Os usuários não podem ser confiáveis. A maioria deles é preguiçosa e escolhe conforto em vez de segurança. Segundo as estatísticas, 21% anotam suas senhas de contas comerciais em papel, 50% indicam as mesmas senhas para serviços pessoais e de trabalho.
O ambiente também é hostil. 74% das organizações têm permissão para trazer dispositivos pessoais para trabalhar e se conectar à rede corporativa. 94% dos usuários não conseguem distinguir uma letra real de uma de phishing, 11% clicam em anexos.
Todos esses problemas são resolvidos pela infraestrutura de chave pública corporativa (PKI), que fornece criptografia e autenticação de correio e substitui senhas por certificados digitais. Essa infraestrutura pode ser aumentada no Windows Server. Conforme
descrito pela Microsoft , o AD CS (Serviços de Certificados do Active Directory) é um servidor que permite criar PKI em sua organização e usar criptografia de chave pública, certificados digitais e assinaturas digitais.
Mas a solução da Microsoft é bastante cara.
Custo total de propriedade da autoridade de certificação privada da Microsoft
Comparação do custo de propriedade da Microsoft CA e da GlobalSign AEG. FonteEm muitas situações, é mais conveniente e mais barato criar a mesma autoridade de certificação privada, mas com gerenciamento externo. É exatamente isso que o GlobalSign Auto Enrollment Gateway (AEG) resolve. Várias linhas de despesas são excluídas do custo total de propriedade (compra de equipamentos, custos de suporte, treinamento de pessoal etc.). A economia pode exceder
50% do custo total de propriedade .
O que é AEG
O AEG (
Auto Enrollment Gateway ) é um serviço de software que atua como um gateway entre os Serviços de Certificados GlobalSign da SaaS e o ambiente corporativo do Windows.
A AEG se integra ao Active Directory, permitindo que as organizações automatizem o registro, provisionamento e gerenciamento de certificados digitais GlobalSign em um ambiente Windows. Ao substituir as autoridades de certificação internas pelos serviços GlobalSign, as empresas aumentam a segurança e reduzem o custo de gerenciamento de uma autoridade de certificação interna complexa e cara da Microsoft.
O GlobalSign SaaS Certificate Services é uma opção mais confiável do que certificados fracos e não gerenciados em sua própria infraestrutura. Eliminar a necessidade de gerenciar CAs internas que consomem muitos recursos reduz o custo total de propriedade da PKI, bem como o risco de falhas no sistema.
O suporte ao protocolo SCEP e ACME estende o suporte além do Windows, incluindo emissão automatizada de certificados para servidores Linux, dispositivos móveis, rede e outros dispositivos, bem como computadores Apple OSX registrados no Active Directory.
Maior segurança
Além de economizar orçamento, o gerenciamento de PKI fora da banda melhora a segurança do sistema. Conforme observado em um estudo do Aberdeen Group, os certificados são cada vez mais visados pelos invasores: eles exploram com êxito vulnerabilidades conhecidas, como certificados autoassinados não confiáveis, criptografia fraca e mecanismos de revogação complicados. Além disso, os invasores dominam explorações mais complexas, como emissão fraudulenta de certificados de CAs confiáveis e certificados falsos para assinar um código.
"A maioria das empresas não gerencia ativamente os riscos associados a esses ataques e não está pronta para responder rapidamente a um compromisso",
escreveu Derek E. Brink, vice-presidente e pesquisador de segurança de TI do Aberdeen Group. “Ao oferecer às empresas a oportunidade de transferir os aspectos operacionais do gerenciamento de certificados para as mãos de especialistas, mantendo o controle corporativo sobre as políticas de grupo no Active Directory, a GlobalSign busca proporcionar crescimento futuro no uso de certificados, resolvendo problemas práticos de segurança e confiança em um modelo de implantação eficiente e econômico.”
Como a AEG funciona
Um sistema AEG típico inclui quatro componentes principais para garantir que os certificados corretos sejam transferidos para os pontos de acesso corretos:
- Software AEG em um servidor Windows.
- Servidores do Active Directory ou controladores de domínio que permitem aos administradores gerenciar e armazenar informações de recursos.
- Pontos de extremidade: usuários, dispositivos, servidores e estações de trabalho - quase qualquer objeto que é um "consumidor" de certificados digitais.
- A Autoridade de Certificação GlobalSign ou GCC, que fica no topo de uma plataforma confiável de certificação e gerenciamento. É aqui que os certificados são gerados.
Três dos quatro componentes mostrados estão localizados no ambiente local do cliente e o quarto na nuvem.
Primeiro, os pontos de extremidade são pré-configurados usando políticas de grupo: por exemplo, verificando um certificado para autenticação do usuário, uma solicitação S / MIME para um certificado e assim por diante, para conexão subseqüente ao servidor AEG. A conexão é segura via HTTPS.
O servidor AEG envia uma solicitação ao Active Directory por meio do LDAP para obter uma lista de modelos de certificado para esses pontos de extremidade e envia essa lista aos clientes junto com o local da autoridade de certificação. Depois de receber essas regras, os pontos de extremidade se reconectam ao servidor AEG, desta vez para solicitar certificados reais. A AEG, por sua vez, cria uma chamada de API com os parâmetros especificados e a envia à Autoridade de Certificação GlobalSign ou GCC para processamento.
Por fim, o lado do servidor do GCC processa as solicitações, geralmente em alguns segundos, e envia uma resposta da API junto com um certificado que será instalado mediante solicitação nos pontos de extremidade.
Todo o processo leva alguns segundos e pode ser totalmente automatizado, configurando terminais para obter certificados automaticamente usando políticas de grupo.
Recursos exclusivos da AEG
- Você pode se registrar através da plataforma MDM.
- Desenvolvido por ex-funcionários da equipe Microsoft Crypto.
- A solução "sem um cliente".
- Implementação simplificada e gerenciamento do ciclo de vida.
Exemplos de arquiteturaAssim, o gerenciamento externo de PKI através do gateway GlobalSign AEG significa maior segurança, economia de custos e menor risco. Outra vantagem é sua fácil escalabilidade e maior desempenho. O gerenciamento adequado da PKI garante um longo tempo de atividade, elimina a interrupção de operações críticas devido a certificados inválidos e oferece aos funcionários acesso remoto e seguro às redes da empresa.
A AEG suporta uma ampla gama de casos de uso que exigem autenticação de dois fatores: desde clientes de grupos de trabalho remotos acessando a rede via VPN e Wi-Fi até acesso privilegiado a recursos altamente sensíveis de cartões inteligentes.
A GlobalSign é líder global no fornecimento de soluções de gerenciamento de acesso e identidade PKI em nuvem e rede. Você pode especificar informações mais detalhadas sobre produtos em nossos gerentes .