Użytkownikom nie można ufać. W większości są leniwi i przedkładają wygodę nad bezpieczeństwo. Według statystyk 21% zapisuje swoje hasła do kont służbowych na papierze, 50% wskazuje te same hasła do służbowych i osobistych usług.
Środowisko jest również wrogie. 74% organizacji zezwala na przynoszenie urządzeń osobistych do pracy i podłączanie ich do sieci korporacyjnej. 94% użytkowników nie potrafi odróżnić prawdziwego e-maila od phishingowego, 11% kliknęło załączniki.
Wszystkie te problemy rozwiązuje korporacyjna infrastruktura kluczy publicznych (PKI), która zapewnia szyfrowanie i uwierzytelnianie poczty oraz zastępuje hasła cyfrowymi certyfikatami. Tę infrastrukturę można podnieść w systemie Windows Server. Według
Ale rozwiązanie Microsoftu jest dość drogie.
Całkowity koszt posiadania prywatnego urzędu certyfikacji firmy Microsoft
Porównanie kosztów posiadania między urzędami certyfikacji firmy Microsoft i GlobalSign AEG.
W wielu sytuacjach wygodniejsze i tańsze jest utworzenie tego samego prywatnego urzędu certyfikacji, ale z zewnętrznym zarządzaniem. To jest dokładnie ten problem, który rozwiązuje GlobalSign Auto Enrollment Gateway (AEG). Kilka linii wydatków jest wyłączonych z całkowitego kosztu posiadania (zakup sprzętu, koszty wsparcia, szkolenie personelu itp.). Oszczędności mogą przekroczyć
Co to jest AEG
AEG integruje się z Active Directory, umożliwiając organizacjom automatyzację rejestracji, udostępniania i zarządzania cyfrowymi certyfikatami GlobalSign w środowisku Windows. Zastępując wewnętrzne urzędy certyfikacji usługami GlobalSign, przedsiębiorstwa zwiększają bezpieczeństwo i obniżają koszty zarządzania złożonym i drogim wewnętrznym urzędem certyfikacji firmy Microsoft.
GlobalSign SaaS Certificate Services to bardziej niezawodna opcja niż słabe i niezarządzane certyfikaty we własnej infrastrukturze. Wyeliminowanie konieczności zarządzania wewnętrznym urzędem certyfikacji wymagającym dużych zasobów zmniejsza całkowity koszt posiadania infrastruktury PKI, a także ryzyko awarii systemu.
Obsługa protokołów SCEP i ACME wykracza poza system Windows, w tym automatyczne wystawianie certyfikatów dla serwerów Linux, urządzeń mobilnych, urządzeń sieciowych i innych urządzeń, a także komputerów Apple OSX zarejestrowanych w usłudze Active Directory.
Rozszerzona ochrona
Poza oszczędnościami, outsourcing zarządzania PKI poprawia bezpieczeństwo systemu. Jak zauważono w badaniu Aberdeen Group, certyfikaty są coraz częściej celem atakujących, którzy z powodzeniem wykorzystują znane luki w zabezpieczeniach, takie jak niezaufane certyfikaty z podpisem własnym, słabe szyfrowanie i uciążliwe mechanizmy unieważniania. Ponadto osoby atakujące opanowały bardziej wyrafinowane exploity, takie jak oszukańcze wystawianie certyfikatów z zaufanych urzędów certyfikacji i fałszowanie certyfikatów podpisujących kod.
„Większość przedsiębiorstw nie zarządza aktywnie ryzykiem związanym z tymi atakami i nie jest gotowa do szybkiego reagowania na kompromisy”
Jak działa AEG
Typowy system AEG składa się z czterech kluczowych elementów zapewniających wysyłanie właściwych certyfikatów do właściwych punktów dostępowych:
- Oprogramowanie AEG na serwerze Windows.
- Serwery usługi Active Directory lub kontrolery domeny umożliwiające administratorom zarządzanie i przechowywanie informacji o zasobach.
- Punkty końcowe: użytkownicy, urządzenia, serwery i stacje robocze – praktycznie każdy podmiot będący „konsumentem” certyfikatów cyfrowych.
- Urząd certyfikacji GlobalSign lub GCC, który znajduje się na szczycie zaufanej platformy do wydawania i zarządzania certyfikatami. Tutaj generowane są certyfikaty.
Trzy z czterech pokazanych składników znajdują się lokalnie u klienta, a czwarty w chmurze.
Po pierwsze, punkty końcowe są wstępnie konfigurowane przy użyciu zasad grupy: na przykład sprawdzanie poprawności certyfikatu w celu uwierzytelnienia użytkownika, żądanie S/MIME w celu uzyskania certyfikatu itd. — w celu późniejszego połączenia z serwerem AEG. Połączenie jest bezpieczne przez HTTPS.
Serwer AEG wysyła zapytanie do Active Directory przez LDAP o listę szablonów certyfikatów dla tych punktów końcowych i wysyła listę do klientów wraz z lokalizacją urzędu certyfikacji. Po otrzymaniu tych reguł punkty końcowe ponownie łączą się z serwerem AEG, tym razem w celu zażądania rzeczywistych certyfikatów. AEG z kolei tworzy wywołanie API z określonymi parametrami i wysyła je do GlobalSign Certification Authority lub GCC w celu przetworzenia.
Wreszcie, zaplecze GCC przetwarza żądania, zwykle w ciągu kilku sekund, i wysyła odpowiedź API wraz z certyfikatem, który zostanie zainstalowany na punktach końcowych na żądanie.
Cały proces trwa kilka sekund i można go w pełni zautomatyzować, konfigurując punkty końcowe tak, aby automatycznie uzyskiwały certyfikaty przy użyciu zasad grupy.
Unikalne funkcje AEG
- Możesz zarejestrować się przez platformę MDM.
- Opracowany przez byłych pracowników zespołu Microsoft Crypto.
- Rozwiązanie bez klienta.
- Uproszczona implementacja i zarządzanie cyklem życia.
Przykłady architektury
Zatem zewnętrzne zarządzanie PKI za pośrednictwem bramki GlobalSign AEG oznacza zwiększone bezpieczeństwo, oszczędności kosztów i redukcję ryzyka. Kolejną korzyścią jest łatwa skalowalność i zwiększona wydajność. Odpowiednio zarządzana infrastruktura PKI zapewnia długi czas pracy bez przestojów, eliminuje przerwy w krytycznych operacjach z powodu nieważnych certyfikatów oraz oferuje pracownikom zdalny, bezpieczny dostęp do sieci firmowych.
GlobalSign jest światowym liderem w dostarczaniu chmurowych i sieciowych rozwiązań PKI do zarządzania tożsamością i dostępem. Aby uzyskać więcej informacji o produkcie, prosimy o kontakt
Źródło: www.habr.com