Użytkownikom nie można ufać. W większości są leniwi i przedkładają wygodę nad bezpieczeństwo. Według statystyk 21% zapisuje swoje hasła do kont służbowych na papierze, 50% wskazuje te same hasła do służbowych i osobistych usług.

Środowisko jest również wrogie. 74% organizacji zezwala na przynoszenie urządzeń osobistych do pracy i podłączanie ich do sieci korporacyjnej. 94% użytkowników nie potrafi odróżnić prawdziwego e-maila od phishingowego, 11% kliknęło załączniki.

Wszystkie te problemy rozwiązuje korporacyjna infrastruktura kluczy publicznych (PKI), która zapewnia szyfrowanie i uwierzytelnianie poczty oraz zastępuje hasła cyfrowymi certyfikatami. Tę infrastrukturę można podnieść w systemie Windows Server. Według opis od Microsoftu, Usługi certyfikatów w usłudze Active Directory (AD CS) to serwer, który umożliwia tworzenie infrastruktury PKI w organizacji i korzystanie z kryptografii klucza publicznego, certyfikatów cyfrowych i podpisów cyfrowych.

Ale rozwiązanie Microsoftu jest dość drogie.

Całkowity koszt posiadania prywatnego urzędu certyfikacji firmy Microsoft

Porównanie kosztów posiadania między urzędami certyfikacji firmy Microsoft i GlobalSign AEG. źródło

W wielu sytuacjach wygodniejsze i tańsze jest utworzenie tego samego prywatnego urzędu certyfikacji, ale z zewnętrznym zarządzaniem. To jest dokładnie ten problem, który rozwiązuje GlobalSign Auto Enrollment Gateway (AEG). Kilka linii wydatków jest wyłączonych z całkowitego kosztu posiadania (zakup sprzętu, koszty wsparcia, szkolenie personelu itp.). Oszczędności mogą przekroczyć 50% całkowitego kosztu posiadania.

Co to jest AEG

Brama automatycznej rejestracji (AEG) to usługa oprogramowania, która działa jako brama między usługami certyfikatów SaaS GlobalSign a środowiskiem korporacyjnym Windows.

AEG integruje się z Active Directory, umożliwiając organizacjom automatyzację rejestracji, udostępniania i zarządzania cyfrowymi certyfikatami GlobalSign w środowisku Windows. Zastępując wewnętrzne urzędy certyfikacji usługami GlobalSign, przedsiębiorstwa zwiększają bezpieczeństwo i obniżają koszty zarządzania złożonym i drogim wewnętrznym urzędem certyfikacji firmy Microsoft.

GlobalSign SaaS Certificate Services to bardziej niezawodna opcja niż słabe i niezarządzane certyfikaty we własnej infrastrukturze. Wyeliminowanie konieczności zarządzania wewnętrznym urzędem certyfikacji wymagającym dużych zasobów zmniejsza całkowity koszt posiadania infrastruktury PKI, a także ryzyko awarii systemu.

Obsługa protokołów SCEP i ACME wykracza poza system Windows, w tym automatyczne wystawianie certyfikatów dla serwerów Linux, urządzeń mobilnych, urządzeń sieciowych i innych urządzeń, a także komputerów Apple OSX zarejestrowanych w usłudze Active Directory.

Rozszerzona ochrona

Poza oszczędnościami, outsourcing zarządzania PKI poprawia bezpieczeństwo systemu. Jak zauważono w badaniu Aberdeen Group, certyfikaty są coraz częściej celem atakujących, którzy z powodzeniem wykorzystują znane luki w zabezpieczeniach, takie jak niezaufane certyfikaty z podpisem własnym, słabe szyfrowanie i uciążliwe mechanizmy unieważniania. Ponadto osoby atakujące opanowały bardziej wyrafinowane exploity, takie jak oszukańcze wystawianie certyfikatów z zaufanych urzędów certyfikacji i fałszowanie certyfikatów podpisujących kod.

