Uporabnikom ni mogoče zaupati. Večinoma so leni in izberejo udobje pred varnostjo. Po statističnih podatkih 21% zapiše svoja gesla za službene račune na papirju, 50% jih navede enaka gesla za službene in osebne storitve.
Tudi okolje je sovražno. 74 % organizacij omogoča, da osebne naprave prinesete na delo in jih povežete z omrežjem podjetja. 94 % uporabnikov ne loči med pravim e-poštnim sporočilom in lažnim lažnim predstavljanjem, 11 % jih je klikalo priponke.
Vse te težave rešuje korporativna infrastruktura javnih ključev (PKI), ki omogoča šifriranje in avtentikacijo pošte ter nadomesti gesla z digitalnimi potrdili. To infrastrukturo je mogoče dvigniti na Windows Server. Po navedbah , Active Directory Certificate Services (AD CS) je strežnik, ki vam omogoča ustvarjanje PKI v vaši organizaciji in uporabo kriptografije javnih ključev, digitalnih potrdil in digitalnih podpisov.
Toda Microsoftova rešitev je precej draga.
Skupni stroški lastništva za Microsoft Private CA
Primerjava stroškov lastništva med Microsoft CA in GlobalSign AEG.
V mnogih situacijah je bolj priročno in ceneje ustvariti isti zasebni overitelj potrdil, vendar z zunanjim upravljanjem. Prav to je težava, ki jo rešuje GlobalSign Auto Enrollment Gateway (AEG). Iz skupnih stroškov lastništva je izločenih več vrstic stroškov (nakup opreme, podporni stroški, izobraževanje osebja itd.). Prihranki lahko presežejo .
Kaj je AEG
(AEG) je storitev programske opreme, ki deluje kot prehod med storitvami potrdil SaaS GlobalSign in okoljem podjetja Windows.
AEG se integrira z Active Directory, kar organizacijam omogoča avtomatizacijo registracije, zagotavljanja in upravljanja digitalnih potrdil GlobalSign v okolju Windows. Z zamenjavo notranjih CA s storitvami GlobalSign podjetja povečajo varnost in zmanjšajo stroške upravljanja zapletene in drage notranje Microsoft CA.
GlobalSign SaaS Certificate Services je bolj zanesljiva možnost kot šibka in neupravljana potrdila na vaši lastni infrastrukturi. Odprava potrebe po upravljanju interne službe za potrdila, ki zahteva veliko virov, zmanjša skupne stroške lastništva PKI, pa tudi tveganje za okvare sistema.
Podpora za protokola SCEP in ACME razširi podporo izven sistema Windows, vključno z avtomatsko izdajo certifikatov za strežnike Linux, mobilne naprave, omrežne naprave in druge naprave ter računalnike Apple OSX, registrirane v imeniku Active Directory.
Izboljšana varnost
Zunanje upravljanje PKI poleg prihranka denarja izboljša varnost sistema. Kot ugotavlja študija skupine Aberdeen, so potrdila vedno bolj tarča napadalcev, ki uspešno izkoriščajo znane ranljivosti, kot so nezaupljiva samopodpisana potrdila, šibko šifriranje in okorni mehanizmi za preklic. Poleg tega so napadalci obvladali bolj sofisticirane podvige, kot je goljufivo izdajanje potrdil zaupanja vrednih CA in ponarejanje potrdil za podpisovanje kode.
"Večina podjetij ne obvladuje aktivno tveganj, povezanih s temi napadi, in se ni pripravljena hitro odzvati na kompromise," Derek E. Brink, podpredsednik in sodelavec za IT varnost pri Aberdeen Group. »Z omogočanjem podjetjem, da operativne vidike upravljanja s certifikati prepustijo strokovnjakom, hkrati pa ohranjajo korporativni nadzor nad pravilniki skupine v Active Directoryju, želi GlobalSign zagotoviti prihodnjo rast uporabe certifikatov z obravnavanjem praktičnih vprašanj varnosti in zaupanja na učinkovit in stroškovno učinkovit način. -model učinkovite uvedbe."
Kako deluje AEG
Tipičen sistem z AEG vključuje štiri ključne komponente, ki zagotavljajo pošiljanje pravilnih potrdil na prave dostopne točke:
- Programska oprema AEG na strežniku Windows.
- Strežniki Active Directory ali krmilniki domen, ki skrbnikom omogočajo upravljanje in shranjevanje informacij o virih.
- Končne točke: uporabniki, naprave, strežniki in delovne postaje – tako rekoč vsak subjekt, ki je »potrošnik« digitalnih potrdil.
- GlobalSign Certification Authority ali GCC, ki je na vrhu zaupanja vredne platforme za izdajo in upravljanje potrdil. Tukaj se generirajo certifikati.
Tri od štirih prikazanih komponent so na mestu uporabe pri odjemalcu, četrta pa je v oblaku.
Prvič, končne točke so vnaprej konfigurirane z uporabo skupinskih pravilnikov: na primer preverjanje veljavnosti potrdila za preverjanje pristnosti uporabnika, zahteva S/MIME za potrdilo in tako naprej - za poznejšo povezavo s strežnikom AEG. Povezava je varna prek HTTPS.
Strežnik AEG poizveduje v imeniku Active Directory prek LDAP za seznam predlog potrdil za te končne točke in pošlje seznam odjemalcem skupaj z lokacijo CA. Po prejemu teh pravil se končne točke znova povežejo s strežnikom AEG, tokrat za zahtevo po dejanskih potrdilih. AEG nato ustvari klic API z navedenimi parametri in ga pošlje v obdelavo certifikacijskemu organu GlobalSign ali GCC.
Končno zaledje GCC obdela zahteve, običajno v nekaj sekundah, in pošlje odgovor API skupaj s potrdilom, ki bo na zahtevo nameščeno na končnih točkah.
Celoten postopek traja nekaj sekund in ga je mogoče popolnoma avtomatizirati s konfiguracijo končnih točk za samodejno pridobivanje potrdil s pravilniki skupine.
Edinstvene lastnosti AEG
- Prijavite se lahko prek platforme MDM.
- Razvili nekdanji zaposleni iz ekipe Microsoft Crypto.
- Rešitev brez stranke.
- Poenostavljeno izvajanje in upravljanje življenjskega cikla.
Primeri arhitekture
Tako zunanje upravljanje PKI prek prehoda GlobalSign AEG pomeni povečano varnost, prihranek stroškov in zmanjšanje tveganja. Druga prednost je enostavna razširljivost in izboljšana zmogljivost. Pravilno upravljan PKI zagotavlja dolgo delovanje, odpravlja motnje v kritičnih operacijah zaradi neveljavnih certifikatov in zaposlenim ponuja oddaljen varen dostop do omrežij podjetja.
podpira široko paleto primerov uporabe, ki zahtevajo dvostopenjsko avtentikacijo, od odjemalcev oddaljenih delovnih skupin, ki dostopajo do omrežja prek VPN in Wi-Fi, do privilegiranega dostopa do zelo občutljivih virov prek pametnih kartic.
GlobalSign je vodilni svetovni ponudnik rešitev v oblaku in omrežnih PKI za upravljanje identitete in dostopa. Za več informacij o izdelku se obrnite na .
Vir: www.habr.com