Zarządzanie dostępem

Transkrypt

Security & Identity Round Table
Warszawa, 24 kwietnia 2014
Quest Software,
now a part of Dell
Bezpieczeństwo i Audyt Systemów
Warszawa, 20 maja 2014
1
Oferta oprogramowania narzędziowego Dell Software z
zakresu bezpieczeństwa informatycznego
Grzegorz Szafrański, Solutions Architect
ŹŻZródła ryzyka związanego z bezpieczeństwem
informatycznym
•
•
•
•
•
Rosnący poziom zaawansowania technologicznego przedsiębiorstw,
Upowszechnienie modelu „cloud computing”
Większe wymagania regulatorów -dostęp do wrażliwych danych
Ataki z zewnątrz
Działalność pracowników i innych osób korzystających z systemów
informatycznych firmy:
– np.: wyciek danych użytkowników PlayStation Network
3
Przykład
Puls Biznesu
„... Cezary G. przez blisko trzy
lata „opiekował się” rachunkami
klientów gdyńskiego biura. Nie
miał do tego uprawnień, a robił to
nawet kilka miesięcy po odejściu z
pracy. Niektóre rachunki należały
do osób klasyfikowanych jako VIP,
inwestujących duże pieniądze….”
Źrodło: http://http://biznes.onet.pl/maklerska-afera-w-dnb-nord,18512,5281555,news-detal
Problem biznesowy
Fakt: Firmy uniknęły 96% naruszeń wewnętrznych dzięki
przeprowadzanym kontrolom lub bezpośredniej interwencji
odpowiednich służb.
Bezpieczeństwo
• Wewnętrzne i
zewnętrzne zagrożenia
• Zwiększone ryzyko
naruszeń
wewnętrznych
• Osierocone konta
• Zbyt wiele osób
posiada dostęp do
uprzywilejowanych
kont
• Użytkownicy posiadają
zbyt duży dostęp
Complexity
Źródło - 2011 Data Breach Investigations Report,
badanie przeprowadzone przez zespół Verizon Risc przy współpracy z
amerykańskimi tajnymi służbami i holenderskim wydziałem przestępstw
High Tech Crime
Problem biznesowy
Fakt: W średniej firmie
użytkownik końcowy musi
pamiętać 6 różnych haseł.
Źródło - Aberdeen Group research
Bezpieczeństwo
Złożoność
• Wewnętrzne i
naruszeń
wewnętrznych
posiada dostęp do
uprzywilejowanych
kont
zbyt duży dostęp
• Zbyt wiele oddzielnych
repozytoriów (bytów)
użytkowników
• Różne hasła i loginy
• Podejrzliwa aktywność
użytkowników pozostaje
niezauważona
• Zarządzanie prawami
dostępu użytkowników
jest bardzo
pracochłonne
Problem biznesowy
Fakt: W przeprowadzonym badaniu 48% respondentów
oceniła szanse ryzyka spowodowanego nie spełnieniem
zgodności w ciągu najbliższych 18 miesięcy jako "wysokie" lub
"bardzo wysokie."
Źródło – State of Compliance 2011, PWC
Bezpieczeństwo
Złożoność
Zgodność
• Wewnętrzne i
naruszeń
wewnętrznych
posiada dostęp do
uprzywilejowanych
kont
zbyt duży dostęp
• Zbyt wiele oddzielnych
repozytoriów (bytów)
użytkowników
• Rosnąca liczba przepisów
i wymogów
• Różne hasła i loginy
• Podejrzliwa aktywność
użytkowników pozostaje
niezauważona
• Zarządzanie prawami
dostępu użytkowników
jest bardzo pracochłonne
• Nowe wymagania
powodują więcej zadań
administracyjnych
• Zapewnienie zgodności
jest pracochłonne
• Przeglądanie logów
aktywności tylko w trakcie
przeprowadzanych
kontroli jest często zbyt
późne
Zarządzanie tożsamością i dostępem wpływa
na całą organizację
Kadry
Controling
Biznes Bezpieczeństwo
Regulacje
wewnętrzne i
zewnętrzne
Monitorowanie,
raportowanie,
audyt
Systemy, aplikacje, bazy danych, stacje robocze
Co oferuje Quest One?
Zapewnia przejrzystość dostępów użytkowników do
krytycznych danych biznesowych, automatyzuje
provisioning i wymusza kontrolę dostępu.
Zarządzanie
dostępem
Zarządza z jednego miejsca kontami użytkowników
uprzywilejowanych i dostarcza granularną kontrolę
uprawnień administracyjnych.
