Përdoruesit nuk mund të besohen. Në pjesën më të madhe, ata janë dembelë dhe zgjedhin rehatinë në vend të sigurisë. Sipas statistikave, 21% shkruajnë fjalëkalimet e tyre për llogaritë e punës në letër, 50% tregojnë të njëjtat fjalëkalime për punë dhe shërbime personale.

Mjedisi është gjithashtu armiqësor. 74% e organizatave lejojnë që pajisjet personale të sillen në punë dhe të lidhen me rrjetin e korporatës. 94% e përdoruesve nuk mund të dallojnë një email të vërtetë nga një phishing, 11% kanë klikuar në bashkëngjitjet.

Të gjitha këto probleme zgjidhen nga një infrastrukturë e çelësit publik të korporatës (PKI), e cila siguron kriptim dhe vërtetim të postës dhe zëvendëson fjalëkalimet me certifikata dixhitale. Kjo infrastrukturë mund të ngrihet në Windows Server. Sipas përshkrim nga MicrosoftShërbimet e Certifikatës së Drejtorisë Active (AD CS) është një server që ju lejon të krijoni një PKI në organizatën tuaj dhe të përdorni kriptografinë e çelësit publik, certifikatat dixhitale dhe nënshkrimet dixhitale.

Por zgjidhja e Microsoft është mjaft e shtrenjtë.

Kostoja totale e pronësisë për një autoritet privat certifikimi nga Microsoft

Krahasimi i kostos së pronësisë së Microsoft CA dhe GlobalSign AEG. Burim

Në shumë situata, është më e përshtatshme dhe më e lirë të krijohet i njëjti autoritet privat certifikimi, por me menaxhim të jashtëm. GlobalSign Auto Enrollment Gateway (AEG) zgjidh pikërisht këtë problem. Disa linja kostoje përjashtohen nga kostoja totale e pronësisë (blerja e pajisjeve, kostot e mbështetjes, trajnimi i personelit, etj.). Kursimet mund të tejkalojnë 50% e kostos totale të pronësisë.

Çfarë është AEG

Porta e regjistrimit automatik (AEG) është një shërbim softuerësh që vepron si një portë midis shërbimeve të certifikatës SaaS të GlobalSign dhe mjedisit të ndërmarrjes Windows.

AEG integrohet me Active Directory, duke i lejuar organizatat të automatizojnë regjistrimin, sigurimin dhe menaxhimin e certifikatave dixhitale GlobalSign në një mjedis Windows. Duke zëvendësuar CA-të e brendshme me shërbimet GlobalSign, ndërmarrjet rrisin sigurinë dhe ulin koston e menaxhimit të një CA të brendshme komplekse dhe të kushtueshme të Microsoft.

Shërbimet e Certifikatës GlobalSign SaaS janë një opsion më i sigurt se certifikatat e dobëta dhe të pamenaxhuara në infrastrukturën tuaj. Eliminimi i nevojës për të menaxhuar një CA të brendshme me burime intensive redukton koston totale të pronësisë së PKI si dhe rrezikun e dështimeve të sistemit.

Mbështetja për protokollet SCEP dhe ACME shtrin mbështetjen përtej Windows, duke përfshirë lëshimin e automatizuar të certifikatës për serverët Linux, celularët, rrjetin dhe pajisje të tjera, si dhe kompjuterët Apple OSX të regjistruar në Active Directory.

Siguri e zgjeruar

Përveç kursimit të buxhetit, menaxhimi i jashtëm PKI përmirëson sigurinë e sistemit. Siç vërehet në studimin e Aberdeen Group, certifikatat po shënjestrohen gjithnjë e më shumë nga sulmuesit, të cilët shfrytëzojnë me sukses dobësitë e njohura si certifikatat e dobëta të vetë-nënshkruara, enkriptimin e dobët dhe mekanizmat e rëndë të revokimit. Përveç kësaj, sulmuesit kanë zotëruar shfrytëzime më të sofistikuara, të tilla si lëshimi me mashtrim i certifikatave nga CA të besuara dhe falsifikimi i certifikatave të nënshkrimit të kodit.

