Альтернатива центру сертификации от Microsoft

    Пользователям нельзя доверять. В большинстве своем они ленивы и вместо безопасности выбирают комфорт. По статистике, 21% записывают на бумаге свои пароли от рабочих аккаунтов, 50% указывают одинаковые пароли для рабочих и личных сервисов.

    Среда тоже враждебна. 74% организаций разрешают приносить на работу личные устройства и подключать к корпоративной сети. 94% пользователей не могут отличить настоящее письмо от фишингового, 11% нажимали на аттачменты.

    Все эти проблемы решает корпоративная инфраструктура открытых ключей (PKI), которая обеспечивает шифрование и аутентификацию почты, а пароли заменяет цифровыми сертификатами. Эту инфраструктуру можно поднять на Windows Server. Согласно описанию от Microsoft, служба Active Directory Certificate Services (AD CS) — это сервер, который позволяет создать в вашей организации PKI и использовать криптографию с открытыми ключами, цифровые сертификаты и цифровой подписи.

    Но решение от Microsoft достаточно дорогостоящее.

    Общая стоимость владения для частного центра сертификации от Microsoft



    Сравнение стоимости владения Microsoft CA и GlobalSign AEG. Источник

    Во многих ситуациях удобнее и дешевле создать такой же частный центр сертификации, но с внешним управлением. Именно эту проблему решает GlobalSign Auto Enrollment Gateway (AEG). Из общей стоимости владения исключается сразу несколько строк расходов (закупка оборудования, затраты на поддержку, обучение персонала и др.). Экономия может превышать 50% от общей стоимости владения.

    Что такое AEG




    Auto Enrollment Gateway (AEG) — программная служба, которая действует как шлюз между службами сертификатов SaaS GlobalSign и корпоративной средой Windows.

    AEG интегрируется с Active Directory, позволяя организациям автоматизировать регистрацию, подготовку и управление цифровыми сертификатами GlobalSign в среде Windows. Заменив внутренние центры сертификации сервисами GlobalSign, предприятия повышают безопасность и снижают затраты на управление сложным и дорогостоящим внутренним центром сертификации Microsoft.

    Службы сертификации GlobalSign SaaS — более надёжный вариант по сравнению со слабыми и неуправляемыми сертификатами на собственной инфраструктуре. Устранение необходимости управления ресурсоёмким внутренним ЦС снижает общую стоимость владения PKI, а также риск сбоев системы.

    Поддержка протоколов SCEP и ACME расширяет возможности поддержки за пределы Windows, включая автоматизированную выдачу сертификатов для серверов Linux, мобильных, сетевых и других устройств, а также компьютеров Apple OSX, зарегистрированным в Active Directory.

    Повышенная безопасность


    Кроме экономии бюджета, внешнее управление PKI повышает безопасность системы. Как отмечается в исследовании Aberdeen Group, сертификаты всё чаще становятся мишенью злоумышленников: они успешно используют известные уязвимости, такие как ненадёжные самоподписанные сертификаты, слабое шифрование и громоздкие механизмы отзыва. Кроме того, злоумышленники освоили более сложными эксплоиты, такие как мошенническая выдача сертификатов от доверенных ЦС и подделка сертификатов для подписи кода.

    «Большинство предприятий недостаточно активно управляют рисками, связанными с этими атаками, и не готовы быстро реагировать на компромисс, — написал Дерек Э. Бринк, вице-президент и научный сотрудник по IT-безопасности в Aberdeen Group. — Предоставляя предприятиям возможность передать операционные аспекты управления сертификатами в руки экспертов, сохраняя при этом корпоративный контроль над групповыми политиками в Active Directory, GlobalSign стремится обеспечить будущий рост использования сертификатов, решая практические вопросы безопасности и доверия в эффективной, экономичной модели развёртывания».

    Как работает AEG




    Типичная система с AEG включает в себя четыре ключевых компонента, чтобы гарантировать передачу правильных сертификатов правильным точкам доступа:

    1. Программное обеспечение AEG на сервере Windows.
    2. Серверы Active Directory или контроллеры домена, которые позволяют администраторам управлять и хранить информацию о ресурсах.
    3. Конечные точки: пользователи, устройства, серверы и рабочие станции — практически любой объект, который является «потребителем» цифровых сертификатов.
    4. Центр сертификации GlobalSign или GCC, который находится на вершине надежной платформы выдачи сертификатов и управления. Здесь генерируются сертификаты.

    Три из четырёх показанных компонентов находятся в локальной среде у клиента, а четвёртый — в облаке.

