Řízení uživatelských identit a oprávnění CyberSecurity roadshow
2. 6. 2016
© Atos - For internal use
Citace z českého zákona o kybernetické bezpečnosti ▶ Zákon č. 181/2014 Sb. o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) ▶ Vyhláška o kybernetické bezpečnosti ▶ Organizačním opatřením je mj.: – řízení přístupu osob ke kritické informační infrastruktuře nebo k významnému informačnímu systému ▶ Technickými opatřeními jsou mj. – nástroj pro ověřování identity uživatelů, – nástroj pro řízení přístupových oprávnění
2 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Citace z českého zákona o kybernetické bezpečnosti ▶ § 11 PV ▶ Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále v rámci řízení přístupu a) přidělí přistupujícím aplikacím samostatný identifikátor, b) omezí přidělování administrátorských oprávnění, c) přiděluje a odebírá přístupová oprávnění v souladu s politikou řízení přístupu, d) provádí pravidelné přezkoumání nastavení přístupových oprávnění včetně rozdělení jednotlivých uživatelů v přístupových skupinách nebo rolích, e) využívá nástroj pro ověřování identity uživatelů podle § 18 a nástroj pro řízení přístupových oprávnění podle § 19 a f) zavede bezpečnostní opatření potřebná pro bezpečné používání mobilních zařízení, případně i bezpečnostní opatření spojená s využitím technických zařízení, kterými orgán a osoba uvedená v § 3 písm. c) a d) zákona nedisponuje.
3 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Citace z českého zákona o kybernetické bezpečnosti ▶ § 19 PV ▶ Nástroj pro řízení přístupových oprávnění (1) Orgán a osoba uvedená v § 3 písm. c) až e) zákona používá nástroj pro řízení přístupových oprávnění, kterým zajistí řízení oprávnění a) pro přístup k jednotlivým aplikacím a datům a b) pro čtení dat, pro zápis dat a pro změnu oprávnění. (2) Orgán a osoba uvedená v § 3 písm. c) a d) zákona dále používá nástroj pro řízení přístupových oprávnění, který zaznamenává použití přístupových oprávnění v souladu s bezpečnostními potřebami a výsledky hodnocení rizik.
4 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Jak řídíte účty a oprávnění ve vašich systémech? ▶ Je – – – –
přidělování oprávnění ve vašich systémech těžkopádné a pomalé? vždy je nutné žádat je obtížná orientace – oč, kde a jak vyřízení trvá neodhadnutelně a dlouho /dny/ oprávnění se po odchodu z organizace neodebírají
▶ Řešíte problematickou podporu business rozhodnutí a změn – obtížné přidělování oprávnění k okamžitým ‚ad-hoc‘ a specifickým potřebám (projekty, kampaně, virtuální týmy) – pokrytí rozsáhlých organizačních změn – business rozhodnutí (změny působností, outsourcing, insourcing apod.) ▶ Splňujete všechny zákonné i další normativy v oblasti bezpečnosti a řízení přístupů? 5 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Cíle IDM implementace ▶ Vytvoření technologické platformy sjednocující a standardizující přístup k systémům, aplikacím a dalším IT zdrojům ▶ Rychlá a flexibilní správa změn v oblasti správy uživatelů a jejich uživatelských oprávnění ▶ Průkazná personální, schvalovací, realizační a systémová workflow ▶ Zjednodušení a zrychlení procesů žádání a následného přidělování přístupových práv pro uživatele ▶ Zvýšení efektivnosti a rychlosti realizace změn uživatelských přístupů ▶ Eliminace chybných a duplicitních zadání a vstupů ▶ Centrální prosazování bezpečnostních politik ▶ Dodržování zákonných požadavků a předpisů, udržení certifikace dle mezinárodních standardů apod.
6 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Unifikace a bezpečnost
Rychlost změn Uživatelská spokojenost
Helpdeskové požadavky
Náklady na administraci
Chybovost, duplicity
Compliance, auditovatelnost
Cíle IDM z různých perspektiv Příklady
▶ Business: – Maximálně automatické přidělování přístupů na základě tzv. “job profiles” (bez nutnosti žádostí) – Vylepšené uživatelské prostředí (změna hesla, další změny přístupů) – Reakce na změny (organizační, procesní, …) ▶ IT provoz: – Nahrazení rutinní práce administrátorů automatickými konektory – Výrazné snížení zátěže IT hotliny (přístupy, reset hesel apod.) ▶ Bezpečnost: – Okamžité odebrání veškerých oprávnění při odchodu zaměstnance či změně pozice – Monitorování a reportování rozdílů ve schváleném a reálném stavu přístupů ▶ Audit: – Vyhovění požadavkům daným jednotlivým standardy a normami 7 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Co je tedy vlastně Identity Management?
