Kullanıcılara güvenilemez. Çoğunlukla tembeldirler ve güvenlik yerine konforu seçerler. İstatistiklere göre, %21'i iş hesapları için şifrelerini kağıda yazıyor, %50'si iş ve kişisel hizmetler için aynı şifreleri belirtiyor.

Ortam da düşmanca. Kuruluşların %74'ü kişisel cihazların işe getirilmesine ve kurumsal ağa bağlanmasına izin veriyor. Kullanıcıların %94'ü gerçek bir e-postayı kimlik avı e-postasından ayırt edemiyor, %11'i eklere tıklanıyor.

Tüm bu sorunlar, postaların şifrelenmesini ve kimlik doğrulamasını sağlayan ve şifreleri dijital sertifikalarla değiştiren kurumsal bir ortak anahtar altyapısı (PKI) tarafından çözülmektedir. Bu altyapı Windows Server üzerinde yükseltilebilir. Buna göre Microsoft'tan açıklamaActive Directory Sertifika Hizmetleri (AD CS), kuruluşunuzda bir PKI oluşturmanıza ve ortak anahtar şifrelemesini, dijital sertifikaları ve dijital imzaları kullanmanıza olanak tanıyan bir sunucudur.

Ancak Microsoft'un çözümü oldukça pahalı.

Microsoft'tan Özel Sertifika Yetkilisi için Toplam Sahip Olma Maliyeti

Microsoft CA ve GlobalSign AEG'nin sahip olma maliyetinin karşılaştırılması. Kaynak

Çoğu durumda, aynı özel sertifika yetkilisini harici yönetimle oluşturmak daha uygun ve daha ucuzdur. GlobalSign Otomatik Katılım Ağ Geçidi (AEG) tam olarak bu sorunu çözüyor. Çeşitli maliyet kalemleri toplam sahip olma maliyetine dahil edilmez (ekipman satın alma, destek maliyetleri, personel eğitimi vb.). Tasarruf aşılabilir Toplam sahip olma maliyetinin %50'si.

AEG nedir?

Otomatik Katılım Ağ Geçidi (AEG), GlobalSign'ın SaaS sertifika hizmetleri ile Windows kurumsal ortamı arasında ağ geçidi görevi gören bir yazılım hizmetidir.

AEG, Active Directory ile entegre olarak kuruluşların GlobalSign dijital sertifikalarının Windows ortamında kaydedilmesini, sağlanmasını ve yönetimini otomatikleştirmesine olanak tanır. Kuruluşlar, dahili CA'ları GlobalSign hizmetleriyle değiştirerek güvenliği artırır ve karmaşık ve maliyetli bir dahili Microsoft CA'sını yönetme maliyetini azaltır.

GlobalSign SaaS Sertifika Hizmetleri, kendi altyapınızdaki zayıf ve yönetilmeyen sertifikalardan daha güvenli bir seçenektir. Kaynak yoğun bir dahili CA'yı yönetme ihtiyacının ortadan kaldırılması, PKI'nın toplam sahip olma maliyetini ve sistem arızası riskini azaltır.

SCEP ve ACME protokollerine yönelik destek, Linux sunucuları, mobil cihazlar, ağ ve diğer aygıtların yanı sıra Active Directory'de kayıtlı Apple OSX bilgisayarları için otomatik sertifika verilmesi de dahil olmak üzere desteği Windows'un ötesine taşıyor.

Arttırılmış güvenlik

Harici PKI yönetimi, bütçeden tasarruf etmenin yanı sıra sistem güvenliğini de artırır. Aberdeen Group araştırmasında da belirtildiği gibi, sertifikalar, zayıf kendinden imzalı sertifikalar, zayıf şifreleme ve hantal iptal mekanizmaları gibi bilinen güvenlik açıklarından başarıyla yararlanan saldırganlar tarafından giderek daha fazla hedef alınıyor. Ayrıca saldırganlar, güvenilen CA'lardan sahtekarlıkla sertifika vermek ve kod imzalama sertifikalarının sahtesini yapmak gibi daha karmaşık istismarlarda da ustalaştı.