Zarządzanie
użytkownikami
uprzywilejowanymi
Upraszcza środowisko i obsługę użytkowników za
pomocą mechanizmu zarządzania kontami z jednego
miejsca.
Administracja
tożsamością
Kontroluje aktywności użytkowników na podstawie
przydzielonych dostępów
Monitorowanie
aktywności
użytkowników
Kompletne zarządzanie tożsamością i
dostępem
Kontroluje dostęp do krytycznej informacji
• Wnioskowanie i przydzielanie dostępu
• Certyfikacja dostępu
• Automatyzacja nadawania uprawnień
• Zarządzanie dostępem poprzez interfejs web
• Autoryzacja do poszczególnych obiektów systemu
• Inteligentne zarządzanie tożsamością i rolami
• Bogate możliwości raportowania
• Portal samoobsługowy
Administracja tożsamością
Upraszcza zarzadzanie kontami
• Konsolidacja usług katalogowych
• Administrowanie kontami
• Zarządzanie hasłami
• Uproszczenie zarządzanie MS, Unix, Linux, Mac
• Zarządzanie grupami
• Pojedyncze logowanie (SSO)
• Zarządzanie AD , migracje i koegzystencja
środowisk
Zarządzanie uprzywilejowanymi
użytkownikami
Zrozumienie i kontrola aktywności
administratorów
• Granularne delegacje uprawnień
• Wymusza odseparowanie obowiązków
• Zabezpiecza przywileje de dostępu
• Zarządzanie sesjami
• Monitorowanie prowadzanych poleceń
Monitorowanie aktywności
użytkowników
Audytuje aktywność użytkowników
• Granularny audyt kont AD
• Raportowanie uprawnień
• Kolekcjonowanie zdarzeń i powiadamianie
• Zarządzanie logami
• Rozwiązywanie kryzysów
dostępem
• Pojedyncze logowanie (SSO
środowisk
Quest - liderem w kwadracie Gartnera
Quest Software – liderem innowacji
KuppingerCole Leadership Compass Identity Provisioning
Zalety rozwiązania Quest One
Zarządzanie
dostępem
Proste rozwiązanie
N
Szybkie wyniki
wdrożenia
Napędzane i
zorientowane na
biznes
Specjalistyczne i
zintegrowane moduły
Zarządzanie
użytkownikami
uprzywilejowanymi
Administracja
tożsamością
Granularna kontrola
dostępu
Monitorowanie
aktywności
użytkowników
Zarządzanie tożsamością i dostępem –
realizacja od strony technicznej
Różne potrzeby wymagają różnego podejścia
• Podejście taktyczne (techniczne)
–Typ klienta o profilu IT
–Posiada konkretne wyzwania techniczne
–W środowisku AD- centrycznym
• Podejście strategiczne (biznesowe)
–Typ klienta o profilu biznesowym
› Szef, dyrektor finansowy, audytor/oficer bezpieczeństwa
–Posiada ogólne wyzwania biznesowe
–Nie jest szczególnie zainteresowany podstawowymi
aspektami technicznymi i ich problemami..
Quest One – podejście “taktyczne”
• AD-centryczne – wykorzystujemy istniejącą
infrastrukturę
• Narzędzia techniczne dla pracowników technicznych
• Może występować jako uzupełnienie dla istniejących
projektów IAM
• Krótki czas wdrożenia
• Łatwe i proste dostosowywanie
Wykorzystujemy MS Active Directory
Auth.
Roles
Policy
Access
Dodajemy serwery UNIX i Linux
Auth.
Auth.
Auth.
Roles
Roles
Roles
Policy
Policy
Policy
Access
Access
Access
Dodajemy Macintosh i aplikacje Java
Auth.
Auth.
Auth.
Auth.
Auth.
Roles
Roles
Roles
Roles
Roles
Policy
Policy
Policy
Policy
Policy
Access
Access
Access
Access
Access
Integrujemy SAP i bazy danych
Auth.
Auth.
Auth.
Auth.
Auth.
Auth.
Auth.
Roles
Roles
Roles
Roles
Roles
Roles
Roles
Policy
Policy
Policy
Policy
Policy
Policy
Policy
Access
Access
Access
Access
Access
Access
Access
Kończymy na Mainframe’ach i chmurze
Auth.
Auth.
Auth.
Auth.
Auth.
Auth.
Auth.
Auth.
Auth.
Auth.
