Användare kan inte lita på. För det mesta är de lata och väljer komfort framför säkerhet. Enligt statistik skriver 21 % ner sina lösenord för arbetskonton på papper, 50 % anger samma lösenord för arbete och personliga tjänster.

Miljön är också fientlig. 74 % av organisationerna tillåter att personliga enheter tas med till jobbet och kopplas till företagets nätverk. 94 % av användarna kan inte skilja mellan ett riktigt e-postmeddelande och ett nätfiske, 11 % klickade på bilagor.

Alla dessa problem löses av en företagspublik nyckelinfrastruktur (PKI), som tillhandahåller e-postkryptering och autentisering och ersätter lösenord med digitala certifikat. Denna infrastruktur kan byggas upp på Windows Server. Enligt beskrivning från Microsoft, Active Directory Certificate Services (AD CS) är en server som låter dig skapa en PKI i din organisation och använda publik nyckelkryptering, digitala certifikat och digitala signaturer.

Men Microsofts lösning är ganska dyr.

Total ägandekostnad för en Microsoft Private CA

Jämförelse av ägandekostnader mellan Microsoft CA och GlobalSign AEG. Källa

I många situationer är det bekvämare och billigare att skapa samma privata certifikatutfärdare, men med extern förvaltning. Det är just detta problem som GlobalSign Auto Enrollment Gateway (AEG) löser. Flera utgifter ingår inte i den totala ägandekostnaden (inköp av utrustning, supportkostnader, personalutbildning etc.). Besparingar kan överstiga 50 % av den totala ägandekostnaden.

Vad är AEG

Auto Enrollment Gateway (AEG) är en mjukvarutjänst som fungerar som en gateway mellan SaaS GlobalSign-certifikattjänster och en Windows-företagsmiljö.

AEG integreras med Active Directory, vilket gör det möjligt för organisationer att automatisera registrering, provisionering och hantering av GlobalSign digitala certifikat i en Windows-miljö. Genom att ersätta interna CA med GlobalSign-tjänster ökar företag säkerheten och minskar kostnaderna för att hantera en komplex och dyr intern Microsoft CA.

GlobalSign SaaS Certificate Services är ett mer pålitligt alternativ än svaga och ohanterade certifikat på din egen infrastruktur. Att eliminera behovet av att hantera en resurskrävande intern CA minskar den totala ägandekostnaden för PKI, såväl som risken för systemfel.

Stöd för SCEP- och ACME-protokoll utökar stödet bortom Windows, inklusive automatisk utfärdande av certifikat för Linux-servrar, mobila enheter, nätverksenheter och andra enheter, samt Apple OSX-datorer registrerade i Active Directory.

Förbättrad säkerhet

Utöver att spara pengar förbättrar outsourcad PKI-hantering systemsäkerheten. Som Aberdeen Group-studien konstaterar, är certifikat alltmer måltavla av angripare som framgångsrikt utnyttjar kända sårbarheter såsom opålitliga självsignerade certifikat, svag kryptering och besvärliga återkallelsemekanismer. Dessutom har angripare bemästrat mer sofistikerade exploateringar, som att bedrägligt utfärda certifikat från betrodda certifikatutfärdare och förfalska kodsigneringscertifikat.

"De flesta företag hanterar inte aktivt riskerna förknippade med dessa attacker och är inte redo att snabbt svara på avvägningar," jag skrev Derek E. Brink, Vice President och IT-säkerhetsstipendiat på Aberdeen Group. "Genom att göra det möjligt för företag att lägga de operativa aspekterna av certifikathantering i händerna på experter samtidigt som företagets kontroll över grupppolicyer i Active Directory bibehålls, strävar GlobalSign efter att säkra den framtida tillväxten av certifikatanvändning genom att ta itu med praktiska säkerhets- och förtroendefrågor på ett effektivt och kostnadseffektivt sätt. -effektiv implementeringsmodell."

Hur AEG fungerar

Ett typiskt system med AEG inkluderar fyra nyckelkomponenter för att säkerställa att rätt certifikat skickas till rätt åtkomstpunkter:

1. AEG-programvara på Windows-servern.
2. Active Directory-servrar eller domänkontrollanter som tillåter administratörer att hantera och lagra information om resurser.
3. Slutpunkter: användare, enheter, servrar och arbetsstationer - praktiskt taget alla enheter som är en "konsument" av digitala certifikat.
4. En GlobalSign Certification Authority, eller GCC, som sitter ovanpå en pålitlig plattform för utfärdande och hantering av certifikat. Det är här certifikaten genereras.

Tre av de fyra komponenterna som visas är lokalt hos klienten, och den fjärde är i molnet.

Först är slutpunkterna förkonfigurerade med hjälp av grupppolicyer: till exempel certifikatvalidering för användarverifiering, S/MIME-begäran för certifikatet och så vidare - för efterföljande anslutning till AEG-servern. Anslutningen är säker via HTTPS.

AEG-servern frågar Active Directory via LDAP efter en lista med certifikatmallar för dessa slutpunkter och skickar listan till klienter tillsammans med CA:ns plats. Efter att ha mottagit dessa regler ansluter slutpunkterna till AEG-servern igen, denna gång för att begära de faktiska certifikaten. AEG skapar i sin tur ett API-anrop med de angivna parametrarna och skickar det till GlobalSign Certification Authority eller GCC för bearbetning.

Slutligen bearbetar GCC-backend förfrågningarna, vanligtvis inom några sekunder, och skickar ett API-svar tillsammans med ett certifikat som kommer att installeras på slutpunkterna på begäran.

Hela processen tar några sekunder och kan automatiseras helt genom att konfigurera slutpunkter för att automatiskt få certifikat med hjälp av grupppolicyer.

AEG unika egenskaper

• Du kan registrera dig via MDM-plattformen.
• Utvecklad av tidigare anställda från Microsoft Crypto-teamet.
• Lösning utan kund.
• Förenklad implementering och livscykelhantering.

Arkitektur exempel

Extern PKI-hantering genom GlobalSign AEG-gatewayen innebär således ökad säkerhet, kostnadsbesparingar och riskreduktion. En annan fördel är enkel skalbarhet och förbättrad prestanda. Korrekt hanterad PKI säkerställer lång drifttid, eliminerar störningar i kritiska operationer på grund av ogiltiga certifikat och erbjuder anställda fjärråtkomst, säker åtkomst till företagets nätverk.

AEG stöder ett brett utbud av användningsfall som kräver tvåfaktorsautentisering, från fjärrarbetsgruppsklienter som kommer åt nätverket via VPN och Wi-Fi, till privilegierad åtkomst till mycket känsliga resurser via smartkort.

GlobalSign är en global ledare inom att tillhandahålla moln- och nätverksanslutna PKI-lösningar för identitets- och åtkomsthantering. För mer produktinformation, vänligen kontakta våra chefer.

Källa: will.com