ผู้ใช้ไม่สามารถเชื่อถือได้ ส่วนใหญ่มักขี้เกียจและเลือกความสะดวกสบายมากกว่าความปลอดภัย ตามสถิติ 21% จดรหัสผ่านสำหรับบัญชีที่ทำงานบนกระดาษ 50% ระบุรหัสผ่านเดียวกันสำหรับการทำงานและบริการส่วนบุคคล
สภาพแวดล้อมยังเป็นศัตรู 74% ขององค์กรอนุญาตให้นำอุปกรณ์ส่วนตัวมาทำงานและเชื่อมต่อกับเครือข่ายขององค์กรได้ ผู้ใช้ 94% แยกไม่ออกระหว่างอีเมลจริงกับฟิชชิ่ง 11% คลิกไฟล์แนบ
ปัญหาทั้งหมดนี้แก้ไขได้ด้วยโครงสร้างพื้นฐานคีย์สาธารณะขององค์กร (PKI) ซึ่งให้การเข้ารหัสและการตรวจสอบเมล และแทนที่รหัสผ่านด้วยใบรับรองดิจิทัล สามารถยกโครงสร้างพื้นฐานนี้ได้บน Windows Server ตาม , Active Directory Certificate Services (AD CS) เป็นเซิร์ฟเวอร์ที่ให้คุณสร้าง PKI ในองค์กรของคุณ และใช้การเข้ารหัสคีย์สาธารณะ ใบรับรองดิจิทัล และลายเซ็นดิจิทัล
แต่โซลูชันของ Microsoft มีราคาค่อนข้างแพง
ต้นทุนการเป็นเจ้าของโดยรวมสำหรับ Microsoft Private CA
การเปรียบเทียบต้นทุนการเป็นเจ้าของระหว่าง Microsoft CA และ GlobalSign AEG
ในหลาย ๆ สถานการณ์ การสร้างผู้ออกใบรับรองส่วนตัวเดียวกันจะสะดวกกว่าและถูกกว่า แต่มีการจัดการภายนอก นี่เป็นปัญหาที่ GlobalSign Auto Enrollment Gateway (AEG) แก้ปัญหาได้อย่างแท้จริง ค่าใช้จ่ายหลายรายการไม่รวมอยู่ในต้นทุนรวมของการเป็นเจ้าของ (การซื้ออุปกรณ์ ค่าใช้จ่ายในการสนับสนุน การฝึกอบรมพนักงาน ฯลฯ) ประหยัดได้เกิน .
AEG คืออะไร
(AEG) เป็นบริการซอฟต์แวร์ที่ทำหน้าที่เป็นเกตเวย์ระหว่างบริการใบรับรอง SaaS GlobalSign และสภาพแวดล้อมองค์กร Windows
AEG ผสานรวมกับ Active Directory ช่วยให้องค์กรสามารถลงทะเบียน จัดเตรียม และจัดการใบรับรองดิจิทัล GlobalSign ในสภาพแวดล้อม Windows ได้โดยอัตโนมัติ ด้วยการแทนที่ CA ภายในด้วยบริการ GlobalSign องค์กรจะเพิ่มความปลอดภัยและลดค่าใช้จ่ายในการจัดการ Microsoft CA ภายในที่ซับซ้อนและมีค่าใช้จ่ายสูง
GlobalSign SaaS Certificate Services เป็นตัวเลือกที่เชื่อถือได้มากกว่าใบรับรองที่อ่อนแอและไม่มีการจัดการบนโครงสร้างพื้นฐานของคุณเอง การขจัดความจำเป็นในการจัดการ CA ภายในที่ใช้ทรัพยากรมากช่วยลดต้นทุนรวมในการเป็นเจ้าของ PKI รวมถึงความเสี่ยงจากความล้มเหลวของระบบ
การสนับสนุนโปรโตคอล SCEP และ ACME ขยายการสนับสนุนนอกเหนือจาก Windows รวมถึงการออกใบรับรองอัตโนมัติสำหรับเซิร์ฟเวอร์ Linux อุปกรณ์เคลื่อนที่ อุปกรณ์เครือข่าย และอุปกรณ์อื่นๆ ตลอดจนคอมพิวเตอร์ Apple OSX ที่ลงทะเบียนใน Active Directory
ความปลอดภัยขั้นสูง
นอกจากประหยัดเงินแล้ว การจัดการ PKI จากภายนอกยังช่วยปรับปรุงความปลอดภัยของระบบอีกด้วย จากการศึกษาของ Aberdeen Group พบว่าใบรับรองกำลังตกเป็นเป้าหมายของผู้โจมตีที่ประสบความสำเร็จในการใช้ประโยชน์จากช่องโหว่ที่รู้จัก เช่น ใบรับรองที่ลงนามด้วยตนเองที่ไม่น่าเชื่อถือ การเข้ารหัสที่อ่อนแอ และกลไกการเพิกถอนที่ยุ่งยาก นอกจากนี้ ผู้โจมตียังเชี่ยวชาญการแสวงหาผลประโยชน์ที่ซับซ้อนยิ่งขึ้น เช่น การออกใบรับรองอย่างฉ้อฉลจาก CA ที่เชื่อถือได้ และการปลอมแปลงใบรับรองการลงนามรหัส
