Пользователям нельзя доверять. В большинстве своем они ленивы и вместо безопасности выбирают комфорт. По статистике, 21% записывают на бумаге свои пароли от рабочих аккаунтов, 50% указывают одинаковые пароли для рабочих и личных сервисов.
Среда тоже враждебна. 74% организаций разрешают приносить на работу личные устройства и подключать к корпоративной сети. 94% пользователей не могут отличить настоящее письмо от фишингового, 11% нажимали на аттачменты.
Все эти проблемы решает корпоративная инфраструктура открытых ключей (PKI), которая обеспечивает шифрование и аутентификацию почты, а пароли заменяет цифровыми сертификатами. Эту инфраструктуру можно поднять на Windows Server. Согласно описанию от Microsoft, служба Active Directory Certificate Services (AD CS) — это сервер, который позволяет создать в вашей организации PKI и использовать криптографию с открытыми ключами, цифровые сертификаты и цифровой подписи.
Но решение от Microsoft достаточно дорогостоящее.
Сравнение стоимости владения Microsoft CA и GlobalSign AEG. Источник
Во многих ситуациях удобнее и дешевле создать такой же частный центр сертификации, но с внешним управлением. Именно эту проблему решает GlobalSign Auto Enrollment Gateway (AEG). Из общей стоимости владения исключается сразу несколько строк расходов (закупка оборудования, затраты на поддержку, обучение персонала и др.). Экономия может превышать 50% от общей стоимости владения.
Auto Enrollment Gateway (AEG) — программная служба, которая действует как шлюз между службами сертификатов SaaS GlobalSign и корпоративной средой Windows.
AEG интегрируется с Active Directory, позволяя организациям автоматизировать регистрацию, подготовку и управление цифровыми сертификатами GlobalSign в среде Windows. Заменив внутренние центры сертификации сервисами GlobalSign, предприятия повышают безопасность и снижают затраты на управление сложным и дорогостоящим внутренним центром сертификации Microsoft.
Службы сертификации GlobalSign SaaS — более надёжный вариант по сравнению со слабыми и неуправляемыми сертификатами на собственной инфраструктуре. Устранение необходимости управления ресурсоёмким внутренним ЦС снижает общую стоимость владения PKI, а также риск сбоев системы.
Поддержка протоколов SCEP и ACME расширяет возможности поддержки за пределы Windows, включая автоматизированную выдачу сертификатов для серверов Linux, мобильных, сетевых и других устройств, а также компьютеров Apple OSX, зарегистрированным в Active Directory.
Кроме экономии бюджета, внешнее управление PKI повышает безопасность системы. Как отмечается в исследовании Aberdeen Group, сертификаты всё чаще становятся мишенью злоумышленников: они успешно используют известные уязвимости, такие как ненадёжные самоподписанные сертификаты, слабое шифрование и громоздкие механизмы отзыва. Кроме того, злоумышленники освоили более сложными эксплоиты, такие как мошенническая выдача сертификатов от доверенных ЦС и подделка сертификатов для подписи кода.
«Большинство предприятий недостаточно активно управляют рисками, связанными с этими атаками, и не готовы быстро реагировать на компромисс, — написал Дерек Э. Бринк, вице-президент и научный сотрудник по IT-безопасности в Aberdeen Group. — Предоставляя предприятиям возможность передать операционные аспекты управления сертификатами в руки экспертов, сохраняя при этом корпоративный контроль над групповыми политиками в Active Directory, GlobalSign стремится обеспечить будущий рост использования сертификатов, решая практические вопросы безопасности и доверия в эффективной, экономичной модели развёртывания».
Типичная система с AEG включает в себя четыре ключевых компонента, чтобы гарантировать передачу правильных сертификатов правильным точкам доступа:
Три из четырёх показанных компонентов находятся в локальной среде у клиента, а четвёртый — в облаке.
Сначала конечные точки предварительно настраиваются с помощью групповых политик: например, по проверке сертификата на аутентификацию пользователя, запрос S/MIME для сертификата и так далее — для последующего подключения к серверу AEG. Подключение происходит безопасно через HTTPS.
Сервер AEG отправляет запрос в Active Directory через LDAP, чтобы получить список шаблонов сертификатов для этих конечных точек, и отправляет клиентам данный список вместе с местоположением центра сертификации. После получения этих правил конечные точки снова подключаются к серверу AEG, на этот раз для запроса фактических сертификатов. AEG в свою очередь создаёт вызов API с указанными параметрами и отправляет его в Центр сертификации GlobalSign или GCC для обработки.
Наконец, серверная часть GCC обрабатывает запросы, обычно в течение нескольких секунд, и отправляет ответ API вместе с сертификатом, который будет по запросу установлен на конечных точках.
