Pengguna tidak bisa dipercaya. Sebagian besar dari mereka malas dan memilih kenyamanan daripada keamanan. Menurut statistik, 21% menuliskan kata sandi mereka dari akun kantor di atas kertas, 50% menunjukkan kata sandi yang sama untuk pekerjaan dan layanan pribadi.

Lingkungan juga tidak bersahabat. 74% organisasi diizinkan membawa perangkat pribadi ke kantor dan terhubung ke jaringan perusahaan. 94% pengguna tidak dapat membedakan huruf asli dari yang phishing, 11% mengklik lampiran.

Semua masalah ini diselesaikan oleh infrastruktur kunci publik perusahaan (PKI), yang menyediakan enkripsi dan otentikasi surat, dan mengganti kata sandi dengan sertifikat digital. Infrastruktur ini dapat dinaikkan pada Windows Server. Sebagaimana dijelaskan oleh Microsoft , Layanan Sertifikat Direktori Aktif (AD CS) adalah server yang memungkinkan Anda membuat PKI di organisasi Anda dan menggunakan kriptografi kunci publik, sertifikat digital, dan tanda tangan digital.

Namun solusi dari Microsoft cukup mahal.

Total biaya kepemilikan untuk otoritas sertifikasi swasta Microsoft

Perbandingan biaya kepemilikan Microsoft CA dan GlobalSign AEG. Sumber

Dalam banyak situasi, lebih mudah dan lebih murah untuk membuat otoritas sertifikasi swasta yang sama, tetapi dengan manajemen eksternal. Inilah yang dipecahkan oleh GlobalSign Auto Enrollment Gateway (AEG). Beberapa jalur pengeluaran dikecualikan dari total biaya kepemilikan (pembelian peralatan, biaya dukungan, pelatihan staf, dll.). Tabungan dapat melebihi 50% dari total biaya kepemilikan .

Apa itu AEG

Auto Enrollment Gateway (AEG) adalah layanan perangkat lunak yang bertindak sebagai gateway antara SaaS GlobalSign Certificate Services dan lingkungan Windows perusahaan.

AEG terintegrasi dengan Active Directory, memungkinkan organisasi mengotomatiskan pendaftaran, penyediaan, dan pengelolaan sertifikat digital GlobalSign di lingkungan Windows. Dengan mengganti otoritas sertifikasi internal dengan layanan GlobalSign, perusahaan meningkatkan keamanan dan menurunkan biaya pengelolaan otoritas sertifikasi internal Microsoft yang kompleks dan mahal.

Layanan Sertifikat SaaS GlobalSign adalah opsi yang lebih andal daripada sertifikat yang lemah dan tidak dikelola pada infrastruktur Anda sendiri. Menghilangkan kebutuhan untuk mengelola CA internal sumber daya intensif mengurangi total biaya kepemilikan PKI, serta risiko crash sistem.

Dukungan SCEP dan protokol ACME memperluas dukungan di luar Windows, termasuk penerbitan sertifikat otomatis untuk server Linux, seluler, jaringan dan perangkat lain, serta komputer Apple OSX yang terdaftar di Active Directory.

Keamanan meningkat

Selain menghemat anggaran, manajemen PKI out-of-band meningkatkan keamanan sistem. Seperti dicatat dalam studi Grup Aberdeen, sertifikat semakin menjadi target bagi penyerang: mereka berhasil mengeksploitasi kerentanan terkenal seperti sertifikat yang ditandatangani sendiri yang tidak dipercaya, enkripsi yang lemah dan mekanisme pencabutan yang rumit. Selain itu, penyerang telah menguasai eksploitasi yang lebih kompleks, seperti penerbitan sertifikat palsu dari CA yang tepercaya dan sertifikat palsu untuk menandatangani kode.

"Sebagian besar bisnis tidak secara aktif mengelola risiko yang terkait dengan serangan ini dan tidak siap untuk menanggapi kompromi dengan cepat," tulis Derek E. Brink, wakil presiden dan peneliti untuk keamanan TI di Aberdeen Group. “Dengan memberi perusahaan peluang untuk mentransfer aspek operasional manajemen sertifikat ke tangan para ahli, sambil mempertahankan kontrol perusahaan atas kebijakan grup di Direktori Aktif, GlobalSign berupaya memberikan pertumbuhan di masa depan dalam penggunaan sertifikat, menyelesaikan masalah keamanan dan kepercayaan praktis dalam model penyebaran yang efisien, hemat biaya.”

Bagaimana AEG Bekerja

Sistem AEG yang khas mencakup empat komponen utama untuk memastikan bahwa sertifikat yang benar ditransfer ke titik akses yang benar:

1. Perangkat lunak AEG pada server Windows.
   
2. Server direktori aktif atau pengontrol domain yang memungkinkan administrator untuk mengelola dan menyimpan informasi sumber daya.
   
3. Titik Akhir: pengguna, perangkat, server dan workstation - hampir semua objek yang merupakan "konsumen" sertifikat digital.
   
4. Otoritas Sertifikasi GlobalSign atau GCC, yang duduk di atas platform sertifikasi dan manajemen tepercaya. Di sinilah sertifikat dihasilkan.

Tiga dari empat komponen yang ditampilkan berada di lingkungan lokal klien, dan yang keempat di cloud.

Pertama, titik akhir telah dikonfigurasikan sebelumnya menggunakan kebijakan grup: misalnya, dengan memeriksa sertifikat untuk otentikasi pengguna, permintaan S / MIME untuk sertifikat, dan sebagainya, untuk koneksi selanjutnya ke server AEG. Koneksi aman melalui HTTPS.

Server AEG mengirimkan permintaan ke Active Directory melalui LDAP untuk mendapatkan daftar templat sertifikat untuk titik akhir ini, dan mengirimkan daftar ini ke klien bersama dengan lokasi otoritas sertifikat. Setelah menerima aturan ini, titik akhir menyambung kembali ke server AEG, kali ini untuk meminta sertifikat yang sebenarnya. AEG, pada gilirannya, menciptakan panggilan API dengan parameter yang ditentukan dan mengirimkannya ke Otoritas Sertifikasi GlobalSign atau GCC untuk diproses.

Terakhir, sisi server GCC memproses permintaan, biasanya dalam beberapa detik, dan mengirimkan respons API bersama dengan sertifikat yang akan diinstal berdasarkan permintaan di titik akhir.

Seluruh proses memakan waktu beberapa detik dan dapat sepenuhnya otomatis dengan mengkonfigurasi titik akhir untuk secara otomatis mendapatkan sertifikat menggunakan kebijakan grup.

Fitur unik AEG

• Anda dapat mendaftar melalui platform MDM.
  
• Dikembangkan oleh mantan karyawan tim Microsoft Crypto.
  
• Solusinya "tanpa klien."
  
• Implementasi yang disederhanakan dan manajemen siklus hidup.

Contoh Arsitektur

Dengan demikian, manajemen PKI eksternal melalui gateway GlobalSign AEG berarti peningkatan keamanan, penghematan biaya, dan risiko yang lebih rendah. Keuntungan lain adalah skalabilitasnya yang mudah dan peningkatan kinerja. Manajemen PKI yang tepat memastikan waktu kerja yang lama, menghilangkan gangguan operasi kritis karena sertifikat tidak sah dan menawarkan karyawan akses yang jauh dan aman ke jaringan perusahaan.

AEG mendukung berbagai kasus penggunaan yang membutuhkan otentikasi dua faktor: dari klien workgroup jarak jauh yang mengakses jaringan melalui VPN dan Wi-Fi, hingga akses istimewa ke sumber daya kartu pintar yang sangat sensitif.

---

GlobalSign adalah pemimpin global dalam menyediakan solusi manajemen identitas dan akses PKI cloud dan jaringan. Anda dapat menentukan informasi lebih rinci tentang produk di manajer kami .