Používateľom sa nedá dôverovať. Väčšinou sú leniví a volia pohodlie pred bezpečnosťou. Podľa štatistík si 21 % zapisuje heslá k pracovným účtom na papier, 50 % uvádza rovnaké heslá pre pracovné a osobné služby.
Nepriateľské je aj prostredie. 74 % organizácií umožňuje preniesť osobné zariadenia do práce a pripojiť ich k podnikovej sieti. 94 % používateľov nevie rozlíšiť medzi skutočným e-mailom a phishingovým, 11 % kliklo na prílohy.
Všetky tieto problémy rieši podniková infraštruktúra verejných kľúčov (PKI), ktorá zabezpečuje šifrovanie pošty a autentifikáciu a nahrádza heslá digitálnymi certifikátmi. Táto infraštruktúra môže byť vytvorená na Windows Server. Podľa , Active Directory Certificate Services (AD CS) je server, ktorý vám umožňuje vytvárať PKI vo vašej organizácii a používať kryptografiu s verejným kľúčom, digitálne certifikáty a digitálne podpisy.
Riešenie od Microsoftu je ale dosť drahé.
Celkové náklady na vlastníctvo súkromnej CA spoločnosti Microsoft
Porovnanie nákladov na vlastníctvo medzi Microsoft CA a GlobalSign AEG.
V mnohých situáciách je pohodlnejšie a lacnejšie vytvoriť rovnakú súkromnú certifikačnú autoritu, ale s externou správou. Presne tento problém rieši GlobalSign Auto Enrollment Gateway (AEG). Z celkových nákladov na vlastníctvo je vylúčených niekoľko položiek výdavkov (nákup vybavenia, náklady na podporu, školenie personálu atď.). Úspory môžu prekročiť .
Čo je AEG
(AEG) je softvérová služba, ktorá funguje ako brána medzi certifikačnými službami SaaS GlobalSign a podnikovým prostredím Windows.
AEG sa integruje s Active Directory, čo umožňuje organizáciám automatizovať registráciu, poskytovanie a správu digitálnych certifikátov GlobalSign v prostredí Windows. Nahradením interných CA službami GlobalSign podniky zvyšujú bezpečnosť a znižujú náklady na správu komplexnej a drahej internej CA spoločnosti Microsoft.
GlobalSign SaaS Certificate Services je spoľahlivejšia možnosť ako slabé a nespravované certifikáty na vašej vlastnej infraštruktúre. Eliminácia potreby spravovať internú CA náročnú na zdroje znižuje celkové náklady na vlastníctvo PKI, ako aj riziko zlyhania systému.
Podpora protokolov SCEP a ACME rozširuje podporu mimo Windows, vrátane automatického vydávania certifikátov pre servery Linux, mobilné zariadenia, sieťové zariadenia a ďalšie zariadenia, ako aj počítače Apple OSX registrované v Active Directory.
Zvýšená bezpečnosť
Okrem šetrenia peňazí, outsourcovaná správa PKI zlepšuje bezpečnosť systému. Ako poznamenáva štúdia Aberdeen Group, certifikáty sú čoraz častejšie terčom útokov, ktorí úspešne využívajú známe zraniteľnosti, ako sú nedôveryhodné certifikáty s vlastným podpisom, slabé šifrovanie a ťažkopádne mechanizmy odvolania. Okrem toho útočníci zvládli sofistikovanejšie exploity, ako napríklad podvodné vydávanie certifikátov od dôveryhodných CA a falšovanie certifikátov na podpisovanie kódu.
„Väčšina podnikov aktívne neriadi riziká spojené s týmito útokmi a nie je pripravená rýchlo reagovať na kompromisy,“ Derek E. Brink, viceprezident a IT Security Fellow v Aberdeen Group. „Umožnením podnikom zveriť prevádzkové aspekty správy certifikátov do rúk odborníkov pri zachovaní podnikovej kontroly nad skupinovými politikami v službe Active Directory sa spoločnosť GlobalSign snaží zabezpečiť budúci rast používania certifikátov riešením praktických problémov bezpečnosti a dôvery efektívnym a cenovo dostupným spôsobom. - efektívny model nasadenia."
Ako funguje AEG
Typický systém s AEG obsahuje štyri kľúčové komponenty, ktoré zaisťujú odosielanie správnych certifikátov na správne prístupové body:
- Softvér AEG na serveri Windows.
- Servery Active Directory alebo radiče domény, ktoré umožňujú správcom spravovať a ukladať informácie o zdrojoch.
- Koncové body: používatelia, zariadenia, servery a pracovné stanice – prakticky každá entita, ktorá je „spotrebiteľom“ digitálnych certifikátov.
- Certifikačná autorita GlobalSign alebo GCC, ktorá sa nachádza na vrchole dôveryhodnej platformy na vydávanie a správu certifikátov. Tu sa generujú certifikáty.
Tri zo štyroch zobrazených komponentov sú lokálne u klienta a štvrtý je v cloude.
Po prvé, koncové body sú vopred nakonfigurované pomocou skupinových politík: napríklad overenie certifikátu na overenie používateľa, žiadosť o certifikát S/MIME atď. - pre následné pripojenie k serveru AEG. Pripojenie je zabezpečené cez HTTPS.
Server AEG požiada Active Directory cez LDAP o zoznam šablón certifikátov pre tieto koncové body a pošle zoznam klientom spolu s umiestnením CA. Po prijatí týchto pravidiel sa koncové body znova pripájajú k serveru AEG, tentoraz s cieľom vyžiadať skutočné certifikáty. AEG zase vytvorí volanie API so špecifikovanými parametrami a odošle ho na spracovanie do certifikačnej autority GlobalSign alebo GCC.
Nakoniec back-end GCC spracuje požiadavky, zvyčajne v priebehu niekoľkých sekúnd, a odošle odpoveď API spolu s certifikátom, ktorý sa na požiadanie nainštaluje na koncové body.
Celý proces trvá niekoľko sekúnd a môže byť plne automatizovaný konfiguráciou koncových bodov na automatické získavanie certifikátov pomocou skupinových politík.
Jedinečné vlastnosti AEG
- Môžete sa zaregistrovať prostredníctvom platformy MDM.
- Vyvinutý bývalými zamestnancami tímu Microsoft Crypto.
- Riešenie bez klienta.
- Zjednodušená implementácia a správa životného cyklu.
Príklady architektúry
Externá správa PKI prostredníctvom brány GlobalSign AEG teda znamená zvýšenú bezpečnosť, úsporu nákladov a zníženie rizika. Ďalšou výhodou je jednoduchá škálovateľnosť a vyšší výkon. Správne spravované PKI zaisťuje dlhú dobu prevádzkyschopnosti, eliminuje prerušenie kritických operácií v dôsledku neplatných certifikátov a ponúka zamestnancom vzdialený a bezpečný prístup k podnikovým sieťam.
podporuje širokú škálu prípadov použitia, ktoré vyžadujú dvojfaktorovú autentifikáciu, od klientov vzdialenej pracovnej skupiny pristupujúcich k sieti cez VPN a Wi-Fi až po privilegovaný prístup k vysoko citlivým zdrojom prostredníctvom čipových kariet.
GlobalSign je globálny líder v poskytovaní cloudových a sieťových riešení PKI pre správu identity a prístupu. Pre viac informácií o produkte kontaktujte .
Zdroj: hab.com