Zarządzanie dostępem
Transkrypt
Zarządzanie dostępem
Security & Identity Round Table Warszawa, 24 kwietnia 2014 Quest Software, now a part of Dell Bezpieczeństwo i Audyt Systemów Warszawa, 20 maja 2014 1 Oferta oprogramowania narzędziowego Dell Software z zakresu bezpieczeństwa informatycznego Grzegorz Szafrański, Solutions Architect ŹŻZródła ryzyka związanego z bezpieczeństwem informatycznym • • • • • Rosnący poziom zaawansowania technologicznego przedsiębiorstw, Upowszechnienie modelu „cloud computing” Większe wymagania regulatorów -dostęp do wrażliwych danych Ataki z zewnątrz Działalność pracowników i innych osób korzystających z systemów informatycznych firmy: – np.: wyciek danych użytkowników PlayStation Network 3 Przykład Puls Biznesu „... Cezary G. przez blisko trzy lata „opiekował się” rachunkami klientów gdyńskiego biura. Nie miał do tego uprawnień, a robił to nawet kilka miesięcy po odejściu z pracy. Niektóre rachunki należały do osób klasyfikowanych jako VIP, inwestujących duże pieniądze….” Źrodło: http://http://biznes.onet.pl/maklerska-afera-w-dnb-nord,18512,5281555,news-detal Problem biznesowy Fakt: Firmy uniknęły 96% naruszeń wewnętrznych dzięki przeprowadzanym kontrolom lub bezpośredniej interwencji odpowiednich służb. Bezpieczeństwo • Wewnętrzne i zewnętrzne zagrożenia • Zwiększone ryzyko naruszeń wewnętrznych • Osierocone konta • Zbyt wiele osób posiada dostęp do uprzywilejowanych kont • Użytkownicy posiadają zbyt duży dostęp Complexity Źródło - 2011 Data Breach Investigations Report, badanie przeprowadzone przez zespół Verizon Risc przy współpracy z amerykańskimi tajnymi służbami i holenderskim wydziałem przestępstw High Tech Crime Problem biznesowy Fakt: W średniej firmie użytkownik końcowy musi pamiętać 6 różnych haseł. Źródło - Aberdeen Group research Bezpieczeństwo Złożoność • Wewnętrzne i zewnętrzne zagrożenia • Zwiększone ryzyko naruszeń wewnętrznych • Osierocone konta • Zbyt wiele osób posiada dostęp do uprzywilejowanych kont • Użytkownicy posiadają zbyt duży dostęp • Zbyt wiele oddzielnych repozytoriów (bytów) użytkowników • Różne hasła i loginy • Podejrzliwa aktywność użytkowników pozostaje niezauważona • Zarządzanie prawami dostępu użytkowników jest bardzo pracochłonne Problem biznesowy Fakt: W przeprowadzonym badaniu 48% respondentów oceniła szanse ryzyka spowodowanego nie spełnieniem zgodności w ciągu najbliższych 18 miesięcy jako "wysokie" lub "bardzo wysokie." Źródło – State of Compliance 2011, PWC Bezpieczeństwo Złożoność Zgodność • Wewnętrzne i zewnętrzne zagrożenia • Zwiększone ryzyko naruszeń wewnętrznych • Osierocone konta • Zbyt wiele osób posiada dostęp do uprzywilejowanych kont • Użytkownicy posiadają zbyt duży dostęp • Zbyt wiele oddzielnych repozytoriów (bytów) użytkowników • Rosnąca liczba przepisów i wymogów • Różne hasła i loginy • Podejrzliwa aktywność użytkowników pozostaje niezauważona • Zarządzanie prawami dostępu użytkowników jest bardzo pracochłonne • Nowe wymagania powodują więcej zadań administracyjnych • Zapewnienie zgodności jest pracochłonne • Przeglądanie logów aktywności tylko w trakcie przeprowadzanych kontroli jest często zbyt późne Zarządzanie tożsamością i dostępem wpływa na całą organizację Kadry Controling Biznes Bezpieczeństwo Regulacje wewnętrzne i zewnętrzne Monitorowanie, raportowanie, audyt Systemy, aplikacje, bazy danych, stacje robocze Co oferuje Quest One? Zapewnia przejrzystość dostępów użytkowników do krytycznych danych biznesowych, automatyzuje provisioning i wymusza kontrolę dostępu. Zarządzanie dostępem Zarządza z jednego miejsca kontami użytkowników uprzywilejowanych i dostarcza granularną kontrolę uprawnień administracyjnych. Zarządzanie użytkownikami uprzywilejowanymi Upraszcza środowisko i obsługę użytkowników za pomocą mechanizmu zarządzania kontami z jednego miejsca. Administracja tożsamością Kontroluje aktywności użytkowników na podstawie przydzielonych dostępów Monitorowanie aktywności użytkowników Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji • Wnioskowanie i przydzielanie dostępu • Certyfikacja dostępu • Automatyzacja nadawania uprawnień • Zarządzanie dostępem poprzez interfejs web • Autoryzacja do poszczególnych obiektów systemu • Inteligentne zarządzanie tożsamością i rolami • Bogate możliwości raportowania • Portal samoobsługowy Administracja tożsamością Upraszcza zarzadzanie kontami • Konsolidacja usług katalogowych • Administrowanie kontami • Zarządzanie hasłami • Uproszczenie zarządzanie MS, Unix, Linux, Mac • Zarządzanie grupami • Pojedyncze logowanie (SSO) • Zarządzanie AD , migracje i koegzystencja środowisk Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów • Granularne delegacje uprawnień • Wymusza odseparowanie obowiązków • Zabezpiecza przywileje de dostępu • Zarządzanie sesjami • Monitorowanie prowadzanych poleceń Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników • Granularny audyt kont AD • Raportowanie uprawnień • Kolekcjonowanie zdarzeń i powiadamianie • Zarządzanie logami • Rozwiązywanie kryzysów Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji • Wnioskowanie i przydzielanie dostępu • Certyfikacja dostępu • Automatyzacja nadawania uprawnień • Zarządzanie dostępem poprzez interfejs web • Autoryzacja do poszczególnych obiektów systemu • Inteligentne zarządzanie tożsamością i rolami • Bogate możliwości raportowania • Portal samoobsługowy Administracja tożsamością Upraszcza zarzadzanie kontami • Konsolidacja usług katalogowych • Administrowanie kontami • Zarządzanie hasłami • Uproszczenie zarządzanie MS, Unix, Linux, Mac • Zarządzanie grupami • Pojedyncze logowanie (SSO • Zarządzanie AD , migracje i koegzystencja środowisk Quest - liderem w kwadracie Gartnera Quest Software – liderem innowacji KuppingerCole Leadership Compass Identity Provisioning Zalety rozwiązania Quest One Zarządzanie dostępem Proste rozwiązanie N Szybkie wyniki wdrożenia Napędzane i zorientowane na biznes Specjalistyczne i zintegrowane moduły Zarządzanie użytkownikami uprzywilejowanymi Administracja tożsamością Granularna kontrola dostępu Monitorowanie aktywności użytkowników Zarządzanie tożsamością i dostępem – realizacja od strony technicznej Różne potrzeby wymagają różnego podejścia • Podejście taktyczne (techniczne) –Typ klienta o profilu IT –Posiada konkretne wyzwania techniczne –W środowisku AD- centrycznym • Podejście strategiczne (biznesowe) –Typ klienta o profilu biznesowym › Szef, dyrektor finansowy, audytor/oficer bezpieczeństwa –Posiada ogólne wyzwania biznesowe –Nie jest szczególnie zainteresowany podstawowymi aspektami technicznymi i ich problemami.. Quest One – podejście “taktyczne” • AD-centryczne – wykorzystujemy istniejącą infrastrukturę • Narzędzia techniczne dla pracowników technicznych • Może występować jako uzupełnienie dla istniejących projektów IAM • Krótki czas wdrożenia • Łatwe i proste dostosowywanie Wykorzystujemy MS Active Directory Auth. Roles Policy Access Dodajemy serwery UNIX i Linux Auth. Auth. Auth. Roles Roles Roles Policy Policy Policy Access Access Access Dodajemy Macintosh i aplikacje Java Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Policy Policy Policy Policy Policy Access Access Access Access Access Integrujemy SAP i bazy danych Auth. Auth. Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Roles Roles Policy Policy Policy Policy Policy Policy Policy Access Access Access Access Access Access Access Kończymy na Mainframe’ach i chmurze Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Roles Roles Roles Roles Roles Policy Policy Policy Policy Policy Policy Policy Policy Policy Policy Access Access Access Access Access Access Access Access Access Access Integrujemy systemy w AD Auth. Auth. Auth. Auth. Roles Roles Roles Roles Policy Policy Policy Policy Access Access Access Access Integrujemy systemy w AD Auth. Auth. Auth. Auth. Roles Roles Roles Roles Policy Policy Policy Policy Access Access Access Access Lecz co z innymi systemami? … Auth. Auth. Auth. Auth. Roles Roles Roles Roles Policy Policy Policy