Řízení uživatelských identit a oprávnění

Řízení uživatelských identit a oprávnění CyberSecurity roadshow

2. 6. 2016

© Atos - For internal use

Citace z českého zákona o kybernetické bezpečnosti ▶ Zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) ▶ Vyhláška o kybernetické bezpečnosti ▶ Organizačním opatřením je mj.: – řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému ▶ Technickými opatřeními jsou mj. – nástroj pro ověřování identity uživatelů, – nástroj pro řízení přístupových oprávnění

2 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions

Citace z českého zákona o kybernetické bezpečnosti ▶ § 11 PV ▶ Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci řízení přístupu a) přidělí přistupujícím aplikacím samostatný identifikátor, b) omezí přidělování administrátorských oprávnění, c) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu, d) provádí pravidelné přezkoumání nastavení přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách nebo rolích, e) využívá nástroj pro ověřování identity uživatelů podle § 18 a nástroj pro řízení přístupových oprávnění podle § 19 a f) zavede bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení, případně i bezpečnostní opatření spojená s využitím technických zařízení, kterými orgán a osoba uvedená v § 3 písm. c) a d) zákona nedisponuje.


Citace z českého zákona o kybernetické bezpečnosti ▶ § 19 PV ▶ Nástroj pro řízení přístupových oprávnění (1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro řízení přístupových oprávnění, kterým zajistí řízení oprávnění a) pro přístup k jednotlivým aplikacím a datům a b) pro čtení dat, pro zápis dat a pro změnu oprávnění. (2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále používá nástroj pro řízení přístupových oprávnění, který zaznamenává použití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení rizik.


Jak řídíte účty a oprávnění ve vašich systémech? ▶ Je – – – –

přidělování oprávnění ve vašich systémech těžkopádné a pomalé? vždy je nutné žádat je obtížná orientace – oč, kde a jak vyřízení trvá neodhadnutelně a dlouho /dny/ oprávnění se po odchodu z organizace neodebírají

▶ Řešíte problematickou podporu business rozhodnutí a změn – obtížné přidělování oprávnění k okamžitým ‚ad-hoc‘ a specifickým potřebám (projekty, kampaně, virtuální týmy) – pokrytí rozsáhlých organizačních změn – business rozhodnutí (změny působností, outsourcing, insourcing apod.) ▶ Splňujete všechny zákonné i další normativy v oblasti bezpečnosti a řízení přístupů? 5 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions

Cíle IDM implementace ▶ Vytvoření technologické platformy sjednocující a standardizující přístup k systémům, aplikacím a dalším IT zdrojům ▶ Rychlá a flexibilní správa změn v oblasti správy uživatelů a jejich uživatelských oprávnění ▶ Průkazná personální, schvalovací, realizační a systémová workflow ▶ Zjednodušení a zrychlení procesů žádání a následného přidělování přístupových práv pro uživatele ▶ Zvýšení efektivnosti a rychlosti realizace změn uživatelských přístupů ▶ Eliminace chybných a duplicitních zadání a vstupů ▶ Centrální prosazování bezpečnostních politik ▶ Dodržování zákonných požadavků a předpisů, udržení certifikace dle mezinárodních standardů apod.




 Unifikace a bezpečnost



 Rychlost změn   Uživatelská spokojenost



 Helpdeskové požadavky



 Náklady na administraci



 Chybovost, duplicity



 Compliance, auditovatelnost

Cíle IDM z různých perspektiv Příklady

▶ Business: – Maximálně automatické přidělování přístupů na základě tzv. “job profiles” (bez nutnosti žádostí) – Vylepšené uživatelské prostředí (změna hesla, další změny přístupů) – Reakce na změny (organizační, procesní, …) ▶ IT provoz: – Nahrazení rutinní práce administrátorů automatickými konektory – Výrazné snížení zátěže IT hotliny (přístupy, reset hesel apod.) ▶ Bezpečnost: – Okamžité odebrání veškerých oprávnění při odchodu zaměstnance či změně pozice – Monitorování a reportování rozdílů ve schváleném a reálném stavu přístupů ▶ Audit: – Vyhovění požadavkům daným jednotlivým standardy a normami 7 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions

Co je tedy vlastně Identity Management?


