IBM Software Group. Identitás alapú biztonsági megoldások Tivoli eszközökkel

®

IBM Software Group

Identitás alapú biztonsági megoldások Tivoli eszközökkel Nagy-Czirok László, Systems Management Architect, IGS Várkonyi László, IT Architect, SWG

IBM Software Group | Tivoli software

Tartalomjegyzék IT kockázatkezelés a törvényi szabályozók tükrében ► ► ►

Törvényi szabályozás a különböző iparágakban Az IBM biztonsági megoldásai A Tivoli Risk Manager-ről (TRM) röviden

Identitás-alapú biztonság ►

Integrált felhasználó-identitás menedzsment • Identity Manager, Directory Integrator, Access Manager

Projektek gyakorlati tapasztalatai


IT kockázatkezelés, törvényi szabályozás az egyes szektorokban


Az IT biztonsági eljárások, szabályzások, technológiák motivációja Az Internet növekvő térhódítása lassan átformálja az üzleti folyamatokat és a korábbiaktól alapjaiban különböző műszaki környezetbe helyezi őket. Ez számos biztonsági problémát von maga után. A változások már ma szemmel láthatók: • Az üzleti folyamatokat ma már nem lehet elválasztani a hozzájuk rendelt IT struktúrától. Az IT kiesése az egyes intézményi feladatok ellátásának megszűntét okozza. • Az e-mail-t már nemcsak emlékeztetők és feljegyzések küldésére használjuk, hanem szerződések, gazdasági információk továbbítására is. • e- business • e –commerce • e-payment


Általános standardok CC (Common Criteria) (1996) Cobit (Control Objectives for Information and related Technology ) ellenőrzési útmutató (ISACA) BS7799 (ISO 17799 MSZ 17799) szabályzási, módszertani vezérvonal Hazai ajánlások (ITB 8. (Informatikai biztonsági módszertani kézikönyv), 12. (Informatikai rendszerek biztonsági követelményei) (1994))


Bankszektor: Kockázatkezelési kötelezettségek

BASEL II – Működési kockázatok tőkekövetelményei ►

A működési kockázatot az emberek, a belső folyamatok és rendszerek nem megfelelő vagy hibás működése, illetve külső tényezők által előidézett veszteségek kockázataként definiálja

2004 évi XXII törvény a pénzügyi szervezetek működésével kapcsolatosan ►

A törvény előírja az üzletmenet folytonosság, a víruskezelés, a licenszek kezelése, dokumentumkezelés, archiválás stb. megfelelő kialakítását is.

Felügyeleti szerv: PSZÁF


2004 évi XXII törvény előírásai a pénzügyi szervezetek működésével kapcsolatban A 13/B. § (5) pont a következőket írja elő a pénzügyi szervezetek számára: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról:

a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról; b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról; c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események); d) olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére;


Államigazgatás: Állami Számvevőszék INTOSAI (Számvevőszékek Nemzetközi Szervezete) ellenőrzési standardok: Saját módszertan: • Szervezet és irányítás • Biztonságpolitika • Folytonosság és katasztrófák elhárítása • Az IT eszközök felhasználása és külső szolgáltatók igénybevétele


Egyéb rendelkezések Gyógyszeripar Amerikai tőzsde: Sarbanes-Oxley Act (NASDAQ) •Health Insurance Portability and Accountability Act (HIPAA) •FDA (U.S. Food and Drug Administration)


Identitás alapú biztonság


Tudja-e, ki mihez fér hozzá?!

A nyolc legveszélyesebbnek tartott támadótípus közül hat olyan felhasználót jelöl, akinek hozzáférése van a rendszereinkhez!


Vállalati biztonsági modell Határőrség (tartsuk kívül...) • Tűzfalak • VPN • Antivírus • Betörés-érzékelés

„Határőrség”

Audit-réteg Kontroll-réteg

Audit réteg •Szabályzatoknak való megfelelés •Audit jelentések •Kockázat-elemzés •Biztonsági események kezelése

Kontroll-réteg •Ki léphet be? •Mit érhet el és mit tehet? •Egyéni preferenciák? A felhasználók kontrollja: • Authentikáció • Authorizáció • Web Services, legacy és saját alkalmazások


Az identitás a kontroll réteg alapja Az identitás-adatok hiányosak, szétszórtan tárolódnak, pedig ezek képezik az alapját: • • • •

a hozzáférési döntéseknek (erőforrásokkal való ellátás) az önkiszolgáló funkcióknak az authorizációs folyamatnak a perszonalizációnak

Információk az emberekről • • • •

Információk a hozzáférésről

alkalmazottak szerződésesek, alvállalkozók partnerek ügyfelek

• Felh. account tulajdonságok • Elérési jogok

Web alk.

Op. rendszerek

Legacy alk.

