Security & Identity Round Table Warszawa, 24 kwietnia 2014 Quest Software, now a part of Dell Bezpieczeństwo i Audyt Systemów Warszawa, 20 maja 2014 1
Oferta oprogramowania narzędziowego Dell Software z zakresu bezpieczeństwa informatycznego Grzegorz Szafrański, Solutions Architect
3 ŻŹŹZródła ryzyka związanego z bezpieczeństwem informatycznym Rosnący poziom zaawansowania technologicznego przedsiębiorstw, Upowszechnienie modelu cloud computing Większe wymagania regulatorów -dostęp do wrażliwych danych Ataki z zewnątrz Działalność pracowników i innych osób korzystających z systemów informatycznych firmy: np.: wyciek danych użytkowników PlayStation Network
Przykład Puls Biznesu... Cezary G. przez blisko trzy lata opiekował się rachunkami klientów gdyńskiego biura. Nie miał do tego uprawnień, a robił to nawet kilka miesięcy po odejściu z pracy. Niektóre rachunki należały do osób klasyfikowanych jako VIP, inwestujących duże pieniądze. Źrodło: http://http://biznes.onet.pl/maklerska-afera-w-dnb-nord,18512,5281555,news-detal
Problem biznesowy Fakt: Firmy uniknęły 96% naruszeń wewnętrznych dzięki przeprowadzanym kontrolom lub bezpośredniej interwencji odpowiednich służb. Bezpieczeństwo Wewnętrzne i zewnętrzne zagrożenia Zwiększone ryzyko naruszeń wewnętrznych Osierocone konta Zbyt wiele osób posiada dostęp do uprzywilejowanych kont Użytkownicy posiadają zbyt duży dostęp Complexity Źródło - 2011 Data Breach Investigations Report, badanie przeprowadzone przez zespół Verizon Risc przy współpracy z amerykańskimi tajnymi służbami i holenderskim wydziałem przestępstw High Tech Crime
Problem biznesowy Fakt: W średniej firmie użytkownik końcowy musi pamiętać 6 różnych haseł. Źródło - Aberdeen Group research Bezpieczeństwo Wewnętrzne i zewnętrzne zagrożenia Zwiększone ryzyko naruszeń wewnętrznych Osierocone konta Zbyt wiele osób posiada dostęp do uprzywilejowanych kont Użytkownicy posiadają zbyt duży dostęp Złożoność Zbyt wiele oddzielnych repozytoriów (bytów) użytkowników Różne hasła i loginy Podejrzliwa aktywność użytkowników pozostaje niezauważona Zarządzanie prawami dostępu użytkowników jest bardzo pracochłonne
Problem biznesowy Fakt: W przeprowadzonym badaniu 48% respondentów oceniła szanse ryzyka spowodowanego nie spełnieniem zgodności w ciągu najbliższych 18 miesięcy jako "wysokie" lub "bardzo wysokie." Źródło State of Compliance 2011, PWC Bezpieczeństwo Wewnętrzne i zewnętrzne zagrożenia Zwiększone ryzyko naruszeń wewnętrznych Osierocone konta Zbyt wiele osób posiada dostęp do uprzywilejowanych kont Użytkownicy posiadają zbyt duży dostęp Złożoność Zbyt wiele oddzielnych repozytoriów (bytów) użytkowników Różne hasła i loginy Podejrzliwa aktywność użytkowników pozostaje niezauważona Zarządzanie prawami dostępu użytkowników jest bardzo pracochłonne Zgodność Rosnąca liczba przepisów i wymogów Nowe wymagania powodują więcej zadań administracyjnych Zapewnienie zgodności jest pracochłonne Przeglądanie logów aktywności tylko w trakcie przeprowadzanych kontroli jest często zbyt późne
Zarządzanie tożsamością i dostępem wpływa na całą organizację Kadry Controling Biznes Bezpieczeństwo Regulacje wewnętrzne i zewnętrzne Monitorowanie, raportowanie, audyt Systemy, aplikacje, bazy danych, stacje robocze
Co oferuje Quest One? Zapewnia przejrzystość dostępów użytkowników do krytycznych danych biznesowych, automatyzuje provisioning i wymusza kontrolę dostępu. Zarządzanie dostępem Zarządza z jednego miejsca kontami użytkowników uprzywilejowanych i dostarcza granularną kontrolę uprawnień administracyjnych. Zarządzanie użytkownikami uprzywilejowanymi Upraszcza środowisko i obsługę użytkowników za pomocą mechanizmu zarządzania kontami z jednego miejsca. Administracja tożsamością Kontroluje aktywności użytkowników na podstawie przydzielonych dostępów Monitorowanie aktywności użytkowników
Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO Zarządzanie AD, migracje i koegzystencja środowisk
Quest - liderem w kwadracie Gartnera
Quest Software liderem innowacji KuppingerCole Leadership Compass Identity Provisioning
Zalety rozwiązania Quest One Zarządzanie dostępem Proste rozwiązanie Szybkie wyniki wdrożenia Zarządzanie użytkownikami uprzywilejowanymi N Napędzane i zorientowane na biznes Administracja tożsamością Specjalistyczne i zintegrowane moduły Granularna kontrola dostępu Monitorowanie aktywności użytkowników
Zarządzanie tożsamością i dostępem realizacja od strony technicznej
Różne potrzeby wymagają różnego podejścia Podejście taktyczne (techniczne) Typ klienta o profilu IT Posiada konkretne wyzwania techniczne W środowisku AD- centrycznym Podejście strategiczne (biznesowe) Typ klienta o profilu biznesowym Szef, dyrektor finansowy, audytor/oficer bezpieczeństwa Posiada ogólne wyzwania biznesowe Nie jest szczególnie zainteresowany podstawowymi aspektami technicznymi i ich problemami..
Quest One podejście taktyczne AD-centryczne wykorzystujemy istniejącą infrastrukturę Narzędzia techniczne dla pracowników technicznych Może występować jako uzupełnienie dla istniejących projektów IAM Krótki czas wdrożenia Łatwe i proste dostosowywanie
Wykorzystujemy MS Active Directory Auth. Roles Access
Dodajemy serwery UNIX i Linux Auth. Roles Access Auth. Roles Access Auth. Roles Access
Dodajemy Macintosh i aplikacje Java Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Access Access Access Access Access
Integrujemy SAP i bazy danych Auth. Auth. Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Roles Roles Access Access Access Access Access Access Access
Kończymy na Mainframe ach i chmurze Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Auth. Roles Roles Roles Roles Roles Roles Roles Roles Roles Roles Access Access Access Access Access Access Access Access Access Access
Integrujemy systemy w AD Auth. Auth. Auth. Auth. Roles Roles Roles Roles Access Access Access Access
Integrujemy systemy w AD Auth. Auth. Auth. Auth. Roles Roles Roles Roles Access Access Access Access
Lecz co z innymi systemami? Auth. Auth. Auth. Auth. Roles Roles Roles Roles Access Access Access Access
Konsolidacja i zarządzanie z jednego punktu Directory Content Management & Provisioning
ActiveRoles Server moduł zarządzający
Polityki provisioningu w AD i poza Location, Unique Logon Generation, Strong Password Generation, Remote Access Location, NTFS permissions, Share permissions Controlled Store Selection, Alias Generation Access Control / Email Distribution Lists Cross Platform for non AD Integrated Linux/Unix/Java Enabled Create Configure Centralized Provisioning Manual Other Identity Manager Managers, HR and Support Inform
Polityki de-provisioningu w AD i poza Disable Account, Set/Clear Attributes, Move to Recycle Bin and Schedule for Deletion in 60-90 Revoke Access, assign permissions to Managers/Admins Assign Self, Hide from GAL, permissions for Mgr/Admins Remove and Record Security and Distribution Group Memberships Initiate Cross Platform Deprovisioning Linux/Unix/Java Disable Lockdown Configure Deprovision ADLDS Manual Other Identity Manager Managers, HR and Support Inform
Quest One podejście strategiczne Niezależne od platformy wykorzystuje metakatalog Narzędzie biznesowe, do użytku przez ludzi biznesu Dostarczanie analiz biznesowych, takich jak Jacy pracownicy pracują w firmie? Co robią? Jakie dane mogą zobaczyć? Jakie uprawnienia posiadają? Co zrobili? Ile kosztują firmę?