Roles
Roles
Roles
Roles
Roles
Roles
Roles
Roles
Roles
Roles
Policy
Policy
Policy
Policy
Policy
Policy
Policy
Policy
Policy
Policy
Access
Access
Access
Access
Access
Access
Access
Access
Access
Access
Integrujemy systemy w AD
Auth.
Auth.
Auth.
Auth.
Roles
Roles
Roles
Roles
Policy
Policy
Policy
Policy
Access
Access
Access
Access
Integrujemy systemy w AD
Auth.
Auth.
Auth.
Auth.
Roles
Roles
Roles
Roles
Policy
Policy
Policy
Policy
Access
Access
Access
Access
Lecz co z innymi systemami? …
Auth.
Auth.
Auth.
Auth.
Roles
Roles
Roles
Roles
Policy
Policy
Policy
Policy
Access
Access
Access
Access
Konsolidacja i zarządzanie z jednego punktu
Directory Content Management
& Provisioning
ActiveRoles Server – moduł zarządzający
Polityki provisioningu w AD i poza…
Location, Unique Logon Generation, Strong Password Generation,
Remote Access
Create
Location, NTFS permissions, Share permissions
Controlled Store Selection, Alias Generation
Policy
Access Control / Email Distribution Lists
Policy
Linux/Unix/Java “Enabled”
Policy
Centralized Provisioning
Policy
Managers, HR
and Support
Policy
Manual
Policy
Policy
Inform
Other
Identity
Manager
Configure
Cross Platform for non AD Integrated
Policy
Polityki de-provisioningu w AD i poza…
Disable Account, Set/Clear Attributes, Move to Recycle Bin and
Schedule for Deletion in 60-90
Lockdown
Revoke Access, assign permissions to Managers/Admins
Assign “Self”, Hide from GAL, permissions for Mgr/Admins
Policy
Remove and Record Security and Distribution
Group Memberships
Policy
Linux/Unix/Java “Disable”
Policy
Deprovision ADLDS
Policy
Managers, HR
and Support
Policy
Manual
Policy
Policy
Inform
Other
Identity
Manager
Configure
Initiate Cross Platform Deprovisioning
Policy
Quest One – podejście “strategiczne”
• Niezależne od platformy – wykorzystuje metakatalog
• Narzędzie biznesowe, do użytku przez ludzi
biznesu
• Dostarczanie analiz biznesowych, takich jak …
– Jacy pracownicy pracują w firmie?
– Co robią?
– Jakie dane mogą zobaczyć?
– Jakie uprawnienia posiadają?
– Co zrobili ?
– Ile kosztują firmę?
Quest One Identity Manager - ukierunkowany
na zarządzanie i kontrolę dostępem
• Oferuje kompleksowe zarządzanie tożsamością, zbudowane od
podstaw jako pojedyncze rozwiązanie wykorzystujące podejście
modelowe.
Kadry
Controling
Biznes Bezpieczeństwo
Regulacje
wewnętrzne i
zewnętrzne
Monitorowanie,
raportowanie,
audyt
Systemy, aplikacje, bazy danych, stacje robocze
3
Identity Manager – główne cechy
• Jedno centralne repozytorium ze spójnym modelem danych
– Minimalizuje trud potrzebny na implementacje
– Oferuje kompleksowe bezpieczeństwo danych
• Wszystkie funkcjonalności w produkcie
– Zarządzanie tożsamościami i rolami
– Szczegółowy provisioning zapewniony konektorami lub aplikacją Quest Quick
Connect
– Web IT Shop & Workflows
– Wykorzystanie podziału obowiązków
– Ponad 1,100 gotowych workfow z pudełka
– Rozliczanie usług IT
– Integracja z Help desk
– i inne…
Identity Manager – główne cechy c.d.
