Problem tożsamości uprzywilejowanych

Transkrypt

1 Problem tożsamości uprzywilejowanych Każdorazowe zalogowanie w sieci to konieczność wprowadzenia hasła, które aby zapewniało odpowiedni poziom bezpieczeństwa powinno spełniać pewne wymagania, np. co do: długości, składni, powtarzalności, częstotliwości zmian. Systemy IAM (Identity Access Management) pilnują, aby reguły wymuszone polityką bezpieczeństwa były stosowane. Wszelkie działania podejmowane w stosunku do takich kont i ich haseł są logowane, co pozwala utrzymać rozliczalność. Tożsamość uprzywilejowana Tak tradycyjnie rozumiane zarządzanie tożsamością w większości przypadków związane jest z tożsamością użytkownika, metadanymi (np. polityką haseł, uprawnieniami powiązanymi z tożsamością użytkownika), a przede wszystkim z kontem dostępowym. Konta takie nie są jedynymi, jakie występują w organizacjach. Administratorzy, kontraktorzy i serwisanci, którzy utrzymują systemy, aplikacje czy urządzenia sieciowe, korzystają ze specjalnych kont i haseł umożliwiających wykonywanie czynności wymagających wysokiego poziomu uprawnień. Te specjalne konta, tzw. tożsamości uprzywilejowane, pozwalają na swobodny dostęp do oraz ich modyfikację. Z reguły nie są powiązane z osobą, a ze sprzętem, systemem czy aplikacją. Osoba korzystająca z tych kont otrzymuje uprawnienia super-użytkownika (np. root czy Administrator), który uzyskuje nielimitowany dostęp np. do: systemów operacyjnych, usług katalogowych, aplikacji krytycznych oraz powiązanych z nimi baz, urządzeń sieciowych, rozwiązań archiwizacji i składowania, środowisk zwirtualizowanych. Poszczególne konta uprzywilejowane wykorzystywane są nie tylko i wyłącznie przez pojedyncze osoby, ale równie często np. przez: usługi systemowe (usługi, harmonogramy zadań), aplikacje biznesowe (w tym ich elementy), obiekty COM+/DCOM. Zasoby te, wykorzystując konta uprzywilejowane, przechowują także informacje o hasłach.

2 Administratorzy systemowi Integratorzy Kadra zarządzająca IT Kadra zarządzająca IT Ryzyko związane z tożsamością uprzywilejowaną W przeciwieństwie do standardowych kont użytkowników konta uprzywilejowane z reguły nie są objęte spójnym mechanizmem zarządzania. To może oznaczać: brak pełnego obrazu wszystkich kont uprzywilejowanych w organizacji, brak informacji o osobach posiadających dostęp do kont uprzywilejowanych, brak informacji na temat tego kto, kiedy i co zmienił podczas korzystania z konta uprzywilejowanego, brak centralnego mechanizmu wymuszania polityki bezpieczeństwa kont uprzywilejowanych, brak kompletnej listy haseł kont uprzywilejowanych przechowywanych przez aplikacje, a co za tym idzie wiedzy na temat osób (personelu wewnętrznego i zewnętrznego), które znają te hasła. Podsumowanie typowych tożsamości uprzywilejowanych wykorzystywanych w organizacji oraz działań, które mogą być wykonywane anonimowo przy ich udziale, przedstawia poniższa tabela: Jaka rola Jaki zasób Jakie konta Administratorzy aplikacji Deweloperzy Webmasterzy Administratorzy baz Deweloperzy Administratorzy aplikacji Integratorzy Komputery i serwery Katalogi Warstwa aplikacyjna Bazy Administrator Super user Administrator Admin Odczyt, kopiowanie, zmiana Pliki konfiguracyjne ASP.Net Uruchom jako Połączenia do bazy SA SYS SYSDBA Jakie anonimowe działania Odczyt, kopiowanie, zmiana Zmiana ustawień bezpieczeństwa Tworzenie i usuwanie kont Tworzenie i