Người dùng không thể được tin cậy. Phần lớn, họ lười biếng và chọn sự thoải mái hơn sự an toàn. Theo thống kê, 21% viết mật khẩu của họ cho các tài khoản công việc ra giấy, 50% cho biết cùng một mật khẩu cho các dịch vụ công việc và cá nhân.
Môi trường cũng thù địch. 74% tổ chức cho phép mang thiết bị cá nhân đến nơi làm việc và kết nối với mạng công ty. 94% người dùng không thể phân biệt giữa email thật và email lừa đảo, 11% nhấp vào tệp đính kèm.
Tất cả những vấn đề này được giải quyết bằng cơ sở hạ tầng khóa công khai của công ty (PKI), cung cấp mã hóa và xác thực thư, đồng thời thay thế mật khẩu bằng chứng chỉ kỹ thuật số. Cơ sở hạ tầng này có thể được nâng lên trên Windows Server. Dựa theo , Dịch vụ chứng chỉ Active Directory (AD CS) là máy chủ cho phép bạn tạo PKI trong tổ chức của mình và sử dụng mật mã khóa công khai, chứng chỉ kỹ thuật số và chữ ký điện tử.
Nhưng giải pháp của Microsoft khá tốn kém.
Tổng chi phí sở hữu cho CA riêng của Microsoft
So sánh chi phí sở hữu giữa Microsoft CA và GlobalSign AEG.
Trong nhiều trường hợp, sẽ thuận tiện hơn và rẻ hơn khi tạo cùng một cơ quan cấp chứng chỉ riêng, nhưng với sự quản lý bên ngoài. Đây chính xác là vấn đề mà Cổng đăng ký tự động GlobalSign (AEG) giải quyết. Một số dòng chi phí được loại trừ khỏi tổng chi phí sở hữu (mua thiết bị, chi phí hỗ trợ, đào tạo nhân viên, v.v.). Tiết kiệm có thể vượt quá .
AE là gì
(AEG) là một dịch vụ phần mềm hoạt động như một cổng kết nối giữa các dịch vụ chứng chỉ SaaS GlobalSign và môi trường doanh nghiệp Windows.
AEG tích hợp với Active Directory, cho phép các tổ chức tự động đăng ký, cung cấp và quản lý chứng chỉ kỹ thuật số GlobalSign trong môi trường Windows. Bằng cách thay thế CA nội bộ bằng dịch vụ GlobalSign, doanh nghiệp tăng cường bảo mật và giảm chi phí quản lý CA nội bộ đắt đỏ và phức tạp của Microsoft.
Dịch vụ chứng chỉ GlobalSign SaaS là một tùy chọn đáng tin cậy hơn so với các chứng chỉ yếu và không được quản lý trên cơ sở hạ tầng của riêng bạn. Loại bỏ nhu cầu quản lý CA nội bộ sử dụng nhiều tài nguyên giúp giảm tổng chi phí sở hữu PKI, cũng như nguy cơ lỗi hệ thống.
Hỗ trợ cho các giao thức SCEP và ACME mở rộng hỗ trợ ngoài Windows, bao gồm cấp chứng chỉ tự động cho máy chủ Linux, thiết bị di động, thiết bị mạng và các thiết bị khác, cũng như máy tính Apple OSX đã đăng ký trong Active Directory.
Bảo mật nâng cao
Ngoài việc tiết kiệm tiền, việc quản lý PKI thuê ngoài còn cải thiện tính bảo mật của hệ thống. Như nghiên cứu của Aberdeen Group lưu ý, các chứng chỉ đang ngày càng trở thành mục tiêu của những kẻ tấn công khai thác thành công các lỗ hổng đã biết như chứng chỉ tự ký không đáng tin cậy, mã hóa yếu và cơ chế thu hồi rườm rà. Ngoài ra, những kẻ tấn công đã thành thạo các cách khai thác tinh vi hơn, chẳng hạn như gian lận cấp chứng chỉ từ các CA đáng tin cậy và giả mạo chứng chỉ ký mã.