Policy Access Access Access Access Konsolidacja i zarządzanie z jednego punktu Directory Content Management & Provisioning ActiveRoles Server – moduł zarządzający Polityki provisioningu w AD i poza… Location, Unique Logon Generation, Strong Password Generation, Remote Access Create Location, NTFS permissions, Share permissions Controlled Store Selection, Alias Generation Policy Access Control / Email Distribution Lists Policy Linux/Unix/Java “Enabled” Policy Centralized Provisioning Policy Managers, HR and Support Policy Manual Policy Policy Inform Other Identity Manager Configure Cross Platform for non AD Integrated Policy Polityki de-provisioningu w AD i poza… Disable Account, Set/Clear Attributes, Move to Recycle Bin and Schedule for Deletion in 60-90 Lockdown Revoke Access, assign permissions to Managers/Admins Assign “Self”, Hide from GAL, permissions for Mgr/Admins Policy Remove and Record Security and Distribution Group Memberships Policy Linux/Unix/Java “Disable” Policy Deprovision ADLDS Policy Managers, HR and Support Policy Manual Policy Policy Inform Other Identity Manager Configure Initiate Cross Platform Deprovisioning Policy Quest One – podejście “strategiczne” • Niezależne od platformy – wykorzystuje metakatalog • Narzędzie biznesowe, do użytku przez ludzi biznesu • Dostarczanie analiz biznesowych, takich jak … – Jacy pracownicy pracują w firmie? – Co robią? – Jakie dane mogą zobaczyć? – Jakie uprawnienia posiadają? – Co zrobili ? – Ile kosztują firmę? Quest One Identity Manager - ukierunkowany na zarządzanie i kontrolę dostępem • Oferuje kompleksowe zarządzanie tożsamością, zbudowane od podstaw jako pojedyncze rozwiązanie wykorzystujące podejście modelowe. Kadry Controling Biznes Bezpieczeństwo Regulacje wewnętrzne i zewnętrzne Monitorowanie, raportowanie, audyt Systemy, aplikacje, bazy danych, stacje robocze 3 Identity Manager – główne cechy • Jedno centralne repozytorium ze spójnym modelem danych – Minimalizuje trud potrzebny na implementacje – Oferuje kompleksowe bezpieczeństwo danych • Wszystkie funkcjonalności w produkcie – Zarządzanie tożsamościami i rolami – Szczegółowy provisioning zapewniony konektorami lub aplikacją Quest Quick Connect – Web IT Shop & Workflows – Wykorzystanie podziału obowiązków – Ponad 1,100 gotowych workfow z pudełka – Rozliczanie usług IT – Integracja z Help desk – i inne… Identity Manager – główne cechy c.d. • Role są głównym kodem “Identity Manager’a” – Model zarządzania uprawnieniami oparty o RBAC – Wewnętrzne bezpieczeństwo zdefiniowane za pomocą ról – Oferuje narzędzie do analizy i konstruowania ról • Fachowe narzędzia wykorzystywane do: – Przenoszenia konfiguracji ustawień testowych bezpośrednio na produkcję – Zarządzania zmianami – Transportu ustawień między środowiskami lab i prod • Skalowalność dostępna z pudełka – Elastyczna architektura systemu – Wielolokacyjność – Wsparcie dla wielojęzyczności Narzędzie zaprojektowane do analizy biznesowej Warstwa obiektowa Metakatalog Inne katalogi • Metakatalogi miały na celu przezwyciężyć wady LDAP • Quest One Identity Manager przeznaczony jest do pokonania wad metakatalogów • Obiektowy, model podejścia od podstaw • Obiekty są samozarządzalne • Obiekty reagują na dane • Obiekty są inteligentne Pozwala użytkownikom i współpracownikom pracować w sposób inteligentny • Użytkownicy końcowi mogą sprawdzać zgodność własnych wniosków • Menedżerowie mogą zobaczyć status zadań IAM i procesów w jednym miejscu • Administratorzy mogą kontrolować stan systemu, zgodnie z kontrolą zmian ITIL • Projektanci mogą zobaczyć efekty swoich zmian przed wprowadzeniem ich w produkcję Wydajna praca użytkowników i współpracowników • Użytkownik klika "check", aby sprawdzić zgodność z politykami. • Opcja może być ukryta lub pokazana na podstawie przynależności do ról lub poprzez reguły. Wydajna praca użytkowników i współpracowników Menedżerowie mogą łatwo znaleźć ogólne i szczegółowe informacje na temat stanu zgłoszeń i procesów w systemie Wydajna praca użytkowników i współpracowników Menedżerowie mogą łatwo zobaczyć wszystkie uprawnienia pracownika w jednym przejrzystym widoku Workflow tworzony w interfejsie graficznym (GUI) Tworzenie workflow jest w pełni zintegrowane z GUI, niezależnie od złożoności przepływu pracy. Przepływy pracy mogą się rozgałęziać, wyzwalać inne, wyzwalać inne zadania wykonywane w połączonych systemach, lub wracać do punktu wejścia lub innych. Wszystko co dzieje się w systemie może być kontrolowane poprzez workflow. Reguły tworzone w interfejsie graficznym (GUI) Rules are also GUI driven. They are built up step by step. Rule designers can test each step and the overall rule as they go. Since each rule Reguły są także tworzone w GUI. Są one is making an exclusive set, the resulting rule budowane krok po kroku. Projektanci reguł base is guaranteed to be conflict free. mogą przetestować każdy krok i ogólną zasadę działania. Ponieważ każda reguła wykonuje własny zestaw akcji, wynikowa baza reguł daje gwarancję wykonania bez konfliktów. Web IT-Shop – zaprojektowany dla “biznesu” Koszyk w portalu Self-service Widoki i ekrany na dane w postaci Dashboard’ów Atestacja Dostępne konektory do innych systemów • • • Z pudełka Quest One Identity Manager : – Active Directory (2000, 2003, 2008) – Microsoft Office SharePoint Server (2007, 2010) – Microsoft Exchange (2000, 2007, 2010) – Windows NT & LanManager based systems – LDAP v.3 compatible directories – AD LDS (Formerly ADAM) – Novell eDirectory – Sun One – CriticalPath – IBM – OpenLDAP – Lotus Notes (Version 4.5 and later) – SAP R/3 (Version 4.6 and later) Generic Connectors – Delimited text file – ODBC, ADO.NET for SQL Server, Oracle, DB2 – SPML 2.0 – XML files – Web Services FIM 2010, ILM 2007 • • • • • • • Dostępne przez produkt Quick Connect for Base Systems: – Active Directory – Microsoft Office SharePoint Server – AD LDS (Formerly ADAM) – Delimited text file – ILM 2007 – LDAP Directory – Microsoft SQL Server – Novell – OLE DB – Oracle – Sun One – SPML 2.0 Quick Connect for Exchange Resource Forests Quick Connect for Lotus Notes Quick Connect for Mainframes (RACF) Quick Connect for Online Services – Google Apps – Postini Quick Connect for SAP Solutions Quick Connect for PeopleSoft Architektura portalu IT-Shop Quest One Identity Manager - podsumowanie • Usprawnia proces zarządzania dostępem i tożsamością użytkowników, ich przywilejami i bezpieczeństwem w całym przedsiębiorstwie • Przenosi zarządzanie użytkownikami i kontrolę dostępu z dala od IT kierując obowiązki w stronę biznesu • Upraszcza główne zadania systemu zarządzania tożsamością i dostępem (IAM) do ułamka złożoności, czasu lub kosztów związanych z "tradycyjnymi" rozwiązaniami klasy framework. 50 Jakie są korzyści ze stosowania Quest One Identity Manager’a? • Szybka implementacja – 2 – 10 razy szybsza niż inni dostawcy oprogramowania IAM – Brak konieczności tworzenia kodu lub skomplikowanej kastomizacji • Więcej funkcji w jednym produkcie niż w jakakolwiek innym – Dostępny „z pudełka” framwork do zarządzania – Predefiniowane workflowy biznesowe oraz procesy – Gotowy do wdrożenia “Sklepu Webowego” – Wbudowane konektory – wystarczy je skonfigurować – Raportowanie – Audytowanie Zarządzanie uprzywilejowanymi użytkownikami http://wm.quest.com http://www.quest-pol.com.pl Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji • Wnioskowanie i przydzielanie dostępu • Certyfikacja dostępu • Automatyzacja nadawania uprawnień • Zarządzanie dostępem poprzez interfejs web • Autoryzacja do poszczególnych obiektów systemu • Inteligentne zarządzanie tożsamością i rolami • Bogate możliwości raportowania • Portal samoobsługowy Administracja tożsamością Upraszcza zarzadzanie kontami • Konsolidacja usług katalogowych • Administrowanie kontami • Zarządzanie hasłami • Uproszczenie zarządzanie MS, Unix, Linux, Mac • Zarządzanie grupami • Pojedyncze logowanie (SSO • Zarządzanie AD , migracje i koegzystencja środowisk Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów • Granularne