Benutzern kann nicht vertraut werden. Die meisten von ihnen sind faul und wählen Komfort statt Sicherheit. Laut Statistik schreiben 21% ihre Passwörter von Arbeitskonten auf Papier, 50% geben dieselben Passwörter für Arbeits- und persönliche Dienstleistungen an.

Die Umgebung ist auch feindlich. 74% der Unternehmen dürfen persönliche Geräte zur Arbeit bringen und eine Verbindung zum Unternehmensnetzwerk herstellen. 94% der Benutzer können einen echten Brief nicht von einem Phishing-Brief unterscheiden, 11% haben auf Anhänge geklickt.

All diese Probleme werden durch die Corporate Public Key-Infrastruktur (PKI) gelöst, die die Verschlüsselung und Authentifizierung von E-Mails ermöglicht und Kennwörter durch digitale Zertifikate ersetzt. Diese Infrastruktur kann unter Windows Server aufgerufen werden. Wie von Microsoft beschrieben , ist Active Directory Certificate Services (AD CS) ein Server, mit dem Sie PKI in Ihrem Unternehmen erstellen und Kryptografie mit öffentlichen Schlüsseln, digitale Zertifikate und digitale Signaturen verwenden können.

Aber die Lösung von Microsoft ist ziemlich teuer.

Gesamtbetriebskosten für die private Zertifizierungsstelle von Microsoft

Vergleich der Betriebskosten von Microsoft CA und GlobalSign AEG. Quelle

In vielen Situationen ist es bequemer und billiger, dieselbe private Zertifizierungsstelle zu erstellen, jedoch mit externer Verwaltung. Dies ist genau das, was GlobalSign Auto Enrollment Gateway (AEG) löst. Mehrere Ausgabenzeilen sind von den Gesamtbetriebskosten ausgeschlossen (Anschaffung der Ausrüstung, Supportkosten, Schulung des Personals usw.). Einsparungen können 50% der Gesamtbetriebskosten übersteigen.

Was ist AEG?

Auto Enrollment Gateway (AEG) ist ein Softwaredienst, der als Gateway zwischen SaaS GlobalSign Certificate Services und der Windows-Unternehmensumgebung fungiert.

AEG lässt sich in Active Directory integrieren und ermöglicht es Unternehmen, die Registrierung, Bereitstellung und Verwaltung von digitalen GlobalSign-Zertifikaten in einer Windows-Umgebung zu automatisieren. Durch den Ersatz interner Zertifizierungsstellen durch GlobalSign-Dienste erhöhen Unternehmen die Sicherheit und senken die Kosten für die Verwaltung einer komplexen und teuren internen Microsoft-Zertifizierungsstelle.

GlobalSign SaaS Certificate Services ist eine zuverlässigere Option als schwache und nicht verwaltete Zertifikate in Ihrer eigenen Infrastruktur. Durch die Eliminierung der Notwendigkeit, ressourcenintensive interne Zertifizierungsstellen zu verwalten, werden die Gesamtbetriebskosten von PKI sowie das Risiko von Systemabstürzen verringert.

Die Unterstützung von SCEP- und ACME-Protokollen erweitert die Unterstützung über Windows hinaus, einschließlich der automatisierten Ausstellung von Zertifikaten für Linux-Server, Mobilgeräte, Netzwerke und andere Geräte sowie für in Active Directory registrierte Apple OSX-Computer.

Erhöhte Sicherheit

Das Out-of-Band-PKI-Management spart nicht nur Budget, sondern verbessert auch die Systemsicherheit. Wie in einer Studie der Aberdeen Group festgestellt wurde, werden Zertifikate zunehmend zu einem Ziel für Angreifer: Sie nutzen bekannte Sicherheitslücken wie nicht vertrauenswürdige selbstsignierte Zertifikate, schwache Verschlüsselung und umständliche Sperrmechanismen erfolgreich aus. Darüber hinaus haben Angreifer komplexere Exploits gemeistert, z. B. die betrügerische Ausstellung von Zertifikaten von vertrauenswürdigen Zertifizierungsstellen und gefälschte Zertifikate zum Signieren eines Codes.

