Користувачам не можна довіряти. Здебільшого вони ліниві і замість безпеки вибирають комфорт. За статистикою, 21% записують на папері свої паролі від робочих облікових записів, 50% вказують однакові паролі для робочих та особистих сервісів.

Середовище теж вороже. 74% організацій дозволяють приносити на роботу приватні пристрої та підключати до корпоративної мережі. 94% користувачів не можуть відрізнити цей лист від фішингового, 11% натискали на атачменти.

Всі ці проблеми вирішує корпоративна інфраструктура відкритих ключів (PKI), яка забезпечує шифрування та автентифікацію пошти, а паролі замінює цифровими сертифікатами. Цю інфраструктуру можна підняти на Windows Server. Згідно опису від Microsoft, Active Directory Certificate Services (AD CS) — це сервер, який дозволяє створити у вашій організації PKI та використовувати криптографію з відкритими ключами, цифрові сертифікати та цифровий підпис.

Але рішення від Microsoft досить дороге.

Загальна вартість володіння приватним центром сертифікації від Microsoft

Порівняння вартості володіння Microsoft CA та GlobalSign AEG. Джерело

У багатьох ситуаціях зручніше і дешевше створити такий самий приватний центр сертифікації, але із зовнішнім управлінням. Саме цю проблему вирішує Global Sign Auto Enrollment Gateway (AEG). Із загальної вартості володіння виключається відразу кілька рядків витрат (закупівля обладнання, витрати на підтримку, навчання персоналу та ін.). Економія може перевищувати 50% від загальної вартості володіння.

Що таке AEG

Auto Enrollment Gateway (AEG) — програмна служба, яка діє як шлюз між службами сертифікатів SaaS GlobalSign та корпоративним середовищем Windows.

AEG інтегрується з Active Directory, дозволяючи організаціям автоматизувати реєстрацію, підготовку та керування цифровими сертифікатами GlobalSign у середовищі Windows. Замінивши внутрішні центри сертифікації сервісами GlobalSign, підприємства підвищують безпеку та знижують витрати на управління складним та дорогим внутрішнім центром сертифікації Microsoft.

Служби сертифікації GlobalSign SaaS — надійніший варіант порівняно зі слабкими та некерованими сертифікатами на власній інфраструктурі. Усунення необхідності управління ресурсомістким внутрішнім ЦС знижує загальну вартість володіння PKI, а також ризик збоїв системи.

Підтримка протоколів SCEP та ACME розширює можливості підтримки за межі Windows, включаючи автоматизовану видачу сертифікатів для серверів Linux, мобільних, мережевих та інших пристроїв, а також комп'ютерів Apple OSX, зареєстрованих у Active Directory.

Підвищена безпека

Окрім економії бюджету, зовнішнє управління PKI підвищує безпеку системи. Як зазначається у дослідженні Aberdeen Group, сертифікати все частіше стають мішенню зловмисників: вони успішно використовують відомі вразливості, такі як ненадійні самопідписані сертифікати, слабке шифрування та громіздкі механізми відкликання. Крім того, зловмисники освоїли складнішими експлоїти, такі як шахрайська видача сертифікатів від довірених ЦС та підробка сертифікатів для підпису коду.

«Більшість підприємств недостатньо активно керують ризиками, пов'язаними з цими атаками, і не готові швидко реагувати на компроміс. написав Дерек Е. Брінк, віце-президент та науковий співробітник з IT-безпеки в Aberdeen Group. — Надаючи підприємствам можливість передати операційні аспекти управління сертифікатами в руки експертів, зберігаючи при цьому корпоративний контроль над груповими політиками Active Directory, GlobalSign прагне забезпечити майбутнє зростання використання сертифікатів, вирішуючи практичні питання безпеки та довіри в ефективній, економічній моделі розгортання».

Як працює AEG

Типова система з AEG включає чотири ключові компоненти, щоб гарантувати передачу правильних сертифікатів правильним точкам доступу:

1. Програмне забезпечення AEG на сервері Windows.
2. Сервери Active Directory або контролери домену, які дозволяють адміністраторам керувати та зберігати інформацію про ресурси.
3. Кінцеві точки: користувачі, пристрої, сервери та робочі станції практично будь-який об'єкт, який є «споживачем» цифрових сертифікатів.
4. Центр сертифікації GlobalSign або GCC, що знаходиться на вершині надійної платформи видачі сертифікатів та управління. Тут генеруються сертифікати.

Три з чотирьох показаних компонентів знаходяться у локальному середовищі у клієнта, а четвертий – у хмарі.

Спочатку кінцеві точки попередньо налаштовуються за допомогою групових політик: наприклад, по перевірці сертифіката на автентифікацію користувача, запит S/MIME для сертифіката і так далі для подальшого підключення до сервера AEG. З'єднання відбувається безпечно через HTTPS.

Сервер AEG надсилає запит до Active Directory через LDAP, щоб отримати список шаблонів сертифікатів для цих кінцевих точок, і надсилає клієнтам цей список разом із розташуванням центру сертифікації. Після отримання цих правил, кінцеві точки знову підключаються до сервера AEG, цього разу для запиту фактичних сертифікатів. AEG у свою чергу створює виклик API із зазначеними параметрами та надсилає його до Центру сертифікації GlobalSign або GCC для обробки.

Нарешті, серверна частина GCC обробляє запити, зазвичай протягом кількох секунд, і відправляє відповідь API разом із сертифікатом, який за запитом встановлено на кінцевих точках.

Весь процес займає кілька секунд і може бути повністю автоматизований шляхом налаштування кінцевих точок для автоматичного отримання сертифікатів за допомогою групових політик.

Унікальні особливості AEG

• Можна зареєструватись через платформу MDM.
• Розроблена колишніми співробітниками команди Microsoft Crypto.
• Рішення "без клієнта".
• Спрощена реалізація та управління життєвим циклом.

Приклади архітектур

Таким чином, зовнішнє управління PKI через шлюз GlobalSign AEG означає підвищену безпеку, економію коштів та зниження ризиків. Ще одна перевага - проста масштабованість і підвищена продуктивність. Правильне управління PKI забезпечує тривалий час безвідмовної роботи, виключає переривання критично важливих операцій через недійсні сертифікати та пропонує співробітникам віддалений, безпечний доступ до мереж компанії.

AEG підтримує широкий спектр варіантів використання, що вимагають двофакторної аутентифікації: від клієнтів віддалених робочих груп, які отримують доступ до мережі через VPN та Wi-Fi, до привілейованого доступу до високочутливих ресурсів смарт-карт.

GlobalSign - світовий лідер у сфері надання хмарних та мережевих PKI-рішень з управління ідентифікацією та доступом. Більш детальну інформацію про продукти ви можете уточнити у наших менеджерів.

Джерело: habr.com