usuwanie udziałów sieciowych Uruchamianie programów Odczyt, kopiowanie, zmiana użytkowników Dodawanie i usuwanie kont użytkowników Zmiana uprawnień kont użytkowników Aktywowanie dostępu zdalnego Modyfikacja aplikacji back-end Modyfikacja serwisów dostępnych publicznie Odczyt i zmiana rekordów w bazie Dostęp do transakcyjnych Odczyt i zmiana rekordów w bazie Dostęp do transakcyjnych Zmiana konfiguracji i schemy bazy Modyfikacje (dodawanie) procedur składowanych Cele biznesowe a tożsamość uprzywilejowana Głównym czynnikiem motywującym do zajęcia się problemem tożsamości uprzywilejowanej jest negatywna opinia audytorów i wymóg wprowadzenia poprawek w GMC (Governance, Risk Management, Compliance). Warto jednak zwrócić uwagę, że źródłem motywacji powinny być przede wszystkim: chęć obniżenia poziomu ryzyka związanego z tożsamością uprzywilejowaną, objęcie kontrolą działań o szczególnym wpływie na funkcjonowanie systemów krytycznych w szczególności tych delegowanych na zewnątrz, obniżenie kosztów związanych z każdorazowymi przygotowaniami przed audytem, wdrożenie powtarzalnego i dobrze udokumentowanego procesu zarządzania tożsamością uprzywilejowaną, który zminimalizuje nakład pracy, zautomatyzowanie procesu zarządzania tożsamością uprzywilejowaną, który skróci czas potrzebny na codzienne czynności administracyjne. Przykładowe wymogi regulatorów związane z procesem zarządzania tożsamością uprzywilejowaną: udokumentowanie wszystkich kont uprzywilejowanych oraz miejsc ich występowania (urządzenia, aplikacje, usługi itp.), posiadanie kompletnej listy wszystkich osób, które mają dostęp do kont uprzywilejowanych oraz zakresu tego dostępu, dostarczenie informacji historycznych odnoszących się do koncepcji least privilege poprzez wskazanie, kto wnioskował o dostęp, kiedy i w jakim celu, posiadanie weryfikowalnego procesu natychmiastowej zmiany haseł kont uprzywilejowanych po każdorazowej sesji dostępowej, posiadanie mechanizmu powiadamiania o nietypowych działaniach związanych z kontami uprzywilejowanymi, posiadanie mechanizmów monitorowania wizualnego działań podejmowanych z wykorzystaniem kont uprzywilejowanych. Droga do zarządzania tożsamością uprzywilejowaną Podstawowym kryterium sukcesu wdrożenia procesu zarządzania tożsamością jest zorganizowanie go jako procesu ciągłego i cyklicznego. Proces ten można zobrazować poniższym diagramem: Informacja Administratorzy sieci Urządzenia sieciowe i rozwiązania bezpieczeństwa Enable Admin Zmiana ustawień konfiguracji Zmiana polityk bezpieczeństwa i QoS Przyznawanie lub odbieranie dostępu sieciowego Wyłączanie monitoringu Monitoring Audyt Raportowanie Delegacja Administratorzy systemowi Operatorzy Administratorzy sieci Infrastruktura backupowa i serwisowa Admnistrator Super user Przeglądanie i odczyt zarchiwizowanych Dostęp do transakcyjnych Usuwanie z archiwów i kopii zapasowych Zmiana ustawień Wymuszanie

