Správa privilegovaných účtů ve fyzickém a virtuálním prostředí

Správa privilegovaných účtů ve fyzickém a virtuálním prostředí

Agenda



Úvod  Privilegované účty  Virtualizace – výhody, nevýhody, rizika



Produktové portfólio  ControlMinder  ControlMinder for Virtual Environments



2

Shrnutí

Copyright © 2012 CA. All rights reserved.

Privilegované účty představují bezpečnostní rizika v oblasti bezpečnosti dat Problém s privilegovanými účty

Neomezený přístup  Neomezený přístup, učty jako „root“ nebo “Administrátor“  Chybí oddělení odpovědnosti

Nedostatek odpovědnosti  Sdílení administrátorských účtů  Žádná evidence používání privilegovaného účtů

Virtualizace zvyšuje tyto rizika !

3


Riziko

Jak identifikovat rizika spojených se správou privilegovaných účtů

1.

Sdílejí administrátoři privilegované účty do systému i na servery se sensitivními daty? Jak řídíte akce těchto uživatelů?

2.

Může kterýkoliv administrátor přistupovat k sensitivním datům na serveru? Jaké jsou zavedené mechanizmy kontroly a audit?

3.

Jste schopni zpětně sledovat akce Vašich administrátorů? Je nutné aby jste kvůli incidentu vyhlásili odstávku celého systému?

4.

Máte zavedené preventivní mechanizmy kontroly spojené s užíváním privilegovaných účtů ?

5.

Jaké typy prostředí a operačních systémů máte zavedené? Jak je řízena bezpečnost mezi jednotlivými prostředími?

6.

Jak kontrolujete dodržování nastavených pravidel?

4


Klíčové oblasti pro zavedení správy privilegovaných účtů Snížení Rizik

Zabezpečení Shody

 Zajištění shody s předpisy organizace a prokazatelnost nastavení pro auditory.

 Snížení bezpečnostních rizik prostřednictvím monitoringu akcí privilegovaných uživatelů. Základní cíle  Dosažení vyšší provozní efektivity automatizací některých procesů, snížení bezpečnostních rizik, poskytnutí vyšší kvality služeb. Zvýšení Efektivity

 Poskytování nových řešení a služeb virtualizací stávajících řešení, poskytnutí cloud služeb

Podpora Business-u

Výše uvedené rizika vedou k řešení oblasti správy privilegovaných účtů! 5


Benefity a rizika virtualizace

Co se stane v případě že organizace začne s virtualizací? Negativa/Rizika

Pozitiva 

Úspora provozních nákladů



Nepřehledná topologie



Vysoká dostupnost služeb





Zjednodušení Disaster Recovery plánu

Nová vrstva v infrastruktuře kterou je nutné zabezpečit a monitorovat



Zlepšení kvality služeb



Problémy s konfigurací prostředí



Hardwarová nezávislost



Změnou parametrů na hostitelském prostředí může dojít ke ztrátě auditních záznamů apod



Synchronizace prostředí



Neoprávněné kopírování prostředí

6


Agenda









7

Shrnutí


Do jaké skupiny produktů patří CA ControlMinder?

Protect key assets & information

Be compliant

Support new business initiatives

Improve efficiencies

Content-Aware IAM from CA Technologies Identities

Access

Information

Role management & provisioning

Web access management

Advanced Authentication

Discovery

Identity governance

Privileged user management

Fraud prevention

Classification

User activity reporting

Virtualization security

Federation

Information control

CA ControlMinder solutions

8


CA Control Minder - porovnání produktů Komplexní řešení pro správu privilegovaných účtů jak pro fyzické tak i virtuálním prostředím, včetně správy hostitelského prostředí. CA ControlMinder