Felh. Adattárak

Címtárak

Saját fejlesztésű alk. Biztonsági rendszerek

Tranzakciós rendszerek


Mi az identitás-menedzsment? Az identitás-menedzsment a biztonsági megfelelőség kezelése... ►

...felhasználók felügyeletén,

• implementáció ►

az IT erőforrásokhoz való hozzáférésük szabályzásán,

• szabályok megalkotása és betartatása ►

és tevékenységeik követésén („mihez – milyen jogosultsággal”)

• auditálás ...keresztül.


Üzleti folyamatok kérdései Felhasználók validálása ►

Minden felhasználói account érvényes minden erőforrás esetében?

Felhasználók erőforráshoz juttatása ► ►

Minden erőforrás felhasználói elérése megfelelően beállított? És így is marad az idő haladtával?

Felhasználók hatékonysága ►

A felhasználók gyorsan és egyszerűen jutnak hozzáféréshez?

Új szabályok betartása ►

A hozzáférési és adatvédelmi szabályok minden alkalmazás és szerver esetében konzisztensen megvalósításra kerülnek?

…és mindez bizonyítható is az auditor kérésére?


Integrált felhasználó-identitás menedzsment Authentikáció Felhasználók & alkalmazások

Felhasználó- és erőforrás-kezelés

{ {

Felhasználómenedzsment Identitásinfrastruktúra

Tivoli Access TivoliIdentitásIdentity HozzáférésManager Manager Címtár szolgáltatások

menedzsment

menedzsment

Tivoli Privacy Adatvédelem Manager

Címtár szerver IBM Directory Server Címtár-integráció IBM Directory Integrator

Risk Manager

HozzáférésFelhasználói és Security menedzsment erőforrás-információk Compliance Manager


Tivoli Identity Manager


Az Identity Manager működési modellje „Role Based Provisioning” attr Provisioning Policy

Felhasználó

Szerep

Szolgáltatás (erőforrás)

A felhasználói felelősségi körnek megfelelő szerepkörhöz rendelés A szerepkör tagjainak erőforráshoz rendelése

A Provisioning Policy attribútumokat is meghatározhat (pl. felhasználói lemezterület-kvóta, csoport-tagság, ...)


A „reconciliation” összeveti az elvárt és a valós állapotot Provisioning Policy

Felhasználó

Szerep

Szolgáltatás (erőforrás)

A szabályok betartatása történik a reconciliation során (pl. egy erőforrás elérési jogosultságai) • A TIM visszaállíthatja a jogosulatlan módosítások előtti állapotot (lokális admin tevékenység)

A reconciliation felfedi az „árva” account-okat, amelyek • adoptálhatók, felfüggeszthetők, vagy törölhetők


Engedélyezési folyamatok Provisioning Policy Engedélyező1

Engedélyező2

Erőforrás

A folyamat támogatja, automatizálja, gyorsítja az új kérelmek elbírálását – policy-khez rendelt munkafolyamatok Az adminisztrátorok a TIM GUI segítségével engedélyezhetik vagy utasíthatják el a kérelmeket A folyamat tervezését drag-and-drop GUI segíti • Szekvenciális és párhuzamos folyamatok, Java Script támogatás • Email értesítések, time-out, eszkalációk


„Önkiszolgálás”: Jelszó menedzsment Helpdesk költségek csökkentése Önkiszolgáló, minden rendszerre kiterjedő jelszó reset Jelszó szabályzat ellenőrzése Challenge-Response ( kérdés-válasz) megoldás az elfelejtett jelszavak kezelésére. Jelszó eljuttatás biztonságos módon.

Átlagosan alkalmazottanként 3-4 újraindítási igény jelentkezik évente

Help Desk hívás költsége $20-per-call jelszó újraindítás esetén

Meta Group

Gartner Group

1

2


Audit és riportok A következő elemek időbélyeggel kerülnek a TIM adatbázisban tárolásra ►

Kérelmek

►

Jóváhagyások

►

Változtatások

Standard jelentések pdf formátumban ►

Működtetés - Operation

►

Szolgáltatások - Service

►

Felhasználók - User

►

Elutasított tevékenységek -Rejected

►

Egyeztetés - Reconciliation

►

Alvó – Dormant

CSV formátumú jelentések a továbbfeldolgozáshoz Crystal Reports jelentések


Operation jelentés példa


Tivoli Identity Manager (TIM)