    Сначала конечные точки предварительно настраиваются с помощью групповых политик: например, по проверке сертификата на аутентификацию пользователя, запрос S/MIME для сертификата и так далее — для последующего подключения к серверу AEG. Подключение происходит безопасно через HTTPS.

    Сервер AEG отправляет запрос в Active Directory через LDAP, чтобы получить список шаблонов сертификатов для этих конечных точек, и отправляет клиентам данный список вместе с местоположением центра сертификации. После получения этих правил конечные точки снова подключаются к серверу AEG, на этот раз для запроса фактических сертификатов. AEG в свою очередь создаёт вызов API с указанными параметрами и отправляет его в Центр сертификации GlobalSign или GCC для обработки.

    Наконец, серверная часть GCC обрабатывает запросы, обычно в течение нескольких секунд, и отправляет ответ API вместе с сертификатом, который будет по запросу установлен на конечных точках.

    Весь процесс занимает несколько секунд и может быть полностью автоматизирован путём настройки конечных точек для автоматического получения сертификатов с помощью групповых политик.

    Уникальные особенности AEG


    • Можно зарегистрироваться через платформу MDM.
    • Разработана бывшими сотрудниками из команды Microsoft Crypto.
    • Решение «без клиента».
    • Упрощённая реализация и управление жизненным циклом.


    Примеры архитектур

    Таким образом, внешнее управление PKI через шлюз GlobalSign AEG означает повышенную безопасность, экономию средств и снижение рисков. Ещё одно преимущество — простая масштабируемость и повышенная производительность. Правильное управление PKI обеспечивает длительное время безотказной работы, исключает прерывание критически важных операций из-за недействительных сертификатов и предлагает сотрудникам удалённый, безопасный доступ к сетям компании.

    AEG поддерживает широкий спектр вариантов использования, требующих двухфакторной аутентификации: от клиентов удалённых рабочих групп, получающих доступ к сети через VPN и Wi-Fi, до привилегированного доступа к высокочувствительным ресурсам по смарт-картам.



    GlobalSign- мировой лидер в сфере предоставления облачных и сетевых PKI-решений по управлению идентификацией и доступом. Более подробную информацию о продуктах вы можете уточнить у наших менеджеров.
    GlobalSign
    166,95
    Компания
    Поделиться публикацией

    Комментарии 9

      +3
      это какие ж потребности должны быть, чтобы под виндовый CA выделять железный сервер, HSM и отдельного человека на обслуживание?
        0
        Есть демонстрационная версия?
        +2
        Железо под AEG конечно же не нужно… И его высокая доступность не нужна… И сопровождать его не нужно…
        При этом расчёт на всего 1000 пользовательских сертификатов. Кто-то лукавит. Кому-то нужна продажи…
        За 80000$ в год dgjkyt можно найти Linux админа (и даже не одного, и всё равно они не будут на 100% времени заняты только этой задачей) которые поднимут ту же инфраструктуру PKI на OpenSource решениях.
          +4
          Обычно расклад такой, что если за софт в любом случае надо платить, то у Microsoft при прочих равных всегда получается дешевле. Если другой продукт бесплатен, то ОК! )
          Во всей этой волшебной табличке только последний раздел представляет какой-то гипотетический интерес.

          В целом решение от Microsoft стоит 0 рублей. Если вы купили AD, то всё остальное у вас в кармане. Еще две-три виртуалки на 4CPU 2Gb RAM, и 0 затрат на сопровождение, потому что его легко сопроводит тот, кто поднял AD за тот же фиксированный прайс. Издержки на сопровождение не превышают 4 часов в месяц.
          +6
          Вот это вы юмористы. Можно я у вас 5 Microsoft CA буду администрировать за 30 000$ в год?
            0
            Классная первая фраза:
            Пользователям нельзя доверять. В большинстве своем они ленивы и вместо безопасности выбирают комфорт. По статистике, 21% записывают на бумаге свои пароли от рабочих аккаунтов, 50% указывают одинаковые пароли для рабочих и личных сервисов.

            Вы же тоже небось выберете домашний комфорт содержанию в концлагере? :)
              +2
              Просто ребятам из GlobalSign тоже нельзя доверять. И мне, кстати, тоже.
              0
              Ребят, это не «центру сертификации от Microsoft», а «собственному центру сертификации, добавленному во все списки рутов браузеров/ОС». Давайте без передёргиваний, а?
              На *nix стоимость этого будет точно такая же.

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое