Utilizatorii nu pot fi de încredere. În cea mai mare parte, sunt leneși și aleg confortul decât siguranță. Conform statisticilor, 21% își notează parolele pentru conturile de serviciu pe hârtie, 50% indică aceleași parole pentru serviciu și servicii personale.

Mediul este, de asemenea, ostil. 74% dintre organizații permit ca dispozitivele personale să fie aduse la serviciu și conectate la rețeaua corporativă. 94% dintre utilizatori nu pot face distincția între un e-mail real și unul de phishing, 11% au dat clic pe atașamente.

Toate aceste probleme sunt rezolvate de o infrastructură de cheie publică (PKI) corporativă, care asigură criptarea și autentificarea e-mailului și înlocuiește parolele cu certificate digitale. Această infrastructură poate fi ridicată pe Windows Server. Conform descriere de la Microsoft, Active Directory Certificate Services (AD CS) este un server care vă permite să creați un PKI în organizația dvs. și să utilizați criptografie cu cheie publică, certificate digitale și semnături digitale.

Dar soluția Microsoft este destul de scumpă.

Costul total de proprietate pentru un CA privat Microsoft

Comparația costului de proprietate între Microsoft CA și GlobalSign AEG. Sursă

În multe situații, este mai convenabil și mai ieftin să creați aceeași autoritate de certificare privată, dar cu management extern. Aceasta este exact problema pe care GlobalSign Auto Enrollment Gateway (AEG) o rezolvă. Mai multe linii de cheltuieli sunt excluse din costul total de proprietate (achiziționarea de echipamente, costuri de suport, pregătirea personalului etc.). Economiile pot depăși 50% din costul total de proprietate.

Ce este AEG

Gateway de înregistrare automată (AEG) este un serviciu software care acționează ca o poartă între serviciile de certificate SaaS GlobalSign și un mediu de întreprindere Windows.

AEG se integrează cu Active Directory, permițând organizațiilor să automatizeze înregistrarea, furnizarea și gestionarea certificatelor digitale GlobalSign într-un mediu Windows. Prin înlocuirea CA-urilor interne cu serviciile GlobalSign, întreprinderile sporesc securitatea și reduc costurile de gestionare a unui CA intern complex și costisitor Microsoft.

Serviciile de certificate GlobalSign SaaS sunt o opțiune mai fiabilă decât certificatele slabe și negestionate pe propria infrastructură. Eliminarea necesității de a gestiona un CA intern care necesită mult resurse reduce costul total de proprietate al PKI, precum și riscul defecțiunilor sistemului.

Suportul pentru protocoalele SCEP și ACME extinde suportul dincolo de Windows, inclusiv eliberarea automată a certificatelor pentru servere Linux, dispozitive mobile, dispozitive de rețea și alte dispozitive, precum și computerele Apple OSX înregistrate în Active Directory.

Securitate sporită

Pe lângă economisirea de bani, managementul PKI externalizat îmbunătățește securitatea sistemului. După cum notează studiul Aberdeen Group, certificatele sunt din ce în ce mai mult vizate de atacatori care exploatează cu succes vulnerabilități cunoscute, cum ar fi certificate autosemnate neîncrezătoare, criptare slabă și mecanisme de revocare greoaie. În plus, atacatorii au stăpânit exploit-uri mai sofisticate, cum ar fi emiterea frauduloasă de certificate de la CA de încredere și falsificarea certificatelor de semnare a codului.

„Majoritatea întreprinderilor nu gestionează în mod activ riscurile asociate cu aceste atacuri și nu sunt pregătite să răspundă rapid la compromisuri.” a scris Derek E. Brink, vicepreședinte și membru în domeniul securității IT la Aberdeen Group. „Permițând întreprinderilor să plaseze aspectele operaționale ale managementului certificatelor în mâinile experților, menținând în același timp controlul corporativ asupra politicilor de grup în Active Directory, GlobalSign își propune să asigure creșterea viitoare a utilizării certificatelor, abordând problemele practice de securitate și încredere într-un mod eficient, de cost. -model de implementare eficient."

Cum funcționează AEG

Un sistem AEG tipic include patru componente cheie pentru a se asigura că certificatele corecte sunt trimise la punctele de acces corecte:

1. Software-ul AEG pe serverul Windows.
2. Servere Active Directory sau controlere de domeniu care permit administratorilor să gestioneze și să stocheze informații despre resurse.
3. Puncte finale: utilizatori, dispozitive, servere și stații de lucru - practic orice entitate care este „consumator” de certificate digitale.
4. O Autoritate de Certificare GlobalSign, sau GCC, care se află deasupra unei platforme de eliberare și gestionare a certificatelor de încredere. Aici sunt generate certificatele.

Trei dintre cele patru componente afișate sunt on-premise la client, iar a patra este în cloud.

În primul rând, punctele finale sunt preconfigurate folosind politici de grup: de exemplu, validarea certificatului pentru autentificarea utilizatorului, cererea S/MIME pentru certificat și așa mai departe - pentru conexiunea ulterioară la serverul AEG. Conexiunea este securizată prin HTTPS.

Serverul AEG interogează Active Directory prin LDAP pentru o listă de șabloane de certificat pentru aceste puncte finale și trimite lista clienților împreună cu locația CA. După ce primesc aceste reguli, punctele finale se conectează din nou la serverul AEG, de data aceasta pentru a solicita certificatele reale. AEG, la rândul său, creează un apel API cu parametrii specificați și îl trimite către Autoritatea de Certificare GlobalSign sau GCC pentru procesare.

În cele din urmă, back-end-ul GCC procesează cererile, de obicei în câteva secunde, și trimite un răspuns API împreună cu un certificat care va fi instalat pe punctele finale la cerere.

Întregul proces durează câteva secunde și poate fi complet automatizat prin configurarea punctelor finale pentru a obține automat certificate folosind politicile de grup.

Caracteristici unice AEG

• Vă puteți înscrie prin platforma MDM.
• Dezvoltat de foști angajați din echipa Microsoft Crypto.
• Soluție fără client.
• Implementarea simplificată și managementul ciclului de viață.

Exemple de arhitectură

Astfel, managementul extern PKI prin gateway-ul GlobalSign AEG înseamnă securitate sporită, economii de costuri și reducerea riscurilor. Un alt beneficiu este scalabilitatea ușoară și performanța îmbunătățită. PKI gestionat corespunzător asigură o durată lungă de funcționare, elimină întreruperea operațiunilor critice din cauza certificatelor nevalide și oferă angajaților acces la distanță și securizat la rețelele companiei.

AEG acceptă o gamă largă de cazuri de utilizare care necesită autentificare în doi factori, de la clienții grupului de lucru la distanță care accesează rețeaua prin VPN și Wi-Fi, până la acces privilegiat la resurse extrem de sensibile prin intermediul cardurilor inteligente.

GlobalSign este un lider global în furnizarea de soluții PKI în cloud și în rețea pentru gestionarea identității și a accesului. Pentru mai multe informații despre produs, vă rugăm să contactați managerii noștri.

Sursa: www.habr.com