• Role są głównym kodem “Identity Manager’a”
– Model zarządzania uprawnieniami oparty o RBAC
– Wewnętrzne bezpieczeństwo zdefiniowane za pomocą ról
– Oferuje narzędzie do analizy i konstruowania ról
• Fachowe narzędzia wykorzystywane do:
– Przenoszenia konfiguracji ustawień testowych bezpośrednio na
produkcję
– Zarządzania zmianami
– Transportu ustawień między środowiskami lab i prod
• Skalowalność dostępna z pudełka
– Elastyczna architektura systemu
– Wielolokacyjność
– Wsparcie dla wielojęzyczności
Narzędzie zaprojektowane do analizy biznesowej
Warstwa obiektowa
Metakatalog
Inne katalogi
• Metakatalogi miały na
celu przezwyciężyć wady
LDAP
• Quest One Identity
Manager przeznaczony
jest do pokonania wad
metakatalogów
• Obiektowy, model
podejścia od podstaw
• Obiekty są
samozarządzalne
• Obiekty reagują na dane
• Obiekty są inteligentne
Pozwala użytkownikom i współpracownikom
pracować w sposób inteligentny
• Użytkownicy końcowi
mogą sprawdzać zgodność
własnych wniosków
• Menedżerowie mogą
zobaczyć status zadań IAM
i procesów w jednym
miejscu
• Administratorzy mogą
kontrolować stan systemu,
zgodnie z kontrolą zmian
ITIL
• Projektanci mogą zobaczyć
efekty swoich zmian przed
wprowadzeniem ich w
produkcję
Wydajna praca użytkowników i
współpracowników
• Użytkownik klika "check", aby
sprawdzić zgodność z
politykami.
• Opcja może być ukryta lub
pokazana na podstawie
przynależności do ról lub
poprzez reguły.
współpracowników
Menedżerowie mogą łatwo znaleźć
ogólne i szczegółowe informacje
na temat stanu zgłoszeń i
procesów w systemie
współpracowników
Menedżerowie
mogą łatwo
zobaczyć wszystkie
uprawnienia
pracownika w
jednym
przejrzystym widoku
Workflow tworzony w interfejsie graficznym (GUI)
Tworzenie workflow jest w pełni
zintegrowane z GUI, niezależnie od
złożoności przepływu pracy.
Przepływy pracy mogą się
rozgałęziać, wyzwalać inne,
wyzwalać inne zadania
wykonywane w połączonych
systemach, lub wracać do punktu
wejścia lub innych. Wszystko co
dzieje się w systemie może być
kontrolowane poprzez workflow.
Reguły tworzone w interfejsie graficznym (GUI)
Rules are also GUI driven. They are built up
step by step. Rule designers can test each step
and the overall rule as they go. Since each rule
Reguły są także tworzone w GUI. Są one
is making an exclusive set, the resulting rule
budowane krok po kroku. Projektanci reguł
base is guaranteed to be conflict free.
mogą przetestować każdy krok i ogólną
zasadę działania. Ponieważ każda reguła
wykonuje własny zestaw akcji, wynikowa
baza reguł daje gwarancję wykonania bez
konfliktów.
Web IT-Shop – zaprojektowany dla “biznesu”
Koszyk w portalu Self-service
Widoki i ekrany na dane w postaci
Dashboard’ów
Atestacja
Dostępne konektory do innych systemów
•
•
•
Z pudełka Quest One Identity Manager :
– Active Directory (2000, 2003, 2008)
– Microsoft Office SharePoint Server (2007,
2010)
– Microsoft Exchange (2000, 2007, 2010)
– Windows NT & LanManager based systems
– LDAP v.3 compatible directories
– AD LDS (Formerly ADAM)
– Novell eDirectory
– Sun One
– CriticalPath
– IBM
– OpenLDAP
– Lotus Notes (Version 4.5 and later)
– SAP R/3 (Version 4.6 and later)
Generic Connectors
– Delimited text file
– ODBC, ADO.NET for SQL Server, Oracle, DB2
– SPML 2.0
– XML files
– Web Services
FIM 2010, ILM 2007
•
•
•
•
•
•
•
Dostępne przez produkt Quick Connect for Base
Systems:
– Active Directory
– Microsoft Office SharePoint Server
– AD LDS (Formerly ADAM)
– Delimited text file
– ILM 2007
– LDAP Directory
– Microsoft SQL Server
– Novell
– OLE DB
– Oracle
– Sun One
– SPML 2.0
Quick Connect for Exchange Resource Forests
Quick Connect for Lotus Notes
Quick Connect for Mainframes (RACF)
Quick Connect for Online Services
– Google Apps
– Postini
Quick Connect for SAP Solutions
Quick Connect for PeopleSoft
Architektura portalu IT-Shop
Quest One Identity Manager - podsumowanie
• Usprawnia proces zarządzania dostępem i tożsamością
użytkowników, ich przywilejami i bezpieczeństwem w
całym przedsiębiorstwie
• Przenosi zarządzanie użytkownikami i kontrolę dostępu z
dala od IT kierując obowiązki w stronę biznesu
• Upraszcza główne zadania systemu zarządzania
tożsamością i dostępem (IAM) do ułamka złożoności,
czasu lub kosztów związanych z "tradycyjnymi"
rozwiązaniami klasy framework.