delegacje uprawnień • Wymusza odseparowanie obowiązków • Zabezpiecza przywileje de dostępu • Zarządzanie sesjami • Monitorowanie prowadzanych poleceń Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników • Granularny audyt kont AD • Raportowanie uprawnień • Kolekcjonowanie zdarzeń i powiadamianie • Zarządzanie logami • Rozwiązywanie kryzysów Kompletne zarządzanie tożsamością i dostępem Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów • Granularne delegacje uprawnień • Wymusza odseparowanie obowiązków • Zabezpiecza przywileje de dostępu • Zarządzanie sesjami • Monitorowanie prowadzanych poleceń Privileged Account Management – opis cech Quest TPAM Suite Privileged Passwords • • • • Kontroluje i audytuje wykorzystanie współdzielonych haseł administracyjnych Rozwiązuje problemy z wbudowanymi hasłami uprzywilejowanych kont w skryptach oraz aplikacjach Dodaje prosty mechanizm zezwoleń dla kontroli i audytu haseł uprzywilejowanych użytkowników Bezpieczne odporne na ataki urządzenie, skalowalne, architektura HA Privileged Sessions • Rozwiązuje problemy z monitorowaniem i nagrywaniem czynności wykonywanych przez uprzywilejowanych użytkowników • Zapewnia proste rozwiązanie do kontroli zdalnego dostępu dostawców/serwisantów do uprzywilejowanych kont • W połączeniu z Privileged Password Manager’em zwiększa bezpieczeństwo i ukrywa hasło dla uprzywilejowanego konta użytkownika Privileged Delegation • Zgodne z regulacjami zewnętrznymi • Zmniejsza koszty operacyjne i zwiększa bezpieczeństwa poprzez delegowanie w oparciu o role • Eliminuje potrzebę korzystania z uprzywilejowanych kont w codziennej administracji • Rozszerza i wzmacnia wykorzystanie SUDO • Podwyższa bezpieczeństwo użycia określonych aplikacji, procesów, plików, formantów ActiveX, instalatorów aplikacji … Jak to wygląda i działa? Privilege Access Management (PAM) – Pakiet produktów do kontroli bezpieczeństwa i zgodności Compliance – Modułowa konstrukcja pozwala na elastyczność rozbudowy: › Wersja startowa posiada moduły podstawowe › Dostępne dodatkowe moduły, dostosowane do potrzeb klienta – Dostarczane jako specjalnie zaprojektowane bezpieczne urządzenie Privileged Password oraz Session Manager • Rozwiązanie pozwalające spełniać wymogi bezpieczeństwa i Compliance w odniesieniu do: – – – – Zarządzania kontami współdzielonymi oraz hasłami kont usług Kontroli dostępu zewnętrznych dostawców Kontroli dostępu programistów do środowiska produkcyjnego Kontroli najbardziej uprawnionych kont użytkowników - Super-User Privilege Management (SUPM) • Sprawdzone rozwiązanie, wdrożone we wszystkich sektorach rynku – Ponad 450 instalacji na całym Świecie, w tym: › 4 z 10 największych firm listy Forbes › 3 z 5 największych instytucji finansowych › Wiodących firmach z branży przemysłowej, finansowej, usługowej, telekomunikacyjnej, farmaceutycznej/chemicznej, służby zdrowia orz innych.. – Nagradzany produkt - SC Awards 2010 “Best Regulatory Compliance Solution” Privileged Password Management - Problemy i wyzwania • W odróżnieniu od „zwykłych” kont użytkowników, nie posiadają indywidualnego powiązania – Np. konta typu: Root, administrator, DBA, itp. – W wielu przypadkach posiadają domyślne hasła • Uprzywilejowane konta istnieją w każdym systemie, urządzeniu sieciowym, bazie danych itp. • Uprzywilejowane konta posiadają nieograniczony DOSTĘP oraz MOŻLIWOŚCI – W wielu przypadkach posiadają pełny dostęp do systemu oraz pełną kontrolę – Uprawnienia zmian w konfiguracji i ustawień audytu • Wyzwania w audycie bezpieczeństwa i regulacji Compliance – Zarządzanie uprzywilejowanymi/współdzielonymi/serwisowymi/aplikacyjnymi kontami wymusza stosowanie rozszerzonego zakresu audytu – Coś co było stosowne wczoraj NIE jest stosowne dzisiaj Privileged Password Manager • Pełne zarządzanie cyklem aktywności użytkowników – Bezpieczne przechowywanie informacji (szyfrowanie AES 256) – Podwójne lub szersze mechanizmy kontroli – “Ostatnio użyte konto” oraz umożliwienie aktywności w zadanym okresie czasu • Dostarczane