Menedzselt erőforrások 70+ támogatott rendszer

Biztonságos • 128-bites titkosítás • PKI authentikáció

nt e Id

HR rendszer

it y

ag n Ma

DSML

er

Kétirányú Finomhangolt vezérlés Hatékony WAN környezetekben

LDAP

Lokális és távoli működtetés

ODBC

Adatszinkronizáció

DSML

S TP T H

Testre szabható folyamatok Grafikus folyamatszerkesztő Tranzakciós integritás

Címtárak

Felhasználói műveletek

Önkiszolgáló működés Kérelem és engedélyezés


Tivoli Directory Integrator


IBM Directory Integrator (IDI) Elosztott architektúra

„címtárak címtára” (busz vagy csillag topológia)

IDI: ► ►

►

elosztott architektúra: mindenki a leghatékonyabb eszközökkel és módszerekkel menedzseli az adatokat Adattranszformáció (AssemblyLine), eseménykezelés, scriptek: szinkronizáció mindig a leghitelesebb forrással, az üzletviteli szabályoknak megfelelően számos kész konnektor: pl. MS AD, Novell, Lotus, Oracle, SAP, ... NOS LOB Partnerkatalógus

HR

IBM Directory Integrator

Telefónia

Belső tudakozó

Költséghelyek

eMail címtár


Tivoli Directory Integrator működés AssemblyLines EventHandlers Valós-idejű integráció előre definiált eseményekre való reagálással

Az előre definiált folyamatok megvalósítása: adatok átalakítása, új bejegyzések létrehozása, módosítása, rendszerek adatainak frissítése Címtár

Bemeneti rendszerek

Parsers

Connectors Rendszerekhez, alkalmazásokhoz történő kapcsolódás, adatszerkezetek leírása

RDBMS LDIF File

Beérkező adatok értelmezése és átalakítása a kívánt formátumra

Kapcsolat több mint 25 rendszerrel ERP Levelezés Adatbázisok (ODBC, JDBC) Címtárak (using LDAP)

Protokollok, formátumok Üzenetkezelés (JMS)

PeopleSoft, SAP R/ 3, Siebel Lotus Domino, Microsoft Exchange; POP3, SMTP, IMAP4 Oracle, Microsoft Access & SQL Server, IBM DB2 & Informix, CA Ingres CA eTrust, Critical Path, DNS, IBM (Domino/ Directory Server),IBM Operating systems AIX, OS390(RACF), generic LDAP, iPlanet, Microsoft (NT Domains, Exchange, Active Directory), NEXOR, Novell eDirectory, OctetString, OpenLDAP, Oracle, Siemens, Syntegra EDIFACT, HTTP, SOAP, SSL, XML IBM WebSphere MQ, TIBCO Rendezvous, SonicMQ and JMS compliant systems


Integrációs feladatok megoldása a felhasználói adatok szinkronizációjával Feladat Egyes adatelemek szinkronizációja szükséges

Directory Integrator

Hiteles adatforrás Felh. költséghely Felh. mobiltelefonszámok

IDI

Hiteles adatforrás, B szervezeti egység

IDI Hiteles adatforrás, A szervezeti egység

Hiteles adatforrás, C szervezeti egység

Feladat Különböző interfészek gyors kialakítása elosztott adatforrások és végpontok felé

Feladat Több vállalati adatforrás pontos és szinkronizált fenntartása

End Points Identity Sources

IDI

IDI


Tivoli Access Manager


TAM for e-Business - integrált megoldás Címtár-alapú Címtár-alapú identitás-felügyelet identitás-felügyelet Partnerek

HH TT TT PP

Ügyfelek

PP RR OO XX YY

•Biztonsági •Biztonsági szint szint •Központi •Központi felh. felh. adattár adattár •Központi •Központi házirend házirend

XX M M LL // W W EE BB

SS EE RR VV II CC EE SS

BB UU SS II NN EE SS SS

LL OO GG II CC

PP LL UU GG -II NN

Alkalmazottak

Alkalmazottak

Szállítók

Nyílt internet

Demilitarizált zóna

Intranet

Webes SSO funkcionalitás Hozzáférés-szabályzás Integrált, központi szabályokon alapuló működés


TAM for e-business — authentikáció Login Please enter your ID and password ID Password

C

Access Manager

13289576

SECURID

Különböző authentikációs eljárások használata

A felhasználók identitásának ellenőrzése • Basic authentication & mások • Forms-based authentication • X.509 Certificate • Kerberos ticket – „Desktop SSO” • RSA SecurID Token • Mobil eszközök • További, külső ún. „Pluggable Authentication” módszerek


TAM for e-business — authorizáció Kérés

“Elutasítás”

“Elutasítás”

nem

ACL kiért.

“Engedélyezés”/“Elutasítás” engedélyezés elutasítás

nem igen

POP kiért.

TAM 5.1 előttig

Hozzáférés csoport- és felh. jogok alapján

igen

Szabály kiért. TAM 5.1

Objektum tulajdonságok (pl. auditálás, napszak, stb.)