50
Jakie są korzyści ze stosowania Quest One Identity
Manager’a?
• Szybka implementacja
– 2 – 10 razy szybsza niż inni dostawcy oprogramowania IAM
– Brak konieczności tworzenia kodu lub skomplikowanej kastomizacji
• Więcej funkcji w jednym produkcie niż w jakakolwiek innym
– Dostępny „z pudełka” framwork do zarządzania
– Predefiniowane workflowy biznesowe oraz procesy
– Gotowy do wdrożenia “Sklepu Webowego”
– Wbudowane konektory – wystarczy je skonfigurować
– Raportowanie
– Audytowanie
Zarządzanie uprzywilejowanymi użytkownikami
http://wm.quest.com
http://www.quest-pol.com.pl
dostępem
środowisk
użytkownikami
administratorów
użytkowników
dostępem
użytkownikami
administratorów
Privileged Account Management – opis cech
Quest TPAM Suite
Privileged Passwords
•
•
•
•
Kontroluje i audytuje
wykorzystanie
współdzielonych haseł
administracyjnych
Rozwiązuje problemy z
wbudowanymi hasłami
uprzywilejowanych kont w
skryptach oraz aplikacjach
Dodaje prosty mechanizm
zezwoleń dla kontroli i
audytu haseł
uprzywilejowanych
użytkowników
Bezpieczne odporne na
ataki urządzenie, skalowalne,
architektura HA
Privileged Sessions
•
Rozwiązuje problemy z
monitorowaniem i
nagrywaniem czynności
wykonywanych przez
uprzywilejowanych
użytkowników
•
Zapewnia proste rozwiązanie
do kontroli zdalnego dostępu
dostawców/serwisantów do
uprzywilejowanych kont
•
W połączeniu z Privileged
Password Manager’em
zwiększa bezpieczeństwo i
ukrywa hasło dla
uprzywilejowanego konta
użytkownika
Privileged Delegation
•
Zgodne z regulacjami
zewnętrznymi
•
Zmniejsza koszty operacyjne i
zwiększa bezpieczeństwa
poprzez delegowanie w
oparciu o role
•
Eliminuje potrzebę
korzystania z
uprzywilejowanych kont w
codziennej administracji
•
Rozszerza i wzmacnia
wykorzystanie SUDO
•
Podwyższa bezpieczeństwo
użycia określonych aplikacji,
procesów, plików, formantów
ActiveX, instalatorów aplikacji
…
Jak to wygląda i działa?
Privilege Access Management (PAM)
– Pakiet produktów do kontroli bezpieczeństwa i zgodności Compliance
– Modułowa konstrukcja pozwala na elastyczność rozbudowy:
› Wersja startowa posiada moduły podstawowe
› Dostępne dodatkowe moduły, dostosowane do potrzeb klienta
– Dostarczane jako specjalnie zaprojektowane bezpieczne urządzenie
Privileged Password oraz Session Manager
• Rozwiązanie pozwalające spełniać wymogi bezpieczeństwa i
Compliance w odniesieniu do:
–
–
–
–
Zarządzania kontami współdzielonymi oraz hasłami kont usług
Kontroli dostępu zewnętrznych dostawców
Kontroli dostępu programistów do środowiska produkcyjnego
Kontroli najbardziej uprawnionych kont użytkowników - Super-User Privilege
Management (SUPM)
• Sprawdzone rozwiązanie, wdrożone we wszystkich sektorach rynku
– Ponad 450 instalacji na całym Świecie, w tym:
›
4 z 10 największych firm listy Forbes
›
3 z 5 największych instytucji finansowych
›
Wiodących firmach z branży przemysłowej, finansowej, usługowej, telekomunikacyjnej,
farmaceutycznej/chemicznej, służby zdrowia orz innych..
– Nagradzany produkt - SC Awards 2010 “Best Regulatory Compliance Solution”
Privileged Password Management - Problemy i wyzwania
• W odróżnieniu od „zwykłych” kont użytkowników, nie posiadają
indywidualnego powiązania
– Np. konta typu: Root, administrator, DBA, itp.
– W wielu przypadkach posiadają domyślne hasła
• Uprzywilejowane konta istnieją w każdym systemie, urządzeniu
sieciowym, bazie danych itp.
