Kullanıcılara güvenilemez. Çoğunlukla tembeldirler ve güvenlik yerine konforu seçerler. İstatistiklere göre, %21'i iş hesapları için şifrelerini kağıda yazıyor, %50'si iş ve kişisel hizmetler için aynı şifreleri belirtiyor.
Ortam da düşmanca. Kuruluşların %74'ü kişisel cihazların işe getirilmesine ve kurumsal ağa bağlanmasına izin veriyor. Kullanıcıların %94'ü gerçek bir e-postayı kimlik avı e-postasından ayırt edemiyor, %11'i eklere tıklanıyor.
Tüm bu sorunlar, postaların şifrelenmesini ve kimlik doğrulamasını sağlayan ve şifreleri dijital sertifikalarla değiştiren kurumsal bir ortak anahtar altyapısı (PKI) tarafından çözülmektedir. Bu altyapı Windows Server üzerinde yükseltilebilir. Buna göre
Ancak Microsoft'un çözümü oldukça pahalı.
Microsoft'tan Özel Sertifika Yetkilisi için Toplam Sahip Olma Maliyeti
Microsoft CA ve GlobalSign AEG'nin sahip olma maliyetinin karşılaştırılması.
Çoğu durumda, aynı özel sertifika yetkilisini harici yönetimle oluşturmak daha uygun ve daha ucuzdur. GlobalSign Otomatik Katılım Ağ Geçidi (AEG) tam olarak bu sorunu çözüyor. Çeşitli maliyet kalemleri toplam sahip olma maliyetine dahil edilmez (ekipman satın alma, destek maliyetleri, personel eğitimi vb.). Tasarruf aşılabilir
AEG nedir?
AEG, Active Directory ile entegre olarak kuruluşların GlobalSign dijital sertifikalarının Windows ortamında kaydedilmesini, sağlanmasını ve yönetimini otomatikleştirmesine olanak tanır. Kuruluşlar, dahili CA'ları GlobalSign hizmetleriyle değiştirerek güvenliği artırır ve karmaşık ve maliyetli bir dahili Microsoft CA'sını yönetme maliyetini azaltır.
GlobalSign SaaS Sertifika Hizmetleri, kendi altyapınızdaki zayıf ve yönetilmeyen sertifikalardan daha güvenli bir seçenektir. Kaynak yoğun bir dahili CA'yı yönetme ihtiyacının ortadan kaldırılması, PKI'nın toplam sahip olma maliyetini ve sistem arızası riskini azaltır.
SCEP ve ACME protokollerine yönelik destek, Linux sunucuları, mobil cihazlar, ağ ve diğer aygıtların yanı sıra Active Directory'de kayıtlı Apple OSX bilgisayarları için otomatik sertifika verilmesi de dahil olmak üzere desteği Windows'un ötesine taşıyor.
Arttırılmış güvenlik
Harici PKI yönetimi, bütçeden tasarruf etmenin yanı sıra sistem güvenliğini de artırır. Aberdeen Group araştırmasında da belirtildiği gibi, sertifikalar, zayıf kendinden imzalı sertifikalar, zayıf şifreleme ve hantal iptal mekanizmaları gibi bilinen güvenlik açıklarından başarıyla yararlanan saldırganlar tarafından giderek daha fazla hedef alınıyor. Ayrıca saldırganlar, güvenilen CA'lardan sahtekarlıkla sertifika vermek ve kod imzalama sertifikalarının sahtesini yapmak gibi daha karmaşık istismarlarda da ustalaştı.
"Çoğu kuruluş bu saldırılarla ilişkili riskleri yönetme konusunda yeterince proaktif değil ve ödünlere hızlı bir şekilde yanıt vermeye hazır değil."
AEG nasıl çalışır?
Tipik bir AEG sistemi, doğru sertifikaların doğru erişim noktalarına iletilmesini sağlamak için dört temel bileşen içerir:
- Windows sunucusunda AEG yazılımı.
- Yöneticilerin kaynaklar hakkındaki bilgileri yönetmesine ve depolamasına olanak tanıyan Active Directory sunucuları veya etki alanı denetleyicileri.
- Uç noktalar: kullanıcılar, cihazlar, sunucular ve iş istasyonları; dijital sertifikaların "tüketicisi" olan hemen hemen her varlık.
- Güvenilir bir sertifika verme ve yönetim platformunun üstünde yer alan GlobalSign Sertifika Yetkilisi veya GCC. Sertifikaların oluşturulduğu yer burasıdır.
Gösterilen dört bileşenden üçü müşteride şirket içinde, dördüncüsü ise buluttadır.
İlk olarak uç noktalar, grup politikaları kullanılarak önceden yapılandırılır: örneğin, kullanıcı kimlik doğrulaması için sertifika doğrulaması, sertifika için S/MIME isteği vb. - AEG sunucusuna daha sonra bağlanmak için. Bağlantı HTTPS aracılığıyla güvenlidir.
AEG sunucusu, bu uç noktalar için sertifika şablonlarının bir listesini almak üzere LDAP aracılığıyla Active Directory'yi sorgular ve listeyi, sertifika yetkilisinin konumuyla birlikte istemcilere gönderir. Bu kuralları aldıktan sonra uç noktalar, bu kez gerçek sertifikaları istemek için tekrar AEG sunucusuna bağlanır. AEG, belirtilen parametrelerle bir API çağrısı oluşturur ve bunu işlenmek üzere GlobalSign Sertifika Yetkilisine veya GCC'ye gönderir.
Son olarak, GCC arka ucu istekleri genellikle birkaç saniye içinde işler ve istek üzerine uç noktalara yüklenecek bir sertifikayla birlikte API'ye bir yanıt gönderir.
Tüm süreç birkaç saniye sürer ve uç noktaların, grup ilkelerini kullanarak otomatik olarak sertifika alacak şekilde yapılandırılmasıyla tamamen otomatik hale getirilebilir.
Benzersiz AEG Özellikleri
- MDM platformu üzerinden kayıt olabilirsiniz.
- Microsoft Crypto ekibinin eski çalışanları tarafından geliştirildi.
- İstemcisiz çözüm.
- Basitleştirilmiş uygulama ve yaşam döngüsü yönetimi.
Mimari örnekleri
Bu nedenle, GlobalSign AEG ağ geçidi aracılığıyla harici PKI yönetimi, artan güvenlik, maliyet tasarrufu ve azaltılmış risk anlamına gelir. Diğer bir avantaj ise kolay ölçeklenebilirlik ve artan performanstır. Doğru PKI yönetimi, uzun çalışma süresi sağlar, geçersiz sertifikalar nedeniyle kritik görev operasyonlarının kesintiye uğramasını ortadan kaldırır ve çalışanlara şirket ağlarına uzaktan, güvenli erişim sunar.
GlobalSign, bulut ve ağ PKI kimlik ve erişim yönetimi çözümleri sağlamada küresel bir liderdir. Ürünler hakkında daha detaylı bilgi için lütfen iletişime geçiniz.
Kaynak: habr.com