jako zabezpieczone urządzenie – Wdrożenie w 100% bez instalacji oprogramowania na urządzeniach/serwerach klienckich – Brak konsol, szyfrowany cały dysk, zapora sieciowa • Integracja typu Enterprise: – – – – Integracja z AD Integracja z CMDB Integracja z systemem zgłoszeń Integracja z rozwiązaniami do autentykacji: › › › › › Defender AD/LDAP Radius Secure ID Safeword • Zdefiniowane role do aplikacji dla kont Privileged Session Management - Problemy i wyzwania • Wymogi Compliance często wymuszają potrzebę dowiedzenia się Jaka aktywność była wykonana podczas uprzywilejowanego lub wrażliwego dostępu- realizowanego przez: – Zdalnych producentów aplikacji? – Wynajętych usługodawców? – Deweloperów uzyskujących dostęp do systemów produkcyjnych? – Gaszenie „pożarów”? – Użytkowników lub administratorów uzyskujących dostęp do wrażliwych zasobów lub aplikacji (serwery Finansowych/ Sox, HR, itp.) • Poszczególne dostępy wymagają większej kontroli i audytu • Potrzeba ograniczenia bezpośredniego dostępu do zasobów Privileged Session Manager • Podwójna kontrola procesu autoryzacji – Mechanizm akceptacji oraz żądania o dostęp • PEŁNE nagrywanie sesji i komend – Każde naciśniecie klawisza, poruszenie wskaźnika myszy, uruchomienie aplikacji, KAŻDA AKTYWNOŚĆ • Monitorowanie Real-time sesji – Podgląd aktywnych sesji • Odgrywanie sesji w formacie DVR – Szczegółowe odgrywanie aktywności użytkownika • Wykorzystywane do ograniczenia bezpośredniego dostępu do zasobów Architektura Wdrożenie scentralizowane Wdrożenie rozproszone Workflow – żądanie hasła Wywołanie żądania o hasło Wprowadzenie Daty/Czasu/Długości trwania /Powddu wnioskowania o hasło Pole na podanie numeru zgłoszenia (opcjonalne). Może być aktywne lub pasywne. Filtowanie i wybieranie kont(a) Pobierania hasła Workflow – mały ekran (smartfon) Link do inicjacji hasła Filtrowanie po wniosku lub wybranie widoku ostatnich Wprowadzenie numeru zgłoszenia (jeśli wymagane) oraz zatwierdzenie otrzymania hasła. Wyświetlane hasło na smartfonie. Wybranie „Quick Request” automatycznie zatwierdza żądanie z domyślnym powodem „ Request from mobile device” * Small screen support configured on a per user basis TPAM/PPM: Pokaz funkcjonalności Workflow – żądanie dostępu do sesji Prośba o sesję połączeniową. Wybierz z listy systemów i kont określonego użytkownika, do którego masz uprawnienia. Wprowadź datę/czas/długość trwania sesji. Można również prosić o sesje zaplanowaną w przyszłości. Po akceptacji połączenia wciskamy CONNECT! Workflow – żądanie dostępu do sesji Użytkownik łączy się i wykonuje zadania Sesja może być skonfigurowana dla interaktywnego lub automatycznego logowania Każde działanie w systemie docelowym jest rejestrowane Jeśli sesja wykracza poza zadany okres czasu, przesyłane są konfigurowalne powiadomienia o przekroczeniu sesji Utworzone połączenie proxy na wybranym systemie oraz koncie Aktywne sesje mogą być ręcznie wyłączane przez upoważnionych administratorów Workflow – odgrywanie sesji Nagrania z sesji są przechowywane lokalnie lub mogą być automatycznie archiwizowane. Przechowywane sesje mogą być wyszukiwane na podstawie daty, komendy, systemu, konta, użytkownika i/lub numeru zgłoszenia. Wybrana i zaznaczona sesja zostaje zwrócona i jest dostępna do obejrzenia. Workflow – odgrywanie sesji Cała aktywność z sesji jest nagrywana oraz dostępna do odtworzenia za pomocą paska przewijania/kontroli nagrania. Nagrania nie są plikami AVI – rozmiar nagrania jest mały i jest kompresowany. Zapisywana jest także aktywność użytkownika w formacie logu sesji i można przeszukiwać wykowane komendy przez użytkownika. Format nagrania w DVR pozwala kontrolować nagraną sesję. TPAM/PSM: Pokaz funkcjonalności Workflow – Command Management Komendy są dodane za pomocą narzędzia Privileged Command Management Tool. Workflow – Command Limited Session Ten sam workflow jak dla żądania o sesję. Ten sam workflow jak dla żądania o sesję. Workflow – Command Limited Session Sesja realizowana jest na docelowym systemie/koncie (Windows A3/e22egp) przez moduł PCM. Sesja użytkownika jest ustanowiona tylko dla określonej komendy. W tym przypadku dla użytkownika odpalona została konsola zarządzania komputerem. Użytkownik nie ma dostępu do innych komend, menu itp. w zalogowanym systemie. Sesja jest tylko dostępna w kontekście udostępnionej komendy (np. Zarządzanie komputerem). W sytuacji, kiedy użytkownik zamknie komendę, sesja zostanie automatycznie zakończona. Ulepszenia w module Quest One Privileged Session Manager (PSM) • Kontrola sesji, audyt, rejestracja komend, użytkowników uzyskujących dostęp do systemów np. zewnętrznych konsultantów, administratorów czy użytkowników z podwyższonymi uprawnieniami. Dostarcza pojedynczy punkt kontroli i audytu działalności w/w użytkowników. • Rejestracja zdarzeń w sesji. Umożliwia o wiele bardziej granularną i szczegółową kontrolę. Pozwala na przeszukiwanie zdarzeń z zarejestrowanej sesji. • Dodano możliwość oznaczanie zdarzeń / fragmentów sesji. Rejestracja zdarzeń umożliwia zbieranie informacji o próbach uruchomienia zabronionego polecenia. Po wykryciu takiego zdarzenia TPAM może wykonać określoną akcję np. wysłanie powiadomienia lub zakończenie sesji. Ulepszenia w module Quest One Privilege Command Management (PCM) • W wersjach wcześniejszych moduł PCM był dostępny jako oddzielny komponent. W wersji 2.5 został włączony do licencji PSM. • Dodane przechwytywanie zdarzeń - rejestracja zdarzeń w trakcie trwania sesji (dostępny jest log z sesji) • Logi sesji zawierają również liczbę powtarzających się zdarzeń. Użycie przez użytkownika zabronionych komend • Dodano nowy profil (ang. Restricted Commands Profile) w celu wyłączenia możliwości uruchomienia konkretnego polecenia / zadania • Rejestracja kliknięć w klawiaturę (ang. „keystrokes”), umożliwia monitoring i rejestrację wpisywanych poleceń przez użytkownika podczas sesji. Keystroke jest zapisywany w logu i możliwe jest jego przeszukanie w celu wyszukania konkretnego ciągu znaków. Monitorowanie użytkowników i audyt http://wm.quest.com http://www.quest-pol.com.pl Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji • Wnioskowanie i przydzielanie dostępu • Certyfikacja dostępu • Automatyzacja nadawania uprawnień • Zarządzanie dostępem poprzez interfejs web • Autoryzacja do poszczególnych obiektów systemu • Inteligentne zarządzanie tożsamością i rolami • Bogate możliwości raportowania • Portal samoobsługowy Administracja tożsamością Upraszcza zarzadzanie kontami • Konsolidacja usług katalogowych • Administrowanie kontami • Zarządzanie hasłami • Uproszczenie zarządzanie MS, Unix, Linux, Mac • Zarządzanie grupami • Pojedyncze logowanie (SSO • Zarządzanie AD , migracje i koegzystencja środowisk Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów • Granularne delegacje uprawnień • Wymusza odseparowanie obowiązków • Zabezpiecza przywileje de dostępu • Zarządzanie sesjami • Monitorowanie prowadzanych poleceń Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników • Granularny audyt kont AD • Raportowanie uprawnień • Kolekcjonowanie zdarzeń i powiadamianie • Zarządzanie logami • Rozwiązywanie kryzysów Kompletne zarządzanie tożsamością i dostępem Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników • Granularny audyt kont AD • Raportowanie uprawnień • Kolekcjonowanie zdarzeń i powiadamianie • Zarządzanie logami • Rozwiązywanie kryzysów Quest ChangeAuditor “W czasie rzeczywistym, skonsolidowany audyt zmian dla: AD, LDAP, Exchange, SharePoint, SQL, serwerów plików Windows, VMware, NetApp, EMC, rejestrów sys., usług, lokalnych grup i użytkowników.” Umożliwia kompleksowy audyt zmian w przedsiębiorstwie z intuicyjnego klienta. Sortowanie, grupowanie, filtrowanie i wykresy online. Zapewnia bezp. i zgodną infrastrukturę poprzez śledzenie zmian w czasie rzeczywistym, rejestrując pochodzenie zdarzenia, jak również wartości przed i po. Wzmacnia system kontroli wewnętrznej poprzez ochronę obiektu i wgląd zarówno zmian autoryzowanych i nieautoryzowanych. ChangeAuditor – własny