Quest Software, now a part of Dell

Transkrypt

1 Security & Identity Round Table Warszawa, 24 kwietnia 2014 Quest Software, now a part of Dell Bezpieczeństwo i Audyt Systemów Warszawa, 20 maja

2 Oferta oprogramowania narzędziowego Dell Software z zakresu bezpieczeństwa informatycznego Grzegorz Szafrański, Solutions Architect

3 3 ŻŹŹZródła ryzyka związanego z bezpieczeństwem informatycznym Rosnący poziom zaawansowania technologicznego przedsiębiorstw, Upowszechnienie modelu cloud computing Większe wymagania regulatorów -dostęp do wrażliwych danych Ataki z zewnątrz Działalność pracowników i innych osób korzystających z systemów informatycznych firmy: np.: wyciek danych użytkowników PlayStation Network

4 Przykład Puls Biznesu... Cezary G. przez blisko trzy lata opiekował się rachunkami klientów gdyńskiego biura. Nie miał do tego uprawnień, a robił to nawet kilka miesięcy po odejściu z pracy. Niektóre rachunki należały do osób klasyfikowanych jako VIP, inwestujących duże pieniądze. Źrodło:

5 Problem biznesowy Fakt: Firmy uniknęły 96% naruszeń wewnętrznych dzięki przeprowadzanym kontrolom lub bezpośredniej interwencji odpowiednich służb. Bezpieczeństwo Wewnętrzne i zewnętrzne zagrożenia Zwiększone ryzyko naruszeń wewnętrznych Osierocone konta Zbyt wiele osób posiada dostęp do uprzywilejowanych kont Użytkownicy posiadają zbyt duży dostęp Complexity Źródło Data Breach Investigations Report, badanie przeprowadzone przez zespół Verizon Risc przy współpracy z amerykańskimi tajnymi służbami i holenderskim wydziałem przestępstw High Tech Crime

6 Problem biznesowy Fakt: W średniej firmie użytkownik końcowy musi pamiętać 6 różnych haseł. Źródło - Aberdeen Group research Bezpieczeństwo Wewnętrzne i zewnętrzne zagrożenia Zwiększone ryzyko naruszeń wewnętrznych Osierocone konta Zbyt wiele osób posiada dostęp do uprzywilejowanych kont Użytkownicy posiadają zbyt duży dostęp Złożoność Zbyt wiele oddzielnych repozytoriów (bytów) użytkowników Różne hasła i loginy Podejrzliwa aktywność użytkowników pozostaje niezauważona Zarządzanie prawami dostępu użytkowników jest bardzo pracochłonne

7 Problem biznesowy Fakt: W przeprowadzonym badaniu 48% respondentów oceniła szanse ryzyka spowodowanego nie spełnieniem zgodności w ciągu najbliższych 18 miesięcy jako "wysokie" lub "bardzo wysokie." Źródło State of Compliance 2011, PWC Bezpieczeństwo Wewnętrzne i zewnętrzne zagrożenia Zwiększone ryzyko naruszeń wewnętrznych Osierocone konta Zbyt wiele osób posiada dostęp do uprzywilejowanych kont Użytkownicy posiadają zbyt duży dostęp Złożoność Zbyt wiele oddzielnych repozytoriów (bytów) użytkowników Różne hasła i loginy Podejrzliwa aktywność użytkowników pozostaje niezauważona Zarządzanie prawami dostępu użytkowników jest bardzo pracochłonne Zgodność Rosnąca liczba przepisów i wymogów Nowe wymagania powodują więcej zadań administracyjnych Zapewnienie zgodności jest pracochłonne Przeglądanie logów aktywności tylko w trakcie przeprowadzanych kontroli jest często zbyt późne

8 Zarządzanie tożsamością i dostępem wpływa na całą organizację Kadry Controling Biznes Bezpieczeństwo Regulacje wewnętrzne i zewnętrzne Monitorowanie, raportowanie, audyt Systemy, aplikacje, bazy danych, stacje robocze

9 Co oferuje Quest One? Zapewnia przejrzystość dostępów użytkowników do krytycznych danych biznesowych, automatyzuje provisioning i wymusza kontrolę dostępu. Zarządzanie dostępem Zarządza z jednego miejsca kontami użytkowników uprzywilejowanych i dostarcza granularną kontrolę uprawnień administracyjnych. Zarządzanie użytkownikami uprzywilejowanymi Upraszcza środowisko i obsługę użytkowników za pomocą mechanizmu zarządzania kontami z jednego miejsca. Administracja tożsamością Kontroluje aktywności użytkowników na podstawie przydzielonych dostępów Monitorowanie aktywności użytkowników