8 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Atos a oblast IDM/IAM ▶ Bezpečnost je naší dlouhodobou strategickou oblastí – Specializace na IDM/IAM v regionu ČR/SR již od roku 2005 ▶ Vlastní produktová platforma pro oblast IAM s více než 20-letou historií – Platforma DirX s jasně definovanou vývojovou roadmapou – Vývoj DXI, DXT a DXA částečně zajištěn týmem GDC v Brně (u DXT zcela) ▶ V regionu CZ a SK tým zkušených konzultantů a vývojářů – Fungující sdílení kapacit mezi projekty – Fungující sdílení kapacit mezi vývojem a projekty – Tento tým doplňují naši osvědčení partneři a dodavatelé ▶ Zkušenosti s implementacemi pro zákazníky v ČR/SR i dalších zemích ve všech segmentech (Public, Telco, Energy, Financial Services, Media, Industry) ▶ Většinu zákaznických implementací nadále podporujeme a rozvíjíme 9 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Atos a oblast IDM/IAM Naše IAM vývojová centra
Paris
Pozice Atosu – Leadership Compass
Mnichov
Grenoble
Brno
Brasov Brasov Naši zákazníci byli oceněni cenami v rámci European Identity Conference 2010 Swissgrid (SUI), 2011 O2 Czech Republic (CZE) & Catholic University of Leuven (BEL) 2012 Siemens AG (GER) 2013 Swiss Reinsurance (SUI)
10 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Naše IAM produktové portfolio
Bezpečná autorizace řízená politikami, přístup do cloudů, SSO a federace
Řízení autentizačních procesů dle požadavků businessu
Authentication Management
Web Access Management Komplexní audit změn, podpora pro analýzy rizik, auditing pro DXI a DXA
Auditing a inteligence
Řízení a kontrola uživatelských identit a jejich přístupových oprávnění
Identity Governance and Administration Zabezpečený přístup k aplikacím z desktopů, tabletů i mobilů
Enterprise SSO 11 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Výkonný adresářový server pro enterprise prostředí
Directory Server
Vysoká dostupnost, load balancing, replikace a opatření proti výpadkům
Business Continuity
Naše IAM produktové portfolio
Evidian Web Access Manager
Evidian Authentication Manager Authentication Management
Web Access Management
DirX Audit Auditing a inteligence
DirX Identity Identity Governance and Administration
Evidian Enterprise SSO Enterprise SSO
12 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
DirX Directory Directory Server
Celá platforma Business Continuity
Řízení identit, životní cyklus identity ▶ Organizační struktura – objekty organizační struktury – org. jednotka, pozice, profese – práva s vazbou na organizační strukturu ▶ Typy identit ▶ Životní cyklus identity – vznik identity, integrace na personální systém – životní situace – změny, deaktivace, odchody na MD/RD, přesuny, vynětí apod. – zrušení identity ▶ Řízení práv identity, žádost o práva – manuální žádost – automatické přidělování práv 13 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Schvalovací workflow ▶ Produkt DirX Identity implementuje schvalovací workflow ▶ Schvalovací workflow je možné navázat na akce v IDM – žádost o přidělení/odebíraní práv – změna atributů identity, role, oprávnění … ▶ Definice schvalovacího workflow – modeluje se v grafickém rozhraní – příklady: princip 4 (6 i více) očí, schvalování ředitelem bezpečnosti apod. ▶ Funkce související se schvalováním – notifikace – eskalace – delegace 14 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Grafické rozhraní pro uživatele ▶ Produkt DirX Identity obsahuje speciální rozhraní pro koncové uživatele ▶ Podpora pro standardní prohlížeče, tablety i mobily ▶ Typické funkčnosti – přehled uživatele a jeho vazeb (seznam účtu, přidělených práv apod.) – žádost o práva, role – schvalování, přehled žádostí – reporty – samoobsluha vybraných aktivit – žádosti o změny, reset hesla, delegace apod. – alternativně: • správa rolí 15 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Naše hlavní reference v oblasti IAM a SSO ▶ ▶ ▶ ▶ ▶ ▶ ▶