Atos a oblast IDM/IAM ▶ Bezpečnost je naší dlouhodobou strategickou oblastí – Specializace na IDM/IAM v regionu ČR/SR již od roku 2005 ▶ Vlastní produktová platforma pro oblast IAM s více než 20-letou historií – Platforma DirX s jasně definovanou vývojovou roadmapou – Vývoj DXI, DXT a DXA částečně zajištěn týmem GDC v Brně (u DXT zcela) ▶ V regionu CZ a SK tým zkušených konzultantů a vývojářů – Fungující sdílení kapacit mezi projekty – Fungující sdílení kapacit mezi vývojem a projekty – Tento tým doplňují naši osvědčení partneři a dodavatelé ▶ Zkušenosti s implementacemi pro zákazníky v ČR/SR i dalších zemích ve všech segmentech (Public, Telco, Energy, Financial Services, Media, Industry) ▶ Většinu zákaznických implementací nadále podporujeme a rozvíjíme 9 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions

Atos a oblast IDM/IAM Naše IAM vývojová centra

Paris

Pozice Atosu – Leadership Compass

Mnichov

Grenoble

Brno

Brasov Brasov Naši zákazníci byli oceněni cenami v rámci European Identity Conference  2010 Swissgrid (SUI),  2011 O2 Czech Republic (CZE) & Catholic University of Leuven (BEL)  2012 Siemens AG (GER)  2013 Swiss Reinsurance (SUI)


Naše IAM produktové portfolio

Bezpečná autorizace řízená politikami, přístup do cloudů, SSO a federace

Řízení autentizačních procesů dle požadavků businessu

Authentication Management

Web Access Management Komplexní audit změn, podpora pro analýzy rizik, auditing pro DXI a DXA

Auditing a inteligence

Řízení a kontrola uživatelských identit a jejich přístupových oprávnění

Identity Governance and Administration Zabezpečený přístup k aplikacím z desktopů, tabletů i mobilů

Enterprise SSO 11 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions

Výkonný adresářový server pro enterprise prostředí

Directory Server

Vysoká dostupnost, load balancing, replikace a opatření proti výpadkům

Business Continuity

Naše IAM produktové portfolio

Evidian Web Access Manager

Evidian Authentication Manager Authentication Management

Web Access Management

DirX Audit Auditing a inteligence

DirX Identity Identity Governance and Administration

Evidian Enterprise SSO Enterprise SSO


DirX Directory Directory Server

Celá platforma Business Continuity

Řízení identit, životní cyklus identity ▶ Organizační struktura – objekty organizační struktury – org. jednotka, pozice, profese – práva s vazbou na organizační strukturu ▶ Typy identit ▶ Životní cyklus identity – vznik identity, integrace na personální systém – životní situace – změny, deaktivace, odchody na MD/RD, přesuny, vynětí apod. – zrušení identity ▶ Řízení práv identity, žádost o práva – manuální žádost – automatické přidělování práv 13 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions

Schvalovací workflow ▶ Produkt DirX Identity implementuje schvalovací workflow ▶ Schvalovací workflow je možné navázat na akce v IDM – žádost o přidělení/odebíraní práv – změna atributů identity, role, oprávnění … ▶ Definice schvalovacího workflow – modeluje se v grafickém rozhraní – příklady: princip 4 (6 i více) očí, schvalování ředitelem bezpečnosti apod. ▶ Funkce související se schvalováním – notifikace – eskalace – delegace 14 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions

Grafické rozhraní pro uživatele ▶ Produkt DirX Identity obsahuje speciální rozhraní pro koncové uživatele ▶ Podpora pro standardní prohlížeče, tablety i mobily ▶ Typické funkčnosti – přehled uživatele a jeho vazeb (seznam účtu, přidělených práv apod.) – žádost o práva, role – schvalování, přehled žádostí – reporty – samoobsluha vybraných aktivit – žádosti o změny, reset hesla, delegace apod. – alternativně: • správa rolí 15 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions

Naše hlavní reference v oblasti IAM a SSO ▶ ▶ ▶ ▶ ▶ ▶ ▶

Sociálna poisťovňa – ePortál (Atos DirX) ČSSZ – AAA portál (IBM Tivoli) O2 Czech Republic/Slovakia/O2 IT Services – IAM (Atos DirX) Magistrát města Ostravy – eSMO (Sun IDM) Orange Slovensko – IDM (Atos DirX) Zdravotní pojišťovna MV ČR (Evidian AM) Komerční banka (Evidian AM, Evidian Enterprise SSO)


Reference v oblasti IAM a SSO ČSSZ – AAA portál ▶ Počet uživatelů/zaměstnanců + externistů: 9 100, s fluktuací více než 2 000 zam/čtvrtletí ▶ Přihlášení k systémům (OS, APV): čipová karta ▶ Počet integrovaných aplikací: 60 včetně subsystémů, další v realizaci ▶ Spravovaná uživatelská oprávnění: 200 logických rolí, 1 200 fyzických rolí ▶ Zdrojový personální systém: HR SAP ▶ Adresářový subsystém: Active Directory, atributy v režimu Correct ▶ Použitý SW: IBM Tivoli Identity Manager (nyní SIM), IBM Tivoli Access Manager (nyní SAM), IBM Common Auditing and Reporting Service, Crystal Reports, cluster RedHat 4 AS ▶ Cílová architektura AAA: 24 serverů ve 2 lokalitách, loadbalancing


Reference v oblasti IAM a SSO O2 CZ/SK – IAM ▶ Počet aktivních uživatelů/zaměstnanců + externistů: 15 168 (CZ, SK), s fluktuací cca 200 zam/čtvrtletí ▶ Počet integrovaných aplikací: 8 přímým konektorem (Active Directory multidoména/Exchange, SAP, integrační platforma CIP, HP OpenView ServiceDesk, SIM DB, Teradata DW, Microstrategy, SecureStore/Bezpečné úložiště), cca 250 přes HP OV SD a CIP, stovky OS a DB ▶ Zdrojový personální systém: HR SAP ▶ Adresářový subsystém: DirX Directory ▶ Použitý SW: DirX Identity, DirX Audit ▶ Architektura IAM: 4 servery (dříve ve virtuálním prostředí)


Příklad Big Picture IDM systému


DirX Identity – Ukázky uživatelského rozhraní






DirX Audit – Ukázky uživatelského rozhraní


DirX Audit – Ukázky uživatelského rozhraní


Proč Atos? ▶ Produktové portfolio pokrývající obvyklé i speciální požadavky zákazníků ▶ Sofistikovaný obchodní model ▶ Podpora produktového managementu v Mnichově ▶ Rozsáhlé možnosti customizace ▶ Auditing, historické databáze ▶ Reference v ČR, SR i zahraničí ▶ Podpora v Čechách i na Slovensku ▶ Zákaznická uživatelská rozhraní ▶ Lokalizace webových rozhraní do češtiny – obvykle omezené ▶ Produkt však není primárním kritériem  tím jsou zkušenosti implementačního týmu


Děkuji za pozornost Pro více informací prosím kontaktujte: Petr Němec, Miroslav Skokan T+420 603 283 136 [email protected]

Atos, the Atos logo, Atos Codex, Atos Consulting, Atos Worldgrid, Worldline, BlueKiwi, Bull, Canopy the Open Cloud Company, Unify, Yunano, Zero Email, Zero Email Certified and The Zero Email Company are registered trademarks of the Atos group. April 2016. © 2016 Atos. Confidential information owned by Atos, to be used by the recipient only. This document, or any part of it, may not be reproduced, copied, circulated and/or distributed nor quoted without prior written approval from Atos.

Řízení uživatelských identit a oprávnění

Recommend Documents