„Większość przedsiębiorstw nie zarządza aktywnie ryzykiem związanym z tymi atakami i nie jest gotowa do szybkiego reagowania na kompromisy” napisał Derek E. Brink, wiceprezes i specjalista ds. bezpieczeństwa IT w Aberdeen Group. „Umożliwiając przedsiębiorstwom oddanie operacyjnych aspektów zarządzania certyfikatami w ręce ekspertów przy jednoczesnym zachowaniu korporacyjnej kontroli nad zasadami grupy w usłudze Active Directory, GlobalSign ma na celu zabezpieczenie przyszłego wzrostu użycia certyfikatów poprzez rozwiązanie praktycznych problemów związanych z bezpieczeństwem i zaufaniem w wydajny, kosztowy sposób -efektywny model wdrażania.”

Jak działa AEG

Typowy system AEG składa się z czterech kluczowych elementów zapewniających wysyłanie właściwych certyfikatów do właściwych punktów dostępowych:

1. Oprogramowanie AEG na serwerze Windows.
2. Serwery usługi Active Directory lub kontrolery domeny umożliwiające administratorom zarządzanie i przechowywanie informacji o zasobach.
3. Punkty końcowe: użytkownicy, urządzenia, serwery i stacje robocze – praktycznie każdy podmiot będący „konsumentem” certyfikatów cyfrowych.
4. Urząd certyfikacji GlobalSign lub GCC, który znajduje się na szczycie zaufanej platformy do wydawania i zarządzania certyfikatami. Tutaj generowane są certyfikaty.

Trzy z czterech pokazanych składników znajdują się lokalnie u klienta, a czwarty w chmurze.

Po pierwsze, punkty końcowe są wstępnie konfigurowane przy użyciu zasad grupy: na przykład sprawdzanie poprawności certyfikatu w celu uwierzytelnienia użytkownika, żądanie S/MIME w celu uzyskania certyfikatu itd. — w celu późniejszego połączenia z serwerem AEG. Połączenie jest bezpieczne przez HTTPS.

Serwer AEG wysyła zapytanie do Active Directory przez LDAP o listę szablonów certyfikatów dla tych punktów końcowych i wysyła listę do klientów wraz z lokalizacją urzędu certyfikacji. Po otrzymaniu tych reguł punkty końcowe ponownie łączą się z serwerem AEG, tym razem w celu zażądania rzeczywistych certyfikatów. AEG z kolei tworzy wywołanie API z określonymi parametrami i wysyła je do GlobalSign Certification Authority lub GCC w celu przetworzenia.

Wreszcie, zaplecze GCC przetwarza żądania, zwykle w ciągu kilku sekund, i wysyła odpowiedź API wraz z certyfikatem, który zostanie zainstalowany na punktach końcowych na żądanie.

Cały proces trwa kilka sekund i można go w pełni zautomatyzować, konfigurując punkty końcowe tak, aby automatycznie uzyskiwały certyfikaty przy użyciu zasad grupy.

Unikalne funkcje AEG

• Możesz zarejestrować się przez platformę MDM.
• Opracowany przez byłych pracowników zespołu Microsoft Crypto.
• Rozwiązanie bez klienta.
• Uproszczona implementacja i zarządzanie cyklem życia.

Przykłady architektury

Zatem zewnętrzne zarządzanie PKI za pośrednictwem bramki GlobalSign AEG oznacza zwiększone bezpieczeństwo, oszczędności kosztów i redukcję ryzyka. Kolejną korzyścią jest łatwa skalowalność i zwiększona wydajność. Odpowiednio zarządzana infrastruktura PKI zapewnia długi czas pracy bez przestojów, eliminuje przerwy w krytycznych operacjach z powodu nieważnych certyfikatów oraz oferuje pracownikom zdalny, bezpieczny dostęp do sieci firmowych.

AEG obsługuje szeroki zakres przypadków użycia, które wymagają uwierzytelniania dwuskładnikowego, od zdalnych klientów grup roboczych uzyskujących dostęp do sieci przez VPN i Wi-Fi, po uprzywilejowany dostęp do bardzo wrażliwych zasobów za pośrednictwem kart inteligentnych.

GlobalSign jest światowym liderem w dostarczaniu chmurowych i sieciowych rozwiązań PKI do zarządzania tożsamością i dostępem. Aby uzyskać więcej informacji o produkcie, prosimy o kontakt nasi menedżerowie.

Źródło: www.habr.com