Os usuários não são confiáveis. Na maioria das vezes, eles são preguiçosos e preferem o conforto à segurança. Segundo as estatísticas, 21% escrevem suas senhas para contas de trabalho no papel, 50% indicam as mesmas senhas para trabalho e serviços pessoais.
O ambiente também é hostil. 74% das organizações permitem que dispositivos pessoais sejam levados para o trabalho e conectados à rede corporativa. 94% dos usuários não conseguem distinguir entre um e-mail real e um de phishing, 11% clicaram em anexos.
Todos esses problemas são resolvidos por uma infraestrutura corporativa de chave pública (PKI), que fornece criptografia e autenticação de e-mail e substitui senhas por certificados digitais. Essa infraestrutura pode ser levantada no Windows Server. De acordo com
Mas a solução da Microsoft é bastante cara.
Custo total de propriedade para uma AC privada da Microsoft
Comparação de custo de propriedade entre Microsoft CA e GlobalSign AEG.
Em muitas situações, é mais conveniente e barato criar a mesma autoridade de certificação privada, mas com gerenciamento externo. Este é exatamente o problema que o GlobalSign Auto Enrollment Gateway (AEG) resolve. Várias linhas de despesas são excluídas do custo total de propriedade (compra de equipamentos, custos de suporte, treinamento de pessoal, etc.). A economia pode exceder
o que é AEG
O AEG integra-se ao Active Directory, permitindo que as organizações automatizem o registro, provisionamento e gerenciamento de certificados digitais GlobalSign em um ambiente Windows. Ao substituir as CAs internas pelos serviços da GlobalSign, as empresas aumentam a segurança e reduzem o custo de gerenciamento de uma CA interna da Microsoft complexa e cara.
O GlobalSign SaaS Certificate Services é uma opção mais confiável do que certificados fracos e não gerenciados em sua própria infraestrutura. A eliminação da necessidade de gerenciar uma CA interna com uso intensivo de recursos reduz o custo total de propriedade da PKI, bem como o risco de falhas do sistema.
O suporte aos protocolos SCEP e ACME estende o suporte além do Windows, incluindo a emissão automatizada de certificados para servidores Linux, dispositivos móveis, dispositivos de rede e outros dispositivos, bem como computadores Apple OSX registrados no Active Directory.
Segurança melhorada
Além de economizar dinheiro, o gerenciamento de PKI terceirizado melhora a segurança do sistema. Como observa o estudo do Aberdeen Group, os certificados são cada vez mais visados por invasores que exploram com sucesso vulnerabilidades conhecidas, como certificados autoassinados não confiáveis, criptografia fraca e mecanismos de revogação complicados. Além disso, os invasores dominam explorações mais sofisticadas, como a emissão fraudulenta de certificados de CAs confiáveis e a falsificação de certificados de assinatura de código.
“A maioria das empresas não gerencia ativamente os riscos associados a esses ataques e não está pronta para responder rapidamente às compensações”,
Como funciona o AEG
Um sistema AEG típico inclui quatro componentes principais para garantir que os certificados corretos sejam enviados aos pontos de acesso corretos:
- Software AEG no servidor Windows.
- Servidores Active Directory ou controladores de domínio que permitem aos administradores gerenciar e armazenar informações sobre recursos.
- Endpoints: usuários, dispositivos, servidores e estações de trabalho - praticamente qualquer entidade que seja "consumidora" de certificados digitais.
- Uma Autoridade de Certificação GlobalSign, ou GCC, que fica no topo de uma plataforma confiável de emissão e gerenciamento de certificados. É aqui que os certificados são gerados.
Três dos quatro componentes mostrados são locais no cliente e o quarto está na nuvem.
Primeiro, os endpoints são pré-configurados usando políticas de grupo: por exemplo, validação de certificado para autenticação do usuário, solicitação S/MIME para o certificado e assim por diante - para conexão subsequente ao servidor AEG. A conexão é segura por HTTPS.
O servidor AEG consulta o Active Directory via LDAP para obter uma lista de modelos de certificado para esses terminais e envia a lista aos clientes junto com a localização da CA. Depois de receber essas regras, os endpoints se conectam ao servidor AEG novamente, desta vez para solicitar os certificados reais. A AEG, por sua vez, cria uma chamada de API com os parâmetros especificados e a envia para a Autoridade de Certificação GlobalSign ou GCC para processamento.
Por fim, o back-end do GCC processa as solicitações, geralmente em alguns segundos, e envia uma resposta da API junto com um certificado que será instalado nos endpoints mediante solicitação.
Todo o processo leva alguns segundos e pode ser totalmente automatizado configurando endpoints para obter certificados automaticamente usando políticas de grupo.
Recursos exclusivos da AEG
- Você pode se inscrever através da plataforma MDM.
- Desenvolvido por ex-funcionários da equipe Microsoft Crypto.
- Solução sem cliente.
- Implementação simplificada e gerenciamento do ciclo de vida.
Exemplos de arquitetura
Assim, o gerenciamento externo de PKI através do gateway GlobalSign AEG significa maior segurança, economia de custos e redução de riscos. Outro benefício é a fácil escalabilidade e desempenho aprimorado. A PKI gerenciada adequadamente garante um longo tempo de atividade, elimina a interrupção de operações críticas devido a certificados inválidos e oferece aos funcionários acesso remoto e seguro às redes da empresa.
A GlobalSign é líder global no fornecimento de soluções PKI em nuvem e em rede para gerenciamento de identidade e acesso. Para mais informações sobre o produto, entre em contato
Fonte: habr.com