3 Quest One Identity Manager - ukierunkowany na zarządzanie i kontrolę dostępem Oferuje kompleksowe zarządzanie tożsamością, zbudowane od podstaw jako pojedyncze rozwiązanie wykorzystujące podejście modelowe. Kadry Controling Biznes Bezpieczeństwo Regulacje wewnętrzne i zewnętrzne Monitorowanie, raportowanie, audyt Systemy, aplikacje, bazy danych, stacje robocze
Identity Manager główne cechy Jedno centralne repozytorium ze spójnym modelem danych Minimalizuje trud potrzebny na implementacje Oferuje kompleksowe bezpieczeństwo danych Wszystkie funkcjonalności w produkcie Zarządzanie tożsamościami i rolami Szczegółowy provisioning zapewniony konektorami lub aplikacją Quest Quick Connect Web IT Shop & Workflows Wykorzystanie podziału obowiązków Ponad 1,100 gotowych workfow z pudełka Rozliczanie usług IT Integracja z Help desk i inne
Identity Manager główne cechy c.d. Role są głównym kodem Identity Manager a Model zarządzania uprawnieniami oparty o RBAC Wewnętrzne bezpieczeństwo zdefiniowane za pomocą ról Oferuje narzędzie do analizy i konstruowania ról Fachowe narzędzia wykorzystywane do: Przenoszenia konfiguracji ustawień testowych bezpośrednio na produkcję Zarządzania zmianami Transportu ustawień między środowiskami lab i prod Skalowalność dostępna z pudełka Elastyczna architektura systemu Wielolokacyjność Wsparcie dla wielojęzyczności
Narzędzie zaprojektowane do analizy biznesowej Warstwa obiektowa Metakatalog Inne katalogi Metakatalogi miały na celu przezwyciężyć wady LDAP Quest One Identity Manager przeznaczony jest do pokonania wad metakatalogów Obiektowy, model podejścia od podstaw Obiekty są samozarządzalne Obiekty reagują na dane Obiekty są inteligentne
Pozwala użytkownikom i współpracownikom pracować w sposób inteligentny Użytkownicy końcowi mogą sprawdzać zgodność własnych wniosków Menedżerowie mogą zobaczyć status zadań IAM i procesów w jednym miejscu Administratorzy mogą kontrolować stan systemu, zgodnie z kontrolą zmian ITIL Projektanci mogą zobaczyć efekty swoich zmian przed wprowadzeniem ich w produkcję
Wydajna praca użytkowników i współpracowników Użytkownik klika "check", aby sprawdzić zgodność z politykami. Opcja może być ukryta lub pokazana na podstawie przynależności do ról lub poprzez reguły.
Wydajna praca użytkowników i współpracowników Menedżerowie mogą łatwo znaleźć ogólne i szczegółowe informacje na temat stanu zgłoszeń i procesów w systemie
Wydajna praca użytkowników i współpracowników Menedżerowie mogą łatwo zobaczyć wszystkie uprawnienia pracownika w jednym przejrzystym widoku
Workflow tworzony w interfejsie graficznym (GUI) Tworzenie workflow jest w pełni zintegrowane z GUI, niezależnie od złożoności przepływu pracy. Przepływy pracy mogą się rozgałęziać, wyzwalać inne, wyzwalać inne zadania wykonywane w połączonych systemach, lub wracać do punktu wejścia lub innych. Wszystko co dzieje się w systemie może być kontrolowane poprzez workflow.