Весь процесс занимает несколько секунд и может быть полностью автоматизирован путём настройки конечных точек для автоматического получения сертификатов с помощью групповых политик.
Примеры архитектур
Таким образом, внешнее управление PKI через шлюз GlobalSign AEG означает повышенную безопасность, экономию средств и снижение рисков. Ещё одно преимущество — простая масштабируемость и повышенная производительность. Правильное управление PKI обеспечивает длительное время безотказной работы, исключает прерывание критически важных операций из-за недействительных сертификатов и предлагает сотрудникам удалённый, безопасный доступ к сетям компании.
AEG поддерживает широкий спектр вариантов использования, требующих двухфакторной аутентификации: от клиентов удалённых рабочих групп, получающих доступ к сети через VPN и Wi-Fi, до привилегированного доступа к высокочувствительным ресурсам по смарт-картам.
GlobalSign- мировой лидер в сфере предоставления облачных и сетевых PKI-решений по управлению идентификацией и доступом. Более подробную информацию о продуктах вы можете уточнить у наших менеджеров.
Среда тоже враждебна. 74% организаций разрешают приносить на работу личные устройства и подключать к корпоративной сети. 94% пользователей не могут отличить настоящее письмо от фишингового, 11% нажимали на аттачменты.
Все эти проблемы решает корпоративная инфраструктура открытых ключей (PKI), которая обеспечивает шифрование и аутентификацию почты, а пароли заменяет цифровыми сертификатами. Эту инфраструктуру можно поднять на Windows Server. Согласно описанию от Microsoft, служба Active Directory Certificate Services (AD CS) — это сервер, который позволяет создать в вашей организации PKI и использовать криптографию с открытыми ключами, цифровые сертификаты и цифровой подписи.
Но решение от Microsoft достаточно дорогостоящее.
Общая стоимость владения для частного центра сертификации от Microsoft
Сравнение стоимости владения Microsoft CA и GlobalSign AEG. Источник
Во многих ситуациях удобнее и дешевле создать такой же частный центр сертификации, но с внешним управлением. Именно эту проблему решает GlobalSign Auto Enrollment Gateway (AEG). Из общей стоимости владения исключается сразу несколько строк расходов (закупка оборудования, затраты на поддержку, обучение персонала и др.). Экономия может превышать 50% от общей стоимости владения.
Что такое AEG
Auto Enrollment Gateway (AEG) — программная служба, которая действует как шлюз между службами сертификатов SaaS GlobalSign и корпоративной средой Windows.
AEG интегрируется с Active Directory, позволяя организациям автоматизировать регистрацию, подготовку и управление цифровыми сертификатами GlobalSign в среде Windows. Заменив внутренние центры сертификации сервисами GlobalSign, предприятия повышают безопасность и снижают затраты на управление сложным и дорогостоящим внутренним центром сертификации Microsoft.
Службы сертификации GlobalSign SaaS — более надёжный вариант по сравнению со слабыми и неуправляемыми сертификатами на собственной инфраструктуре. Устранение необходимости управления ресурсоёмким внутренним ЦС снижает общую стоимость владения PKI, а также риск сбоев системы.
Поддержка протоколов SCEP и ACME расширяет возможности поддержки за пределы Windows, включая автоматизированную выдачу сертификатов для серверов Linux, мобильных, сетевых и других устройств, а также компьютеров Apple OSX, зарегистрированным в Active Directory.
Повышенная безопасность
Кроме экономии бюджета, внешнее управление PKI повышает безопасность системы. Как отмечается в исследовании Aberdeen Group, сертификаты всё чаще становятся мишенью злоумышленников: они успешно используют известные уязвимости, такие как ненадёжные самоподписанные сертификаты, слабое шифрование и громоздкие механизмы отзыва. Кроме того, злоумышленники освоили более сложными эксплоиты, такие как мошенническая выдача сертификатов от доверенных ЦС и подделка сертификатов для подписи кода.
«Большинство предприятий недостаточно активно управляют рисками, связанными с этими атаками, и не готовы быстро реагировать на компромисс, — написал Дерек Э. Бринк, вице-президент и научный сотрудник по IT-безопасности в Aberdeen Group. — Предоставляя предприятиям возможность передать операционные аспекты управления сертификатами в руки экспертов, сохраняя при этом корпоративный контроль над групповыми политиками в Active Directory, GlobalSign стремится обеспечить будущий рост использования сертификатов, решая практические вопросы безопасности и доверия в эффективной, экономичной модели развёртывания».
Как работает AEG
Типичная система с AEG включает в себя четыре ключевых компонента, чтобы гарантировать передачу правильных сертификатов правильным точкам доступа:
- Программное обеспечение AEG на сервере Windows.
- Серверы Active Directory или контроллеры домена, которые позволяют администраторам управлять и хранить информацию о ресурсах.
