Identity and Security Management. Kormány Zoltán konzultáns

Identity and Security Management Kormány Zoltán konzultáns [email protected]

Vállalati környezet Számítógépek, mobil eszközök

Kiszolgálók,hálózatiés kommunikációs eszközök

Alkalmazások és szolgáltatások

Felhasználók, ügyfelek, beszállítók és partnerek

2

© Novell Inc. All rights reserved

Vállalati környezet Resource Management

Server Management

Számítógépek, mobil eszközök

Kiszolgálók,hálózatiés kommunikációs eszközök

Collaboration Management Alkalmazások és szolgáltatások

Identity and Security Management

3



Vállalati környezet Resource Management

Számítógépek, mobil eszközök

Server Management Kiszolgálók,hálózatiés kommunikációs eszközök

Collaboration Management Alkalmazások és szolgáltatások

Identity Management

4



Hozzáférés- és személyazonosság-kezelés funkciók Személyazonosság adminisztrációja

Hozzáférés-kezelés

Hitelesítés

Adattárolás (vault) Integráció és szinkron

Hitelesítés

Általános

Üzleti folyamatok kezelése

Erős hitelesítés

Személyre szabott

Delegált adminisztráció

Egypontos bejelentkezés

Saját adminisztráció

Federated IM

Audit

5

Engedélyezés

Adminisztrációs események


Hozzáférési események

Riportok

Hozzáférés- és személyazonosság-kezelés funkciók Személyazonosság adminisztrációja

Hozzáférés-kezelés

Hitelesítés

Adattárolás (vault) Integráció és szinkron

Engedélyezés

Hitelesítés

Általános

Üzleti folyamatok kezelése

Erős hitelesítés

Személyre szabott

Delegált adminisztráció Provisioning

SecureLogin Egypontos bejelentkezés

Saját adminisztráció

Federated IM

eDirectory Identity Manager /

Audit

6

Adminisztrációs Sentinel események


NMAS

Hozzáférési események

Access Manager

Riportok

Személyazonosság adminisztrációja Dolgozó belép a céghez Kapcsolat kezdete Igénylés Szerep alapú munkafolyamattal erőforráskiosztás

Jóváhagyás Új projekt Előléptetés

Access Management Hozzáférés az erőforrásokhoz

Másik telephely

Single Sign-on

Elfelejtett jelszó

Kapcsolat vége Dolgozó elhagyja a céget 7


Lejárt jelszó Jelszókezelés

Novell Identity Manager 3.6 - Felhasználói információk szinkronizációja, aggregációja, megosztása (metacímtár) - Szerepkör alapú jogosultságkezelés - Munkafolyamat alapú jogosultságkezelés - Felhasználói információs portál (telefonkönyv, szervezeti ábra stb.) - Integrált a Novell Identity, Access and Security keretrendszerével 8


Szabály alapú erőforrás-kiosztás 1) Egy új felhasználói bejegyzés készül a cég HR rendszerében (Vagy valamely más hiteles adatforrásban)

Adatbázis

HR rendszer

HR Manager Gipsz Jakab

Pénzügyi rendszer

Gipsz_Jakab

Lotus Notes

Identity Manager

2) Identity Manager észleli az új felhasználó létrejöttét 3) A vállalat üzleti szabályai alapján lefektetett irányelveknek megfelelően létrehozza a szükséges erőforrásokat a csatolt rendszerekben. 9


Linux

[email protected] u Fizikai eszközök nyilvántartása

30-334-443

Munkafolyamat alapú erőforrás-kiosztás Felettes

1) Felhasználónk új jogosultságokat igényel az IDM rendszerben

Adatbázis



file:///N:/Npsh/Documents/%23Graphic%20Design/graphics/pics/e xported/3d/person_blue.png

Gipsz Jakab

jgipsz

Gipsz

Pénzügyi rendszer

Gipsz_Jakab

2) Felettes jóváhagyja az igényt 3) A felhasználó bejegyzése létrejön az adatbázisban és a Linux rendszerben, a jogosultságok beállításra kerülnek 10