• Uprzywilejowane konta posiadają nieograniczony DOSTĘP oraz
MOŻLIWOŚCI
– W wielu przypadkach posiadają pełny dostęp do systemu oraz pełną kontrolę
– Uprawnienia zmian w konfiguracji i ustawień audytu
• Wyzwania w audycie bezpieczeństwa i regulacji Compliance
– Zarządzanie uprzywilejowanymi/współdzielonymi/serwisowymi/aplikacyjnymi
kontami wymusza stosowanie rozszerzonego zakresu audytu
– Coś co było stosowne wczoraj NIE jest stosowne dzisiaj
Privileged Password Manager
• Pełne zarządzanie cyklem aktywności użytkowników
– Bezpieczne przechowywanie informacji (szyfrowanie AES 256)
– Podwójne lub szersze mechanizmy kontroli
– “Ostatnio użyte konto” oraz umożliwienie aktywności w zadanym okresie czasu
• Dostarczane jako zabezpieczone urządzenie
– Wdrożenie w 100% bez instalacji oprogramowania na urządzeniach/serwerach klienckich
– Brak konsol, szyfrowany cały dysk, zapora sieciowa
• Integracja typu Enterprise:
–
–
–
–
Integracja z AD
Integracja z CMDB
Integracja z systemem zgłoszeń
Integracja z rozwiązaniami do autentykacji:
›
›
›
›
›
Defender
AD/LDAP
Radius
Secure ID
Safeword
• Zdefiniowane role do aplikacji dla kont
Privileged Session Management - Problemy i wyzwania
• Wymogi Compliance często wymuszają potrzebę dowiedzenia się
Jaka aktywność była wykonana podczas uprzywilejowanego lub
wrażliwego dostępu- realizowanego przez:
– Zdalnych producentów aplikacji?
– Wynajętych usługodawców?
– Deweloperów uzyskujących dostęp do systemów produkcyjnych?
– Gaszenie „pożarów”?
– Użytkowników lub administratorów uzyskujących dostęp do wrażliwych zasobów lub
aplikacji (serwery Finansowych/ Sox, HR, itp.)
• Poszczególne dostępy wymagają większej kontroli i audytu
• Potrzeba ograniczenia bezpośredniego dostępu do zasobów
Privileged Session Manager
• Podwójna kontrola procesu autoryzacji
– Mechanizm akceptacji oraz żądania o dostęp
• PEŁNE nagrywanie sesji i komend
– Każde naciśniecie klawisza, poruszenie wskaźnika myszy, uruchomienie aplikacji,
KAŻDA AKTYWNOŚĆ
• Monitorowanie Real-time sesji
– Podgląd aktywnych sesji
• Odgrywanie sesji w formacie DVR
– Szczegółowe odgrywanie aktywności użytkownika
• Wykorzystywane do ograniczenia bezpośredniego dostępu do
zasobów
Architektura
Wdrożenie scentralizowane
Wdrożenie rozproszone
Workflow – żądanie hasła
Wywołanie żądania
o hasło
Wprowadzenie
Daty/Czasu/Długości trwania
/Powddu wnioskowania o hasło
Pole na podanie numeru
zgłoszenia (opcjonalne). Może
być aktywne lub pasywne.
Filtowanie i
wybieranie kont(a)
Pobierania hasła
Workflow – mały ekran (smartfon)
Link do inicjacji
hasła
Filtrowanie po wniosku lub
wybranie widoku ostatnich
Wprowadzenie numeru
zgłoszenia (jeśli
wymagane) oraz
zatwierdzenie
otrzymania hasła.
Wyświetlane hasło na
smartfonie.
Wybranie „Quick Request”
automatycznie zatwierdza
żądanie z domyślnym
powodem „ Request from
mobile device”
* Small screen support configured on a per user basis
TPAM/PPM: Pokaz funkcjonalności
Workflow – żądanie dostępu do sesji
Prośba o sesję połączeniową.
Wybierz z listy systemów i kont
określonego użytkownika, do którego
masz uprawnienia.
Wprowadź datę/czas/długość
trwania sesji. Można również
prosić o sesje zaplanowaną w
przyszłości.
Po akceptacji połączenia
wciskamy CONNECT!
Workflow – żądanie dostępu do sesji
Użytkownik łączy się i
wykonuje zadania
Sesja może być
skonfigurowana dla
interaktywnego lub
automatycznego logowania
Każde działanie w systemie
docelowym jest rejestrowane
Jeśli sesja wykracza poza
zadany okres czasu,
przesyłane są konfigurowalne
powiadomienia o
przekroczeniu sesji
Utworzone połączenie
proxy na wybranym
systemie oraz koncie
Aktywne sesje mogą być
ręcznie wyłączane przez
upoważnionych
administratorów
Workflow – odgrywanie sesji
Nagrania z sesji są przechowywane lokalnie lub mogą
być automatycznie archiwizowane. Przechowywane
sesje mogą być wyszukiwane na podstawie daty,
komendy, systemu, konta, użytkownika i/lub numeru
zgłoszenia.