CA ControlMinder for Virtual Environments

Oblast: Depth of Control

Oblast: Virtualization Security

Fyzický systém

Virtuální Prostředí App

Aplikace Operační systém

Fyzický systém

App

App

Operační systém

Aplikace Operační systém

Hypervisor

Oblast kontroly

9

Virtuální Prostředí App

Operační systém

Hypervisor

Oblast kontroly


Agenda









10

Shrnutí


CA ControlMinder - základní charakteristika produktu Správa sdílených účtů

Centrální autentizace UNIX prostředí

 Správa hesel administrátorských účtů  Autorizační workflow proces, včetně možnosti ‘temporary přístupu ’ prostřednictvím privilegovaného účtu  Vyvození odpovědnosti za přístup přes sdílený účet  Automatické přihlášení  Session recording  Správa aplikačních hesel

   

Vyšší granularita oprávnění  Zvýšení bezpečnosti systému  Nastavení různého oprávnění na jeden soubor dvěma různým uživatelům.  Sledování aktivit konkrétního uživatele  Zavedení Oddělení odpovědnosti (SoD)  Audit privilegovaných přístupů

11

Centralizovaná administrace UNIX systémů Authentizace vůči AD, nativní integrace s AD UNIX key logger Podpora single-sign-on přes Kerberos

Monitoring uživatelských aktivit    

Centrální správa auditních logů Report privilegovaných účtů Integrace se Session recording Evidence a průkaznost prováděných operací


Správa sdílených účtů - zvýšení odpovědnosti za správu účtů Proč to děláme:  Centralizovaná správa privilegovaných/sdílených účtů/hesel

Shared Account Management

Shared Account Management Check Out Password

 Zavedení odpovědnost uživatelů za sdílené účty  Zrušení všech aplikací s hesly

Check in Password

 Dodržování bezpečnostních pravidel

Reset Login

Řešení:  Není potřeba instalace žádných agentů  Služba pro vyhledání nově vzniklých uživatelských účtů

Validate

 Kontrola aktivit privilegovaných uživatelů  Správa přístupu sdílených hesel

DB

 Zrušení „hard-coded“ hesel  Automatické přihlášení  Správa hesel pro nouzový přístup 12


Router Switch

Storage

App

Windows UNIX/Linux

Vyšší granularita oprávnění - lepší kontrola nad akcemi uživatelů

Fine-Grained Access Controls

Proč to děláme:  Uživatelé s vysokými oprávnění, které ke své práci nevyužívají. Contractor/ Partner  Mnoho způsobů jak se stát ‘SuperUživatelem’ OUTSIDE ORGANIZATION  Nedostatečné nastavení Auditor přístupových oprávnění nativními prostředky aplikace/systému, Systems  Nepřehlednost Admin  Podpora auditu při řešení sporných situací

Auditor Systems Admin

 Zavedení restrikcí na definované soubory a složky  Centralizovaná správa pravidel  Oddělení odpovědnosti (SoD)  Možnost zavedení tzv. ‘dočasného přístupu’  Podpora různých OS

Password Admin

Protected Resources

Applications Admin

Applications Admin

Řešení:

13

Audit Logs

Password Admin

OPERATING SYSTEM


Mission Critical Server

System Config Folder CRM/ERP Application Password Reset

Centrální autentizace UNIX prostředí - přináší snížení nákladů a eliminuje chyby Proč to děláme:  Velké množství UNIXových prostředí, nutnost hromadné správy uživatelských účtů, vysoké náklady na správu.  Pomalé a obtížné zavádění bezpečnostních pravidel na jednotlivé prostředí.  Velký počet uživatelských účtů, hesel, serverů, různé bezpečnostní pravidla na různých UNIX platformách.

