PKI cho IoT cung cấp khả năng bảo mật và quản lý danh tính thiết bị với Nền tảng chứng thư số đám mây dựa trên PKI, được xây dựng với mục đích dành cho việc mở rộng, linh hoạt và tương tác hệ thống bảo mật IoT.
Cơ sở hạ tầng khoá công khai (PKI) là tổ hợp của các công nghệ, chính sách và quy trình phục vụ nghiệp vụ mã hoá và/ hoặc ký số dữ liệu. Hệ thống PKI cấp phát chứng chỉ số nhằm xác thực danh tính người dùng – xác nhận thiết bị được quyền truy cập hệ thống mạng/ dịch vụ của doanh nghiệp.
Chứng chỉ số được cấp phát tuân thủ tương đương chính sách và quy trình của Top 2 CA công cộng quốc tế (GlobalSign, Digicert) và được hỗ trợ bởi nền tảng quản trị PKI của 1 trong 2 hãng CA này sẽ tạo nên công nghệ xác thực bằng mật mã, thay thế cho UPA + MFA. Chứng chỉ số và private key với độ mạnh mã hoá RSA 2048 bits kèm mật khẩu của người dùng sẽ giúp xác thực danh tính người dùng, thiết bị được phép truy cập vào vùng tài nguyên doanh nghiệp.
Trừ phi vẫn còn “hoài niệm” cửa sổ đăng nhập username/ password với mật khẩu dễ quên – dễ mất – dễ lộ, định kỳ phải thay đổi, chứng chỉ số sẽ giúp bạn hoàn toàn “actionless” với định danh mà vẫn tạo ra những phiên truy cập an toàn, bảo mật. Bạn cũng có thể quên đi các công nghệ xác thực đa nhân tố bổ trợ như SoftOTP, Biometrics …
Là công nghệ sinh ra để xác thực, mã hoá và đảm bảo toàn vẹn dữ liệu, PKI hỗ trợ đắc lực cho các dịch vụ như:
Khi môi trường CNTT doanh nghiệp trở nên “không biên giới”, lai ghép giữa on prem và on cloud, với đa chủng loại thiết bị người dùng, đặc biệt là các thiết bị IoT và ByoD, cùng với nhiều ứng dụng doanh nghiệp từ cũ đến mới, từ web app đến mobile app và các nền tảng, công nghệ có thể bổ trợ năng lực xác thực người dùng doanh nghiệp như AD, MDM, PKI là “nhân tố” lý tưởng để doanh nghiệp nâng cấp mức độ bảo mật – xác thực cho toàn hệ thống của mình, thúc đẩy các ứng dụng số hoá thông qua trải nghiệm người dùng thân thiện, dễ dùng, mở ra số lượng lớn “người dùng xanh” và thúc đẩy phát triển kinh doanh của doanh nghiệp.
Việc triển khai in-house PKI luôn dẫn đến sự tốn kém (nếu là đầu tư giải pháp chính hãng của các CA công cộng quốc tế) hoặc thiếu tính năng, năng lực xác thực tin cậy, tự động hoá (nếu như doanh nghiệp tự triển khai các phần mềm OpenCATM, EJBCA, MicrosoftCA) khiến cho năng lực hệ thống bị suy giảm, không đáng tin cậy để triển khai cho các dịch vụ xác thực trong doanh nghiệp.
