Os usuários não são confiáveis. Na maioria das vezes, eles são preguiçosos e preferem o conforto à segurança. Segundo as estatísticas, 21% escrevem suas senhas para contas de trabalho no papel, 50% indicam as mesmas senhas para trabalho e serviços pessoais.

O ambiente também é hostil. 74% das organizações permitem que dispositivos pessoais sejam levados para o trabalho e conectados à rede corporativa. 94% dos usuários não conseguem distinguir entre um e-mail real e um de phishing, 11% clicaram em anexos.

Todos esses problemas são resolvidos por uma infraestrutura corporativa de chave pública (PKI), que fornece criptografia e autenticação de e-mail e substitui senhas por certificados digitais. Essa infraestrutura pode ser levantada no Windows Server. De acordo com descrição da Microsoft, Active Directory Certificate Services (AD CS) é um servidor que permite criar uma PKI em sua organização e usar criptografia de chave pública, certificados digitais e assinaturas digitais.

Mas a solução da Microsoft é bastante cara.

Custo total de propriedade para uma AC privada da Microsoft

Comparação de custo de propriedade entre Microsoft CA e GlobalSign AEG. Fonte

Em muitas situações, é mais conveniente e barato criar a mesma autoridade de certificação privada, mas com gerenciamento externo. Este é exatamente o problema que o GlobalSign Auto Enrollment Gateway (AEG) resolve. Várias linhas de despesas são excluídas do custo total de propriedade (compra de equipamentos, custos de suporte, treinamento de pessoal, etc.). A economia pode exceder 50% do custo total de propriedade.

o que é AEG

Gateway de inscrição automática (AEG) é um serviço de software que atua como um gateway entre os serviços de certificado SaaS GlobalSign e um ambiente empresarial Windows.

O AEG integra-se ao Active Directory, permitindo que as organizações automatizem o registro, provisionamento e gerenciamento de certificados digitais GlobalSign em um ambiente Windows. Ao substituir as CAs internas pelos serviços da GlobalSign, as empresas aumentam a segurança e reduzem o custo de gerenciamento de uma CA interna da Microsoft complexa e cara.

O GlobalSign SaaS Certificate Services é uma opção mais confiável do que certificados fracos e não gerenciados em sua própria infraestrutura. A eliminação da necessidade de gerenciar uma CA interna com uso intensivo de recursos reduz o custo total de propriedade da PKI, bem como o risco de falhas do sistema.

O suporte aos protocolos SCEP e ACME estende o suporte além do Windows, incluindo a emissão automatizada de certificados para servidores Linux, dispositivos móveis, dispositivos de rede e outros dispositivos, bem como computadores Apple OSX registrados no Active Directory.

Segurança melhorada

Além de economizar dinheiro, o gerenciamento de PKI terceirizado melhora a segurança do sistema. Como observa o estudo do Aberdeen Group, os certificados são cada vez mais visados ​​por invasores que exploram com sucesso vulnerabilidades conhecidas, como certificados autoassinados não confiáveis, criptografia fraca e mecanismos de revogação complicados. Além disso, os invasores dominam explorações mais sofisticadas, como a emissão fraudulenta de certificados de CAs confiáveis ​​e a falsificação de certificados de assinatura de código.

“A maioria das empresas não gerencia ativamente os riscos associados a esses ataques e não está pronta para responder rapidamente às compensações”, escreveu Derek E. Brink, vice-presidente e bolsista de segurança de TI do Aberdeen Group. "Ao permitir que as empresas coloquem os aspectos operacionais do gerenciamento de certificados nas mãos de especialistas, mantendo o controle corporativo sobre as políticas de grupo no Active Directory, a GlobalSign visa garantir o crescimento futuro do uso de certificados, abordando questões práticas de segurança e confiança de maneira eficiente e econômica. -modelo de implantação eficaz."

Como funciona o AEG

Um sistema AEG típico inclui quatro componentes principais para garantir que os certificados corretos sejam enviados aos pontos de acesso corretos:

1. Software AEG no servidor Windows.
2. Servidores Active Directory ou controladores de domínio que permitem aos administradores gerenciar e armazenar informações sobre recursos.
3. Endpoints: usuários, dispositivos, servidores e estações de trabalho - praticamente qualquer entidade que seja "consumidora" de certificados digitais.
4. Uma Autoridade de Certificação GlobalSign, ou GCC, que fica no topo de uma plataforma confiável de emissão e gerenciamento de certificados. É aqui que os certificados são gerados.

Três dos quatro componentes mostrados são locais no cliente e o quarto está na nuvem.

Primeiro, os endpoints são pré-configurados usando políticas de grupo: por exemplo, validação de certificado para autenticação do usuário, solicitação S/MIME para o certificado e assim por diante - para conexão subsequente ao servidor AEG. A conexão é segura por HTTPS.

O servidor AEG consulta o Active Directory via LDAP para obter uma lista de modelos de certificado para esses terminais e envia a lista aos clientes junto com a localização da CA. Depois de receber essas regras, os endpoints se conectam ao servidor AEG novamente, desta vez para solicitar os certificados reais. A AEG, por sua vez, cria uma chamada de API com os parâmetros especificados e a envia para a Autoridade de Certificação GlobalSign ou GCC para processamento.

Por fim, o back-end do GCC processa as solicitações, geralmente em alguns segundos, e envia uma resposta da API junto com um certificado que será instalado nos endpoints mediante solicitação.

Todo o processo leva alguns segundos e pode ser totalmente automatizado configurando endpoints para obter certificados automaticamente usando políticas de grupo.

Recursos exclusivos da AEG

• Você pode se inscrever através da plataforma MDM.
• Desenvolvido por ex-funcionários da equipe Microsoft Crypto.
• Solução sem cliente.
• Implementação simplificada e gerenciamento do ciclo de vida.

Exemplos de arquitetura

Assim, o gerenciamento externo de PKI através do gateway GlobalSign AEG significa maior segurança, economia de custos e redução de riscos. Outro benefício é a fácil escalabilidade e desempenho aprimorado. A PKI gerenciada adequadamente garante um longo tempo de atividade, elimina a interrupção de operações críticas devido a certificados inválidos e oferece aos funcionários acesso remoto e seguro às redes da empresa.

AEG oferece suporte a uma ampla variedade de casos de uso que exigem autenticação de dois fatores, desde clientes de grupos de trabalho remotos que acessam a rede via VPN e Wi-Fi, até acesso privilegiado a recursos altamente confidenciais por meio de cartões inteligentes.

A GlobalSign é líder global no fornecimento de soluções PKI em nuvem e em rede para gerenciamento de identidade e acesso. Para mais informações sobre o produto, entre em contato nossos gerentes.

Fonte: habr.com