Sociálna poisťovňa – ePortál (Atos DirX) ČSSZ – AAA portál (IBM Tivoli) O2 Czech Republic/Slovakia/O2 IT Services – IAM (Atos DirX) Magistrát města Ostravy – eSMO (Sun IDM) Orange Slovensko – IDM (Atos DirX) Zdravotní pojišťovna MV ČR (Evidian AM) Komerční banka (Evidian AM, Evidian Enterprise SSO)
16 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Reference v oblasti IAM a SSO ČSSZ – AAA portál ▶ Počet uživatelů/zaměstnanců + externistů: 9 100, s fluktuací více než 2 000 zam/čtvrtletí ▶ Přihlášení k systémům (OS, APV): čipová karta ▶ Počet integrovaných aplikací: 60 včetně subsystémů, další v realizaci ▶ Spravovaná uživatelská oprávnění: 200 logických rolí, 1 200 fyzických rolí ▶ Zdrojový personální systém: HR SAP ▶ Adresářový subsystém: Active Directory, atributy v režimu Correct ▶ Použitý SW: IBM Tivoli Identity Manager (nyní SIM), IBM Tivoli Access Manager (nyní SAM), IBM Common Auditing and Reporting Service, Crystal Reports, cluster RedHat 4 AS ▶ Cílová architektura AAA: 24 serverů ve 2 lokalitách, loadbalancing
17 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Reference v oblasti IAM a SSO O2 CZ/SK – IAM ▶ Počet aktivních uživatelů/zaměstnanců + externistů: 15 168 (CZ, SK), s fluktuací cca 200 zam/čtvrtletí ▶ Počet integrovaných aplikací: 8 přímým konektorem (Active Directory multidoména/Exchange, SAP, integrační platforma CIP, HP OpenView ServiceDesk, SIM DB, Teradata DW, Microstrategy, SecureStore/Bezpečné úložiště), cca 250 přes HP OV SD a CIP, stovky OS a DB ▶ Zdrojový personální systém: HR SAP ▶ Adresářový subsystém: DirX Directory ▶ Použitý SW: DirX Identity, DirX Audit ▶ Architektura IAM: 4 servery (dříve ve virtuálním prostředí)
18 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Příklad Big Picture IDM systému
19 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
DirX Identity – Ukázky uživatelského rozhraní
20 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
DirX Identity – Ukázky uživatelského rozhraní
21 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
DirX Identity – Ukázky uživatelského rozhraní
22 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
DirX Audit – Ukázky uživatelského rozhraní
23 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
DirX Audit – Ukázky uživatelského rozhraní
24 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Proč Atos? ▶ Produktové portfolio pokrývající obvyklé i speciální požadavky zákazníků ▶ Sofistikovaný obchodní model ▶ Podpora produktového managementu v Mnichově ▶ Rozsáhlé možnosti customizace ▶ Auditing, historické databáze ▶ Reference v ČR, SR i zahraničí ▶ Podpora v Čechách i na Slovensku ▶ Zákaznická uživatelská rozhraní ▶ Lokalizace webových rozhraní do češtiny – obvykle omezené ▶ Produkt však není primárním kritériem tím jsou zkušenosti implementačního týmu
25 | 2. 6. 2016 | Petr Němec, Miroslav Skokan GBU | Systems Integration | Solutions
Děkuji za pozornost Pro více informací prosím kontaktujte: Petr Němec, Miroslav Skokan T+420 603 283 136
[email protected]
Atos, the Atos logo, Atos Codex, Atos Consulting, Atos Worldgrid, Worldline, BlueKiwi, Bull, Canopy the Open Cloud Company, Unify, Yunano, Zero Email, Zero Email Certified and The Zero Email Company are registered trademarks of the Atos group. April 2016. © 2016 Atos. Confidential information owned by Atos, to be used by the recipient only. This document, or any part of it, may not be reproduced, copied, circulated and/or distributed nor quoted without prior written approval from Atos.