"Çoğu kuruluş bu saldırılarla ilişkili riskleri yönetme konusunda yeterince proaktif değil ve ödünlere hızlı bir şekilde yanıt vermeye hazır değil." yazdı Derek E. Brink, Aberdeen Group'ta başkan yardımcısı ve BT güvenlik görevlisidir. "GlobalSign, Active Directory'deki grup politikaları üzerinde kurumsal kontrolü korurken, kuruluşların sertifika yönetiminin operasyonel yönlerini uzmanların ellerine vermesini sağlayarak, pratik güvenlik ve güven sorunlarını verimli ve uygun maliyetli bir şekilde ele alarak sertifika kullanımında gelecekte büyümeyi sağlamayı amaçlıyor. etkili dağıtım modeli.”

AEG nasıl çalışır?

Tipik bir AEG sistemi, doğru sertifikaların doğru erişim noktalarına iletilmesini sağlamak için dört temel bileşen içerir:

1. Windows sunucusunda AEG yazılımı.
2. Yöneticilerin kaynaklar hakkındaki bilgileri yönetmesine ve depolamasına olanak tanıyan Active Directory sunucuları veya etki alanı denetleyicileri.
3. Uç noktalar: kullanıcılar, cihazlar, sunucular ve iş istasyonları; dijital sertifikaların "tüketicisi" olan hemen hemen her varlık.
4. Güvenilir bir sertifika verme ve yönetim platformunun üstünde yer alan GlobalSign Sertifika Yetkilisi veya GCC. Sertifikaların oluşturulduğu yer burasıdır.

Gösterilen dört bileşenden üçü müşteride şirket içinde, dördüncüsü ise buluttadır.

İlk olarak uç noktalar, grup politikaları kullanılarak önceden yapılandırılır: örneğin, kullanıcı kimlik doğrulaması için sertifika doğrulaması, sertifika için S/MIME isteği vb. - AEG sunucusuna daha sonra bağlanmak için. Bağlantı HTTPS aracılığıyla güvenlidir.

AEG sunucusu, bu uç noktalar için sertifika şablonlarının bir listesini almak üzere LDAP aracılığıyla Active Directory'yi sorgular ve listeyi, sertifika yetkilisinin konumuyla birlikte istemcilere gönderir. Bu kuralları aldıktan sonra uç noktalar, bu kez gerçek sertifikaları istemek için tekrar AEG sunucusuna bağlanır. AEG, belirtilen parametrelerle bir API çağrısı oluşturur ve bunu işlenmek üzere GlobalSign Sertifika Yetkilisine veya GCC'ye gönderir.

Son olarak, GCC arka ucu istekleri genellikle birkaç saniye içinde işler ve istek üzerine uç noktalara yüklenecek bir sertifikayla birlikte API'ye bir yanıt gönderir.

Tüm süreç birkaç saniye sürer ve uç noktaların, grup ilkelerini kullanarak otomatik olarak sertifika alacak şekilde yapılandırılmasıyla tamamen otomatik hale getirilebilir.

Benzersiz AEG Özellikleri

• MDM platformu üzerinden kayıt olabilirsiniz.
• Microsoft Crypto ekibinin eski çalışanları tarafından geliştirildi.
• İstemcisiz çözüm.
• Basitleştirilmiş uygulama ve yaşam döngüsü yönetimi.

Mimari örnekleri

Bu nedenle, GlobalSign AEG ağ geçidi aracılığıyla harici PKI yönetimi, artan güvenlik, maliyet tasarrufu ve azaltılmış risk anlamına gelir. Diğer bir avantaj ise kolay ölçeklenebilirlik ve artan performanstır. Doğru PKI yönetimi, uzun çalışma süresi sağlar, geçersiz sertifikalar nedeniyle kritik görev operasyonlarının kesintiye uğramasını ortadan kaldırır ve çalışanlara şirket ağlarına uzaktan, güvenli erişim sunar.

AEG İki faktörlü kimlik doğrulama gerektiren çok çeşitli kullanım durumlarını destekler: VPN ve Wi-Fi yoluyla ağa erişen uzak çalışma grubu istemcilerinden, akıllı kartlar aracılığıyla son derece hassas kaynaklara ayrıcalıklı erişime kadar.

GlobalSign, bulut ve ağ PKI kimlik ve erişim yönetimi çözümleri sağlamada küresel bir liderdir. Ürünler hakkında daha detaylı bilgi için lütfen iletişime geçiniz. yöneticilerimiz.

Kaynak: habr.com