10 Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów

11 Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO Zarządzanie AD, migracje i koegzystencja środowisk

12 Quest - liderem w kwadracie Gartnera

13 Quest Software liderem innowacji KuppingerCole Leadership Compass Identity Provisioning

14 Zalety rozwiązania Quest One Zarządzanie dostępem Proste rozwiązanie Szybkie wyniki wdrożenia Zarządzanie użytkownikami uprzywilejowanymi N Napędzane i zorientowane na biznes Administracja tożsamością Specjalistyczne i zintegrowane moduły Granularna kontrola dostępu Monitorowanie aktywności użytkowników

15 Zarządzanie tożsamością i dostępem realizacja od strony technicznej

16 Różne potrzeby wymagają różnego podejścia Podejście taktyczne (techniczne) Typ klienta o profilu IT Posiada konkretne wyzwania techniczne W środowisku AD- centrycznym Podejście strategiczne (biznesowe) Typ klienta o profilu biznesowym Szef, dyrektor finansowy, audytor/oficer bezpieczeństwa Posiada ogólne wyzwania biznesowe Nie jest szczególnie zainteresowany podstawowymi aspektami technicznymi i ich problemami..

17 Quest One podejście taktyczne AD-centryczne wykorzystujemy istniejącą infrastrukturę Narzędzia techniczne dla pracowników technicznych Może występować jako uzupełnienie dla istniejących projektów IAM Krótki czas wdrożenia Łatwe i proste dostosowywanie

18 Wykorzystujemy MS Active Directory Auth. Roles Access

19 Dodajemy serwery UNIX i Linux Auth. Roles Access Auth. Roles Access Auth. Roles Access

20 Dodajemy Macintosh i aplikacje Java Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Access Access Access Access Access

21 Integrujemy SAP i bazy danych Auth. Auth. Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Roles Roles Access Access Access Access Access Access Access

22 Kończymy na Mainframe ach i chmurze Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Roles Roles Roles Roles Roles Access Access Access Access Access Access Access Access Access Access

23 Integrujemy systemy w AD Auth. Auth. Auth. Auth. Roles Roles Roles Roles Access Access Access Access

24 Integrujemy systemy w AD Auth. Auth. Auth. Auth. Roles Roles Roles Roles Access Access Access Access

25 Lecz co z innymi systemami? Auth. Auth. Auth. Auth. Roles Roles Roles Roles Access Access Access Access

26 Konsolidacja i zarządzanie z jednego punktu Directory Content Management & Provisioning

27 ActiveRoles Server moduł zarządzający

28 Polityki provisioningu w AD i poza Location, Unique Logon Generation, Strong Password Generation, Remote Access Location, NTFS permissions, Share permissions Controlled Store Selection, Alias Generation Access Control / Distribution Lists Cross Platform for non AD Integrated Linux/Unix/Java Enabled Create Configure Centralized Provisioning Manual Other Identity Manager Managers, HR and Support Inform

29 Polityki de-provisioningu w AD i poza Disable Account, Set/Clear Attributes, Move to Recycle Bin and Schedule for Deletion in Revoke Access, assign permissions to Managers/Admins Assign Self, Hide from GAL, permissions for Mgr/Admins Remove and Record Security and Distribution Group Memberships Initiate Cross Platform Deprovisioning Linux/Unix/Java Disable Lockdown Configure Deprovision ADLDS Manual Other Identity Manager Managers, HR and Support Inform

30 Quest One podejście strategiczne Niezależne od platformy wykorzystuje metakatalog Narzędzie biznesowe, do użytku przez ludzi biznesu Dostarczanie analiz biznesowych, takich jak Jacy pracownicy pracują w firmie? Co robią? Jakie dane mogą zobaczyć? Jakie uprawnienia posiadają? Co zrobili? Ile kosztują firmę?