"Die meisten Unternehmen steuern die mit diesen Angriffen verbundenen Risiken nicht aktiv und sind nicht bereit, schnell auf einen Kompromiss zu reagieren", schrieb Derek E. Brink, Vice President und Forscher für IT-Sicherheit bei der Aberdeen Group. "Indem GlobalSign Unternehmen die Möglichkeit bietet, die betrieblichen Aspekte des Zertifikatsmanagements in die Hände von Experten zu übertragen und gleichzeitig die Kontrolle über die Gruppenrichtlinien in Active Directory zu behalten, möchte GlobalSign künftig die Verwendung von Zertifikaten beschleunigen und praktische Sicherheits- und Vertrauensprobleme in einem effizienten, kostengünstigen Bereitstellungsmodell lösen."

Wie AEG funktioniert

Ein typisches AEG-System enthält vier Schlüsselkomponenten, um sicherzustellen, dass die richtigen Zertifikate an die richtigen Zugriffspunkte übertragen werden:

1. AEG-Software auf einem Windows-Server.
   
2. Active Directory-Server oder Domänencontroller, mit denen Administratoren Ressourceninformationen verwalten und speichern können.
   
3. Endpunkte: Benutzer, Geräte, Server und Workstations - fast jedes Objekt, das ein „Verbraucher“ digitaler Zertifikate ist.
   
4. Die GlobalSign Certification Authority (GCC), die auf einer vertrauenswürdigen Zertifizierungs- und Verwaltungsplattform basiert. Hier werden Zertifikate generiert.

Drei der vier gezeigten Komponenten befinden sich in der lokalen Umgebung des Clients und die vierte in der Cloud.

Zunächst werden Endpunkte mithilfe von Gruppenrichtlinien vorkonfiguriert: Zum Beispiel durch Überprüfen eines Zertifikats auf Benutzerauthentifizierung, einer S / MIME-Anforderung für ein Zertifikat usw. für die nachfolgende Verbindung zum AEG-Server. Die Verbindung ist über HTTPS sicher.

Der AEG-Server sendet über LDAP eine Anforderung an Active Directory, um eine Liste der Zertifikatvorlagen für diese Endpunkte abzurufen, und sendet diese Liste zusammen mit dem Speicherort der Zertifizierungsstelle an Clients. Nach Erhalt dieser Regeln stellen die Endpunkte erneut eine Verbindung zum AEG-Server her, um die tatsächlichen Zertifikate anzufordern. AEG erstellt wiederum einen API-Aufruf mit den angegebenen Parametern und sendet ihn zur Verarbeitung an die GlobalSign Certification Authority oder GCC.

Schließlich verarbeitet die Serverseite von GCC die Anforderungen normalerweise innerhalb weniger Sekunden und sendet eine API-Antwort zusammen mit einem Zertifikat, das auf Anfrage an den Endpunkten installiert wird.

Der gesamte Vorgang dauert einige Sekunden und kann vollständig automatisiert werden, indem Endpunkte so konfiguriert werden, dass Zertifikate mithilfe von Gruppenrichtlinien automatisch abgerufen werden.

Einzigartige Eigenschaften von AEG

• Sie können sich über die MDM-Plattform registrieren.
  
• Entwickelt von ehemaligen Mitarbeitern des Microsoft Crypto-Teams.
  
• Die Lösung "ohne Kunden".
  
• Vereinfachte Implementierung und Lebenszyklusverwaltung.

Architekturbeispiele

Das externe PKI-Management über das GlobalSign AEG-Gateway bedeutet daher mehr Sicherheit, Kosteneinsparungen und ein geringeres Risiko. Ein weiterer Vorteil ist die einfache Skalierbarkeit und die gesteigerte Leistung. Eine ordnungsgemäße PKI-Verwaltung gewährleistet eine lange Betriebszeit, verhindert die Unterbrechung kritischer Vorgänge aufgrund ungültiger Zertifikate und bietet den Mitarbeitern einen sicheren Fernzugriff auf Unternehmensnetzwerke.

AEG unterstützt eine Vielzahl von Anwendungsfällen, die eine Zwei-Faktor-Authentifizierung erfordern: von Remote-Arbeitsgruppen-Clients, die über VPN und Wi-Fi auf das Netzwerk zugreifen, bis hin zum privilegierten Zugriff auf hochsensible Smartcard-Ressourcen.

---

GlobalSign ist ein weltweit führender Anbieter von Cloud- und Netzwerk-PKI-Identitäts- und Zugriffsverwaltungslösungen. Detailliertere Informationen zu Produkten können Sie bei unseren Managern angeben.