ProHoster > Blog > Ma'muriyat > Microsoft-ning Sertifikat organiga alternativasi

Microsoft-ning Sertifikat organiga alternativasi

Foydalanuvchilarga ishonish mumkin emas. Ko'pincha ular dangasa va xavfsizlikdan ko'ra qulaylikni tanlashadi. Statistik ma'lumotlarga ko'ra, 21% ish hisoblari uchun parollarini qog'ozga yozadi, 50% ish va shaxsiy xizmatlar uchun bir xil parollarni ko'rsatadi.

Atrof-muhit ham dushman. Tashkilotlarning 74 foizi shaxsiy qurilmalarni ishga olib kelish va korporativ tarmoqqa ulanish imkonini beradi. Foydalanuvchilarning 94% haqiqiy elektron pochta va fishingni ajrata olmaydi, 11% qo'shimchalarni bosgan.

Bu muammolarning barchasi korporativ ochiq kalitlar infratuzilmasi (PKI) tomonidan hal qilinadi, u pochtani shifrlash va autentifikatsiya qilishni ta'minlaydi va parollarni raqamli sertifikatlar bilan almashtiradi. Ushbu infratuzilma Windows Serverda ko'tarilishi mumkin. Ga binoan Microsoft-dan tavsif, Active Directory Certificate Services (AD CS) - bu sizning tashkilotingizda PKI yaratish va ochiq kalit kriptografiyasi, raqamli sertifikatlar va raqamli imzolardan foydalanish imkonini beruvchi server.

Ammo Microsoftning yechimi ancha qimmat.

Microsoft Private CA uchun egalik qilishning umumiy qiymati

Microsoft-ning Sertifikat organiga alternativasi
Microsoft CA va GlobalSign AEG o'rtasidagi egalik narxini taqqoslash. manba

Ko'pgina hollarda, bir xil xususiy sertifikat organini yaratish qulayroq va arzonroq, ammo tashqi boshqaruv bilan. Aynan shu muammoni GlobalSign Auto Enrollment Gateway (AEG) hal qiladi. Xarajatlarning bir nechta yo'nalishlari egalik qilishning umumiy qiymatidan (uskunalar sotib olish, qo'llab-quvvatlash xarajatlari, xodimlarni o'qitish va boshqalar) chiqarib tashlanadi. Tejamkorlik oshib ketishi mumkin Umumiy egalik qiymatining 50%.

AEG nima

Microsoft-ning Sertifikat organiga alternativasi

Avtomatik ro'yxatga olish shlyuzi (AEG) SaaS GlobalSign sertifikat xizmatlari va Windows korporativ muhiti o'rtasida shlyuz vazifasini bajaradigan dasturiy ta'minot xizmatidir.

AEG Active Directory bilan integratsiyalashgan bo'lib, tashkilotlarga Windows muhitida GlobalSign raqamli sertifikatlarini ro'yxatdan o'tkazish, ta'minlash va boshqarishni avtomatlashtirish imkonini beradi. Ichki CA-larni GlobalSign xizmatlariga almashtirish orqali korxonalar xavfsizlikni oshiradi va murakkab va qimmat ichki Microsoft CA-ni boshqarish xarajatlarini kamaytiradi.

GlobalSign SaaS sertifikat xizmatlari sizning infratuzilmangizdagi zaif va boshqarilmaydigan sertifikatlarga qaraganda xavfsizroq variantdir. Resurslarni ko'p talab qiladigan ichki CAni boshqarish zaruratini bartaraf etish PKIga egalik qilishning umumiy qiymatini, shuningdek tizimning ishdan chiqishi xavfini kamaytiradi.

SCEP va ACME protokollarini qo‘llab-quvvatlash Windows-dan tashqari qo‘llab-quvvatlashni kengaytiradi, jumladan, Linux serverlari, mobil qurilmalari, tarmoq qurilmalari va boshqa qurilmalar, shuningdek, Active Directory-da ro‘yxatdan o‘tgan Apple OSX kompyuterlari uchun avtomatlashtirilgan sertifikatlar chiqarish.

Kengaytirilgan xavfsizlik

Pulni tejashga qo'shimcha ravishda, tashqi manbalardan olingan PKI boshqaruvi tizim xavfsizligini yaxshilaydi. Aberdin guruhi tadqiqotida qayd etilganidek, sertifikatlar o'z-o'zidan imzolangan ishonchsiz sertifikatlar, zaif shifrlash va noqulay bekor qilish mexanizmlari kabi ma'lum zaifliklardan muvaffaqiyatli foydalanadigan tajovuzkorlar tomonidan tobora ko'proq nishonga olinadi. Bundan tashqari, tajovuzkorlar ishonchli CA sertifikatlarini firibgarlik yo'li bilan berish va kod imzolash sertifikatlarini soxtalashtirish kabi murakkabroq ekspluatatsiyalarni o'zlashtirgan.