31 3 Quest One Identity Manager - ukierunkowany na zarządzanie i kontrolę dostępem Oferuje kompleksowe zarządzanie tożsamością, zbudowane od podstaw jako pojedyncze rozwiązanie wykorzystujące podejście modelowe. Kadry Controling Biznes Bezpieczeństwo Regulacje wewnętrzne i zewnętrzne Monitorowanie, raportowanie, audyt Systemy, aplikacje, bazy danych, stacje robocze

32 Identity Manager główne cechy Jedno centralne repozytorium ze spójnym modelem danych Minimalizuje trud potrzebny na implementacje Oferuje kompleksowe bezpieczeństwo danych Wszystkie funkcjonalności w produkcie Zarządzanie tożsamościami i rolami Szczegółowy provisioning zapewniony konektorami lub aplikacją Quest Quick Connect Web IT Shop & Workflows Wykorzystanie podziału obowiązków Ponad 1,100 gotowych workfow z pudełka Rozliczanie usług IT Integracja z Help desk i inne

33 Identity Manager główne cechy c.d. Role są głównym kodem Identity Manager a Model zarządzania uprawnieniami oparty o RBAC Wewnętrzne bezpieczeństwo zdefiniowane za pomocą ról Oferuje narzędzie do analizy i konstruowania ról Fachowe narzędzia wykorzystywane do: Przenoszenia konfiguracji ustawień testowych bezpośrednio na produkcję Zarządzania zmianami Transportu ustawień między środowiskami lab i prod Skalowalność dostępna z pudełka Elastyczna architektura systemu Wielolokacyjność Wsparcie dla wielojęzyczności

34 Narzędzie zaprojektowane do analizy biznesowej Warstwa obiektowa Metakatalog Inne katalogi Metakatalogi miały na celu przezwyciężyć wady LDAP Quest One Identity Manager przeznaczony jest do pokonania wad metakatalogów Obiektowy, model podejścia od podstaw Obiekty są samozarządzalne Obiekty reagują na dane Obiekty są inteligentne

35 Pozwala użytkownikom i współpracownikom pracować w sposób inteligentny Użytkownicy końcowi mogą sprawdzać zgodność własnych wniosków Menedżerowie mogą zobaczyć status zadań IAM i procesów w jednym miejscu Administratorzy mogą kontrolować stan systemu, zgodnie z kontrolą zmian ITIL Projektanci mogą zobaczyć efekty swoich zmian przed wprowadzeniem ich w produkcję

36 Wydajna praca użytkowników i współpracowników Użytkownik klika "check", aby sprawdzić zgodność z politykami. Opcja może być ukryta lub pokazana na podstawie przynależności do ról lub poprzez reguły.

37 Wydajna praca użytkowników i współpracowników Menedżerowie mogą łatwo znaleźć ogólne i szczegółowe informacje na temat stanu zgłoszeń i procesów w systemie

38 Wydajna praca użytkowników i współpracowników Menedżerowie mogą łatwo zobaczyć wszystkie uprawnienia pracownika w jednym przejrzystym widoku

39 Workflow tworzony w interfejsie graficznym (GUI) Tworzenie workflow jest w pełni zintegrowane z GUI, niezależnie od złożoności przepływu pracy. Przepływy pracy mogą się rozgałęziać, wyzwalać inne, wyzwalać inne zadania wykonywane w połączonych systemach, lub wracać do punktu wejścia lub innych. Wszystko co dzieje się w systemie może być kontrolowane poprzez workflow.

40 Reguły tworzone w interfejsie graficznym (GUI) Rules are also GUI driven. They are built up step by step. Rule designers can test each step and the overall rule as they go. Since each rule Reguły są także tworzone w GUI. Są one is making an exclusive set, the resulting rule budowane krok po kroku. Projektanci reguł base is guaranteed to be conflict free. mogą przetestować każdy krok i ogólną zasadę działania. Ponieważ każda reguła wykonuje własny zestaw akcji, wynikowa baza reguł daje gwarancję wykonania bez konfliktów.