Bằng việc cung cấp dịch vụ sử dụng trên nền tảng của mình, GlobalSign cung cấp giải pháp Managed PKI, khắc phục toàn diện được các nhược điểm và tồn tại, với những ưu điểm vượt trội so với các giải pháp in-house PKI, cụ thể:
Tiêu chí |
Managed PKI (AEG) |
In house PKI |
| Chức năng PKI | Đầy đủ tính năng PKI, bao gồm cả việc cung cấp chứng thư số công cộng kèm dịch vụ xác thực, đã được triển khai thành công ở doanh nghiệp quy mô toàn cầu | Doanh nghiệp tự thiết kế, xây dựng và triển khai nên không tin cậy, kèm theo gánh nặng về tài nguyên để vận hành, duy trì và đảm bảo an ninh |
| Dễ triển khai | Hỗ trợ tất cả trình duyệt, nền tảng, hệ điều hành, ứng dụng mail client, VPN, wireless network và các ứng dụng khác của doanh nghiệp. Cấp cert qua portal, giao thức SCEP, PKI client | Thường xuyên yêu cầu phải có tuỳ chỉnh tuỳ biến theo yêu cầu cụ thể của doanh nghiệp. Phải thêm chi phí cho các dịch vụ hỗ trợ. Hạn chế hỗ trợ đa nền tảng, hệ điều hành, phần mềm. |
| Tự động hoá | Hỗ trợ tất cả các giao thức tự động hoá để đảm bảo việc cấp phát (thâm chí cài đặt) cert được thực hiện với trải nghiệm người dùng nuột nà, đảm bảo tin cậy theo tiêu chuẩn PKI hiện hành | không có chức năng tự động hoá. |
| Độ sẵn sàng, tải cao và mở rộng | Được GlobalSign đảm bảo về thương mại đối với hệ thống PKI và các kịch bản phục hồi. Có độ linh hoạt, đàn hồi, co giãn cao để đáp ứng nhu cầu doanh nghiệp ngay lập tức | Doanh nghiệp tự cung cấp 100% hạ tầng, backup, dịch vụ phục hồi thảm hoạ và thiếu linh hoạt với các yêu cầu tải cao, mở rộng |
| An ninh và quản trị rủi ro | Tuân thủ theo tiêu chuẩn và thông lệ, chính sách an ninh toàn cầu của ngành dịch vụ PKI, thường xuyên được audit bởi các auditor quốc tế hoặc các CAB | Doanh nghiệp tự cung cấp dịch vụ an ninh, tự thiết kế các chính sách và thông lệ, khó vượt quá được các kỳ audit của các dịch vụ phái sinh như PCI, ISO 270001 … |
| Nhân sự | 25 năm vận hành an toàn | Nhân sự thiếu kinh nghiệm thực tế về thiết kế, triển khai, vận hành PKI thương mại, chưa nói đến duy trì và đảm bảo |
| Phạm vi hoạt động | CA toàn cầu, công nghệ chuyên sâu về xác thực, quản trị, cung cấp và giao thức phân phối cert. | Tự xây dựng. Tự tuỳ biến. Chứng thư tự dựng, chỉ cung cấp được cho các ứng dụng nội bộ trên nền tảng hạ tầng tự quản trị. |
AEG (Auto Enrollment Gateway) là giải pháp managed PKI của GlobalSign được phát triển trên cơ sở tận dụng các nền tảng sẵn có của doanh nghiệp và nền tảng quản trị GlobalSign PKI Atlas. AEG hoạt động như một gateway đặt tại hạ tầng của doanh nghiệp (triển khai theo giấy phép của GlobalSign) để kết nối nền tảng GlobalSign PKI Atlas với Microsoft Active Directory, Microsoft Intune, JAMF, các nền tảng MDM khác, giao thức SCEP để tự động đăng ký, cấp phát và cài đặt chứng chỉ số cho mọi hệ điều hành, nền tảng và thiết bị.
AEG tích hợp với Active Directory, các nền tảng MDM, hỗ trợ giao thức SCEP và ACMEv2 để tạo nên năng lực tự động đăng ký, cấp phát chứng chỉ số nhanh chóng, chính xác. Kèm theo tính năng lưu trữ và khôi phục private key, AEG hỗ trợ sao lưu và phân phối chứng chỉ số cho các thiết bị khác nhau của user, đồng thời giải mã các thông điệp đã được user đó mã hoá trong trường hợp user rời khỏi doanh nghiệp.
AEG kết nối trực tiếp với nền tảng GlobalSign PKI Atlas để cung cấp cho doanh nghiệp mọi loại chứng chỉ số, mọi loại template chứng chỉ số phục vụ cho các mục đích khác nhau (kiểm soát truy cập, định danh thiết bị, định danh người dùng, xác thực email, mã hoá)
Atlas là phiên bản nâng cấp của nền tảng quản trị GlobalSign PKI GCC rất nổi tiếng được hàng nghìn doanh nghiệp Việt Nam và hàng triệu doanh nghiệp nước ngoài sử dụng. Được xây dựng để làm việc với các nền tảng công nghệ thế hệ mới, Atlas có năng lực vượt trội về quản trị và tự động hoá chứng chỉ số, qua đó hỗ trợ doanh nghiệp nền tảng PKI mạnh, hiệu quả, tương tác đa môi trường nhằm đảm bảo năng lực xác thực người dùng – xác thực thiết bị – kiểm soát quyền truy cập. Với Atlas, doanh nghiệp hoàn toàn có thể gạt bỏ lo lắn về các tác vụ PKI phức tạp như quản lý khoá, tích hợp thư mục, hỗ trợ các giao thức cho endpoints. Khi kết hợp với giải pháp GlobalSign AEG và các nền tảng quản trị thiết bị sẵn có trong doanh nghiệp như MDM, AD …, bạn đã có ngay trong tay một hạ tầng CA thế hệ mới.
