NetIQ Privileged Account Manager

NetIQ Privileged Account Manager
Zarządzanie kontami uprzywilejowanymi w systemach Linux,
Unix, Windows i bazach danych
Piotr Szewczuk
Konsultant
[email protected]
Zintegrowane rozwiązania NetIQ do
zarządzania tożsamością i dostępem
Zarządzenie
tożsamością
Zarządzenie
dostępem
Zautomatyzowane i bezpieczne
przydzielanie dostępu dla
użytkowników biznesowych i
administratorów
Egzekwowanie w czasie
rzeczywistym praw dostępu dla
wszystkich punktów końcowych
• 
• 
• 
• 
• 
NetIQ Identity Manager Family
NetIQ Access Review
NetIQ Access Governance Suite
NetIQ eDirectory™
NetIQ Directory and Resource
Administrator™
•  NetIQ Group Policy Administrator™
serwery fizyczne
•  NetIQ Access Manager™
•  NetIQ Secure Login 8 - Enterprise
SSO
•  Advanced Authentication
Framework
•  NetIQ SocialAccess - Identify Web
Guests
•  NetIQ MobileAccess
•  NetIQ Cloud Security Service
wirtualne
Zarządzenie
bezpieczeństwem
Zapewnienie monitorowania,
raportowania i przywracania dostępu
do zasobów w całym
przedsiębiorstwie
•  SIEM NetIQ Sentinel™ / Sentinel™ Log
Manager
•  NetIQ Sentinel Security Solutions for
iSeries Agents
•  NetIQ Privileged Account Manager
•  NetIQ Change Guardian™ for MS AD,
MS GPO, MS Windows and Linux
Servers
•  Secure Configuration Manager
•  Security Solutions for iSeries
chmura
CZYM JEST ZARZĄDZANIE
TOŻSAMOŚCIĄ KONT
UPRZYWILEJOWANYCH?
3
Dlaczego trzeba inwestować
w zarządzanie uprzywilejowaną tożsamością?
Privacy Mandates
Audits
NERC CIP
HIPAA / HITECH
Governance
GLBA
User demands
SOX
“Right to be forgotten”
ISO 27001/2
European Data Protection Regulation
PCI DSS
Dlaczego trzeba inwestować
w zarządzanie uprzywilejowaną tożsamością?
Privacy Mandates
HIPAA / HITECH
Gartner Strategic Assumption
Governance
By 2017, more stringent regulations around control of
Audits
privileged access will lead to a rise of 40% in fines
GLBA
NERC
CIP
and penalties imposed by regulatory bodies on
demands
organizationsUser
with deficient
PAM controls that SOX
have
been
“Right
to bebreached.
forgotten”
- MarketISO
Guide for27001/2
Privileged Access Management – May 27, 2015
PCI DSS
European Data Protection Regulation
“Energy company reports $1
billion in charges and a loss” New York Times
“Security Breach Exposes Data on
Millions of Payment Cards” - InformationWeek
“Home Depot Breach Has Already Cost $43
Million ”
– eSecurityPlanet
Setting the stage
Neiman Marcus Sued Over Customer
Credit Card Data Breach
- Bloomberg
“Cost of Target Data Breach
Exceeds $200 Million”
– Consumer Banker’s
Association
“Target says up to 70 million more customers
were hit by December data breach”– The Washington Post
“Health care data breaches have hit 30M
patients and counting…” – The Washington Post
Several
high-profile
breaches and insider attacks
“Energy
company
reports $1
have
to exploit
privileged
accounts,
billion
in been
chargesknown
and a loss”
“Security
Breach Exposes
Data on and
New York Times
Millions of Payment
Cards”
this has increased the interest
in tools
to tighten
controls
privileged
“Home
Depot Breachon
Has Already
Cost $43 activity, as well as
Million ”
interest in two-factor authentication for
– eSecurityPlanet
privileged access.
- InformationWeek
Setting the stage
While
in 2013
the Customer
majority of“Cost
inquiries
PAM
of Targetabout
Data Breach
Neiman
Marcus
Sued Over
Exceeds $200 Million”
Credit
Card
Data Breach
tools
from
Gartner clients were
driven
by compliance
– Consumer Banker’s
concerns and operational efficiency,
Association a large part is
- Bloomberg
“Targetnow
says up
to 70 million
moredesire
customers
driven
by the
to
were hit by December data breach”– The Washington Post
mitigate threats of
breaches and insider attacks. Gartner expects this
“Health careat
data
breaches
have
hit 30M
trend to continue
least
until
2016.
andforcounting…”
– The Washington Post
-patients
Market Guide
Privileged Access
Management – May 27, 2015
Zarządzanie uprzywilejowaną
tożsamością
•  Z jakimi wyzwaniami spotykają się
klienci?
‒  Jak monitorować nadużycia
uprzywilejowanego dostępu do danych?
‒  Jak administratorzy działów IT wykorzystują
uprawnienia kont root lub administrator
w systemach Unix, Linux i Windows?
‒  Za dużo osób ma pełne prawa do usług
katalogowych np. domeny Active Directory lub
eDirectory
‒  Jak monitorować aktywność użytkowników
w krytycznych systemach i wykrywać podejrzane
zachowania?
