Quest Software, now a part of Dell

Transkrypt

1 Security & Identity Round Table Warszawa, 24 kwietnia 2014 Quest Software, now a part of Dell Bezpieczeństwo i Audyt Systemów Warszawa, 27 maja

2 Zarządzanie dostępem użytkowników uprzywilejowanych Mariusz Przybyła, Konsultant IdM

3 Agenda 1. Informacja o firmie Quest Software 2. TPAM Wprowadzenie 3. PPM Omówienie funkcjonalności 4. PSM Omówienie funkcjonalności 5. Demo 6. Podsumowanie

4 O nas Od ponad 10-ciu lat firma Quest Dystrybucja oferuje rozwiązania wspierające zarządzanie IT firmy Dell Software/Quest. Do naszych zadań należy zarówno sprzedaż licencji i odnowy asysty technicznej, jak i zapewnienie wsparcia w zakresie implementacji i wykorzystania oferowanego oprogramowania. Quest Dystrybucja jako jedyna firma w Polsce posiada status Support Providing Partner firmy Dell Software. Zapraszamy na nasz polskojęzyczny portal serwisowy, na którym możecie Państwo zgłosić wszelkie problemy i pytania dotyczące oprogramowani zakupionego w kanale sprzedaży Quest Dystrybucja

5 Portal serwisowy

6 Nowa strona www

7 Obszary produktowe w ofercie Quest Dystrybucja Zarządzanie Środowiskami Microsoft Bezpieczeństwo i Kontrola Dostępu Monitoring Systemów i Aplikacji Zarządzanie Bazami Danych Zarządzanie Stacjami Roboczymi Zarządzanie Wirtualizacją Ochrona Danych

8 Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (ESSO/SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów

9 Dell Software Simplicity at work

10 Kto posiada klucze do Królestwa? Współdzielenie kont Brak szczegółowego podziału uprawnień Czy możesz być pewien?

11 Jak silne hasła możemy wymyśleć? Proste hasła są łatwe do zapamiętania Złożone hasła są zapisywane Naturalne skłonności do współdzielenia haseł Human Nature

12 Ryzyka Kontrola firm zewnętrznych Dostęp dla programistów Wewnętrzne zagrożenia Udostępnienia haseł Separacja ról Ograniczanie uprawnień do codziennych czynności administracyjnych Monitorowania i audyt I wiele, wiele innych. Global Marketing

13 Wyzwanie: zarzadzanie kontami uprzywilejowanymi Konta uprzywilejowane występują zawsze Audyt sesji kont uprzywilejowanych Network Devices Application s Databases Command Session Sessions Operating Systems Applications Virtual Platforms

14 Kontrola Cykl życia konta Dostęp przez role Automatyzacja Uwierzytelnianie Audyt zmian Zaufane zespoły Kontrolowane przez Użytkowników Uprzywilejowanych

15 TPAM - Quest Privilege Account - Przegląd s Sessions Unix Delegation AD Bridge Pomaga biznesowi rozwiązać problemy rozliczalności dostępu do kont uprzywilejowanych Pozwala biznesowi odpowiedzieć na pytanie: Kto, kiedy i co zrobił korzystając ze swoich uprawnień? Pozwala na zastosowanie reguły najmniejszych uprawnień do wykonania czynności administracyjnych Pozwala na wykorzystanie możliwości AD w mieszanych środowiskach Konsoliduje tożsamości i konta Wymusza polityki bezpieczeństwa AD na systemach Unix

16 Total Access (TPAM) Suite Zabezpieczony serwer Pełne szyfrowanie AES Szyfrowanie wszystkich haseł Wbudowany firewall Wbudowane zabezpieczenia Zamknięty dostęp Architektura HA Klastry Rozmiar 1u Nadmiarowość sprzętu Bezpieczna kopia Integracja z SYSLOG AUDIT Application Command Session s Sessions

17 Wspierane różne scenariusze wdrożenia Wysoka dostępność Decentralizacja Rozproszenie

18 Obsługiwane platformy Wymaga DPA dla Proxy Wymaga DPA

19 Obsługiwane połączenia Proxy PSM Session Managemnt: PSM Session Managemnt + DPA: Wymaga DPA Wymaga DPA

20 Podwójna kontrola Kontrola zmian Integracja Enterprise Efektywny Workflow Podwójna (lub więcej poziomów) kontrola Konfigurowalna kontrola zmian Czasowa (co X dni) Po dostępie Ręczna zmiana Duże możliwości integracji Silne uwierzytelnianie Wykrywanie kont Wykrywanie konfliktów Systemy ServiceDesk Zarządzanie kontami Harmonogramy Application Command Session

21 Account Auto Discovery automatyczne wykrywanie kont

22 Workflow wniosek o hasło Initiate password request Enter date/time/duration/reason Enter password Date/Time/Duration/Reason is needed Code/Request Reason as needed Ticket Optional ticket field. Can System be active (check ticket) or passive Validation. Mandatory or Optional Filter & select account(s) Retrieve password

23 Problem: Application zarządzanie hasłami zapisanymi w kodzie apliakacji Application Command Zapisane w kodzie, zakodowane hasła często są ukrytą furtką Konta i hasła znane programistom Konta Back-door Wymagania aplikacji mogą być bardzo różne Ciągłość połączeń A2A Transakcyjność połączeń A2A Session

24 Rozwiązanie: Manager obsługa A2A Wsparcie C/C++.NET Java Perl Application Command Session Podmiana zapisanych w kodzie haseł za pomocą wywołań API do PPM Bez dodatkowych opłat z licencją PPM Dla scenariuszy gdzie wymagana jest wysoka wydajność odpowiedzi - ParCache Obsługuje do 5000 żądań na sekundę

25 Session Szczegółowy dostęp Kontrola połączenia Ukrywanie haseł Real time monitoring Szczegółowy dostęp Dostęp do systemów poprzez role Pełna kontrola połączenia Podwójna kontrola połączeń Limity czasowe sesji Powiadomienia o przekroczeniu sesji Rejestrowanie i przeszukiwanie zdarzeń Ukrywanie haseł Użytkownicy nie muszą znać haseł w celu ustanowienia sesji Monitorowanie sesji w czasie rzeczywistym Application Command Session

26 Command Command Kontrola dostęp do poleceń Listy: Blacklist lub Whitelist Windows i Unix Demo Kontrola poleceń na Windows Application Command Session

27 Workflow wniosek o dostęp do sesji Initiate session request Enter date/time/duration/reason code/request reason as needed Ticket system validation. mandatory or optional Filter & select account(s) Once session is approved (or autoapproved) simply Connect.

28 Workflow - przegląd

29 AUDYT Release Rejestracja sesji Application Activity Command Activity Audyt Rejestrowanie żądań Administracja Integracja z SYSLOG Release Kto miał dostęp do jakiego hasła Rejestracja sesji Szyfrowanie sesji Przeszukiwanie i tworzenie zakładek Application Activity Rejestracja aktywności Command Activity Rejestracja wykonywanych poleceń Application Command Session

30 Demo

31 Pytania?

32 Dziękuję za uwagę Mariusz Przybyła tel: Quest-Dystrybucja Sp. z o.o. Oddział: ul. Nabielaka 6, Warszawa Centrala: ul. Podwale 62, Wrocław