NetIQ Privileged Account Manager
Transkrypt
NetIQ Privileged Account Manager
NetIQ Privileged Account Manager Zarządzanie kontami uprzywilejowanymi w systemach Linux, Unix, Windows i bazach danych Piotr Szewczuk Konsultant [email protected] Zintegrowane rozwiązania NetIQ do zarządzania tożsamością i dostępem Zarządzenie tożsamością Zarządzenie dostępem Zautomatyzowane i bezpieczne przydzielanie dostępu dla użytkowników biznesowych i administratorów Egzekwowanie w czasie rzeczywistym praw dostępu dla wszystkich punktów końcowych • • • • • NetIQ Identity Manager Family NetIQ Access Review NetIQ Access Governance Suite NetIQ eDirectory™ NetIQ Directory and Resource Administrator™ • NetIQ Group Policy Administrator™ serwery fizyczne • NetIQ Access Manager™ • NetIQ Secure Login 8 - Enterprise SSO • Advanced Authentication Framework • NetIQ SocialAccess - Identify Web Guests • NetIQ MobileAccess • NetIQ Cloud Security Service wirtualne Zarządzenie bezpieczeństwem Zapewnienie monitorowania, raportowania i przywracania dostępu do zasobów w całym przedsiębiorstwie • SIEM NetIQ Sentinel™ / Sentinel™ Log Manager • NetIQ Sentinel Security Solutions for iSeries Agents • NetIQ Privileged Account Manager • NetIQ Change Guardian™ for MS AD, MS GPO, MS Windows and Linux Servers • Secure Configuration Manager • Security Solutions for iSeries chmura CZYM JEST ZARZĄDZANIE TOŻSAMOŚCIĄ KONT UPRZYWILEJOWANYCH? 3 Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością? Privacy Mandates Audits NERC CIP HIPAA / HITECH Governance GLBA User demands SOX “Right to be forgotten” ISO 27001/2 European Data Protection Regulation PCI DSS Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością? Privacy Mandates HIPAA / HITECH Gartner Strategic Assumption Governance By 2017, more stringent regulations around control of Audits privileged access will lead to a rise of 40% in fines GLBA NERC CIP and penalties imposed by regulatory bodies on demands organizationsUser with deficient PAM controls that SOX have been “Right to bebreached. forgotten” - MarketISO Guide for27001/2 Privileged Access Management – May 27, 2015 PCI DSS European Data Protection Regulation “Energy company reports $1 billion in charges and a loss” New York Times “Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek “Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet Setting the stage Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg “Cost of Target Data Breach Exceeds $200 Million” – Consumer Banker’s Association “Target says up to 70 million more customers were hit by December data breach”– The Washington Post “Health care data breaches have hit 30M patients and counting…” – The Washington Post Several high-profile breaches and insider attacks “Energy company reports $1 have to exploit privileged accounts, billion in been chargesknown and a loss” “Security Breach Exposes Data on and New York Times Millions of Payment Cards” this has increased the interest in tools to tighten controls privileged “Home Depot Breachon Has Already Cost $43 activity, as well as Million ” interest in two-factor authentication for – eSecurityPlanet privileged access. - InformationWeek Setting the stage While in 2013 the Customer majority of“Cost inquiries PAM of Targetabout Data Breach Neiman Marcus Sued Over Exceeds $200 Million” Credit Card Data Breach tools from Gartner clients were driven by compliance – Consumer Banker’s concerns and operational efficiency, Association a large part is - Bloomberg “Targetnow says up to 70 million moredesire customers driven by the to were hit by December data breach”– The Washington Post mitigate threats of breaches and insider attacks. Gartner expects this “Health careat data breaches have hit 30M trend to continue least until 2016. andforcounting…” – The Washington Post -patients Market Guide Privileged Access Management – May 27, 2015 Zarządzanie uprzywilejowaną tożsamością • Z jakimi wyzwaniami spotykają się klienci? ‒ Jak monitorować nadużycia uprzywilejowanego dostępu do danych? ‒ Jak administratorzy działów IT wykorzystują uprawnienia kont root lub administrator w systemach Unix, Linux i Windows? ‒ Za dużo osób ma pełne prawa do usług katalogowych np. domeny Active Directory lub eDirectory ‒ Jak monitorować aktywność użytkowników w krytycznych systemach i wykrywać podejrzane zachowania? KONTA UPRZYWILEJOWANE 9 Tożsamość uprzywilejowana Tożsamość uprzywilejowana to konta, które pozwalają na: ‒ Dostęp do plików, w tym systemowych ‒ Instalacje i uruchamiane programów ‒ Zmianę konfiguracji i ustawień systemowych • Tworzenie / modyfikacje kont użytkowników lub ich profili Wiele kont w systemach typu „konto usługowe” Użytkownicy, którym z racji stażu lub funkcji zostały przydzielone uprawnienia znacznie większe niż w przypadku większości użytkowników Konto uprzywilejowane Proces uzyskania uprzywilejowanych uprawnień 12 NETIQ PRIVILEGED ACCOUNT MANAGER 13 Czym jest NetIQ PAM • Centralne narzędzie do kontrolowanego udostępniania i monitorowania kont uprzywilejowanych • Umożliwia nagrywanie sesji, tworzenie reguł, określanie, jakie polecenia można uruchamiać • Zarządzanie poprzez reguły i audyt działań • Kontrola ryzyka • Elementy składowe NetIQ PAM: Framework Manager, Framework Console, Framework Agent, Enterprise Credential Vault • Obsługa następujących systemów operacyjnych: Unix, Linux i Windows, baz danych i aplikacji • W Linuksie PAM (Pluggable Authentication Modules) to nie to samo co NetIQ PAM (Privileged User Manager) Magazyn danych uwierzytelniających Enterprise Credential Vault • Bezpieczny zaszyfrowany „sejf” do przechowywania poświadczeń (login i hasło), kluczy itp. • Zamawianie danych uwierzytelniających dla niestandardowych przedziałów czasu • Gotowe „tuż po instalacji” przepływy akceptacyjne i powiadomienia • Obsługa uprzywilejowanych uprawnień: – Aplikacji (np. SAP System) – Baz danych (np. Oracle DBMS) – Usług typu Cloud (np. Salesforce.com) Modularna architektura 16 Przepływ informacji w NetIQ PAM 17 Monitorowanie baz danych Oracle • NetIQ PAM został przetestowany do współpracy z bazami danych Oracle 11.x i Oracle 12.x • Wspierani klienci: SQL Developer, SQL Plus, DbVisualizer i Toad Monitorowanie baz danych Oracle 19 Portal Użytkownika • • Widok katalogu z autoryzowanymi kontami uprzywilejowanymi Zarządzanie swoimi żądaniami i potwierdzeniami Panel administracyjny • • • Zarządzanie żądaniami dostępu i autoryzacji Kontrola wymagań dostępu, czasu ich trwania i rodzaju Odnajdywanie: kto miał dostęp, gdzie, kiedy i dlaczego Dostęp „na żądanie” Zapewnia bezpieczny dostęp do zarządzania systemem w sytuacji „losowej” Szybkie wdrażanie • Duży katalog szablonów, zasad i skryptów • Centralny katalog zasad, brak konieczności modyfikacji podłączonych systemów • Umożliwia szybkie wdrożenie nowych zasad i powrót do stanu przed ich wdrożeniem Współpraca NetIQ IDM z NetIQ Privileged Account Manager Sterownik, który pozwala na szybki przydział zasobów Automatyzacja przypisywania profili w PAM Dostarcza przepływy pracy do kontroli, kto ma dostęp, do czego i kiedy dostęp został przyznany Zarządzanie hasłami i ich synchronizacja pomiędzy systemami Wspólny interfejs dla żądań dostępu, zatwierdzeń i zarządzania przepływem pracy Konkurencja - CyberArk S.NO Features CyberArk NetIQ PAM 1. Digital Vault 2. Shared policy management 3. Complete solution for 1. Operating Systems 2. Network Devices 3. Databases 4. Applications 4. Integration with IDM Partner with IDM vendors NetIQ IDM 5. Integration with SIEM tool Partner with SIEM Vendors NetIQ Sentinel 6. Emergency Access 7. Multifactor Authentication Partners NetIQ NAAF 8 Searchable Windows session logs, recording Konkurencja - Dell S.NO Features 1. Privilege Password Safe 2. Privileged Elevation in Windows and Unix 3. Privileged Session Management 4. Privileged Session Recording 5. Shared policy management Dell NetIQ PAM Partial Wdrożenie NetIQ PAM - wymagania • Konsola administracyjna wymaga przeglądarki internetowej z obsługą Adobe Flash • Otwarte porty sieciowe: 443 (manager) i 29120 (agenci i manager) • Serwer musi być „widoczny” dla klientów (DNS/hosts) • Czas musi być zsynchronizowany (ntp)