Hindi mapagkakatiwalaan ang mga user. Para sa karamihan, sila ay tamad at pinipili ang kaginhawahan sa halip na seguridad. Ayon sa istatistika, 21% isulat ang kanilang mga password para sa mga account sa trabaho sa papel, 50% ay nagpapahiwatig ng parehong mga password para sa trabaho at personal na mga serbisyo.

Ang kapaligiran ay pagalit din. 74% ng mga organisasyon ang nagpapahintulot sa mga personal na device na dalhin sa trabaho at konektado sa corporate network. Hindi matukoy ng 94% ng mga user ang isang tunay na email mula sa isang phishing, 11% ang nag-click sa mga attachment.

Ang lahat ng mga problemang ito ay nalulutas ng isang corporate public key infrastructure (PKI), na nagbibigay ng encryption at authentication ng mail, at pinapalitan ang mga password ng mga digital na sertipiko. Ang imprastraktura na ito ay maaaring itaas sa Windows Server. Ayon kay paglalarawan mula sa MicrosoftAng Active Directory Certificate Services (AD CS) ay isang server na nagbibigay-daan sa iyong gumawa ng PKI sa iyong organisasyon at gumamit ng public key cryptography, digital certificate, at digital signature.

Ngunit ang solusyon ng Microsoft ay medyo mahal.

Kabuuang Gastos ng Pagmamay-ari para sa Pribadong Awtoridad ng Sertipiko mula sa Microsoft

Paghahambing ng halaga ng pagmamay-ari ng Microsoft CA at GlobalSign AEG. Pinagmulan

Sa maraming sitwasyon, mas maginhawa at mas mura ang lumikha ng parehong pribadong awtoridad sa sertipikasyon, ngunit may panlabas na pamamahala. Eksaktong malulutas ng GlobalSign Auto Enrollment Gateway (AEG) ang problemang ito. Ang ilang linya ng gastos ay hindi kasama sa kabuuang halaga ng pagmamay-ari (pagbili ng kagamitan, mga gastos sa suporta, pagsasanay ng mga tauhan, atbp.). Maaaring lumampas ang ipon 50% ng kabuuang halaga ng pagmamay-ari.

Ano ang AEG

Gateway ng Auto Enrollment (AEG) ay isang serbisyo ng software na nagsisilbing gateway sa pagitan ng mga serbisyo ng SaaS certificate ng GlobalSign at ng Windows enterprise environment.

Sumasama ang AEG sa Active Directory, na nagpapahintulot sa mga organisasyon na i-automate ang pagpapatala, pagbibigay at pamamahala ng mga digital na certificate ng GlobalSign sa isang kapaligiran ng Windows. Sa pamamagitan ng pagpapalit ng mga panloob na CA ng mga serbisyo ng GlobalSign, pinapataas ng mga negosyo ang seguridad at binabawasan ang gastos sa pamamahala ng isang kumplikado at magastos na panloob na Microsoft CA.

Ang GlobalSign SaaS Certificate Services ay isang mas secure na opsyon kaysa sa mahina at hindi pinamamahalaang mga certificate sa sarili mong imprastraktura. Ang pag-aalis ng pangangailangan na pamahalaan ang isang resource-intensive internal CA ay binabawasan ang kabuuang halaga ng pagmamay-ari ng PKI pati na rin ang panganib ng mga pagkabigo ng system.

Ang suporta para sa mga protocol ng SCEP at ACME ay nagpapalawak ng suporta sa kabila ng Windows, kabilang ang awtomatikong pagpapalabas ng certificate para sa mga server ng Linux, mobile, network at iba pang mga device, pati na rin ang mga Apple OSX na computer na nakarehistro sa Active Directory.

Pinahusay na Seguridad

Bilang karagdagan sa pagtitipid ng badyet, pinapabuti ng panlabas na pamamahala ng PKI ang seguridad ng system. Gaya ng nabanggit sa pag-aaral ng Aberdeen Group, ang mga certificate ay lalong tina-target ng mga umaatake, na matagumpay na nagsasamantala sa mga kilalang kahinaan gaya ng mahinang self-signed certificate, mahinang pag-encrypt at masalimuot na mekanismo ng pagbawi. Bilang karagdagan, ang mga umaatake ay nakabisado na ang mga mas sopistikadong pagsasamantala, gaya ng mapanlinlang na pagbibigay ng mga sertipiko mula sa mga pinagkakatiwalaang CA at pamemeke ng mga certificate sa pagpirma ng code.