Reguły tworzone w interfejsie graficznym (GUI) Rules are also GUI driven. They are built up step by step. Rule designers can test each step and the overall rule as they go. Since each rule Reguły są także tworzone w GUI. Są one is making an exclusive set, the resulting rule budowane krok po kroku. Projektanci reguł base is guaranteed to be conflict free. mogą przetestować każdy krok i ogólną zasadę działania. Ponieważ każda reguła wykonuje własny zestaw akcji, wynikowa baza reguł daje gwarancję wykonania bez konfliktów.
Web IT-Shop zaprojektowany dla biznesu
Koszyk w portalu Self-service
Widoki i ekrany na dane w postaci Dashboard ów
Atestacja
Dostępne konektory do innych systemów Z pudełka Quest One Identity Manager : Active Directory (2000, 2003, 2008) Microsoft Office SharePoint Server (2007, 2010) Microsoft Exchange (2000, 2007, 2010) Windows NT & LanManager based systems LDAP v.3 compatible directories AD LDS (Formerly ADAM) Novell edirectory Sun One CriticalPath IBM OpenLDAP Lotus Notes (Version 4.5 and later) SAP R/3 (Version 4.6 and later) Generic Connectors Delimited text file ODBC, ADO.NET for SQL Server, Oracle, DB2 SPML 2.0 XML files Web Services FIM 2010, ILM 2007 Dostępne przez produkt Quick Connect for Base Systems: Active Directory Microsoft Office SharePoint Server AD LDS (Formerly ADAM) Delimited text file ILM 2007 LDAP Directory Microsoft SQL Server Novell OLE DB Oracle Sun One SPML 2.0 Quick Connect for Exchange Resource Forests Quick Connect for Lotus Notes Quick Connect for Mainframes (RACF) Quick Connect for Online Services Google Apps Postini Quick Connect for SAP Solutions Quick Connect for PeopleSoft
Architektura portalu IT-Shop
Quest One Identity Manager - podsumowanie Usprawnia proces zarządzania dostępem i tożsamością użytkowników, ich przywilejami i bezpieczeństwem w całym przedsiębiorstwie Przenosi zarządzanie użytkownikami i kontrolę dostępu z dala od IT kierując obowiązki w stronę biznesu Upraszcza główne zadania systemu zarządzania tożsamością i dostępem (IAM) do ułamka złożoności, czasu lub kosztów związanych z "tradycyjnymi" rozwiązaniami klasy framework. 50
Jakie są korzyści ze stosowania Quest One Identity Manager a? Szybka implementacja 2 10 razy szybsza niż inni dostawcy oprogramowania IAM Brak konieczności tworzenia kodu lub skomplikowanej kastomizacji Więcej funkcji w jednym produkcie niż w jakakolwiek innym Dostępny z pudełka framwork do zarządzania Predefiniowane workflowy biznesowe oraz procesy Gotowy do wdrożenia Sklepu Webowego Wbudowane konektory wystarczy je skonfigurować Raportowanie Audytowanie
Zarządzanie uprzywilejowanymi użytkownikami http://wm.quest.com http://www.quest-pol.com.pl
Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Kompletne zarządzanie tożsamością i dostępem Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń
Privileged Account Management opis cech Quest TPAM Suite Privileged Passwords Kontroluje i audytuje wykorzystanie współdzielonych haseł administracyjnych Rozwiązuje problemy z wbudowanymi hasłami uprzywilejowanych kont w skryptach oraz aplikacjach Dodaje prosty mechanizm zezwoleń dla kontroli i audytu haseł uprzywilejowanych użytkowników Bezpieczne odporne na ataki urządzenie, skalowalne, architektura HA Privileged Sessions Rozwiązuje problemy z monitorowaniem i nagrywaniem czynności wykonywanych przez uprzywilejowanych użytkowników Zapewnia proste rozwiązanie do kontroli zdalnego dostępu dostawców/serwisantów do uprzywilejowanych kont W połączeniu z Privileged Password Manager em zwiększa bezpieczeństwo i ukrywa hasło dla uprzywilejowanego konta użytkownika Privileged Delegation Zgodne z regulacjami zewnętrznymi Zmniejsza koszty operacyjne i zwiększa bezpieczeństwa poprzez delegowanie w oparciu o role Eliminuje potrzebę korzystania z uprzywilejowanych kont w codziennej administracji Rozszerza i wzmacnia wykorzystanie SUDO Podwyższa bezpieczeństwo użycia określonych aplikacji, procesów, plików, formantów ActiveX, instalatorów aplikacji
Jak to wygląda i działa?