audyt zmian “ChangeAuditor jest rozwiązaniem oferującym kompleksowe zarządzanie zmianami, raportowanie, zabezpieczanie aktywności użytkowników oraz powiadamianie o zdarzeniach na systemach Windows - Active Directory, LDAP, ADLDS, Windows File Servers, SQL, Exchange, SharePoint, VMWare, EMC oraz NetApp. Dostarcza informacje:” Kto (Who ) wykonał zmianę? Co (What ) zostało zmienione (wartość przed i po)? Gdzie (Where ) zmiana została wykonana? Kiedy (When ) zmiana została wykonana? Dlaczego (Why) wykonano zmianą? (komentarz) Adres (Workstation) skąd zmiana była wykonana? Inteligentne alarmy Quest InTrust “Kolekcjonowanie, przechowywanie oraz raportowanie logów w trybie rzeczywistym z całej infrastruktury MS oraz Unix. InTrust raportuje logi, które dotyczą naszej polityki bezpieczeństwa, dobrych praktyk lub awarii systemów oraz aplikacji” Cechy ChangeAuditor’a i InTrust - porównanie ChangeAuditor InTrust Zmniejsza złożoność i koszty zarządzania dziennikiem zdarzeń. Szczegółowy audyt dla Active Directory, Exchange, serwerów plików Windows, SharePoint, VMware i innych. Gromadzenie, przechowywanie, raportowanie i powiadamianie z natywnych logów Windows wraz z rejestrowaniem logowań i wylogowań użytkowników na serwerach Windows i stacjach roboczych. Ochrona przed niechcianymi lub nieplanowanymi zmianami w Active Directory, Exchange oraz systemie plików Windows Długoterminowe archiwizowanie logów dla zdarzeń Windows oraz ChangeAuditor ‘a (wartościowe dane z kilku lat) Natychmiastowy wgląd do wszystkich zmian zachodzących w środowisku IT. Szczegółowa analiza aktywności użytkowników w całej sieci przedsiębiorstwa. Interaktywna analiza zmian wraz z ich wbudowanym grupowaniem, sortowaniem, filtrowaniem i możliwościami tworzenia wykresów. Szerokie wsparcie dla systemów heterogenicznych, aplikacji i urządzeń. Oferuje panele dostępne przez WWW prezentujące statystyki zmian dla kadry zarządzającej i audytorów. Zaplanowane w czasie wykonywanie raportów ze strony WWW wraz z elastycznymi możliwościami ich dostarczania. Inteligentne powiadamianie dla poszczególnych zdarzeń na podstawie wzorców. Natychmiastowa korelacja zdarzeń i wykonywanie automatycznych akcji. Defender – dwuskładnikowe uwierzytelnianie Przypadki użycia Defender Quest Webthority – bezpieczny zdalny dostęp Tokeny Defender’a • Szeroki zakres tokenów • Tokeny sprzętowe są dobre dla ich całego życia baterii (5-7 lat) • Tokeny programowe nigdy nie wygasa • Każdy użytkownik może mieć więcej niż jeden token • Kilka tokenów sprzętowych może być przyporządkowane do więcej niż jednego użytkownika • Aplikacja Helpdesk dla tokenów • Wsparcie dla każdego innego tokena sprzętowego zgodnego z OATH Przykładowi klienci Przykładowi klienci c.d. Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji • Wnioskowanie i przydzielanie dostępu • Certyfikacja dostępu • Automatyzacja nadawania uprawnień • Zarządzanie dostępem poprzez interfejs web • Autoryzacja do poszczególnych obiektów systemu • Inteligentne zarządzanie tożsamością i rolami • Bogate możliwości raportowania • Portal samoobsługowy Administracja tożsamością Upraszcza zarzadzanie kontami • Konsolidacja usług katalogowych • Administrowanie kontami • Zarządzanie hasłami • Uproszczenie zarządzanie MS, Unix, Linux, Mac • Zarządzanie grupami • Pojedyncze logowanie (SSO) • Zarządzanie AD , migracje i koegzystencja środowisk Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów • Granularne delegacje uprawnień • Wymusza odseparowanie obowiązków • Zabezpiecza przywileje de dostępu • Zarządzanie sesjami • Monitorowanie prowadzanych poleceń Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników • Granularny audyt kont AD • Raportowanie uprawnień • Kolekcjonowanie zdarzeń i powiadamianie • Zarządzanie logami • Rozwiązywanie kryzysów Dziękuję za uwagę Grzegorz Szafrański tel: +48 601 427 533 e-mail: [email protected] Quest-Dystrybucja Sp. z o.o. Oddział: ul. Nabielaka 6, 00-743 Warszawa Centrala: ul. Podwale 62, 50-010 Wrocław www.quest-pol.com.pl