“Hầu hết các doanh nghiệp không chủ động quản lý các rủi ro liên quan đến các cuộc tấn công này và không sẵn sàng phản ứng nhanh chóng với sự đánh đổi,” Derek E. Brink, Phó chủ tịch và Thành viên bảo mật CNTT tại Aberdeen Group. "Bằng cách cho phép các doanh nghiệp đặt các khía cạnh hoạt động của việc quản lý chứng chỉ vào tay các chuyên gia đồng thời duy trì quyền kiểm soát của công ty đối với các chính sách nhóm trong Active Directory, GlobalSign nhằm mục đích đảm bảo sự phát triển trong tương lai của việc sử dụng chứng chỉ bằng cách giải quyết các vấn đề về bảo mật và tin cậy thực tế một cách hiệu quả, tiết kiệm chi phí -mô hình triển khai hiệu quả."
Cách thức hoạt động của AEG
Một hệ thống điển hình với AEG bao gồm bốn thành phần chính để đảm bảo rằng các chứng chỉ chính xác được gửi đến đúng điểm truy cập:
- Phần mềm AEG trên máy chủ Windows.
- Máy chủ Active Directory hoặc bộ điều khiển miền cho phép quản trị viên quản lý và lưu trữ thông tin về tài nguyên.
- Điểm cuối: người dùng, thiết bị, máy chủ và máy trạm - hầu như bất kỳ thực thể nào là "người tiêu dùng" chứng chỉ kỹ thuật số.
- Cơ quan cấp chứng chỉ GlobalSign, hay GCC, nằm trên nền tảng quản lý và phát hành chứng chỉ đáng tin cậy. Đây là nơi các chứng chỉ được tạo ra.
Ba trong số bốn thành phần được hiển thị là tại chỗ tại máy khách và thành phần thứ tư là trên đám mây.
Đầu tiên, các điểm cuối được định cấu hình trước bằng chính sách nhóm: ví dụ: xác thực chứng chỉ để xác thực người dùng, yêu cầu S/MIME cho chứng chỉ, v.v. - cho kết nối tiếp theo với máy chủ AEG. Kết nối được bảo mật thông qua HTTPS.
Máy chủ AEG truy vấn Active Directory qua LDAP để biết danh sách các mẫu chứng chỉ cho các điểm cuối này và gửi danh sách cho khách hàng cùng với vị trí của CA. Sau khi nhận được các quy tắc này, các điểm cuối sẽ kết nối lại với máy chủ AEG, lần này là để yêu cầu các chứng chỉ thực tế. Ngược lại, AEG tạo lệnh gọi API với các tham số đã chỉ định và gửi lệnh gọi đó tới Cơ quan cấp chứng chỉ GlobalSign hoặc GCC để xử lý.
Cuối cùng, phần cuối của GCC xử lý các yêu cầu, thường trong vòng vài giây và gửi phản hồi API cùng với chứng chỉ sẽ được cài đặt trên các điểm cuối theo yêu cầu.
Toàn bộ quá trình mất vài giây và có thể hoàn toàn tự động bằng cách định cấu hình các điểm cuối để tự động lấy chứng chỉ bằng chính sách nhóm.
Các tính năng độc đáo của AEG
- Bạn có thể đăng ký thông qua nền tảng MDM.
- Được phát triển bởi các nhân viên cũ từ nhóm Microsoft Crypto.
- Giải pháp không có khách hàng.
- Đơn giản hóa việc triển khai và quản lý vòng đời.
ví dụ về kiến trúc
Do đó, quản lý PKI bên ngoài thông qua cổng GlobalSign AEG có nghĩa là tăng cường bảo mật, tiết kiệm chi phí và giảm thiểu rủi ro. Một lợi ích khác là khả năng mở rộng dễ dàng và hiệu suất được cải thiện. PKI được quản lý phù hợp đảm bảo thời gian hoạt động lâu dài, loại bỏ sự gián đoạn đối với các hoạt động quan trọng do chứng chỉ không hợp lệ và cung cấp cho nhân viên quyền truy cập từ xa, an toàn vào mạng công ty.
hỗ trợ nhiều trường hợp sử dụng yêu cầu xác thực hai yếu tố, từ máy khách nhóm làm việc từ xa truy cập mạng qua VPN và Wi-Fi, đến quyền truy cập đặc quyền vào các tài nguyên nhạy cảm cao thông qua thẻ thông minh.
GlobalSign là công ty hàng đầu toàn cầu trong việc cung cấp các giải pháp PKI trên nền tảng đám mây và được nối mạng để quản lý danh tính và quyền truy cập. Để biết thêm thông tin sản phẩm vui lòng liên hệ .
Nguồn: www.habr.com