Din virksomhed har sikkert rigtig mange enheder, der løbende kommunikerer med hinanden, med servere og med cloud tjenester. Et sikkerhedsmæssigt mareridt, hvor der er mange muligheder for, at tingene kan gå galt.
PKI (Public Key Infrastructure) er en teknologi, der anvendes til at sikre kommunikation over internettet ved at bruge offentlige og private nøgler. Den offentlige nøgle kan bruges til at kryptere beskeder, som kun kan dekrypteres af modtagerens private nøgle. Dette giver et ekstra sikkerhedslag for at sikre, at ingen uvedkommende kan læse eller ændre data undervejs.
Der er mange gode grunde til at implementere PKI:
1. Sikker kommunikation: PKI sikrer, at kommunikationen mellem to parter er sikker, uanset hvilken netværkskanal der bruges.
2. Autentisering: PKI bruges også til at verificere en persons eller enheds identitet. Dette gør det muligt at sikre, at du kommunikerer med den rigtige person og ikke en uvedkommende.
3. Integritet: PKI sikrer, at data ikke kan ændres undervejs i kommunikationen, hvilket er vigtigt for at sikre, at informationen du modtager er korrekt.
4. "Uafviselighed": PKI giver en måde at bevise, at en besked faktisk blev sendt af den person eller enhed, den påstår at være sendt af, hvilket forhindrer, at senderen kan nægte at have sendt beskeden.
PKI-infrastrukturen kan bygge bro mellem on-premise ressourcer og azure endpoints
Med en PKI-infrastruktur og AzureAD Connect, kan vi bygge bro mellem on-premise systemer og AzureAD joined endpoints. Herunder Autopilot enrolled endpoints, hvor AuzreAD identiteten udstyres med et certifikat, som er udstedt af en on-premise PKI.
Certifikatet anvendes til brugergodkendelse på on-premise systemer, og kan integreres med Windows Hello for Business. Derved mindskes brugerens anvendelse af passwords, hvilket højner sikkerheden på domænet samtidigt med, at det øger brugervenligheden for Autopilot endpoints, som er AzureAD joined.
PKI-infrastruktur er en forudsætning for at implementere Zero Trust i virksomheden
Zero Trust stiller store krav til den identitetsstyring, som din virksomhed har implementeret. Du skal som udgangspunkt forvente sikkerhedsbrud og derfor sørge for, at alle forespørgsler mod virksomhedens ressourcer bliver valideret. Hyppigheden af valideringerne, kombineret med NIST’s anbefalinger til implementering af sikkerhed, skaber et behov for at kræve noget i stedet for brugernavne og passwords. Noget, som vi med sikkerhed ved er udstedt til rette vedkommende, og som meget hyppigt kan anvendes til validering i stedet for en passwordprompt. Her er certifikater i en intern PKI ideelle.
PKI-infrastruktur kan garantere identiteten af brugerne i dit netværk
Med 802.1X netværksgodkendelse kan det garanteres, at kun din virksomheds devices kan logge på netværket. 802.1X netværksgodkendelse garanterer sikkerheden lige så effektivt på kablet som på trådløse netværk, og kan segmenteres helt ned på brugerniveau.
En anden, mindst lige så væsentlig fordel er, at certifikatbaseret login til netværket sker helt automatisk og uden brug af brugernavn/password. Det gør det langt sværere for en hacker at bryde netværkssikkerheden, fordi der ikke er noget brugernavn og password at gætte.
En PKI-infrastruktur er en forudsætning for implementering af Always-On VPN
Vil du have samme sikkerhed på hjemmekontoret som i virksomheden? Vil du være sikker på, at dine medarbejdere ikke bliver udsat for øgede sikkerhedstrusler, når de er på farten? Eller vil du blot sikre samme nemme adgang til virksomhedens ressourcer, uanset hvor medarbejderen befinder sig? Så er Always-On VPN det helt rigtige produkt for jeres virksomhed.
Med Always-On VPN etableres en sikkerhedszone, hvor virksomhedens ressourcer er tilgængelige. Adgangen til denne zone beskyttes af et certifikatbaseret login, som kan indhegne alt fra en enkelt applikation til hele brugerens PC, og sikre at kun devices godkendt af virksomheden, kan opnå adgang til ressourcerne. Det kan med fordel udbredes til virksomhedens egne interne netværk, så man derved sikrer, at netværksstik ikke alene kan kompromittere netværket.
Mansoft tilbyder
Mansoft kan levere arkitektur på løsningen; dvs. Root CA + en eller flere issuing CA servere (interne, eksterne (BYOD m.fl.).), deployment i AD, etablering af trust via Group Policy og/eller Intune Policies.
Vi kan også implementere de forskellige løsninger, hvor certifikater kan bruges – f.eks. i forlængelse af Identity and Access Management (client-based certificate authentication) til Azure applikationer, Zero Trust, 802.1X netværksgodkendelse på både kabel og trådløs, Always-On VPN.
Managed Service skal fokusere på:
- At klienterne får udstedt certifikater
- At brugerne får udstedt certifikater
- At certifikaterne er gyldige
- CRL og AIA lister skal være tilgængelige, både for AzureAD og AD maskiner
- CRL og AIA lister skal opdateres jævnligt (hver dag)
- Implementeringer skal følge best practice, dvs. Root CA skal være offline, og issuing CA skal være hardened.