“องค์กรส่วนใหญ่ไม่ได้จัดการความเสี่ยงที่เกี่ยวข้องกับการโจมตีเหล่านี้อย่างจริงจัง และไม่พร้อมที่จะตอบสนองต่อการแลกเปลี่ยนอย่างรวดเร็ว” Derek E. Brink รองประธานและเพื่อนความปลอดภัยด้านไอทีของ Aberdeen Group "ด้วยการช่วยให้องค์กรต่างๆ สามารถวางลักษณะการดำเนินงานของการจัดการใบรับรองไว้ในมือของผู้เชี่ยวชาญ ในขณะที่ยังคงควบคุมนโยบายกลุ่มขององค์กรใน Active Directory GlobalSign ตั้งเป้าที่จะรับประกันการเติบโตในอนาคตของการใช้ใบรับรอง โดยการจัดการปัญหาด้านความปลอดภัยและความน่าเชื่อถือในทางปฏิบัติด้วยต้นทุนที่มีประสิทธิภาพ รูปแบบการปรับใช้ที่มีประสิทธิภาพ"
AEG ทำงานอย่างไร
ระบบ AEG ทั่วไปประกอบด้วยองค์ประกอบหลักสี่ส่วนเพื่อให้แน่ใจว่าใบรับรองที่ถูกต้องถูกส่งไปยังจุดเชื่อมต่อที่ถูกต้อง:
- ซอฟต์แวร์ AEG บนเซิร์ฟเวอร์ Windows
- เซิร์ฟเวอร์ Active Directory หรือตัวควบคุมโดเมนที่อนุญาตให้ผู้ดูแลระบบจัดการและจัดเก็บข้อมูลเกี่ยวกับทรัพยากร
- จุดสิ้นสุด: ผู้ใช้ อุปกรณ์ เซิร์ฟเวอร์ และเวิร์กสเตชัน - แทบทุกเอนทิตีที่เป็น "ผู้บริโภค" ของใบรับรองดิจิทัล
- GlobalSign Certification Authority หรือ GCC ซึ่งอยู่เหนือแพลตฟอร์มการออกใบรับรองและการจัดการที่เชื่อถือได้ นี่คือที่ที่สร้างใบรับรอง
สามในสี่องค์ประกอบที่แสดงอยู่ภายในองค์กรที่ไคลเอ็นต์ และองค์ประกอบที่สี่อยู่ในระบบคลาวด์
ประการแรก จุดสิ้นสุดได้รับการกำหนดค่าล่วงหน้าโดยใช้นโยบายกลุ่ม: ตัวอย่างเช่น การตรวจสอบใบรับรองสำหรับการรับรองความถูกต้องของผู้ใช้ คำขอ S/MIME สำหรับใบรับรอง และอื่นๆ - สำหรับการเชื่อมต่อกับเซิร์ฟเวอร์ AEG ในภายหลัง การเชื่อมต่อมีความปลอดภัยผ่าน HTTPS
เซิร์ฟเวอร์ AEG สืบค้น Active Directory ผ่าน LDAP เพื่อหารายการแม่แบบใบรับรองสำหรับจุดสิ้นสุดเหล่านี้ และส่งรายการไปยังไคลเอนต์พร้อมกับตำแหน่งของ CA หลังจากได้รับกฎเหล่านี้แล้ว อุปกรณ์ปลายทางจะเชื่อมต่อกับเซิร์ฟเวอร์ AEG อีกครั้ง คราวนี้เพื่อขอใบรับรองจริง ในทางกลับกัน AEG จะสร้างการเรียก API ด้วยพารามิเตอร์ที่ระบุ และส่งไปยัง GlobalSign Certification Authority หรือ GCC เพื่อดำเนินการ
สุดท้าย แบ็คเอนด์ GCC จะประมวลผลคำขอ โดยปกติภายในไม่กี่วินาที และส่งการตอบกลับ API พร้อมกับใบรับรองที่จะติดตั้งบนเอ็นด์พอยต์เมื่อมีการร้องขอ
กระบวนการทั้งหมดใช้เวลาไม่กี่วินาที และสามารถทำให้เป็นอัตโนมัติโดยการกำหนดค่าปลายทางเพื่อรับใบรับรองโดยอัตโนมัติโดยใช้นโยบายกลุ่ม
คุณลักษณะเฉพาะของ AEG
- คุณสามารถลงทะเบียนผ่านแพลตฟอร์ม MDM
- พัฒนาโดยอดีตพนักงานจากทีม Microsoft Crypto
- โซลูชันที่ไม่มีลูกค้า
- การใช้งานที่ง่ายขึ้นและการจัดการวงจรชีวิต
ตัวอย่างสถาปัตยกรรม
ดังนั้น การจัดการ PKI ภายนอกผ่านเกตเวย์ GlobalSign AEG จึงช่วยเพิ่มความปลอดภัย ประหยัดค่าใช้จ่าย และลดความเสี่ยง ข้อดีอีกอย่างคือความสามารถในการปรับขนาดได้ง่ายและประสิทธิภาพที่ดีขึ้น PKI ที่มีการจัดการอย่างเหมาะสมช่วยให้มั่นใจได้ถึงสถานะการออนไลน์ที่ยาวนาน ขจัดการหยุดชะงักของการดำเนินงานที่สำคัญเนื่องจากใบรับรองที่ไม่ถูกต้อง และให้พนักงานเข้าถึงเครือข่ายของบริษัทจากระยะไกลและปลอดภัย
รองรับกรณีการใช้งานที่หลากหลายซึ่งต้องการการยืนยันตัวตนแบบสองปัจจัย ตั้งแต่ไคลเอนต์เวิร์กกรุ๊ประยะไกลที่เข้าถึงเครือข่ายผ่าน VPN และ Wi-Fi ไปจนถึงสิทธิพิเศษในการเข้าถึงทรัพยากรที่มีความละเอียดอ่อนสูงผ่านสมาร์ทการ์ด
GlobalSign เป็นผู้นำระดับโลกในการจัดหาโซลูชัน PKI บนคลาวด์และเครือข่ายสำหรับการจัดการข้อมูลประจำตัวและการเข้าถึง สอบถามข้อมูลสินค้าเพิ่มเติมได้ที่ .
ที่มา: will.com