"Ko'pgina korxonalar ushbu hujumlar bilan bog'liq xavflarni faol ravishda boshqara olmaydilar va o'zaro kelishuvlarga tezda javob berishga tayyor emaslar" yozgan Derek E. Brink, Aberdeen Group vitse-prezidenti va IT xavfsizligi bo'yicha mutaxassis. "Korxonalarga Active Directory-da guruh siyosatlari ustidan korporativ nazoratni qo'llab-quvvatlagan holda sertifikatlarni boshqarishning operatsion jihatlarini mutaxassislar qo'liga topshirishga imkon berish orqali GlobalSign amaliy xavfsizlik va ishonch masalalarini samarali va arzon narxlarda hal qilish orqali sertifikatlardan foydalanishning kelajakdagi o'sishini ta'minlashga qaratilgan. -samarali joylashtirish modeli."

AEG qanday ishlaydi?

Microsoft-ning Sertifikat organiga alternativasi

AEG bilan odatiy tizim to'g'ri sertifikatlar to'g'ri kirish nuqtalariga yuborilishini ta'minlash uchun to'rtta asosiy komponentni o'z ichiga oladi:

  1. Windows serverida AEG dasturi.
  2. Administratorlarga resurslar haqidagi ma'lumotlarni boshqarish va saqlash imkonini beruvchi Active Directory serverlari yoki domen kontrollerlari.
  3. Yakuniy nuqtalar: foydalanuvchilar, qurilmalar, serverlar va ish stantsiyalari - raqamli sertifikatlarning "iste'molchisi" bo'lgan deyarli har qanday ob'ekt.
  4. Ishonchli sertifikat berish va boshqarish platformasining tepasida joylashgan GlobalSign sertifikatlashtirish organi yoki GCC. Bu erda sertifikatlar yaratiladi.

Ko'rsatilgan to'rt komponentdan uchtasi mijozda, to'rtinchisi esa bulutda.

Birinchidan, so'nggi nuqtalar guruh siyosatlari yordamida oldindan sozlangan: masalan, foydalanuvchi autentifikatsiyasi uchun sertifikatni tekshirish, sertifikat uchun S/MIME so'rovi va boshqalar - AEG serveriga keyingi ulanish uchun. Ulanish HTTPS orqali xavfsiz.

AEG serveri LDAP orqali Active Directory-dan ushbu so'nggi nuqtalar uchun sertifikat shablonlari ro'yxatini so'raydi va ro'yxatni CA joylashuvi bilan birga mijozlarga yuboradi. Ushbu qoidalarni olgandan so'ng, so'nggi nuqtalar yana AEG serveriga ulanadi, bu safar haqiqiy sertifikatlarni so'rash uchun. AEG, o'z navbatida, belgilangan parametrlar bilan API chaqiruvini yaratadi va uni qayta ishlash uchun GlobalSign sertifikatlashtirish organiga yoki GCCga yuboradi.

Nihoyat, GCC backend so'rovlarni odatda bir necha soniya ichida qayta ishlaydi va so'rov bo'yicha so'nggi nuqtalarga o'rnatiladigan sertifikat bilan birga APIga javob yuboradi.

Butun jarayon bir necha soniya davom etadi va guruh siyosatlari yordamida sertifikatlarni avtomatik ravishda olish uchun so'nggi nuqtalarni sozlash orqali to'liq avtomatlashtirilishi mumkin.

AEG noyob xususiyatlari

  • MDM platformasi orqali ro'yxatdan o'tishingiz mumkin.
  • Microsoft Crypto jamoasining sobiq xodimlari tomonidan ishlab chiqilgan.
  • Mijozsiz yechim.
  • Soddalashtirilgan amalga oshirish va hayot aylanishini boshqarish.

Microsoft-ning Sertifikat organiga alternativasi
Arxitektura misollari

Shunday qilib, GlobalSign AEG shlyuzi orqali tashqi PKI boshqaruvi xavfsizlikni oshirish, xarajatlarni tejash va xavflarni kamaytirishni anglatadi. Yana bir afzallik - oson o'lchov va yaxshilangan ishlash. To'g'ri boshqariladigan PKI uzoq ish vaqtini ta'minlaydi, yaroqsiz sertifikatlar tufayli muhim operatsiyalarning uzilishini bartaraf qiladi va xodimlarga kompaniya tarmoqlariga masofaviy, xavfsiz kirishni taklif qiladi.

AEG ikki faktorli autentifikatsiyani talab qiluvchi keng ko‘lamli foydalanish holatlarini qo‘llab-quvvatlaydi, VPN va Wi-Fi orqali tarmoqqa kiradigan masofaviy ishchi guruhi mijozlaridan smart-kartalar orqali o‘ta sezgir resurslarga imtiyozli kirishgacha.

GlobalSign identifikator va kirishni boshqarish uchun bulutli va tarmoqli PKI yechimlarini taqdim etishda global yetakchi hisoblanadi. Qo'shimcha mahsulot haqida ma'lumot olish uchun, iltimos, murojaat qiling bizning menejerlarimiz.

Manba: www.habr.com

a Izoh qo'shish