Blog GlobalSign

17 mai 2017

O que é autenticação de cliente e por que eu preciso disso?

Dentro de uma empresa, muitas vezes há muitas ferramentas e contas sendo usadas no dia a dia por pessoas dentro da empresa, como e-mails e serviços em nuvem. Então, como você gerencia todas essas identidades e garante que você pode confiar que um hacker não está interceptando o e-mail de um funcionário ou uma conta on-line e usá-lo para fins maliciosos? A resposta é criar Identidades Digitais e fornecer certificados S / MIME individuais para cada usuário / funcionário. Os funcionários podem usar esses certificados para comprovar sua ID e executar tarefas como assinar e criptografar e-mails e fazer login em contas.


O que é autenticação de cliente?

A autenticação de cliente é o processo pelo qual os usuários acessam de forma segura um servidor ou computador remoto utilizando um certificado digital. O Certificado Digital é visto, em parte, como a sua "ID Digital" e é usado para criptograficamente associar a identidade de um cliente, empregado ou parceiro a um Certificado Digital único (tipicamente incluindo o nome, nome da empresa e local do proprietário do Certificado Digital). O certificado digital e associado a uma conta de usuário e assim usado para fornecer controle de acesso a recursos de rede, serviços da Web e sites.

Assim como as organizações precisam controlar quais usuários têm acesso a redes e recursos corporativos, eles também precisam ser capazes de identificar e controlar quais máquinas e servidores têm acesso. A autenticação do dispositivo de implementação significa que apenas as máquinas com as credenciais apropriadas podem acessar, comunicar e operar em redes corporativas.

As organizações podem aproveitar as informações de registro armazenadas no Active Directory para emitir automaticamente certificados baseados em modelo e opcionalmente configurados em todas as máquinas e servidores que residem em um único domínio ou em vários domínios em uma configuração de floresta única ou múltipla.

Os Certificados Digitais utilizados para autenticação de cliente e dispositivo podem ter o mesmo aspecto que qualquer outro Certificado Digital que você já esteja usando em sua organização, como certificados para proteger serviços da Web (SSL) ou assinaturas de e-mail / documento (assinaturas digitais), os certificados podem ter algumas propriedades diferentes, dependendo do uso.
A autenticação de cliente pode ser usada para impedir o acesso não autorizado, ou simplesmente para adicionar uma segunda camada de segurança à sua combinação atual de nome de usuário e senha. A autenticação de cliente e o controle de acesso também permitem que as organizações cumpram a normativa e a conformidade com a privacidade, além de cumprir políticas internas de segurança usando a autenticação de dois fatores baseada em PKI - "algo que você tem" (um Certificado Digital GlobalSign) e "algo que você sabe" (Senha gerenciada internamente).

Os benefícios da autenticação do cliente

Autenticação de cliente tem vários benefícios como um método de autenticação, especialmente quando comparado com o nome de usuário básico e método de senha:

• Você pode decidir se um usuário deve ou não entrar utilizando um nome de usuário e uma senha
• Criptografa transações na rede, identifica o servidor e valida as mensagens enviadas
• Valida a identidade do usuário usando uma parte confiável (a Autoridade de Certificação) e permite o gerenciamento centralizado de certificados que permite uma fácil revogação
• É exclusivo para o dispositivo em que está instalado - não pode ser portado para outros dispositivos
• Restringir o acesso por usuário, grupo, funções ou dispositivo com base no Active Directory (usando a solução AEG) da GlobalSign (Auto Enrollment Gateway)
• Serve mais propósitos do que autenticação como integridade e confidencialidade
• Previne ataques maliciosos / problemas, incluindo, mas não limitado aos ataques de phishing, keystroke log e man-in-the-middle (MITM)

Suporte para autenticação de cliente

Muitas aplicações corporativas e redes suportam os X.509 Certificados Digitais, o formato padrão para certificados de chave pública. Isso significa que com apenas algumas alterações de configuração, você pode ativar a autenticação de cliente para muitos casos de uso populares, incluindo login do Windows, Google Apps, Salesforce, SharePoint e SAP e acesso a servidores remotos através de portais como Citrix ou SonicWALL. Isso significa:

• É necessária uma configuração mínima para implementar uma autenticação forte
• Ativa facilmente a autenticação de dois fatores em vários aplicativos e redes
• Autentica o acesso através dos dispositivos móveis.

As imagens abaixo são um exemplo do uso de Certificados Digitais X.509 como um método de autenticação de dois fatores. Primeiro, o usuário entrará com seu próprio nome de usuário e senha:

Client authentication screenshot
Na tela seguinte, o usuário é solicitado a fazer o login utilizando o seu Certificado Digital.
Client Authentication Screenshot

O usuário pode então escolher qual certificado utilizar:

Client Authentication Screenshot

Se a organização quiser adicionar uma camada adicional de segurança, um cartão inteligente ou um pin poderia ser usado também.

O problema surge quando você precisa emitir vários certificados para novos funcionários e instalá-los rapidamente. Em empresas maiores, você pode integrar vários novos funcionários ao mesmo tempo e os departamentos de TI devem levar em consideração outros itens que podem ser vistos como mais importantes, como garantir que o novo funcionário tenha um computador, uma mesa de trabalho ou contas para todas as ferramentas E software que estarão usando.

Portanto, muitas vezes os Certificados Digitais para e-mail seguro e autenticação, que provavelmente deve ter uma alta prioridade, muitas vezes são empurrados de volta para o final da lista. Um monte de tempo e dinheiro podem ser salvos ao usar o GlobalSign's Auto Enrollment Gateway solução para emitir esses certificados, garantindo plenamente a organização está protegendo seus recursos e ativos desde o início.

A integração do Active Directory da GlobalSign, chamada de Auto Enrollment Gateway (AEG), atua como um proxy entre o ambiente Windows de uma empresa e os serviços CA da GlobalSign. Isso significa que você pode manter todos os recursos e benefícios do Active Directory e dos Serviços de Certificados do Windows, incluindo o provisionamento automático, modelos de certificado e Diretiva de Grupo, sem gerenciar sua própria CA (Autoridade de Certificação).

Delegar o gerenciamento da AC aos especialistas liberta sua equipe de TI interna para se concentrar em suas principais competências, enquanto a GlobalSign gerencia as operações de segurança, alta disponibilidade e CA, garantindo que você atenda aos SLAs e às auditorias de conformidade. Você também ganha uma funcionalidade adicional, como a capacidade de provisionar certificados e certificados publicamente confiáveis para objetos que não pertençam ao domínio.

Se você quiser saber mais sobre como nossa solução de Gateway de inscrição automática funciona e como você pode economizar 50% do custo total de propriedade, assista nosso webinar.

Share this Post