ผู้ใช้ไม่สามารถเชื่อถือได้ ส่วนใหญ่มักขี้เกียจและเลือกความสะดวกสบายมากกว่าความปลอดภัย ตามสถิติ 21% จดรหัสผ่านสำหรับบัญชีที่ทำงานบนกระดาษ 50% ระบุรหัสผ่านเดียวกันสำหรับการทำงานและบริการส่วนบุคคล
สภาพแวดล้อมยังเป็นศัตรู 74% ขององค์กรอนุญาตให้นำอุปกรณ์ส่วนตัวมาทำงานและเชื่อมต่อกับเครือข่ายขององค์กรได้ ผู้ใช้ 94% แยกไม่ออกระหว่างอีเมลจริงกับฟิชชิ่ง 11% คลิกไฟล์แนบ
ปัญหาทั้งหมดนี้แก้ไขได้ด้วยโครงสร้างพื้นฐานคีย์สาธารณะขององค์กร (PKI) ซึ่งให้การเข้ารหัสและการตรวจสอบเมล และแทนที่รหัสผ่านด้วยใบรับรองดิจิทัล สามารถยกโครงสร้างพื้นฐานนี้ได้บน Windows Server ตาม
แต่โซลูชันของ Microsoft มีราคาค่อนข้างแพง
ต้นทุนการเป็นเจ้าของโดยรวมสำหรับ Microsoft Private CA
การเปรียบเทียบต้นทุนการเป็นเจ้าของระหว่าง Microsoft CA และ GlobalSign AEG
ในหลาย ๆ สถานการณ์ การสร้างผู้ออกใบรับรองส่วนตัวเดียวกันจะสะดวกกว่าและถูกกว่า แต่มีการจัดการภายนอก นี่เป็นปัญหาที่ GlobalSign Auto Enrollment Gateway (AEG) แก้ปัญหาได้อย่างแท้จริง ค่าใช้จ่ายหลายรายการไม่รวมอยู่ในต้นทุนรวมของการเป็นเจ้าของ (การซื้ออุปกรณ์ ค่าใช้จ่ายในการสนับสนุน การฝึกอบรมพนักงาน ฯลฯ) ประหยัดได้เกิน
AEG คืออะไร
AEG ผสานรวมกับ Active Directory ช่วยให้องค์กรสามารถลงทะเบียน จัดเตรียม และจัดการใบรับรองดิจิทัล GlobalSign ในสภาพแวดล้อม Windows ได้โดยอัตโนมัติ ด้วยการแทนที่ CA ภายในด้วยบริการ GlobalSign องค์กรจะเพิ่มความปลอดภัยและลดค่าใช้จ่ายในการจัดการ Microsoft CA ภายในที่ซับซ้อนและมีค่าใช้จ่ายสูง
GlobalSign SaaS Certificate Services เป็นตัวเลือกที่เชื่อถือได้มากกว่าใบรับรองที่อ่อนแอและไม่มีการจัดการบนโครงสร้างพื้นฐานของคุณเอง การขจัดความจำเป็นในการจัดการ CA ภายในที่ใช้ทรัพยากรมากช่วยลดต้นทุนรวมในการเป็นเจ้าของ PKI รวมถึงความเสี่ยงจากความล้มเหลวของระบบ
การสนับสนุนโปรโตคอล SCEP และ ACME ขยายการสนับสนุนนอกเหนือจาก Windows รวมถึงการออกใบรับรองอัตโนมัติสำหรับเซิร์ฟเวอร์ Linux อุปกรณ์เคลื่อนที่ อุปกรณ์เครือข่าย และอุปกรณ์อื่นๆ ตลอดจนคอมพิวเตอร์ Apple OSX ที่ลงทะเบียนใน Active Directory
ความปลอดภัยขั้นสูง
นอกจากประหยัดเงินแล้ว การจัดการ PKI จากภายนอกยังช่วยปรับปรุงความปลอดภัยของระบบอีกด้วย จากการศึกษาของ Aberdeen Group พบว่าใบรับรองกำลังตกเป็นเป้าหมายของผู้โจมตีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ที่รู้จัก เช่น ใบรับรองที่ลงนามด้วยตนเองที่ไม่น่าเชื่อถือ การเข้ารหัสที่อ่อนแอ และกลไกการเพิกถอนที่ยุ่งยาก นอกจากนี้ ผู้โจมตียังเชี่ยวชาญการแสวงหาผลประโยชน์ที่ซับซ้อนยิ่งขึ้น เช่น การออกใบรับรองอย่างฉ้อฉลจาก CA ที่เชื่อถือได้ และการปลอมแปลงใบรับรองการลงนามรหัส