41 Web IT-Shop zaprojektowany dla biznesu

42 Koszyk w portalu Self-service

43 Widoki i ekrany na dane w postaci Dashboard ów

44 Atestacja

45 Dostępne konektory do innych systemów Z pudełka Quest One Identity Manager : Active Directory (2000, 2003, 2008) Microsoft Office SharePoint Server (2007, 2010) Microsoft Exchange (2000, 2007, 2010) Windows NT & LanManager based systems LDAP v.3 compatible directories AD LDS (Formerly ADAM) Novell edirectory Sun One CriticalPath IBM OpenLDAP Lotus Notes (Version 4.5 and later) SAP R/3 (Version 4.6 and later) Generic Connectors Delimited text file ODBC, ADO.NET for SQL Server, Oracle, DB2 SPML 2.0 XML files Web Services FIM 2010, ILM 2007 Dostępne przez produkt Quick Connect for Base Systems: Active Directory Microsoft Office SharePoint Server AD LDS (Formerly ADAM) Delimited text file ILM 2007 LDAP Directory Microsoft SQL Server Novell OLE DB Oracle Sun One SPML 2.0 Quick Connect for Exchange Resource Forests Quick Connect for Lotus Notes Quick Connect for Mainframes (RACF) Quick Connect for Online Services Google Apps Postini Quick Connect for SAP Solutions Quick Connect for PeopleSoft

46 Architektura portalu IT-Shop

47 Quest One Identity Manager - podsumowanie Usprawnia proces zarządzania dostępem i tożsamością użytkowników, ich przywilejami i bezpieczeństwem w całym przedsiębiorstwie Przenosi zarządzanie użytkownikami i kontrolę dostępu z dala od IT kierując obowiązki w stronę biznesu Upraszcza główne zadania systemu zarządzania tożsamością i dostępem (IAM) do ułamka złożoności, czasu lub kosztów związanych z "tradycyjnymi" rozwiązaniami klasy framework. 50

48 Jakie są korzyści ze stosowania Quest One Identity Manager a? Szybka implementacja 2 10 razy szybsza niż inni dostawcy oprogramowania IAM Brak konieczności tworzenia kodu lub skomplikowanej kastomizacji Więcej funkcji w jednym produkcie niż w jakakolwiek innym Dostępny z pudełka framwork do zarządzania Predefiniowane workflowy biznesowe oraz procesy Gotowy do wdrożenia Sklepu Webowego Wbudowane konektory wystarczy je skonfigurować Raportowanie Audytowanie

49 Zarządzanie uprzywilejowanymi użytkownikami

50 Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów

51 Kompletne zarządzanie tożsamością i dostępem Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń

52 Privileged Account Management opis cech Quest TPAM Suite Privileged Passwords Kontroluje i audytuje wykorzystanie współdzielonych haseł administracyjnych Rozwiązuje problemy z wbudowanymi hasłami uprzywilejowanych kont w skryptach oraz aplikacjach Dodaje prosty mechanizm zezwoleń dla kontroli i audytu haseł uprzywilejowanych użytkowników Bezpieczne odporne na ataki urządzenie, skalowalne, architektura HA Privileged Sessions Rozwiązuje problemy z monitorowaniem i nagrywaniem czynności wykonywanych przez uprzywilejowanych użytkowników Zapewnia proste rozwiązanie do kontroli zdalnego dostępu dostawców/serwisantów do uprzywilejowanych kont W połączeniu z Privileged Password Manager em zwiększa bezpieczeństwo i ukrywa hasło dla uprzywilejowanego konta użytkownika Privileged Delegation Zgodne z regulacjami zewnętrznymi Zmniejsza koszty operacyjne i zwiększa bezpieczeństwa poprzez delegowanie w oparciu o role Eliminuje potrzebę korzystania z uprzywilejowanych kont w codziennej administracji Rozszerza i wzmacnia wykorzystanie SUDO Podwyższa bezpieczeństwo użycia określonych aplikacji, procesów, plików, formantów ActiveX, instalatorów aplikacji

53 Jak to wygląda i działa?

54 Privilege Access Management (PAM) Pakiet produktów do kontroli bezpieczeństwa i zgodności Compliance Modułowa konstrukcja pozwala na elastyczność rozbudowy: Wersja startowa posiada moduły podstawowe Dostępne dodatkowe moduły, dostosowane do potrzeb klienta Dostarczane jako specjalnie zaprojektowane bezpieczne urządzenie

55 Privileged Password oraz Session Manager Rozwiązanie pozwalające spełniać wymogi bezpieczeństwa i Compliance w odniesieniu do: Zarządzania kontami współdzielonymi oraz hasłami kont usług Kontroli dostępu zewnętrznych dostawców Kontroli dostępu programistów do środowiska produkcyjnego Kontroli najbardziej uprawnionych kont użytkowników - Super-User Privilege Management (SUPM) Sprawdzone rozwiązanie, wdrożone we wszystkich sektorach rynku Ponad 450 instalacji na całym Świecie, w tym: 4 z 10 największych firm listy Forbes 3 z 5 największych instytucji finansowych Wiodących firmach z branży przemysłowej, finansowej, usługowej, telekomunikacyjnej, farmaceutycznej/chemicznej, służby zdrowia orz innych.. Nagradzany produkt - SC Awards 2010 Best Regulatory Compliance Solution