UNIX Authentication Bridging

CA ControlMinder Account Management

Endpoint Management

Login

Řešení:  Migrace UNIX účtů do AD nebo do jiného centrálního LDAP úložiště, centralizovaná správa uživatelů.  Konsolidace uživatelů, jednotný autentizační mechanizmus  Zavedení automatického přihlášení do Unix/Linux prostředí  Integrace s Windows Event log 14

CA ControlMinder PAM Module

Active Directory Enterprise LDAP


Password Policy Event Log UNIX/LINUX

Monitoring a reporting uživatelských aktivit - kvalitnější výsledky v rámci auditu

User Activity Reporting

 Veškeré události z připojených systémů je možné monitorovat a reportovat (out-of-box funkcionalita)  Centralizovaná správa logů  Kategorie dle kterých je možné reportovat akce uživatelů: – Podle prováděných akcí – Podle přístupu k jednotlivým aplikacím – Podle přístupu k jednotlivým serverům – Podle uživatelského jména – Podle názvu serveru (názvu systému) – Podle přístupu (odkud bylo přistupováno k aplikaci/serveru)

15


Agenda









16

Shrnutí


CA ControlMinder for Virtual Environments

Požadavky

Automatizace Ochrana

Rychlé a efektivní nastavení bezpečnostních pravidel napříč organizací. Zabezpečení hostitelských i virtuálních prostředí.

Audit / Reportování

Monitoring operací a akcí uživatelů na hostitelských i virtuálních prostředích.

Zabezpečení sdílených prostředí

Sdílení prostředků jednoho hostitele mezi více virtuálních prostředí.

Provozní transparentnost 17

Jaké řešení nabízí CA Technologies

Zajištění provozní transparentnosti prostřednictvím integrace s VMware vCenter. Copyright © 2012 CA. All rights reserved.

CA ControlMinder for Virtual Environments - základní vlastnosti produktu Oblasti

Popis

Automatizace bezpečnosti ve Virtuálních prostředích

Rychlejší nasazení bezpečnostních pravidel prostřednictvým nastavených příznaků (tagů) sjednodušení deployment procedur Automatická správa privilegovaných účtů napříč všemy virtualizovaným prostředími, auto-discovery

Správa sdílených účtů

18

Monitoring uživatelských aktivit

Automatický sběr logů, přehled aktivit uživatelů, reporting, pro každý virtualizovaný systém

Oddělení odpovědnosti

Umožní nastavit uživatelům pouze taková oprávnění, které využíjí ke své práci.

Zabezpečení sdílených prostředí

Řízení přístupu k jednotlivým prostředím na základě Business atributů (lokalita uživatele, nákladové středisko…)

Zabezpečení hostitelského prostředí

Řízení přístupových oprávnění k hostitelskému (hypervisor) prostředí, nastavení samostatných bezpečnostních pravidel s využitím dodaných šablon


Oblast: Automatizace bezpečnosti ve Virtuálních prostředích Proč to děláme:  Obtížná správa a kontrola dodržování definovaných bezpečnostních pravidel ve virtuálních prostředích (např. vytváření, změna konfigurace, přesun do jiného segmentu sítě apod.)  Požadavek na nastavení odlišných bezpečnostních pravidel na virtuálním a hostitelském prostředí.

Test/Dev VM

 Nastavení různých přístupů pro vlastníky VM, Tým bezpečnosti, Administrátor VM prostředí, apod.



Řešení:

Production VM



DMZ

 Změna konfigurace na základě příznaku (tagu, např: prostředí, aplikace , OS, apod.)  Možnost nastavit pravidla pouze pro virtuálizované prostředí, nastavení restrikce na různé typy operací (např. vypnutí, přesun do jiného prostředí, apod.)  V případě chyby v konfiguraci, umožňuje vynucení opravy, dle nastavené šablony.

19

Production

DMZ

Test/Dev Nexus 1000v

Production

Production Nexus 1000v

‘Tagování ’ virtuální prostředí umožňuje automatizaci při nastavování bezpečnostních pravidel.


Oblast: Správa sdílených účtů

Proč to děláme  Nedostatek odpovědnosti uživatelů v důsledku používání sdílených účtů a hesel  Malá nebo žádná separace pravomocí  Nedodržování principu ‘minimálního oprávnění’

Shared Account Management 3. Check Out Password

Řešení

2.Check in Password

 Restrikce přístupu na privilegované účty jako je např. ‘root’ nebo ‘Administrator’, na základě přirazené role a individuálního účtu.  Zavedení automatického přihlášení do systému sníží možnosti pro sdílení hesel  Zavedení vyšší granularity oprávnění umožňuje implementaci ‘minimáního oprávnění’  V případě nutnosti je možné přidělit i ‘dočasný přístup’ – veškeré operace jsou auditované  Není potřeba instalace na klientské stanice, vše je Agentless architektura

1. Login

4.Validate

DB

Router Switch

 Umožňuje Session recording  Integrace s VMware vCenter 20


Storage

App

Windows

UNIX/Linux

Oblast: Monitoring uživatelských aktivit

Proč to děláme  Evidovat změny v konfiguraci a zajistit prokazatelnost operací pro audit.  Získat přehled a lepší kontrolu nad uživatelskými operacemi  Dosažení shody s pravidly organizace

Řešení  Automatické prohledávání a audit změn konfigurace jak pro virtuální tak hostitelské prostředí.  Reportování chyb, nebo neoprávněných operací jak na virtuálním tak i hostitelském prostředí.

 Podpora pro Session Recording.

21


Oblast: Oddělení odpovědnosti (SoD)

Proč to děláme:  Administrátoři mají ve většině případů plný přístup jak k prostředků virtuálního tak i hostitelského prostředí.  Nejsou zavedená žádná pravidla pro Odělení odpovědnosti (SoD)

Řešení:  Možnost využití příznaků jednotlivých prostředí pro zavedení Oddělení odpovědnosti (SoD) na virtuálních prostředích  Prostřednictvím ‘HyTrust ‘ je možné omezit i přístupy na hostitelském prostředí, nebo zavést rovněž SoD.

22


Oblast: Zabezpečení sdílených prostředí

Proč to děláme:  Zavedení přístupu k aplikacím prostřednictvím uživatelských atributů lokalita, nákladové středisko, apod.  Izolace prostředí obsahující sensitivní data bez nutnosti změny konfigurace sítě.

HOSTED MUTI-TENANT PRIVATE CLOUDS Shared Environment

“Shared” Model among multiple customers and/or departments

Tenant A

Tenant A

Tenant A

Production Zone

Dev/Test Zone

DMZ Zone

 Snížení restrikcí nastavených na úrovni síťových prvků.

Řešení:  Izolace virtuálních prostředí  Definice spíše business pravidel nežli omezení na úrovni síťové infrastruktury.  Integrace s VMware vShield App zrychlí nasazení aplikací na různé typy prostředí.

23


Oblast: Zabezpečení hostitelského prostředí

Proč to děláme  Zabezpečení systémových prostředků

 Zabezpečení konfigurace virtuálního prostředí  Detekce a upozornění na konfigurační změny

VIC

Start VM

 Zajištění shody s definovanými pravidly organizace

Řešení“  Kontrola zabezpečení hostitelského prostředí prostřednictvím předdefinovaných šablon třetích stran, např. od: PCI-DSS, VMware Best Practices, a C.I.S.

WEB

Create Switch

SSH

Disable Switch

 Možnost zavedení konfiguračních změn za běhu bez nutnosti odstávky hostitelského prostředí.  Kontrola HW vrstvy prostřednictvím Intel TXT technology  Kompatibilita s VMware ESX a ESXi technologii.

24


  

Agenda









25

Shrnutí


Shrnutí

Přidaná hodnota: 

Umožňuje zavedení shody v oblasti správy privilegovaných účtů jak v oblasti fyzických ale i virtuálních prostředích.



Snižuje náklady, zvyšuje efektivitu při vytváření prostředí zavedením automatizace bezpoečnosti ve Virtuálních prostředích

Proč produkty od CA Technologies 

26

Osvědčená technologie pokrývající jak oblast fyzické tak i virtuální infrastruktury


Děkuji za pozornost.

27


Správa privilegovaných účtů ve fyzickém a virtuálním prostředí

Recommend Documents