“องค์กรส่วนใหญ่ไม่ได้จัดการความเสี่ยงที่เกี่ยวข้องกับการโจมตีเหล่านี้อย่างจริงจัง และไม่พร้อมที่จะตอบสนองต่อการแลกเปลี่ยนอย่างรวดเร็ว”
AEG ทำงานอย่างไร
ระบบ AEG ทั่วไปประกอบด้วยองค์ประกอบหลักสี่ส่วนเพื่อให้แน่ใจว่าใบรับรองที่ถูกต้องถูกส่งไปยังจุดเชื่อมต่อที่ถูกต้อง:
- ซอฟต์แวร์ AEG บนเซิร์ฟเวอร์ Windows
- เซิร์ฟเวอร์ Active Directory หรือตัวควบคุมโดเมนที่อนุญาตให้ผู้ดูแลระบบจัดการและจัดเก็บข้อมูลเกี่ยวกับทรัพยากร
- จุดสิ้นสุด: ผู้ใช้ อุปกรณ์ เซิร์ฟเวอร์ และเวิร์กสเตชัน - แทบทุกเอนทิตีที่เป็น "ผู้บริโภค" ของใบรับรองดิจิทัล
- GlobalSign Certification Authority หรือ GCC ซึ่งอยู่เหนือแพลตฟอร์มการออกใบรับรองและการจัดการที่เชื่อถือได้ นี่คือที่ที่สร้างใบรับรอง
สามในสี่องค์ประกอบที่แสดงอยู่ภายในองค์กรที่ไคลเอ็นต์ และองค์ประกอบที่สี่อยู่ในระบบคลาวด์
ประการแรก จุดสิ้นสุดได้รับการกำหนดค่าล่วงหน้าโดยใช้นโยบายกลุ่ม: ตัวอย่างเช่น การตรวจสอบใบรับรองสำหรับการรับรองความถูกต้องของผู้ใช้ คำขอ S/MIME สำหรับใบรับรอง และอื่นๆ - สำหรับการเชื่อมต่อกับเซิร์ฟเวอร์ AEG ในภายหลัง การเชื่อมต่อมีความปลอดภัยผ่าน HTTPS
เซิร์ฟเวอร์ AEG สืบค้น Active Directory ผ่าน LDAP เพื่อหารายการแม่แบบใบรับรองสำหรับจุดสิ้นสุดเหล่านี้ และส่งรายการไปยังไคลเอนต์พร้อมกับตำแหน่งของ CA หลังจากได้รับกฎเหล่านี้แล้ว อุปกรณ์ปลายทางจะเชื่อมต่อกับเซิร์ฟเวอร์ AEG อีกครั้ง คราวนี้เพื่อขอใบรับรองจริง ในทางกลับกัน AEG จะสร้างการเรียก API ด้วยพารามิเตอร์ที่ระบุ และส่งไปยัง GlobalSign Certification Authority หรือ GCC เพื่อดำเนินการ
สุดท้าย แบ็คเอนด์ GCC จะประมวลผลคำขอ โดยปกติภายในไม่กี่วินาที และส่งการตอบกลับ API พร้อมกับใบรับรองที่จะติดตั้งบนเอ็นด์พอยต์เมื่อมีการร้องขอ
กระบวนการทั้งหมดใช้เวลาไม่กี่วินาที และสามารถทำให้เป็นอัตโนมัติโดยการกำหนดค่าปลายทางเพื่อรับใบรับรองโดยอัตโนมัติโดยใช้นโยบายกลุ่ม
คุณลักษณะเฉพาะของ AEG
- คุณสามารถลงทะเบียนผ่านแพลตฟอร์ม MDM
- พัฒนาโดยอดีตพนักงานจากทีม Microsoft Crypto
- โซลูชันที่ไม่มีลูกค้า
- การใช้งานที่ง่ายขึ้นและการจัดการวงจรชีวิต
ตัวอย่างสถาปัตยกรรม
ดังนั้น การจัดการ PKI ภายนอกผ่านเกตเวย์ GlobalSign AEG จึงช่วยเพิ่มความปลอดภัย ประหยัดค่าใช้จ่าย และลดความเสี่ยง ข้อดีอีกอย่างคือความสามารถในการปรับขนาดได้ง่ายและประสิทธิภาพที่ดีขึ้น PKI ที่มีการจัดการอย่างเหมาะสมช่วยให้มั่นใจได้ถึงสถานะการออนไลน์ที่ยาวนาน ขจัดการหยุดชะงักของการดำเนินงานที่สำคัญเนื่องจากใบรับรองที่ไม่ถูกต้อง และให้พนักงานเข้าถึงเครือข่ายของบริษัทจากระยะไกลและปลอดภัย
GlobalSign เป็นผู้นำระดับโลกในการจัดหาโซลูชัน PKI บนคลาวด์และเครือข่ายสำหรับการจัดการข้อมูลประจำตัวและการเข้าถึง สอบถามข้อมูลสินค้าเพิ่มเติมได้ที่
ที่มา: will.com