No se puede confiar en los usuarios. La mayoría de ellos son flojos y eligen comodidad en lugar de seguridad. Según las estadísticas, el 21% escribe sus contraseñas de las cuentas de trabajo en papel, el 50% indica las mismas contraseñas para el trabajo y los servicios personales.

El ambiente también es hostil. El 74% de las organizaciones pueden llevar dispositivos personales al trabajo y conectarse a la red corporativa. El 94% de los usuarios no pueden distinguir una carta real de una de phishing, el 11% hace clic en los archivos adjuntos.

Todos estos problemas se resuelven mediante la infraestructura de clave pública corporativa (PKI), que proporciona cifrado y autenticación de correo, y reemplaza las contraseñas con certificados digitales. Esta infraestructura se puede aumentar en Windows Server. Según lo descrito por Microsoft , Active Directory Certificate Services (AD CS) es un servidor que le permite crear PKI en su organización y usar criptografía de clave pública, certificados digitales y firmas digitales.

Pero la solución de Microsoft es bastante cara.

Costo total de propiedad de la autoridad de certificación privada de Microsoft

Comparación del costo de propiedad de Microsoft CA y GlobalSign AEG. Fuente

En muchas situaciones, es más conveniente y más barato crear la misma autoridad de certificación privada, pero con administración externa. Esto es exactamente lo que resuelve GlobalSign Auto Enrollment Gateway (AEG). Se excluyen varias líneas de gastos del costo total de propiedad (compra de equipo, costos de soporte, capacitación del personal, etc.). Los ahorros pueden superar el 50% del costo total de propiedad .

¿Qué es el AEG?

Auto Enrollment Gateway (AEG) es un servicio de software que actúa como una puerta de enlace entre SaaS GlobalSign Certificate Services y el entorno empresarial de Windows.

AEG se integra con Active Directory, lo que permite a las organizaciones automatizar el registro, el aprovisionamiento y la administración de certificados digitales de GlobalSign en un entorno Windows. Al reemplazar las autoridades de certificación interna con los servicios de GlobalSign, las empresas aumentan la seguridad y reducen el costo de administrar una autoridad de certificación interna de Microsoft compleja y costosa.

GlobalSign SaaS Certificate Services es una opción más confiable que los certificados débiles y no administrados en su propia infraestructura. La eliminación de la necesidad de administrar CA internas con uso intensivo de recursos reduce el costo total de propiedad de PKI, así como el riesgo de fallas del sistema.

El soporte del protocolo SCEP y ACME extiende el soporte más allá de Windows, incluida la emisión automática de certificados para servidores Linux, dispositivos móviles, de red y otros dispositivos, así como computadoras Apple OSX registradas en Active Directory.

Mayor seguridad

Además de ahorrar presupuesto, la administración de PKI fuera de banda mejora la seguridad del sistema. Como se señaló en un estudio del Grupo Aberdeen, los atacantes atacan cada vez más los certificados: explotan con éxito vulnerabilidades bien conocidas, como los certificados autofirmados no confiables, el cifrado débil y los engorrosos mecanismos de revocación. Además, los atacantes han dominado exploits más complejos, como la emisión fraudulenta de certificados de CA confiables y certificados falsos para firmar un código.

"La mayoría de las empresas no gestionan activamente los riesgos asociados con estos ataques y no están preparados para responder rápidamente a un compromiso", escribió Derek E. Brink, vicepresidente e investigador de seguridad de TI en Aberdeen Group. "Al proporcionar a las empresas la oportunidad de transferir los aspectos operativos de la administración de certificados a las manos de expertos, mientras se mantiene el control corporativo sobre las políticas grupales en Active Directory, GlobalSign busca proporcionar un crecimiento futuro en el uso de certificados, resolviendo problemas prácticos de seguridad y confianza en un modelo de implementación eficiente y rentable".

Cómo funciona AEG

Un sistema AEG típico incluye cuatro componentes clave para garantizar que los certificados correctos se transfieran a los puntos de acceso correctos:

1. Software AEG en un servidor de Windows.
   
2. Servidores de Active Directory o controladores de dominio que permiten a los administradores administrar y almacenar información de recursos.
   
3. Puntos finales: usuarios, dispositivos, servidores y estaciones de trabajo, casi cualquier objeto que sea un "consumidor" de certificados digitales.
   
4. La Autoridad de Certificación GlobalSign o GCC, que se encuentra en la cima de una plataforma confiable de gestión y certificación. Aquí es donde se generan los certificados.

Tres de los cuatro componentes que se muestran están ubicados en el entorno local del cliente y el cuarto en la nube.

Primero, los puntos finales se configuran previamente mediante políticas de grupo: por ejemplo, al verificar un certificado para la autenticación del usuario, una solicitud S / MIME para un certificado, y así sucesivamente, para la conexión posterior al servidor AEG. La conexión es segura a través de HTTPS.

El servidor AEG envía una solicitud a Active Directory a través de LDAP para obtener una lista de plantillas de certificado para estos puntos finales y envía esta lista a los clientes junto con la ubicación de la autoridad de certificación. Después de recibir estas reglas, los puntos finales se vuelven a conectar al servidor AEG, esta vez para solicitar certificados reales. AEG, a su vez, crea una llamada API con los parámetros especificados y la envía a la Autoridad de Certificación GlobalSign o GCC para su procesamiento.

Finalmente, el lado del servidor de GCC procesa las solicitudes, generalmente en unos pocos segundos, y envía una respuesta API junto con un certificado que se instalará a pedido en los puntos finales.

Todo el proceso lleva unos segundos y puede automatizarse por completo mediante la configuración de puntos finales para obtener automáticamente certificados mediante políticas de grupo.

Características únicas de AEG

• Puede registrarse a través de la plataforma MDM.
  
• Desarrollado por ex empleados del equipo de Microsoft Crypto.
  
• La solución "sin cliente".
  
• Implementación simplificada y gestión del ciclo de vida.

Ejemplos de arquitectura

Por lo tanto, la administración externa de PKI a través de la puerta de enlace GlobalSign AEG significa mayor seguridad, ahorro de costos y menor riesgo. Otra ventaja es su fácil escalabilidad y mayor rendimiento. La gestión adecuada de PKI garantiza un tiempo de funcionamiento prolongado, elimina la interrupción de operaciones críticas debido a certificados no válidos y ofrece a los empleados acceso remoto y seguro a las redes de la empresa.

AEG admite una amplia gama de casos de uso que requieren autenticación de dos factores: desde clientes remotos de grupos de trabajo que acceden a la red a través de VPN y Wi-Fi, hasta acceso privilegiado a recursos de tarjetas inteligentes altamente sensibles.

---

GlobalSign es un líder mundial en el suministro de soluciones de gestión de acceso e identidad PKI en la nube y en la red. Puede especificar información más detallada sobre productos en nuestros gerentes .