"Shumica e ndërmarrjeve nuk janë mjaft proaktive në menaxhimin e rreziqeve që lidhen me këto sulme dhe nuk janë të përgatitura për t'iu përgjigjur shpejt kompromiseve." написал Derek E. Brink është nënkryetar dhe bashkëpunëtor i sigurisë IT në Aberdeen Group. “Duke u mundësuar ndërmarrjeve të vendosin aspektet operacionale të menaxhimit të certifikatave në duart e ekspertëve duke ruajtur kontrollin e korporatës mbi politikat e grupit në Active Directory, GlobalSign synon të mundësojë rritjen e ardhshme në përdorimin e certifikatës duke adresuar çështjet praktike të sigurisë dhe besimit në një mënyrë efikase dhe me kosto modeli efektiv i vendosjes.”

Si funksionon AEG?

Një sistem tipik AEG përfshin katër komponentë kyç për të siguruar që certifikatat e sakta kalojnë në pikat e duhura të aksesit:

1. Softueri AEG në serverin Windows.
2. Serverët e Active Directory ose kontrollorët e domenit që lejojnë administratorët të menaxhojnë dhe ruajnë informacione rreth burimeve.
3. Pikat përfundimtare: përdoruesit, pajisjet, serverët dhe stacionet e punës—praktikisht çdo ent që është "konsumator" i certifikatave dixhitale.
4. Autoriteti i Certifikatave GlobalSign ose GCC, i cili qëndron në krye të një platforme të besuar të lëshimit dhe menaxhimit të certifikatave. Këtu krijohen certifikatat.

Tre nga katër komponentët e paraqitur janë në ambientet e klientit dhe i katërti është në renë kompjuterike.

Së pari, pikat fundore janë konfiguruar paraprakisht duke përdorur politikat e grupit: për shembull, verifikimi i certifikatës për vërtetimin e përdoruesit, kërkesa S/MIME për certifikatën dhe kështu me radhë, për lidhjen pasuese me serverin AEG. Lidhja është e sigurt përmes HTTPS.

Serveri AEG kërkon Active Directory nëpërmjet LDAP për të marrë një listë të modeleve të certifikatave për këto pika fundore dhe ua dërgon listën klientëve së bashku me vendndodhjen e autoritetit të certifikatës. Pas marrjes së këtyre rregullave, pikat fundore lidhen sërish me serverin AEG, këtë herë për të kërkuar certifikatat aktuale. Nga ana tjetër, AEG krijon një thirrje API me parametrat e specifikuar dhe ia dërgon Autoritetit të Certifikimit GlobalSign ose GCC për përpunim.

Së fundi, prapavija e GCC përpunon kërkesat, zakonisht brenda pak sekondash, dhe dërgon një përgjigje në API së bashku me një certifikatë që do të instalohet në pikat fundore sipas kërkesës.

I gjithë procesi zgjat disa sekonda dhe mund të automatizohet plotësisht duke konfiguruar pikat fundore për të marrë automatikisht certifikatat duke përdorur politikat e grupit.

Karakteristikat unike të AEG

• Ju mund të regjistroheni përmes platformës MDM.
• Zhvilluar nga ish-punonjës nga ekipi Microsoft Crypto.
• Zgjidhje pa klient.
• Zbatimi i thjeshtuar dhe menaxhimi i ciklit të jetës.

Shembuj të arkitekturave

Kështu, menaxhimi i jashtëm i PKI-së përmes portës GlobalSign AEG do të thotë siguri e shtuar, kursime në kosto dhe reduktim i rrezikut. Një avantazh tjetër është shkallëzueshmëria e lehtë dhe rritja e performancës. Menaxhimi i duhur i PKI siguron një kohë të gjatë funksionimi, eliminon ndërprerjen e operacioneve kritike për misionin për shkak të certifikatave të pavlefshme dhe u ofron punonjësve qasje të sigurt dhe të largët në rrjetet e kompanisë.

AEG Mbështet një gamë të gjerë rastesh përdorimi që kërkojnë vërtetim me dy faktorë: nga klientët e grupeve të punës në distancë që hyjnë në rrjet nëpërmjet VPN dhe Wi-Fi, te aksesi i privilegjuar në burime shumë të ndjeshme nëpërmjet kartave inteligjente.

GlobalSign është një lider global në ofrimin e zgjidhjeve të identitetit dhe menaxhimit të aksesit në cloud dhe rrjet PKI. Për informacion më të detajuar rreth produkteve, ju lutemi kontaktoni menaxherët tanë.

Burimi: www.habr.com