Wybrana i
zaznaczona sesja
zostaje zwrócona i
jest dostępna do
obejrzenia.
Workflow – odgrywanie sesji
Cała aktywność z sesji jest nagrywana
oraz dostępna do odtworzenia za
pomocą paska przewijania/kontroli
nagrania. Nagrania nie są plikami AVI –
rozmiar nagrania jest mały i jest
kompresowany. Zapisywana jest także
aktywność użytkownika w formacie
logu sesji i można przeszukiwać
wykowane komendy przez
użytkownika.
Format nagrania w DVR pozwala
kontrolować nagraną sesję.
TPAM/PSM: Pokaz funkcjonalności
Workflow – Command Management
Komendy są dodane za pomocą narzędzia Privileged
Command Management Tool.
Workflow – Command Limited Session
Ten sam workflow jak dla
żądania o sesję.
Ten sam workflow jak
dla żądania o sesję.
Workflow – Command Limited Session
Sesja realizowana jest na docelowym
systemie/koncie (Windows A3/e22egp) przez
moduł PCM. Sesja użytkownika jest
ustanowiona tylko dla określonej komendy.
W tym przypadku dla użytkownika odpalona
została konsola zarządzania komputerem.
Użytkownik nie ma dostępu do innych komend,
menu itp. w zalogowanym systemie. Sesja jest tylko
dostępna w kontekście udostępnionej komendy (np.
Zarządzanie komputerem). W sytuacji, kiedy
użytkownik zamknie komendę, sesja zostanie
automatycznie zakończona.
Ulepszenia w module Quest One Privileged
Session Manager (PSM)
• Kontrola sesji, audyt, rejestracja komend, użytkowników
uzyskujących dostęp do systemów np. zewnętrznych konsultantów,
administratorów czy użytkowników z podwyższonymi
uprawnieniami. Dostarcza pojedynczy punkt kontroli i audytu
działalności w/w użytkowników.
• Rejestracja zdarzeń w sesji. Umożliwia o wiele bardziej granularną i
szczegółową kontrolę. Pozwala na przeszukiwanie zdarzeń z
zarejestrowanej sesji.
• Dodano możliwość oznaczanie zdarzeń / fragmentów sesji.
Rejestracja zdarzeń umożliwia zbieranie informacji o próbach
uruchomienia zabronionego polecenia. Po wykryciu takiego
zdarzenia TPAM może wykonać określoną akcję np. wysłanie
powiadomienia lub zakończenie sesji.
Ulepszenia w module Quest One Privilege
Command Management (PCM)
• W wersjach wcześniejszych moduł PCM był dostępny jako
oddzielny komponent. W wersji 2.5 został włączony do licencji PSM.
• Dodane przechwytywanie zdarzeń - rejestracja zdarzeń w trakcie
trwania sesji (dostępny jest log z sesji)
• Logi sesji zawierają również liczbę powtarzających się zdarzeń.
Użycie przez użytkownika zabronionych
komend
• Dodano nowy profil (ang. Restricted Commands Profile) w celu
wyłączenia możliwości uruchomienia konkretnego polecenia /
zadania
• Rejestracja kliknięć w klawiaturę (ang. „keystrokes”), umożliwia
monitoring i rejestrację wpisywanych poleceń przez użytkownika
podczas sesji. Keystroke jest zapisywany w logu i możliwe jest jego
przeszukanie w celu wyszukania konkretnego ciągu znaków.
Monitorowanie użytkowników i audyt
http://wm.quest.com
http://www.quest-pol.com.pl
dostępem
środowisk
użytkownikami
administratorów
użytkowników
dostępem
użytkowników
Quest ChangeAuditor
“W czasie rzeczywistym, skonsolidowany audyt zmian dla:
AD, LDAP, Exchange, SharePoint, SQL, serwerów plików Windows, VMware,
NetApp, EMC, rejestrów sys., usług, lokalnych grup i użytkowników.”
Umożliwia kompleksowy
audyt zmian w
przedsiębiorstwie z
intuicyjnego klienta.
Sortowanie, grupowanie,
filtrowanie i wykresy online.
Zapewnia bezp. i zgodną
infrastrukturę poprzez
śledzenie zmian w czasie
rzeczywistym, rejestrując
pochodzenie zdarzenia, jak
również wartości przed i po.
Wzmacnia system kontroli
wewnętrznej poprzez
ochronę obiektu i wgląd
zarówno zmian
autoryzowanych i
nieautoryzowanych.
ChangeAuditor – własny audyt zmian
“ChangeAuditor jest rozwiązaniem oferującym kompleksowe zarządzanie zmianami,
raportowanie, zabezpieczanie aktywności użytkowników oraz powiadamianie o zdarzeniach
na systemach Windows - Active Directory, LDAP, ADLDS, Windows File Servers, SQL,
Exchange, SharePoint, VMWare, EMC oraz NetApp. Dostarcza informacje:”
Kto (Who ) wykonał zmianę?
Co (What ) zostało zmienione (wartość przed i po)?
Gdzie (Where ) zmiana została wykonana?
Kiedy (When ) zmiana została wykonana?
Dlaczego (Why) wykonano zmianą? (komentarz)
Adres (Workstation) skąd zmiana była wykonana?
Inteligentne
alarmy
Quest InTrust
“Kolekcjonowanie, przechowywanie oraz raportowanie logów w trybie
rzeczywistym z całej infrastruktury MS oraz Unix. InTrust raportuje logi, które
dotyczą naszej polityki bezpieczeństwa, dobrych praktyk lub awarii systemów
oraz aplikacji”
Cechy ChangeAuditor’a i InTrust - porównanie
ChangeAuditor
InTrust
Zmniejsza złożoność i koszty zarządzania
dziennikiem zdarzeń.
Szczegółowy audyt dla Active Directory,
Exchange, serwerów plików Windows,
SharePoint, VMware i innych.
Gromadzenie, przechowywanie, raportowanie i
powiadamianie z natywnych logów Windows
wraz z rejestrowaniem logowań i wylogowań
użytkowników na serwerach Windows i stacjach
roboczych.
Ochrona przed niechcianymi lub
nieplanowanymi zmianami w Active Directory,
Exchange oraz systemie plików Windows
Długoterminowe archiwizowanie logów dla
zdarzeń Windows oraz ChangeAuditor ‘a
(wartościowe dane z kilku lat)
Natychmiastowy wgląd do wszystkich zmian
zachodzących w środowisku IT.
Szczegółowa analiza aktywności użytkowników
w całej sieci przedsiębiorstwa.
Interaktywna analiza zmian wraz z ich
wbudowanym grupowaniem, sortowaniem,
filtrowaniem i możliwościami tworzenia
wykresów.
Szerokie wsparcie dla systemów
heterogenicznych, aplikacji i urządzeń.
Oferuje panele dostępne przez WWW
prezentujące statystyki zmian dla kadry
zarządzającej i audytorów.
Zaplanowane w czasie wykonywanie raportów
ze strony WWW wraz z elastycznymi
możliwościami ich dostarczania.
Inteligentne powiadamianie dla poszczególnych
zdarzeń na podstawie wzorców.
Natychmiastowa korelacja zdarzeń i
wykonywanie automatycznych akcji.
Defender – dwuskładnikowe uwierzytelnianie
Przypadki użycia Defender
Quest Webthority – bezpieczny zdalny
dostęp
Tokeny Defender’a
• Szeroki zakres tokenów
• Tokeny sprzętowe są dobre dla ich całego życia
baterii (5-7 lat)
• Tokeny programowe nigdy nie wygasa
• Każdy użytkownik może mieć więcej niż jeden
token
• Kilka tokenów sprzętowych może być
przyporządkowane do więcej niż jednego
użytkownika
• Aplikacja Helpdesk dla tokenów
• Wsparcie dla każdego innego tokena
sprzętowego zgodnego z OATH
Przykładowi klienci
Przykładowi klienci c.d.
Bezpieczeństwo i kontrola dostępu
• Pojedyncze logowanie (SSO)
środowisk
użytkownikami
administratorów
użytkowników
Dziękuję za uwagę
Grzegorz Szafrański
tel: +48 601 427 533
e-mail: [email protected]
Quest-Dystrybucja Sp. z o.o.
Oddział: ul. Nabielaka 6, 00-743 Warszawa
Centrala: ul. Podwale 62, 50-010 Wrocław
www.quest-pol.com.pl

Zarządzanie dostępem

Transkrypt

Podobne dokumenty

NetIQ Privileged Account Manager

Obszary lokalnej polityki gospodarczej