Lợi ích của Atlas:
– Thay thế các inhouse PKI/ private PKI bằng 1 cloud PKI thế hệ mới của GlobalSign;
– Cấp phát nhiều chủng loại chứng chỉ số với số lượng lớn, tốc độ cao
– Tiết kiệm chi phí xây dựng, triển khai, vân hành inhouse PKI bằng cloud PKI tin cậy tối đa
– Đáp ứng mọi yêu cầu về xác thực đa nhân tố và mã hoá.
– Cấp phát cert chính xác đến người dùng/ thiết bị
– Cấp phát đúng và đủ chủng loại cert template cho mọi tình huống doanh nghiệp
– Phân phối cert đến thiết bị của người dùng tự động;
– Chủ động lưu trữ và khôi phục cặp khoá.
AEG và Atlas còn giúp doanh nghiệp giải quyết bài toán kiểm soát truy cập từ mọi loại thiết bị, người dùng trong các vùng domain, joint domain của mình tới môi trường CNTT an toàn tuyệt đối bằng một công nghệ duy nhất, qua đó cho phép mở rộng số lượng thiết bị, người dùng được phép tham gia sử dụng các dịch vụ nội bộ của doanh nghiệp và làm cho tài nguyên của doanh nghiệp trở nên hữu ích hơn.
Với trải nghiệm người dùng xuất sắc, AEG và Atlas mang GlobalSign PKI đến gần hơn với doanh nghiệp và trở thành một công nghệ – dịch vụ không thể thiếu trong nhiều năm kế tiếp.
AEG sẽ được cài đặt lên một máy chủ Windows server 2008 R2 trở lên và hoạt động như một CA nội bộ trong mạng nội bộ doanh nghiệp. AEG sẽ hỗ trợ tất cả các giao thức triển khai chứng thư số như SCEP và ACME, hoặc có thể tích hợp với các nền tảng quản trị thiết bị khác để tận dụng khả năng phân phối chứng thư như Active Directory.
AEG được cài đặt trên Windows server 2008 R2 trở lên, và hoạt động như một Microsoft CA trong mạng nội bộ của doanh nghiệp.
Server AEG này sẽ được joint domain để tận dụng các chính sách nhóm (GPO), các giao thức phân phối mà AD hỗ trợ phân phối chứng thư số xuống các thiết bị/người dùng tương ứng. Các bước cụ thể như sau:
– Endpoint đăng ký chứng thư thông qua AEG (tự động request theo thiết lập GPO)
– AEG kiểm tra thông tin và các template tương ứng với AD
– AEG trả thông tin về cho Endpoint
– Endpoint gửi yêu cầu cấp chứng thư tới AEG
– AEG kết nối tới Atlas để cấp chứng thư
– AEG trả chứng thư số về cho endpoint thông qua AD và GPO
Với các thiết bị không joint domain, AEG cung cấp một portal đăng ký chứng thư thủ công thông qua trình duyệt web.
AEG còn hỗ trợ cung cấp chứng thư giữa nhiều miền khác nhau:
Khác với các thiết bị PC/ Desktop, các thiết bị Mobile không thể tham gia miền (joint domain). Các thiết bị này thường được quản lý qua MDM (Mobile Device Management), và MDM có thể tích hợp với dịch vụ Directory Service của AD.
Trên MDM, bạn chỉ cần cấu hình hồ sơ SCEP để MDM biết cần kết nối đến CA nào khi thực hiện đăng ký chứng thư cho các thiết bị Mobile. Tương tự với các thiết bị mạng có hỗ trợ giao thức SCEP, bạn cũng chỉ cần cấu hình hồ SCEP để kết nối tới AEG.
Với máy chủ/VM, bạn sẽ cần sử dụng giao thức ACME để tự động hoá việc phân phối chứng thư, AEG sẽ nhận và trả lời các yêu cầu chứng thư thông qua giao thức này.
ACME hoạt động dựa trên 2 thành phần là ACME client và ACME server, trong đó ACME client sẽ thực hiện tạo các request chứng thư, và AEG – với vai trò là ACME server – sẽ trả lời các yêu cầu chứng thư đó để cấp chứng thư. Khi ACME client hoàn thành việc xác thực, chứng thư sẽ được cấp ra và phân phối xuống thiết bị đã cài đặt ACME client.
Là phương châm làm việc của chúng tôi
12 năm
kinh nghiệm
Đổi sản phẩm
7 ngày
Giao dịch
an toàn
Dịch vụ
chất lượng
Đăng nhập 