Linux

Lotus Notes

Identity Manager [email protected] u Fizikai eszközök nyilvántartása

30-334-443

Csatolható rendszerek a d a t b á z is o k • • • • • • •

IB M D B 2 In f o r m ix M ic r o s o f t S Q L S e r v e r M ySQ L O ra c le Syb ase JDBC

c ím t á r a k • • • • • • • • • • • • •

C r it ic a l P a t h In J o in D ir e c t o r y IB M D ir e c t o r y S e r v e r (S e c u r e W a y ) iP la n e t D ir e c t o r y S e r v e r M ic r o s o f t A c t iv e D ir e c t o r y M ic r o s o f t W in d o w s N T D o m a in s N e t s c a p e D ir e c t o r y S e r v e r N IS N IS + N o v e ll N D S N o v e ll e D ir e c t o r y O r a c le In t e r n e t D ir e c t o r y S u n O N E D ire c to r y S e rv e r LDAP

le v e le z ő r e n d s z e r e k • • • •

M ic r o s o f t E x c h a n g e 2 0 0 0 , 2 0 0 3 M ic r o s o f t E x c h a n g e 5 .5 N o v e ll G r o u p W is e L o tu s N o te s

11


ü z le t i a lk a lm a z á s o k • • • • • • • • •

Baan J .D .E d w a rd s La w so n O ra c le P e o p le s o ft SAP H R S A P R / 3 4 .6 a n d S A P E n t e r p ris e S y s t e m s (B A S IS ) S A P W e b A p p lic a t io n S e r v e r ( W e b A S ) 6 . 2 0 S ie b e l

a d a tb u sz o k • • • • • • •

BEA IB M W e b s p h e r e M Q O pen JM S O ra c le JBO SS Sun T IB C O

m a in fr a m e r e n d s z e r e k • • •

RACF ACF2 T o p Se c re t

m id r a n g e r e n d s z e r e k •

O S / 4 0 0 (A S / 4 0 0 )

o p e r á c ió s r e n d s z e r e k • • • • • • • • • • •

M ic ro s o ft W in d o w s N T 4 .0 M ic ro s o ft W in d o w s 2 0 0 0 , 2 0 0 3 S U S E L IN U X D e b ia n L in u x F re e B SD Red Hat AS and ES R e d H a t L in u x H P -U X IB M A IX S o la r is U N IX F ile s - / e t c / p a s s w d

egyéb • • • • • •

D e lim it e d T e x t R e m e d y (fo r H e lp D e s k ) SO AP DSM L SPM L S c h o o ls In t e r o p e r a b ilit y F r a m e w o r k ( S IF )

p b x ren d sze re k •

Avaya PBX

Jelszó menedzsment Kétirányú jelszószinkronizáció – Az IDM képes a felhasználói jelszavak kétirányú szinkronizációjára annak érdekében, hogy csak egy jelszót kelljen fejben tartani.

Erős, vállalati szintű jelszóirányelvek – Kialakítható olyan vállalati szintű jelszóirányelv, amely minden csatolt rendszerben kikényszeríti annak megfelelő jelszavak használatát – Példák - A karakterek min./max. száma, kis- és nagybetűk száma, numerikus karakterek száma, hány jelszót jegyezzen meg a használtak közül a rendszer, kizárt jelszavak listája

Jelszó visszaállítás – Webes felületen a felhasználók visszaállíthatják saját elfelejtett jelszavaikat. – A felhasználók a rendszerek natív interfészén keresztül válthatnak jelszót a továbbiakban is.

12


Az IDM főbb komponensei Identity Manager 3.6 >

A termék részei: »

Identity Manager engine

»

Alap integrációs modulok: Windows, Címtárak, Levelezőrendszerek

»

Felhasználói portál előre definiált portletekkel (telefonkönyv, szervezeti ábra, saját adatok módosítása, adatkarbantartó alkalmazás stb.)