3 Identyfikacja identyfikacja wszystkich zasobów, ich kont uprzywilejowanych i wzajemnych zależności na wszelkich platformach (sprzętowych, systemowych, aplikacyjnych). Delegowanie delegowanie praw dostępu wskazanym osobom z wykorzystaniem zasady least privilege, przy pełnym dokumentowaniu celu uzyskania dostępu, jego zakresu i czasu trwania. Wymuszanie wymuszanie wymogów polityki względem haseł (złożoność, powtarzalność, cykl zmiany) i ich synchronizacja bez wprowadzania zakłóceń w środowisku. Monitoring - utrzymanie stałej dokumentacji (także wizualnej) procesu zarządczego tak, aby informacje o zgłaszającym, celu, czasie oraz działaniach były dostępne do niezwłocznej weryfikacji. Celem monitoringu jest także wychwytywanie naruszeń polityki dostępowej oraz niepokojących zachowań (anomalii). Odpowiedź Compfort Meridian Skutecznym rozwiązaniem powyższych problemów jest wdrożenie kompleksowego rozwiązania zarządzania tożsamością uprzywilejowaną (ang. Privileged Identity Management PIM). bazach, systemach operacyjnych, usługach webowych, aplikacjach biznesowych, stacjach roboczych, urządzeniach sieciowych, rozwiązaniach bezpieczeństwa, systemach archiwizacji i składowania. Przestrzeganie polityki bezpieczeństwa w odniesieniu do kont uprzywilejowanych, np. poprzez: automatyczną zmianę haseł dla kont uprzywilejowanych, automatyczną propagacja zmiany haseł wszędzie tam, gdzie są one wymagane, aby uniknąć blokady kont czy zatrzymania usług, pilnowanie jakości haseł, wymuszanie haseł unikatowych i tymczasowych. Integracje z aktualną infrastrukturą i aplikacjami, np. z: W naszej opinii rozwiązanie takie powinno spełniać poniższe postulaty: systemami SIEM (np. ArcSight, Symantec Security Information Manager), centralne zarządzanie kontami uprzywilejowanymi i ich hasłami, systemami zarządzania zgłoszeniami (np. BMC Remedy), szybka i skuteczna dystrybucja oraz synchronizacja dostępowych, systemami IDM, bezpieczna i sprawna reglamentacja dostępu do kont uprzywilejowanych, systemami uwierzytelniania (np. RSA), systemami Microsoft SCOM/ SCCM/SCSM. Zarządzanie dostępem do kont uprzywilejowanych: integracje z systemami provisioningu, delegacja uprawnień oparta na rolach z ograniczeniem czasu i zakresu, nagrywanie oraz monitorowanie sesji dostępowych, audyt wykorzystania kont ze względu na logowanie, raportowanie oraz audyt podejmowanych czynności, - cel elementy wykrywania anomalii w ramach środowiska PIM, - czas możliwość łatwej integracji z istniejącymi elementami infrastruktury w celu zminimalizowania kosztów implementacji. - osobę Do realizacji wyżej postawionych wymagań CompFort Meridian proponuje wykorzystanie platformy Lieberman ERPM (Enterprise Random Password Manager) wraz z potrzebnymi modułami, np.: nagrywania sesji (moduł ObserveIT), integracji z systemem Help Desk, integracji z systemami klasy SIEM. Lieberman Enterprise Random Password Manager Rozwiązanie Lieberman ERPM pozwala na kompleksowe zarządzanie tożsamością uprzywilejowaną w organizacji, a dzięki modularnej i otwartej architekturze pozwala na integrację z istniejącą infrastrukturą oraz narzędziami firm trzecich. Podstawowe cechy rozwiązania: Automatyczny proces ciągłego wykrywania oraz katalogowania tożsamości uprzywilejowanych obecnych w szerokiej gamie systemów, np.: łatwe do przygotowania alerty i powiadomienia. Integracja z systemem Symantec SIM Zaopatrywanie systemu SIEM w zdarzenia pochodzące z ERPM oraz możliwość monitorowania i reagowania na nie. Wszelkie zdarzenia związane z operacjami na tożsamości uprzywilejowanej przekazywane są do systemu klasy SIEM, gdzie prowadzone jest ich filtrowanie, normalizacja, agregacja oraz korelacja. Dzięki temu zespół reagowania na incydenty otrzymuje możliwość powiązania zdarzeń pochodzących z ERPM z innymi zdarzeniami bezpieczeństwa, np. pochodzącymi z systemów zdalnego dostępu (VPN), bezpieczeństwa fizycznego.

