Foydalanuvchilarga ishonish mumkin emas. Ko'pincha ular dangasa va xavfsizlikdan ko'ra qulaylikni tanlashadi. Statistik ma'lumotlarga ko'ra, 21% ish hisoblari uchun parollarini qog'ozga yozadi, 50% ish va shaxsiy xizmatlar uchun bir xil parollarni ko'rsatadi.
Atrof-muhit ham dushman. Tashkilotlarning 74 foizi shaxsiy qurilmalarni ishga olib kelish va korporativ tarmoqqa ulanish imkonini beradi. Foydalanuvchilarning 94% haqiqiy elektron pochta va fishingni ajrata olmaydi, 11% qo'shimchalarni bosgan.
Bu muammolarning barchasi korporativ ochiq kalitlar infratuzilmasi (PKI) tomonidan hal qilinadi, u pochtani shifrlash va autentifikatsiya qilishni ta'minlaydi va parollarni raqamli sertifikatlar bilan almashtiradi. Ushbu infratuzilma Windows Serverda ko'tarilishi mumkin. Ga binoan
Ammo Microsoftning yechimi ancha qimmat.
Microsoft Private CA uchun egalik qilishning umumiy qiymati
Microsoft CA va GlobalSign AEG o'rtasidagi egalik narxini taqqoslash.
Ko'pgina hollarda, bir xil xususiy sertifikat organini yaratish qulayroq va arzonroq, ammo tashqi boshqaruv bilan. Aynan shu muammoni GlobalSign Auto Enrollment Gateway (AEG) hal qiladi. Xarajatlarning bir nechta yo'nalishlari egalik qilishning umumiy qiymatidan (uskunalar sotib olish, qo'llab-quvvatlash xarajatlari, xodimlarni o'qitish va boshqalar) chiqarib tashlanadi. Tejamkorlik oshib ketishi mumkin
AEG nima
AEG Active Directory bilan integratsiyalashgan bo'lib, tashkilotlarga Windows muhitida GlobalSign raqamli sertifikatlarini ro'yxatdan o'tkazish, ta'minlash va boshqarishni avtomatlashtirish imkonini beradi. Ichki CA-larni GlobalSign xizmatlariga almashtirish orqali korxonalar xavfsizlikni oshiradi va murakkab va qimmat ichki Microsoft CA-ni boshqarish xarajatlarini kamaytiradi.
GlobalSign SaaS sertifikat xizmatlari sizning infratuzilmangizdagi zaif va boshqarilmaydigan sertifikatlarga qaraganda xavfsizroq variantdir. Resurslarni ko'p talab qiladigan ichki CAni boshqarish zaruratini bartaraf etish PKIga egalik qilishning umumiy qiymatini, shuningdek tizimning ishdan chiqishi xavfini kamaytiradi.
SCEP va ACME protokollarini qo‘llab-quvvatlash Windows-dan tashqari qo‘llab-quvvatlashni kengaytiradi, jumladan, Linux serverlari, mobil qurilmalari, tarmoq qurilmalari va boshqa qurilmalar, shuningdek, Active Directory-da ro‘yxatdan o‘tgan Apple OSX kompyuterlari uchun avtomatlashtirilgan sertifikatlar chiqarish.
Kengaytirilgan xavfsizlik
Pulni tejashga qo'shimcha ravishda, tashqi manbalardan olingan PKI boshqaruvi tizim xavfsizligini yaxshilaydi. Aberdin guruhi tadqiqotida qayd etilganidek, sertifikatlar o'z-o'zidan imzolangan ishonchsiz sertifikatlar, zaif shifrlash va noqulay bekor qilish mexanizmlari kabi ma'lum zaifliklardan muvaffaqiyatli foydalanadigan tajovuzkorlar tomonidan tobora ko'proq nishonga olinadi. Bundan tashqari, tajovuzkorlar ishonchli CA sertifikatlarini firibgarlik yo'li bilan berish va kod imzolash sertifikatlarini soxtalashtirish kabi murakkabroq ekspluatatsiyalarni o'zlashtirgan.