Integrációs modulok >

Ezek biztosítják a kapcsolatot a különböző csatolt rendszerek irányába

>

Általános és alkalmazásspecifikus csatolók

>

Agentless technológia

Munkafolyamat támogató modul >

13

Egy kiegészítése a felhasználói portálnak, amelyen munkafolyamatokok kezdeményezhetőek, illetve kezelhetőek


Az IDM megoldás evolúciója

A megoldás célja: Az ismétlődő adminisztráció megszüntetése A biztonság növelése A költségek csökkentése

•

• •

Új funkciók: • •

•

•

Állandó funkciók: •

• •

•

Jelszó menedzsment Szerepkör alapú jogosultságkiosztás Irányelv alapú fejlesztői felület Delegált adminisztráció Jobb naplózási és monitoring lehetőségek

Platformfüggetlen megoldás A meglévő szabványokra épít Könnyen kezelhető felületek az adminisztrátorok, fejlesztők ésInc.a Allvégfelhasználók számára 14 © Novell rights reserved

Továbbfejlesztett funkciók:

Legújabb fejlesztések: •

•

•

•

•

•

Automatizált workflow alapú erőforráskiosztás Törvényi előírásoknak való megfelelés támogatása Még egyszerűbb bevezetés Automatikusan előálló teljes körű dokumentáció Felhasználók saját erőforrásaikat maguknak igényelhetik meg

•

•

• •

•

Grafikus munkafolyamat tervezés Beépített szerepkör definíciós és adminisztrációs oldalak Munkafolyamat API-k és web service-ek Ütemezett események Többnyelvű felhasználói felület Munkafolyamat monitoring felület

Designer: az eszköz IDM fejlesztéshez

15


Designer: munkafolyamatok

16


Designer: üzleti szabályok leképezése

17


Designer Off-line eszköz Egyszerre több projekten lehet dolgozni Verziókövetést biztosít Változások felderítése A teljes projekt automatikus dokumentálása Off-line tesztelési lehetőség Automatikus ellenőrzés és validáció Mintafolyamatok Beépített applikációk: élő trace, ldap browser, böngésző stb.

18


Integrált működés

Novell Identity & Security Solutions

19


Novell Access Manager

™

Web Single Sign On a webalkalmazások módosítása nélkül A nem webes alkalmazásokat SSL VPN kapcsolattal védi és teszi egyben elérhetővé. Többszintű hitelesítést tesz lehetővé bármely alkalmazásnál. SAML and Liberty Alliance szabványokon keresztül képes az üzleti partnerekkel személyazonosság federációra. Felgyorsítja az új alkalmazások bevezetését, egyszerűsíti adminisztrációjukat és csökkenti üzemeltetésük költségeiket.

20


Mi a Novell Access Manager 3?

A Novell Access Manager 3 átfogó, személyazonosság alapú, biztonsági- és hozzáférés-szabályozást tesz lehetővé; nyílt szabványokon alapuló, technológiai és szervezeti határokon keresztülívelő egypontos bejelentkezést biztosítva, olyan technológiákat ötvözve, mint a többlépcsős hitelesítés, az adattitkosítás, a kliens nélküli egypontos bejelentkezés, vagy az SSL VPN, az adatok biztonságos elérését valamint az egyszerű kialakítást és adminisztrációt szem előtt tartva.

21


A NAM működése Identity Server

gipszj *********

Identity Store

 3

4

2

5

1

6

Access Gateway Webszerver A A biztonságos megadott azonosítókat kapcsolat névvel és ezzel az jelszóval Identity aazegy az Felhasználó átirányításra hozzá szeretne kerül férni Azbejelentkezési azonosítók validálása után az Access felhasználó Server ellenőrzi Gateway és a awebalkalmazás aelőkeresi címtárban webalkalmazáshoz között Identity védett Server-hez, ahol azonosítóit Accesserőforráshoz Gateway a fordul kialakult és bejelentkezteti a felhasználót meg kell adnia (itt felhasználónevet felhasználó bejelentkezési nevét és és jelszót. jelszavát

5 3 6 1 2 4

22


Access Manager 3 felépítése

23


Access Manager 3 komponensei Identity Server

Identity Server Access Gateway SSLVPN Server J2EE Agent Administration Server

Felhasználó hitelesítés • jelszó, • X.509v3, • Token (OTP/Radius), • NMAS Címtártámogatás • Novell eDirectory • Microsoft Active Directory • Sun One Directory

Federation • SAML 1.1, SAML 2.0 • Liberty Alliance federation

Szerepkörök kialakítása • Címtáradat alapján • Authentication Contract alapján • Külső rendszer döntése alapján

Adatok rendszerezése • Federation adatok párosítása • Liberty Alliance Web Service Framework 24


Access Manager 3 komponensei Access Gateway


25


Webalkalmazás-védelem • URL összerendelések • Több webszolgáltatás védelme • SSL beállítások • Szerepkörök kiosztása

Web Single Sign-On • kliens nélküli megoldás • nincs szükség az alkalmazás módosítására

Platformtámogatás • NetWare (dedikált) • Linux (Identity + SSLVPN)

Access Manager 3 komponensei SSLVPN Server


26


Alkalmazások védelme • IP:port alapján • ActiveX vagy Java kliens • Client Integrity Check • Access Gateway szükséges

Támogatott kliensek • Windows • Linux • Mac OSX

Access Manager 3 komponensei J2EE Agent


27


Java alkalmazások védelme • EJB / Servlet hozzáférés • Felhasználó átirányítása az Identity Serverhez • JAAS és JACC támogatás

Támogatott alkalmazáskiszolgálók • IBM Websphere • BEA WebLogic • JBOSS

Access Manager 3 komponensei Administration Server Identity Server Access Gateway SSLVPN Server J2EE Agent Administration Server

28


Adminisztrációs pont • Kezelés egy helyről • iManager kiterjesztés • nem kell hozzá licenc • telepíthető az Identity Serverre

Célcsoport Kinek van rá szüksége? Olyan ügyfeleknek, ... ...akik költséghatékony, biztonságos és auditálható hozzáférés-kezelést szeretnének, …akik konzisztens, egyszerű biztonsági megoldást szeretnének nyújtani alkalmazásaik eléréséhez a felhasználók, ügyfelek és partnerek számára, …akik gyorsan változó alkalmazásparkkal rendelkeznek. ...akik saját J2EE fejlesztési stratégiával rendelkeznek, ...akiknek üzleti tervei között B2B alapú partneri stratégia szerepel,

29


Kinek nincs rá szüksége? Olyan ügyfeleknek, ... ...akik Linuxot használnak és ki akarják váltani a BorderManager tartalomszűrő (proxy) funkcióját, …akik Shibboleth szabvány alapján szeretnék összekapcsolni személyazonossági rendszerüket.

Web Access Management trendek 2007

Piackonszolidáció szétszakadó mezőny

Szolgáltatások szétválasztása

hitelesítés, ellenőrzés, üzleti logika, envelope hatás, integráció

Árverseny

különböző árstruktúrák kialakítása

30


Web Access Management Trendek 2007 Miért vesznek WAM megoldásokat?

50

10 25

31


15

http://mediaproducts.gartner.com/reprints/ca/152046.html

Hitelesítés/SSO Ellenőrzés Federation Egyéb

Novell Access Manager •

Teljes körű megoldás

•

Belső fejlesztés a NIM-mel együtt

•

Nagyon jó audit funkciók

•

Nem csak az eDirectory-hoz köthető

•

Beépített adminisztrációs felület, amely kompatibilis a termékekkel

•

Jó elfogadottság a felhasználók körében

•

Nem kellően bevezetett név az ügyfeleknél

•

Vannak funkciók, amelyek csak eDirectory-val teljesednek ki

•

Még nem kiteljesedett Web Services support, de az irány jó

A Novell nem rendelkezik olyan üzleti alkalmazások, amelyek felgyorsítanák az elterjedést •

32


Validáció

33


Novell Sentinel Integrált megoldás

34


Mi indokolja egy ilyen rendszer bevezetését?