4 Integracja z systemem BMC (Remedy) BMC Remedy staje się głównym punktem kontroli dla bezpieczeństwa i zgodności haseł uprzywilejowanych. Dzięki integracji autoryzowany personel uzyskuje dostęp do systemów/aplikacji wrażliwych na określony czas oraz w określonym celu w powiązaniu z konkretnym incydentem założonym w Remedy. Wszelkie transakcje będące częścią dostępu do systemów/aplikacji stają się elementem zgłoszenia. Sprawdzane są następujące elementy: czy istnieje zgłoszenie w Remedy? czy zgłoszenie dotyczy systemu, do którego będzie realizowany dostęp? czy zgłoszenie ma status otwartego? czy zgłaszający ma prawo uzyskania dostępu do systemu/aplikacji? ObserveIT W wielu przypadkach wymagania, które stawiane są systemowi klasy PIM wykraczają poza sam proces zarządzania tożsamością uprzywilejowaną. Przykładem może być konieczność nagrania sesji zdalnej oraz zarejestrowania aktywności użytkowników podczas jej trwania. Z pomocą w tej sytuacji przychodzi rozwiązanie ObserveIT. Umożliwia ono rejestrowanie/odtwarzanie wszystkich czynności wykonywanych przez użytkowników podczas sesji zdalnych, np. Remote Desktop, Citrix, VDI, VMware View itp. Sesja taka może być również obserwowana w czasie rzeczywistym, w trakcie jej trwania lub odtwarzana w innym czasie. Podstawowe cechy rozwiązania: Identyfikacja sesji zdalnej oraz powiązanie jej z konkretnym użytkownikiem Optymalny zapis wizualny aktywności użytkowników Godzinne nagranie to ok. 10 MB Wsparcie szeregu metod zdalnego dostępu, np. Terminal Services, Citrix, Remote Desktop, PC-Anywhere, VMware, VNC, Dameware Szybki dostęp do krytycznych informacji Dotarcie do poszukiwanej informacji/zdarzenia nie wymaga odtwarzania całości nagrania - wraz z nagraniem zachowanych jest szereg meta, np. tytuł okna aplikacji, nazwy aplikacji, wykorzystywane pliki, wpisywane polecenia itp. Następnie dzięki wbudowanej wyszukiwarce możliwe jest odszukanie pożądanej informacji. Dostęp do szczegółowych logów i raportów audytowych zawierających informacje o wykonywanych operacjach przez wskazanych użytkowników na wskazanych systemach. Przykładowe zdarzenia, które mogą znaleźć się w raporcie: edycja plików systemowych, zmiany w systemie operacyjnym, wykonanie zapytania SQL, pobranie pliku z internetu, przesłanie pliku na serwer FTP, zmiana w kodzie źródłowym, wysłanie poczty, edycja arkusza Excel, logowanie do aplikacji, dostęp do zasobów współdzielonych, zmiana hasła, dostęp do stron klientów w ramach systemu CRM/ERP. Dzięki integracji z Lieberman ERPM możliwe jest powiązanie monitoringu sesji z reglamentacją dostępu do systemów/aplikacji. Rozpoczęcie nagrywania sesji następuje w momencie przekazania użytkownikowi dostępu do tożsamości uprzywilejowanej i trwa do momentu upłynięcia czasu, który sesji został przydzielony.

5 Przykładowa architektura rozwiązania CompFort Meridian Polska Sp. z o.o., Al. Jerozolimskie 65/79, Warszawa, tel , faks Wszelkie prawa autorskie do materiałów zawartych w broszurze należą do CompFort Meridian Polska Sp. z o.o. Wszystkie znaki towarowe zostały użyte tylko w celach informacyjnych i należą do ich właścicieli. Treść broszury i wszystkie jej elementy podlegają ochronie przewidzianej przez polskie oraz międzynarodowe prawo, w tym w szczególności przepisom o prawie autorskim i prawach pokrewnych oraz o zwalczaniu nieuczciwej konkurencji.