56 Privileged Password Management - Problemy i wyzwania W odróżnieniu od zwykłych kont użytkowników, nie posiadają indywidualnego powiązania Np. konta typu: Root, administrator, DBA, itp. W wielu przypadkach posiadają domyślne hasła Uprzywilejowane konta istnieją w każdym systemie, urządzeniu sieciowym, bazie danych itp. Uprzywilejowane konta posiadają nieograniczony DOSTĘP oraz MOŻLIWOŚCI W wielu przypadkach posiadają pełny dostęp do systemu oraz pełną kontrolę Uprawnienia zmian w konfiguracji i ustawień audytu Wyzwania w audycie bezpieczeństwa i regulacji Compliance Zarządzanie uprzywilejowanymi/współdzielonymi/serwisowymi/aplikacyjnymi kontami wymusza stosowanie rozszerzonego zakresu audytu Coś co było stosowne wczoraj NIE jest stosowne dzisiaj

57 Privileged Password Manager Pełne zarządzanie cyklem aktywności użytkowników Bezpieczne przechowywanie informacji (szyfrowanie AES 256) Podwójne lub szersze mechanizmy kontroli Ostatnio użyte konto oraz umożliwienie aktywności w zadanym okresie czasu Dostarczane jako zabezpieczone urządzenie Wdrożenie w 100% bez instalacji oprogramowania na urządzeniach/serwerach klienckich Brak konsol, szyfrowany cały dysk, zapora sieciowa Integracja typu Enterprise: Integracja z AD Integracja z CMDB Integracja z systemem zgłoszeń Integracja z rozwiązaniami do autentykacji: Defender AD/LDAP Radius Secure ID Safeword Zdefiniowane role do aplikacji dla kont

58 Privileged Session Management - Problemy i wyzwania Wymogi Compliance często wymuszają potrzebę dowiedzenia się Jaka aktywność była wykonana podczas uprzywilejowanego lub wrażliwego dostępu- realizowanego przez: Zdalnych producentów aplikacji? Wynajętych usługodawców? Deweloperów uzyskujących dostęp do systemów produkcyjnych? Gaszenie pożarów? Użytkowników lub administratorów uzyskujących dostęp do wrażliwych zasobów lub aplikacji (serwery Finansowych/ Sox, HR, itp.) Poszczególne dostępy wymagają większej kontroli i audytu Potrzeba ograniczenia bezpośredniego dostępu do zasobów

59 Privileged Session Manager Podwójna kontrola procesu autoryzacji Mechanizm akceptacji oraz żądania o dostęp PEŁNE nagrywanie sesji i komend Każde naciśniecie klawisza, poruszenie wskaźnika myszy, uruchomienie aplikacji, KAŻDA AKTYWNOŚĆ Monitorowanie Real-time sesji Podgląd aktywnych sesji Odgrywanie sesji w formacie DVR Szczegółowe odgrywanie aktywności użytkownika Wykorzystywane do ograniczenia bezpośredniego dostępu do zasobów

60 Architektura

61 Wdrożenie scentralizowane

62 Wdrożenie rozproszone

63

64 Workflow żądanie hasła Wywołanie żądania o hasło Wprowadzenie Daty/Czasu/Długości trwania /Powddu wnioskowania o hasło Pole na podanie numeru zgłoszenia (opcjonalne). Może być aktywne lub pasywne. Filtowanie i wybieranie kont(a) Pobierania hasła

65 Workflow mały ekran (smartfon) Link do inicjacji hasła Wprowadzenie numeru zgłoszenia (jeśli wymagane) oraz zatwierdzenie otrzymania hasła. Filtrowanie po wniosku lub wybranie widoku ostatnich Wyświetlane hasło na smartfonie. Wybranie Quick Request automatycznie zatwierdza żądanie z domyślnym powodem Request from mobile device * Small screen support configured on a per user basis

66 TPAM/PPM: Pokaz funkcjonalności

67 Workflow żądanie dostępu do sesji Prośba o sesję połączeniową. Wprowadź datę/czas/długość trwania sesji. Można również prosić o sesje zaplanowaną w przyszłości. Wybierz z listy systemów i kont określonego użytkownika, do którego masz uprawnienia. Po akceptacji połączenia wciskamy CONNECT!