KONTA
UPRZYWILEJOWANE
9
Tożsamość uprzywilejowana
Tożsamość uprzywilejowana to
konta, które pozwalają na:
‒  Dostęp do plików, w tym systemowych
‒  Instalacje i uruchamiane programów
‒  Zmianę konfiguracji i ustawień
systemowych
•  Tworzenie / modyfikacje kont
użytkowników lub ich profili
Wiele kont w systemach typu
„konto usługowe”
Użytkownicy, którym z racji
stażu lub funkcji zostały
przydzielone uprawnienia
znacznie większe niż
w przypadku większości
użytkowników
Konto uprzywilejowane
Proces uzyskania uprzywilejowanych
uprawnień
12
NETIQ PRIVILEGED
ACCOUNT MANAGER
13
Czym jest NetIQ PAM
•  Centralne narzędzie do kontrolowanego udostępniania
i monitorowania kont uprzywilejowanych
•  Umożliwia nagrywanie sesji, tworzenie reguł,
określanie, jakie polecenia można uruchamiać
•  Zarządzanie poprzez reguły i audyt działań
•  Kontrola ryzyka
•  Elementy składowe NetIQ PAM: Framework Manager,
Framework Console, Framework Agent, Enterprise
Credential Vault
•  Obsługa następujących systemów operacyjnych: Unix,
Linux i Windows, baz danych i aplikacji
•  W Linuksie PAM (Pluggable Authentication Modules) to
nie to samo co NetIQ PAM (Privileged User Manager)
Magazyn danych uwierzytelniających
Enterprise Credential Vault
• 
Bezpieczny zaszyfrowany „sejf” do
przechowywania poświadczeń (login
i hasło), kluczy itp.
• 
Zamawianie danych uwierzytelniających
dla niestandardowych przedziałów czasu
• 
Gotowe „tuż po instalacji” przepływy
akceptacyjne i powiadomienia
• 
Obsługa uprzywilejowanych uprawnień:
– 
Aplikacji (np. SAP System)
– 
Baz danych (np. Oracle DBMS)
– 
Usług typu Cloud (np. Salesforce.com)
Modularna architektura
16
Przepływ informacji w NetIQ PAM
17
Monitorowanie baz danych Oracle
• 
NetIQ PAM został przetestowany do współpracy
z bazami danych Oracle 11.x i Oracle 12.x
• 
Wspierani klienci: SQL Developer, SQL Plus,
DbVisualizer i Toad
Monitorowanie baz danych Oracle
19
Portal Użytkownika
• 
• 
Widok katalogu z autoryzowanymi kontami uprzywilejowanymi
Zarządzanie swoimi żądaniami i potwierdzeniami
Panel administracyjny
• 
• 
• 
Zarządzanie żądaniami dostępu i autoryzacji
Kontrola wymagań dostępu, czasu ich trwania i rodzaju
Odnajdywanie: kto miał dostęp, gdzie, kiedy i dlaczego
Dostęp „na żądanie”
Zapewnia bezpieczny dostęp do zarządzania systemem
w sytuacji „losowej”
Szybkie wdrażanie
•  Duży katalog szablonów, zasad i skryptów
•  Centralny katalog zasad, brak konieczności
modyfikacji podłączonych systemów
•  Umożliwia szybkie wdrożenie nowych zasad
i powrót do stanu przed ich wdrożeniem
Współpraca NetIQ IDM
z NetIQ Privileged Account Manager
Sterownik, który pozwala na szybki przydział
zasobów
Automatyzacja przypisywania profili w PAM
Dostarcza przepływy pracy do kontroli, kto ma
dostęp, do czego i kiedy dostęp został przyznany
Zarządzanie hasłami i ich synchronizacja pomiędzy
systemami
Wspólny interfejs dla żądań dostępu, zatwierdzeń
i zarządzania przepływem pracy
Konkurencja - CyberArk
S.NO
Features
CyberArk
NetIQ PAM
1.
Digital Vault
2.
Shared policy management
3.
Complete solution for
1.  Operating Systems
2.  Network Devices
3.  Databases
4.  Applications
4.
Integration with IDM
Partner with
IDM vendors
NetIQ IDM
5.
Integration with SIEM tool
Partner with
SIEM Vendors
NetIQ Sentinel
6.
Emergency Access
7.
Multifactor Authentication
Partners
NetIQ NAAF
8
Searchable Windows
session logs, recording
Konkurencja - Dell
S.NO
Features
1.
Privilege Password Safe
2.
Privileged Elevation in
Windows and Unix
3.
Privileged Session
Management
4.
Privileged Session
Recording
5.
Shared policy management
Dell
NetIQ PAM
Partial
Wdrożenie NetIQ PAM - wymagania
•  Konsola administracyjna wymaga
przeglądarki internetowej z obsługą Adobe
Flash
•  Otwarte porty sieciowe: 443 (manager)
i 29120 (agenci i manager)
•  Serwer musi być „widoczny” dla klientów
(DNS/hosts)
•  Czas musi być zsynchronizowany (ntp)