"Karamihan sa mga negosyo ay hindi sapat na aktibo sa pamamahala sa mga panganib na nauugnay sa mga pag-atake na ito at hindi handang tumugon nang mabilis sa mga tradeoff," Isinulat ni Si Derek E. Brink ay vice president at IT security fellow sa Aberdeen Group. "Sa pamamagitan ng pagpapagana sa mga negosyo na ilagay ang mga aspeto ng pagpapatakbo ng pamamahala ng sertipiko sa mga kamay ng mga eksperto habang pinapanatili ang kontrol ng korporasyon sa mga patakaran ng grupo sa Active Directory, layunin ng GlobalSign na paganahin ang paglago sa hinaharap sa paggamit ng certificate sa pamamagitan ng pagtugon sa mga praktikal na isyu sa seguridad at tiwala sa isang mahusay, gastos- epektibong modelo ng pag-deploy."

Paano gumagana ang AEG?

Kasama sa karaniwang AEG system ang apat na pangunahing bahagi upang matiyak na ang mga tamang certificate ay naipapasa sa tamang mga access point:

1. AEG software sa Windows server.
2. Mga server ng Active Directory o domain controller na nagpapahintulot sa mga administrator na pamahalaan at mag-imbak ng impormasyon tungkol sa mga mapagkukunan.
3. Mga Endpoint: mga user, device, server at workstation—halos anumang entity na isang "consumer" ng mga digital na certificate.
4. GlobalSign Certificate Authority o GCC, na nasa tuktok ng isang pinagkakatiwalaang platform ng pag-isyu at pamamahala ng sertipiko. Dito nabuo ang mga sertipiko.

Tatlo sa apat na bahaging ipinapakita ay nasa lugar sa customer, at ang pang-apat ay nasa cloud.

Una, ang mga endpoint ay paunang na-configure gamit ang mga patakaran ng grupo: halimbawa, pag-verify ng certificate para sa pagpapatunay ng user, kahilingan ng S/MIME para sa certificate, at iba pa, para sa kasunod na koneksyon sa AEG server. Ang koneksyon ay ligtas sa pamamagitan ng HTTPS.

Ang server ng AEG ay nagtatanong sa Active Directory sa pamamagitan ng LDAP upang makakuha ng listahan ng mga template ng certificate para sa mga endpoint na ito, at ipinapadala ang listahan sa mga kliyente kasama ang lokasyon ng awtoridad ng certificate. Pagkatapos matanggap ang mga panuntunang ito, ang mga endpoint ay kumonekta muli sa AEG server, sa pagkakataong ito para humiling ng mga aktwal na certificate. Ang AEG naman ay gumagawa ng API call na may mga tinukoy na parameter at ipinapadala ito sa GlobalSign Certificate Authority o GCC para sa pagproseso.

Panghuli, pinoproseso ng backend ng GCC ang mga kahilingan, kadalasan sa loob ng ilang segundo, at nagpapadala ng tugon sa API kasama ng isang certificate na mai-install sa mga endpoint kapag hiniling.

Ang buong proseso ay tumatagal ng ilang segundo at maaaring ganap na awtomatiko sa pamamagitan ng pag-configure ng mga endpoint upang awtomatikong makakuha ng mga certificate gamit ang mga patakaran ng grupo.

Natatanging Mga Tampok ng AEG

• Maaari kang magparehistro sa pamamagitan ng MDM platform.
• Binuo ng mga dating empleyado mula sa pangkat ng Microsoft Crypto.
• Solusyon na walang kliyente.
• Pinasimpleng pagpapatupad at pamamahala ng lifecycle.

Mga halimbawa ng arkitektura

Kaya, ang panlabas na pamamahala ng PKI sa pamamagitan ng GlobalSign AEG gateway ay nangangahulugan ng pagtaas ng seguridad, pagtitipid sa gastos at pagbabawas ng panganib. Ang isa pang bentahe ay madaling scalability at mas mataas na pagganap. Tinitiyak ng wastong pamamahala ng PKI ang mahabang oras ng trabaho, inaalis ang pagkaantala ng mga operasyong kritikal sa misyon dahil sa mga di-wastong sertipiko, at nag-aalok sa mga empleyado ng malayo at secure na access sa mga network ng kumpanya.

AEG Sinusuportahan ang malawak na hanay ng mga kaso ng paggamit na nangangailangan ng two-factor na pagpapatotoo: mula sa mga remote workgroup client na nag-a-access sa network sa pamamagitan ng VPN at Wi-Fi, hanggang sa may pribilehiyong pag-access sa mga napakasensitibong mapagkukunan sa pamamagitan ng mga smart card.

Ang GlobalSign ay isang pandaigdigang pinuno sa pagbibigay ng pagkakakilanlan sa cloud at network ng PKI at mga solusyon sa pamamahala ng pag-access. Para sa mas detalyadong impormasyon tungkol sa mga produkto, mangyaring makipag-ugnayan aming mga tagapamahala.

Pinagmulan: www.habr.com