"Ko'pgina korxonalar ushbu hujumlar bilan bog'liq xavflarni faol ravishda boshqara olmaydilar va o'zaro kelishuvlarga tezda javob berishga tayyor emaslar"
AEG qanday ishlaydi?
AEG bilan odatiy tizim to'g'ri sertifikatlar to'g'ri kirish nuqtalariga yuborilishini ta'minlash uchun to'rtta asosiy komponentni o'z ichiga oladi:
- Windows serverida AEG dasturi.
- Administratorlarga resurslar haqidagi ma'lumotlarni boshqarish va saqlash imkonini beruvchi Active Directory serverlari yoki domen kontrollerlari.
- Yakuniy nuqtalar: foydalanuvchilar, qurilmalar, serverlar va ish stantsiyalari - raqamli sertifikatlarning "iste'molchisi" bo'lgan deyarli har qanday ob'ekt.
- Ishonchli sertifikat berish va boshqarish platformasining tepasida joylashgan GlobalSign sertifikatlashtirish organi yoki GCC. Bu erda sertifikatlar yaratiladi.
Ko'rsatilgan to'rt komponentdan uchtasi mijozda, to'rtinchisi esa bulutda.
Birinchidan, so'nggi nuqtalar guruh siyosatlari yordamida oldindan sozlangan: masalan, foydalanuvchi autentifikatsiyasi uchun sertifikatni tekshirish, sertifikat uchun S/MIME so'rovi va boshqalar - AEG serveriga keyingi ulanish uchun. Ulanish HTTPS orqali xavfsiz.
AEG serveri LDAP orqali Active Directory-dan ushbu so'nggi nuqtalar uchun sertifikat shablonlari ro'yxatini so'raydi va ro'yxatni CA joylashuvi bilan birga mijozlarga yuboradi. Ushbu qoidalarni olgandan so'ng, so'nggi nuqtalar yana AEG serveriga ulanadi, bu safar haqiqiy sertifikatlarni so'rash uchun. AEG, o'z navbatida, belgilangan parametrlar bilan API chaqiruvini yaratadi va uni qayta ishlash uchun GlobalSign sertifikatlashtirish organiga yoki GCCga yuboradi.
Nihoyat, GCC backend so'rovlarni odatda bir necha soniya ichida qayta ishlaydi va so'rov bo'yicha so'nggi nuqtalarga o'rnatiladigan sertifikat bilan birga APIga javob yuboradi.
Butun jarayon bir necha soniya davom etadi va guruh siyosatlari yordamida sertifikatlarni avtomatik ravishda olish uchun so'nggi nuqtalarni sozlash orqali to'liq avtomatlashtirilishi mumkin.
AEG noyob xususiyatlari
- MDM platformasi orqali ro'yxatdan o'tishingiz mumkin.
- Microsoft Crypto jamoasining sobiq xodimlari tomonidan ishlab chiqilgan.
- Mijozsiz yechim.
- Soddalashtirilgan amalga oshirish va hayot aylanishini boshqarish.
Arxitektura misollari
Shunday qilib, GlobalSign AEG shlyuzi orqali tashqi PKI boshqaruvi xavfsizlikni oshirish, xarajatlarni tejash va xavflarni kamaytirishni anglatadi. Yana bir afzallik - oson o'lchov va yaxshilangan ishlash. To'g'ri boshqariladigan PKI uzoq ish vaqtini ta'minlaydi, yaroqsiz sertifikatlar tufayli muhim operatsiyalarning uzilishini bartaraf qiladi va xodimlarga kompaniya tarmoqlariga masofaviy, xavfsiz kirishni taklif qiladi.
GlobalSign identifikator va kirishni boshqarish uchun bulutli va tarmoqli PKI yechimlarini taqdim etishda global yetakchi hisoblanadi. Qo'shimcha mahsulot haqida ma'lumot olish uchun, iltimos, murojaat qiling
Manba: www.habr.com