68 Workflow żądanie dostępu do sesji Użytkownik łączy się i wykonuje zadania Sesja może być skonfigurowana dla interaktywnego lub automatycznego logowania Każde działanie w systemie docelowym jest rejestrowane Jeśli sesja wykracza poza zadany okres czasu, przesyłane są konfigurowalne powiadomienia o przekroczeniu sesji Utworzone połączenie proxy na wybranym systemie oraz koncie Aktywne sesje mogą być ręcznie wyłączane przez upoważnionych administratorów

69 Workflow odgrywanie sesji Nagrania z sesji są przechowywane lokalnie lub mogą być automatycznie archiwizowane. Przechowywane sesje mogą być wyszukiwane na podstawie daty, komendy, systemu, konta, użytkownika i/lub numeru zgłoszenia. Wybrana i zaznaczona sesja zostaje zwrócona i jest dostępna do obejrzenia.

70 Workflow odgrywanie sesji Cała aktywność z sesji jest nagrywana oraz dostępna do odtworzenia za pomocą paska przewijania/kontroli nagrania. Nagrania nie są plikami AVI rozmiar nagrania jest mały i jest kompresowany. Zapisywana jest także aktywność użytkownika w formacie logu sesji i można przeszukiwać wykowane komendy przez użytkownika. Format nagrania w DVR pozwala kontrolować nagraną sesję.

71 TPAM/PSM: Pokaz funkcjonalności

72 Workflow Command Management Komendy są dodane za pomocą narzędzia Privileged Command Management Tool.

73 Workflow Command Limited Session Ten sam workflow jak dla żądania o sesję. Ten sam workflow jak dla żądania o sesję.

74 Workflow Command Limited Session Sesja realizowana jest na docelowym systemie/koncie (Windows A3/e22egp) przez moduł PCM. Sesja użytkownika jest ustanowiona tylko dla określonej komendy. W tym przypadku dla użytkownika odpalona została konsola zarządzania komputerem. Użytkownik nie ma dostępu do innych komend, menu itp. w zalogowanym systemie. Sesja jest tylko dostępna w kontekście udostępnionej komendy (np. Zarządzanie komputerem). W sytuacji, kiedy użytkownik zamknie komendę, sesja zostanie automatycznie zakończona.

75 Ulepszenia w module Quest One Privileged Session Manager (PSM) Kontrola sesji, audyt, rejestracja komend, użytkowników uzyskujących dostęp do systemów np. zewnętrznych konsultantów, administratorów czy użytkowników z podwyższonymi uprawnieniami. Dostarcza pojedynczy punkt kontroli i audytu działalności w/w użytkowników. Rejestracja zdarzeń w sesji. Umożliwia o wiele bardziej granularną i szczegółową kontrolę. Pozwala na przeszukiwanie zdarzeń z zarejestrowanej sesji. Dodano możliwość oznaczanie zdarzeń / fragmentów sesji. Rejestracja zdarzeń umożliwia zbieranie informacji o próbach uruchomienia zabronionego polecenia. Po wykryciu takiego zdarzenia TPAM może wykonać określoną akcję np. wysłanie powiadomienia lub zakończenie sesji.

76 Ulepszenia w module Quest One Privilege Command Management (PCM) W wersjach wcześniejszych moduł PCM był dostępny jako oddzielny komponent. W wersji 2.5 został włączony do licencji PSM. Dodane przechwytywanie zdarzeń - rejestracja zdarzeń w trakcie trwania sesji (dostępny jest log z sesji) Logi sesji zawierają również liczbę powtarzających się zdarzeń.

77 Użycie przez użytkownika zabronionych komend Dodano nowy profil (ang. Restricted Commands Profile) w celu wyłączenia możliwości uruchomienia konkretnego polecenia / zadania Rejestracja kliknięć w klawiaturę (ang. keystrokes ), umożliwia monitoring i rejestrację wpisywanych poleceń przez użytkownika podczas sesji. Keystroke jest zapisywany w logu i możliwe jest jego przeszukanie w celu wyszukania konkretnego ciągu znaków.