Dinamikus kiértékelés, pillanatnyi feltételek szerint IF credit limit > $10,000 THEN Permit Access


Authorizáció — nem csak URL szinten Master Authentication/ Authorization Services Login Please enter your ID and password ID Password

C

13289576

SECURID

SSO WebSEAL

WAS WAS Web Svr.

Servlet

Erőforrás Authorizáció

HTTP header info

Alkalmazások WebSEAL (robusztus authentikáció, Web/URL SSO, magas rendelkezésreállás, skálázhatóság) Java alkalmazás (EJB-k/servletek, 100% Java 2 / JAAS security hívásokkal) C, C++ alkalmazás (aznAPI hívásokkal - Open Group szabvány)


Identitás alapú integrált biztonsági rendszer


A TIM, TAM és IDI integrációja Identitás-vezérelt felhasználói account-ok TIM

ók l ná z as h l Fe

k -t o n u co c A

Kontroll – ki jöhet és mit tehet?

HR

LOB Partner Directory

White Pages

Telepho ny

Szabályzá s

NOS

Charge Centers

eMail Directory

IBM Directory Integrator

Címtárak szinkronizációja

Access Manager

Identitás-vezérelt hozzáférés-szabályzás


Tivoli Risk Manager


Tivoli Risk Manager – erősebb biztonság AntiVirus • Ahnlab • NAI/McAfee Virus Suite • Symantec NAV

Firewalls

Host IDS • • • • • • • •

• • • • • • • • •

CheckPoint Firewall Cisco PIX Firewall Cyberguard Firewall IBM Firewall Microsoft XP Firewall Nokia Firewall Secure Computing Tiny Personal Firewall * Zone Labs Firewall *

Cisco Host IDS * Enterasys Dragon Squire Entercept * ISS RealSecure Server Sensor OpenSSH Secure Shell Sanctum AppShield * Tivoli Host IDS Tripwire for Servers *

System Scanners

IBM System Scanner IBM Wireless Security Auditor ISS System Scanner

Databases • IBM DB2 • Microsoft SQL Server • Oracle

Routers • Cisco Routers

Operating Systems Risk Manager

Web Servers • • • • • • • • •

Apache Argus PitBull * BEA Weblogic Gilian G-Server * IBM Lotus Domino IBM WebSphere Lockstep WebAgain * Microsoft IIS Sun ONE

VPN • CheckPoint VPN

Security Software

• • • •

HP-UX IBM AIX, Linux, zLinux Microsoft Windows 2000, NT, XP Sun Solaris

Network IDS

Cisco Secure IDS Enterasys Dragon Sensor Inzen NeoWatcher ISS RealSecure Network Sensor NFR NIDS Recourse * SNORT (open source) Symantec Intruder Alert Tivoli Network IDS Tripwire for Network Devices

Symantec SESA * ISS SiteProtector TrendMicro Control Manager Tivoli Access Manager for Business Integration Tivoli Access Manager for e-business Tivoli Access Manager for Operating Systems Tivoli Privacy Manager

1 : A biztonsá biztonsági esemé események centralizá centralizáció ciója 2 : A biztonsá biztonsági esemé események egysé egységesí gesítése 3 : Korrelá Korreláció ció az IDS eszkö eszközök felett, fontos esemé események meghatá meghatározá rozása 4 : A há hálózat biztonsá biztonsági állapotá llapotának való valós idejű idejű jelzé jelzése 5 : Automatikus Automatikus reakció reakciók incidensek eseté esetén 6 : Jelenté Jelentések és elő előrejelzé rejelzések


Gyakorlati tapasztalatok


Identity Manager bevezetési tapasztalatok (1) HR feltöltés problémája Sok a speciális alkalmazás a pénzintézeti szektorban AS400 platformon, ahova nincs illesztés ►

számlavezető rendszer, Kapiti, Equation,

►

bankkártya kezelés: Arksys

Egyedi, rugalmas illesztési megoldások: ►

Kapiti MQ csatorna címtárstruktúra IDI TIM

►

SAS DB2 export IDI TIM

►

Kétirányú kapcsolatok is támogatottak


Identity Manager bevezetési tapasztalatok (2) Szervezeti kérdések ►

nincs aktuális szervezeti ábra, nyilvántartás, leányvállalatok kérdése (az örökölt szétosztott HR megmaradt)

Folyamatok ►

nincs döntéshozó ebben a kérdésben

►

a bevonandó folyamatok túl sok kézben vannak


Tivoli Risk Manager Kiegészítés DB2 Intelligent Miner-rel A Miner sem megy magától... Régi log-ok betöltése és feldolgozása ►

a bevezetés előtti események feldolgozása


Kérdések? Nagy-Czirok László [email protected]

Várkonyi László [email protected]

IBM Software Group. Identitás alapú biztonsági megoldások Tivoli eszközökkel

Recommend Documents