Privilege Access Management (PAM) Pakiet produktów do kontroli bezpieczeństwa i zgodności Compliance Modułowa konstrukcja pozwala na elastyczność rozbudowy: Wersja startowa posiada moduły podstawowe Dostępne dodatkowe moduły, dostosowane do potrzeb klienta Dostarczane jako specjalnie zaprojektowane bezpieczne urządzenie
Privileged Password oraz Session Manager Rozwiązanie pozwalające spełniać wymogi bezpieczeństwa i Compliance w odniesieniu do: Zarządzania kontami współdzielonymi oraz hasłami kont usług Kontroli dostępu zewnętrznych dostawców Kontroli dostępu programistów do środowiska produkcyjnego Kontroli najbardziej uprawnionych kont użytkowników - Super-User Privilege Management (SUPM) Sprawdzone rozwiązanie, wdrożone we wszystkich sektorach rynku Ponad 450 instalacji na całym Świecie, w tym: 4 z 10 największych firm listy Forbes 3 z 5 największych instytucji finansowych Wiodących firmach z branży przemysłowej, finansowej, usługowej, telekomunikacyjnej, farmaceutycznej/chemicznej, służby zdrowia orz innych.. Nagradzany produkt - SC Awards 2010 Best Regulatory Compliance Solution
Privileged Password Management - Problemy i wyzwania W odróżnieniu od zwykłych kont użytkowników, nie posiadają indywidualnego powiązania Np. konta typu: Root, administrator, DBA, itp. W wielu przypadkach posiadają domyślne hasła Uprzywilejowane konta istnieją w każdym systemie, urządzeniu sieciowym, bazie danych itp. Uprzywilejowane konta posiadają nieograniczony DOSTĘP oraz MOŻLIWOŚCI W wielu przypadkach posiadają pełny dostęp do systemu oraz pełną kontrolę Uprawnienia zmian w konfiguracji i ustawień audytu Wyzwania w audycie bezpieczeństwa i regulacji Compliance Zarządzanie uprzywilejowanymi/współdzielonymi/serwisowymi/aplikacyjnymi kontami wymusza stosowanie rozszerzonego zakresu audytu Coś co było stosowne wczoraj NIE jest stosowne dzisiaj
Privileged Password Manager Pełne zarządzanie cyklem aktywności użytkowników Bezpieczne przechowywanie informacji (szyfrowanie AES 256) Podwójne lub szersze mechanizmy kontroli Ostatnio użyte konto oraz umożliwienie aktywności w zadanym okresie czasu Dostarczane jako zabezpieczone urządzenie Wdrożenie w 100% bez instalacji oprogramowania na urządzeniach/serwerach klienckich Brak konsol, szyfrowany cały dysk, zapora sieciowa Integracja typu Enterprise: Integracja z AD Integracja z CMDB Integracja z systemem zgłoszeń Integracja z rozwiązaniami do autentykacji: Defender AD/LDAP Radius Secure ID Safeword Zdefiniowane role do aplikacji dla kont
Privileged Session Management - Problemy i wyzwania Wymogi Compliance często wymuszają potrzebę dowiedzenia się Jaka aktywność była wykonana podczas uprzywilejowanego lub wrażliwego dostępu- realizowanego przez: Zdalnych producentów aplikacji? Wynajętych usługodawców? Deweloperów uzyskujących dostęp do systemów produkcyjnych? Gaszenie pożarów? Użytkowników lub administratorów uzyskujących dostęp do wrażliwych zasobów lub aplikacji (serwery Finansowych/ Sox, HR, itp.) Poszczególne dostępy wymagają większej kontroli i audytu Potrzeba ograniczenia bezpośredniego dostępu do zasobów