- Конечные точки: пользователи, устройства, серверы и рабочие станции — практически любой объект, который является «потребителем» цифровых сертификатов.
- Центр сертификации GlobalSign или GCC, который находится на вершине надежной платформы выдачи сертификатов и управления. Здесь генерируются сертификаты.
Три из четырёх показанных компонентов находятся в локальной среде у клиента, а четвёртый — в облаке.
Сначала конечные точки предварительно настраиваются с помощью групповых политик: например, по проверке сертификата на аутентификацию пользователя, запрос S/MIME для сертификата и так далее — для последующего подключения к серверу AEG. Подключение происходит безопасно через HTTPS.
Сервер AEG отправляет запрос в Active Directory через LDAP, чтобы получить список шаблонов сертификатов для этих конечных точек, и отправляет клиентам данный список вместе с местоположением центра сертификации. После получения этих правил конечные точки снова подключаются к серверу AEG, на этот раз для запроса фактических сертификатов. AEG в свою очередь создаёт вызов API с указанными параметрами и отправляет его в Центр сертификации GlobalSign или GCC для обработки.
Наконец, серверная часть GCC обрабатывает запросы, обычно в течение нескольких секунд, и отправляет ответ API вместе с сертификатом, который будет по запросу установлен на конечных точках.
Весь процесс занимает несколько секунд и может быть полностью автоматизирован путём настройки конечных точек для автоматического получения сертификатов с помощью групповых политик.
Уникальные особенности AEG
- Можно зарегистрироваться через платформу MDM.
- Разработана бывшими сотрудниками из команды Microsoft Crypto.
- Решение «без клиента».
- Упрощённая реализация и управление жизненным циклом.
Примеры архитектур
Таким образом, внешнее управление PKI через шлюз GlobalSign AEG означает повышенную безопасность, экономию средств и снижение рисков. Ещё одно преимущество — простая масштабируемость и повышенная производительность. Правильное управление PKI обеспечивает длительное время безотказной работы, исключает прерывание критически важных операций из-за недействительных сертификатов и предлагает сотрудникам удалённый, безопасный доступ к сетям компании.
AEG поддерживает широкий спектр вариантов использования, требующих двухфакторной аутентификации: от клиентов удалённых рабочих групп, получающих доступ к сети через VPN и Wi-Fi, до привилегированного доступа к высокочувствительным ресурсам по смарт-картам.
GlobalSign- мировой лидер в сфере предоставления облачных и сетевых PKI-решений по управлению идентификацией и доступом. Более подробную информацию о продуктах вы можете уточнить у наших менеджеров.
Комментарии (8)
maxdm
04.10.2019 13:08Есть демонстрационная версия?
GlobalSign_admin Автор
04.10.2019 13:35maxdm, да, конечно, демонстрация решения возможна, для этого нужно оставить свой запрос на станице https://www.globalsign.com/ru-ru/auto-enrollment-gateway/. Далее с вами свяжется сотрудник GlobalSign.
Slipeer
04.10.2019 13:29Железо под AEG конечно же не нужно… И его высокая доступность не нужна… И сопровождать его не нужно…
При этом расчёт на всего 1000 пользовательских сертификатов. Кто-то лукавит. Кому-то нужна продажи…
За 80000$ в год dgjkyt можно найти Linux админа (и даже не одного, и всё равно они не будут на 100% времени заняты только этой задачей) которые поднимут ту же инфраструктуру PKI на OpenSource решениях.
gotch
04.10.2019 13:46Обычно расклад такой, что если за софт в любом случае надо платить, то у Microsoft при прочих равных всегда получается дешевле. Если другой продукт бесплатен, то ОК! )
Во всей этой волшебной табличке только последний раздел представляет какой-то гипотетический интерес.
В целом решение от Microsoft стоит 0 рублей. Если вы купили AD, то всё остальное у вас в кармане. Еще две-три виртуалки на 4CPU 2Gb RAM, и 0 затрат на сопровождение, потому что его легко сопроводит тот, кто поднял AD за тот же фиксированный прайс. Издержки на сопровождение не превышают 4 часов в месяц.
gotch
04.10.2019 13:36+2Вот это вы юмористы. Можно я у вас 5 Microsoft CA буду администрировать за 30 000$ в год?
c0t0d0
04.10.2019 15:19Классная первая фраза:
Пользователям нельзя доверять. В большинстве своем они ленивы и вместо безопасности выбирают комфорт. По статистике, 21% записывают на бумаге свои пароли от рабочих аккаунтов, 50% указывают одинаковые пароли для рабочих и личных сервисов.
Вы же тоже небось выберете домашний комфорт содержанию в концлагере? :)
szelga
это какие ж потребности должны быть, чтобы под виндовый CA выделять железный сервер, HSM и отдельного человека на обслуживание?