA-er med GlobalSign-tjenester, øker bedrifter sikkerheten og reduserer kostnadene ved å administrere en kompleks og kostbar intern Microsoft CA.
GlobalSign SaaS Certificate Services er et mer pålitelig alternativ enn svake og uadministrerte sertifikater på din egen infrastruktur. Å eliminere behovet for å administrere en ressurskrevende intern CA reduserer de totale eierkostnadene for PKI, samt risikoen for systemfeil.
Støtte for SCEP- og ACME-protokoller utvider støtten utover Windows, inkludert automatisert sertifikatutstedelse for Linux-servere, mobile enheter, nettverksenheter og andre enheter, samt Apple OSX-datamaskiner registrert i Active Directory.
Forbedret sikkerhet
I tillegg til å spare penger, forbedrer outsourcet PKI-administrasjon systemsikkerheten. Som Aberdeen Group-studien bemerker, blir sertifikater i økende grad målrettet av angripere som lykkes med å utnytte kjente sårbarheter som upålitelige selvsignerte sertifikater, svak kryptering og tungvinte tilbakekallingsmekanismer. I tillegg har angripere mestret mer sofistikerte utnyttelser, for eksempel uredelig utstedelse av sertifikater fra klarerte CAer og forfalskning av kodesigneringssertifikater.
"De fleste bedrifter håndterer ikke aktivt risikoen forbundet med disse angrepene og er ikke klare til å reagere raskt på avveininger," Derek E. Brink, visepresident og IT-sikkerhetsstipendiat i Aberdeen Group. "Ved å gjøre det mulig for bedrifter å legge de operative aspektene ved sertifikatadministrasjon i hendene på eksperter samtidig som de opprettholder bedriftens kontroll over gruppepolicyer i Active Directory, har GlobalSign som mål å sikre fremtidig vekst av sertifikatbruk ved å adressere praktiske sikkerhets- og tillitsproblemer på en effektiv og kostnadseffektiv måte. -effektiv distribusjonsmodell."
Hvordan AEG fungerer
Et typisk system med AEG inkluderer fire nøkkelkomponenter for å sikre at de riktige sertifikatene sendes til de riktige tilgangspunktene:
- AEG-programvare på Windows-serveren.
- Active Directory-servere eller domenekontrollere som lar administratorer administrere og lagre informasjon om ressurser.
- Endepunkter: brukere, enheter, servere og arbeidsstasjoner - praktisk talt enhver enhet som er en "forbruker" av digitale sertifikater.
- En GlobalSign Certification Authority, eller GCC, som sitter på toppen av en pålitelig sertifikatutstedelse og administrasjonsplattform. Det er her sertifikater genereres.
Tre av de fire komponentene som vises er lokalt hos klienten, og den fjerde er i skyen.
Først blir endepunktene forhåndskonfigurert ved hjelp av gruppepolicyer: for eksempel sertifikatvalidering for brukerautentisering, S/MIME-forespørsel for sertifikatet, og så videre - for påfølgende tilkobling til AEG-serveren. Tilkoblingen er sikker over HTTPS.
AEG-serveren spør Active Directory via LDAP for en liste over sertifikatmaler for disse endepunktene og sender listen til klienter sammen med plasseringen til CA. Etter å ha mottatt disse reglene kobler endepunktene til AEG-serveren igjen, denne gangen for å be om de faktiske sertifikatene. AEG oppretter på sin side et API-kall med de spesifiserte parameterne og sender det til GlobalSign Certification Authority eller GCC for behandling.
Til slutt behandler GCC-backend forespørslene, vanligvis innen noen få sekunder, og sender et API-svar sammen med et sertifikat som vil bli installert på endepunktene på forespørsel.
Hele prosessen tar noen sekunder og kan fullautomatiseres ved å konfigurere endepunkter for automatisk å få sertifikater ved hjelp av gruppepolicyer.
AEG unike funksjoner
- Du kan registrere deg gjennom MDM-plattformen.
- Utviklet av tidligere ansatte fra Microsoft Crypto-teamet.
- Løsning uten klient.
- Forenklet implementering og livssyklusstyring.
Arkitektur eksempler
Dermed betyr ekstern PKI-administrasjon gjennom GlobalSign AEG-gatewayen økt sikkerhet, kostnadsbesparelser og risikoreduksjon. En annen fordel er enkel skalerbarhet og forbedret ytelse. Riktig administrert PKI sikrer lang oppetid, eliminerer forstyrrelser i kritiske operasjoner på grunn av ugyldige sertifikater, og tilbyr ansatte ekstern, sikker tilgang til bedriftens nettverk.
støtter et bredt spekter av brukstilfeller som krever tofaktorautentisering, fra eksterne arbeidsgruppeklienter som får tilgang til nettverket via VPN og Wi-Fi, til privilegert tilgang til svært sensitive ressurser via smartkort.
GlobalSign er en global leder innen å tilby sky- og nettverksbaserte PKI-løsninger for identitets- og tilgangsadministrasjon. For mer produktinformasjon, vennligst kontakt .
Kilde: www.habr.com