78 Monitorowanie użytkowników i audyt

79 Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów

80 Kompletne zarządzanie tożsamością i dostępem Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów

81 Quest ChangeAuditor W czasie rzeczywistym, skonsolidowany audyt zmian dla: AD, LDAP, Exchange, SharePoint, SQL, serwerów plików Windows, VMware, NetApp, EMC, rejestrów sys., usług, lokalnych grup i użytkowników. Umożliwia kompleksowy audyt zmian w przedsiębiorstwie z intuicyjnego klienta. Sortowanie, grupowanie, filtrowanie i wykresy online. Zapewnia bezp. i zgodną infrastrukturę poprzez śledzenie zmian w czasie rzeczywistym, rejestrując pochodzenie zdarzenia, jak również wartości przed i po. Wzmacnia system kontroli wewnętrznej poprzez ochronę obiektu i wgląd zarówno zmian autoryzowanych i nieautoryzowanych.

82 ChangeAuditor własny audyt zmian ChangeAuditor jest rozwiązaniem oferującym kompleksowe zarządzanie zmianami, raportowanie, zabezpieczanie aktywności użytkowników oraz powiadamianie o zdarzeniach na systemach Windows - Active Directory, LDAP, ADLDS, Windows File Servers, SQL, Exchange, SharePoint, VMWare, EMC oraz NetApp. Dostarcza informacje: Kto (Who ) wykonał zmianę? Co (What ) zostało zmienione (wartość przed i po)? Gdzie (Where ) zmiana została wykonana? Kiedy (When ) zmiana została wykonana? Dlaczego (Why) wykonano zmianą? (komentarz) Inteligentne alarmy Adres (Workstation) skąd zmiana była wykonana?

83 Quest InTrust Kolekcjonowanie, przechowywanie oraz raportowanie logów w trybie rzeczywistym z całej infrastruktury MS oraz Unix. InTrust raportuje logi, które dotyczą naszej polityki bezpieczeństwa, dobrych praktyk lub awarii systemów oraz aplikacji

84 Cechy ChangeAuditor a i InTrust - porównanie ChangeAuditor Zmniejsza złożoność i koszty zarządzania dziennikiem zdarzeń. Szczegółowy audyt dla Active Directory, Exchange, serwerów plików Windows, SharePoint, VMware i innych. Ochrona przed niechcianymi lub nieplanowanymi zmianami w Active Directory, Exchange oraz systemie plików Windows Natychmiastowy wgląd do wszystkich zmian zachodzących w środowisku IT. Interaktywna analiza zmian wraz z ich wbudowanym grupowaniem, sortowaniem, filtrowaniem i możliwościami tworzenia wykresów. Oferuje panele dostępne przez WWW prezentujące statystyki zmian dla kadry zarządzającej i audytorów. Inteligentne powiadamianie dla poszczególnych zdarzeń na podstawie wzorców. InTrust Gromadzenie, przechowywanie, raportowanie i powiadamianie z natywnych logów Windows wraz z rejestrowaniem logowań i wylogowań użytkowników na serwerach Windows i stacjach roboczych. Długoterminowe archiwizowanie logów dla zdarzeń Windows oraz ChangeAuditor a (wartościowe dane z kilku lat) Szczegółowa analiza aktywności użytkowników w całej sieci przedsiębiorstwa. Szerokie wsparcie dla systemów heterogenicznych, aplikacji i urządzeń. Zaplanowane w czasie wykonywanie raportów ze strony WWW wraz z elastycznymi możliwościami ich dostarczania. Natychmiastowa korelacja zdarzeń i wykonywanie automatycznych akcji.

85 Defender dwuskładnikowe uwierzytelnianie

86 Przypadki użycia Defender

87 Quest Webthority bezpieczny zdalny dostęp

88 Tokeny Defender a Szeroki zakres tokenów Tokeny sprzętowe są dobre dla ich całego życia baterii (5-7 lat) Tokeny programowe nigdy nie wygasa Każdy użytkownik może mieć więcej niż jeden token Kilka tokenów sprzętowych może być przyporządkowane do więcej niż jednego użytkownika Aplikacja Helpdesk dla tokenów Wsparcie dla każdego innego tokena sprzętowego zgodnego z OATH

89 Przykładowi klienci

90 Przykładowi klienci c.d.

91 Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów