Корисницима се не може веровати. Углавном су лењи и бирају удобност уместо сигурности. Према статистици, 21% записује своје лозинке за радне налоге на папиру, 50% наводи исте лозинке за рад и личне услуге.
Окружење је такође непријатељско. 74% организација дозвољава доношење личних уређаја на посао и повезивање на корпоративну мрежу. 94% корисника не може да разликује праву е-пошту и пхисхинг, 11% је кликнуло на прилоге.
Све ове проблеме решава корпоративна инфраструктура јавних кључева (ПКИ), која обезбеђује шифровање поште и аутентификацију, и замењује лозинке дигиталним сертификатима. Ова инфраструктура се може подићи на Виндовс Сервер-у. Према , Ацтиве Дирецтори Цертифицате Сервицес (АД ЦС) је сервер који вам омогућава да креирате ПКИ у вашој организацији и користите криптографију јавног кључа, дигиталне сертификате и дигиталне потписе.
Али Мицрософтово решење је прилично скупо.
Укупни трошкови власништва за Мицрософт приватни ЦА
Поређење трошкова власништва између Мицрософт ЦА и ГлобалСигн АЕГ.
У многим ситуацијама је згодније и јефтиније креирати исти приватни ауторитет за сертификате, али са спољним управљањем. Управо ово је проблем који решава ГлобалСигн Ауто Енроллмент Гатеваи (АЕГ). Неколико линија трошкова искључено је из укупних трошкова власништва (набавка опреме, трошкови подршке, обука особља, итд.). Уштеде могу премашити .
Шта је АЕГ
(АЕГ) је софтверска услуга која делује као пролаз између СааС ГлобалСигн услуга сертификата и Виндовс пословног окружења.
АЕГ се интегрише са Ацтиве Дирецтори-ом, омогућавајући организацијама да аутоматизују регистрацију, обезбеђивање и управљање ГлобалСигн дигиталним сертификатима у Виндовс окружењу. Заменом интерних ЦА услугама ГлобалСигн, предузећа повећавају безбедност и смањују трошкове управљања сложеним и скупим интерним Мицрософт ЦА.
ГлобалСигн СааС Цертифицате Сервицес је поузданија опција од слабих и неуправљаних сертификата на вашој сопственој инфраструктури. Елиминисање потребе за управљањем интерним ЦА са интензивним ресурсима смањује укупне трошкове поседовања ПКИ-ја, као и ризик од отказа система.
Подршка за СЦЕП и АЦМЕ протоколе проширује подршку изван Виндовс-а, укључујући аутоматизовано издавање сертификата за Линук сервере, мобилне уређаје, мрежне уређаје и друге уређаје, као и Аппле ОСКС рачунаре регистроване у Ацтиве Дирецтори.
Побољшана безбедност
Поред уштеде новца, спољно управљање ПКИ-јем побољшава безбедност система. Као што примећује студија Абердин групе, сертификати су све више на мети нападача који успешно искоришћавају познате пропусте као што су непоуздани самопотписани сертификати, слабо шифровање и гломазни механизми опозива. Поред тога, нападачи су савладали софистицираније експлоатације, као што је лажно издавање сертификата од поузданих ЦА-а и фалсификовање сертификата за потписивање кода.
„Већина предузећа не управља активно ризицима повезаним са овим нападима и није спремна да брзо одговори на компромисе“, Дерек Е. Бринк, потпредседник и сарадник за ИТ безбедност у Абердин групи. „Омогућавајући предузећима да ставе оперативне аспекте управљања сертификатима у руке стручњака, уз задржавање корпоративне контроле над групним политикама у активном директоријуму, ГлобалСигн има за циљ да обезбеди будући раст употребе сертификата решавањем практичних питања безбедности и поверења на ефикасан и јефтин начин. -ефикасан модел примене."
Како АЕГ функционише
Типичан АЕГ систем укључује четири кључне компоненте како би се осигурало да се исправни сертификати шаљу на исправне приступне тачке:
- АЕГ софтвер на Виндовс серверу.
- Сервери Ацтиве Дирецтори-а или контролери домена који дозвољавају администраторима да управљају и чувају информације о ресурсима.
- Крајње тачке: корисници, уређаји, сервери и радне станице – практично сваки ентитет који је „потрошач“ дигиталних сертификата.
- ГлобалСигн Цертифицатион Аутхорити, или ГЦЦ, који се налази на врху поуздане платформе за издавање и управљање сертификатима. Овде се генеришу сертификати.
Три од четири приказане компоненте су локално на клијенту, а четврта је у облаку.
Прво, крајње тачке су унапред конфигурисане коришћењем смерница групе: на пример, провера ваљаности сертификата за аутентификацију корисника, С/МИМЕ захтев за сертификат и тако даље - за накнадно повезивање са АЕГ сервером. Веза је безбедна преко ХТТПС-а.
АЕГ сервер пита Ацтиве Дирецтори преко ЛДАП-а за листу шаблона сертификата за ове крајње тачке и шаље листу клијентима заједно са локацијом ЦА. Након пријема ових правила, крајње тачке се поново повезују са АЕГ сервером, овог пута да би захтевале стварне сертификате. АЕГ, заузврат, креира АПИ позив са наведеним параметрима и шаље га ГлобалСигн сертификационом органу или ГЦЦ-у на обраду.
Коначно, ГЦЦ бацк енд обрађује захтеве, обично у року од неколико секунди, и шаље АПИ одговор заједно са сертификатом који ће бити инсталиран на крајњим тачкама на захтев.
Цео процес траје неколико секунди и може се потпуно аутоматизовати конфигурисањем крајњих тачака за аутоматско добијање сертификата помоћу групних смерница.
АЕГ јединствене карактеристике
- Можете се пријавити преко МДМ платформе.
- Развили су бивши запослени из Мицрософт Црипто тима.
- Решење без клијента.
- Поједностављена имплементација и управљање животним циклусом.
Примери архитектуре
Стога, екстерно управљање ПКИ преко ГлобалСигн АЕГ гатеваи-а значи повећану сигурност, уштеду трошкова и смањење ризика. Још једна предност је лака скалабилност и побољшане перформансе. Правилно вођен ПКИ обезбеђује дуго време рада, елиминише ометање критичних операција због неважећих сертификата и нуди запосленима удаљени, сигуран приступ мрежама компаније.
подржава широк спектар случајева коришћења који захтевају двофакторску аутентификацију, од удаљених клијената радне групе који приступају мрежи преко ВПН-а и Ви-Фи-ја, до привилегованог приступа високо осетљивим ресурсима путем паметних картица.
ГлобалСигн је глобални лидер у пружању облака и умрежених ПКИ решења за управљање идентитетом и приступом. За више информација о производу, молимо контактирајте .
Извор: ввв.хабр.цом