Külső és belső előírások, szabályozások egyre inkább meghatározzák, hogy felhasználók aktivitását a rendszerekben és alkalmazásokban milyen mértékben kell monitorozni.

A kihívás

SIEM

Szabályozások Pénzügyi adatok kezelésének monitorozása (SOX, PCI DSS stb.) Külső & beéső auditok IT csapat éles környezethez való hozzáférésének monitorozása és riportolása IT Kockázatelemzés A biztonsági események összegyűjtése segít a kockázatok felderítésében IT üzemeltetés egyszerűsítése A különálló monitorozó eseménymonitorozó eszközök összevonásával, a hatékony működés elősegítése.

Egy sikeres SIEM implementáció nagyban megnöveli a vállalat naplózási, monitorozási és riportolási hatékonyságát, és emellett az IT szabályozásoknak és kockázatelemzési célkitűzések elérésében is segít. 35


Sok rendszer, kevés tudás arról, hogy mi történik

36


Logelemzés Sentinellel

37


Active nézetek –

A biztonsági szakember kontrollterme

–

Real-Time megjelenítés és elemzés

–

Trendek észlelése, analizálása, a veszélyek és fenyegető cselekmények felderítése

–

Villámgyorsan visszanézhetők az események a jelen pillanattól kezdődően akár több órára visszamenően

38


Megfelelőségi riportok, kimutatások •

• •

•

39

IT felügyelet – Trendek, anomáliák felderítése – Nyomon követése és riportolása a Sarbanes-Oxley és más szabályozások által definiált eszközökön végrehajtott cselekményeknek Kritikus IT eszközök aktív monitorozása Biztonsági eseményekre azonnal incidens indítható a kivizsgálás érdekében Out-of-Box riportokkal rendelkezik, de saját riportok is készíthetőek


Sentinel architektúra

40


Hogyan tud logokat feldolgozni? •

Nagyon sok előre elkészített Collector létezik – – – – –

•

Különböző csatornákon gyűjthetőek össze a logok: –

•

Operációs rendszerekhez Tűzfalakhoz Szkennerekhez IDS/IPS Adatbázisokhoz stb.

Logfile, Socket, Syslog, SSL, SSH, OPSEC, SNMP, ODBC, JDBC, HTTP, WMI stb.

Scriptnyelv segítségével saját collectorok definiálhatóak, amelyek összegyűjtik, parse-olják, normalizálják és kibővítik az eseményeket 41


Identity, Access Management és a SIEM

Identity és Access Management rendszerek Riportok Segítségükkel biztonságossá tehetjük a hozzáférést a vállalat rendszereihez ➢

Metrikák,amelyek kimutatják a kritikus eseményeket ➢Több száz előre definiált riportsablon ➢

Adatok és események összegyűjtése

Felderítés és elhárítás

+ IDM adatok importálása a Sentinelbe A felhasználói rendszerekből érkező logokat a Sentinel feldolgozza ➢Az analízishez minden szükséges adat rendelkezésre áll ➢ ➢

42


Automatikusan workflow indítható a felderített problémák elhárítása érdekében (jogosultságok megszüntetése) ➢

Sentinel riportok

43


Gartner jelentés a SIEM rendszerekről Tények: –

a SIEM megoldások kiegészítik az IDM rendszerek naplózási és riportolási lehetőségeit azon területekkel, amelyeket az IDm rendszerek technológiai korlátjaikból kifolyólag nem érnek el

–

a SIEM kimutatások referenciaadatait egy IDM rendszer képes szolgáltatni

Ajánlások

44

–

az IDM megoldás auditáló és riportáló funkcióit integráljuk a SIEM megoldásunkkal

–

az IDM real-time módon adja át az adatokat a SIEM megoldásnak, amely így azokat a felhasználói tevékenységekkel össze tudja vetni

–

az IAM rendszerben végzett felhasználói tevékenységeket is ajánlott a SIEM megoldásban összegyűjteni, elemezni

–

a SIEM technológiát használjuk az IDM-en kívül eső területek monitorozására


Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.

General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.

Identity and Security Management. Kormány Zoltán konzultáns

Recommend Documents