Privileged Session Manager Podwójna kontrola procesu autoryzacji Mechanizm akceptacji oraz żądania o dostęp PEŁNE nagrywanie sesji i komend Każde naciśniecie klawisza, poruszenie wskaźnika myszy, uruchomienie aplikacji, KAŻDA AKTYWNOŚĆ Monitorowanie Real-time sesji Podgląd aktywnych sesji Odgrywanie sesji w formacie DVR Szczegółowe odgrywanie aktywności użytkownika Wykorzystywane do ograniczenia bezpośredniego dostępu do zasobów
Architektura
Wdrożenie scentralizowane
Wdrożenie rozproszone
Workflow żądanie hasła Wywołanie żądania o hasło Wprowadzenie Daty/Czasu/Długości trwania /Powddu wnioskowania o hasło Pole na podanie numeru zgłoszenia (opcjonalne). Może być aktywne lub pasywne. Filtowanie i wybieranie kont(a) Pobierania hasła
Workflow mały ekran (smartfon) Link do inicjacji hasła Wprowadzenie numeru zgłoszenia (jeśli wymagane) oraz zatwierdzenie otrzymania hasła. Filtrowanie po wniosku lub wybranie widoku ostatnich Wyświetlane hasło na smartfonie. Wybranie Quick Request automatycznie zatwierdza żądanie z domyślnym powodem Request from mobile device * Small screen support configured on a per user basis
TPAM/PPM: Pokaz funkcjonalności
Workflow żądanie dostępu do sesji Prośba o sesję połączeniową. Wprowadź datę/czas/długość trwania sesji. Można również prosić o sesje zaplanowaną w przyszłości. Wybierz z listy systemów i kont określonego użytkownika, do którego masz uprawnienia. Po akceptacji połączenia wciskamy CONNECT!
Workflow żądanie dostępu do sesji Użytkownik łączy się i wykonuje zadania Sesja może być skonfigurowana dla interaktywnego lub automatycznego logowania Każde działanie w systemie docelowym jest rejestrowane Jeśli sesja wykracza poza zadany okres czasu, przesyłane są konfigurowalne powiadomienia o przekroczeniu sesji Utworzone połączenie proxy na wybranym systemie oraz koncie Aktywne sesje mogą być ręcznie wyłączane przez upoważnionych administratorów
Workflow odgrywanie sesji Nagrania z sesji są przechowywane lokalnie lub mogą być automatycznie archiwizowane. Przechowywane sesje mogą być wyszukiwane na podstawie daty, komendy, systemu, konta, użytkownika i/lub numeru zgłoszenia. Wybrana i zaznaczona sesja zostaje zwrócona i jest dostępna do obejrzenia.
Workflow odgrywanie sesji Cała aktywność z sesji jest nagrywana oraz dostępna do odtworzenia za pomocą paska przewijania/kontroli nagrania. Nagrania nie są plikami AVI rozmiar nagrania jest mały i jest kompresowany. Zapisywana jest także aktywność użytkownika w formacie logu sesji i można przeszukiwać wykowane komendy przez użytkownika. Format nagrania w DVR pozwala kontrolować nagraną sesję.
TPAM/PSM: Pokaz funkcjonalności
Workflow Command Management Komendy są dodane za pomocą narzędzia Privileged Command Management Tool.
Workflow Command Limited Session Ten sam workflow jak dla żądania o sesję. Ten sam workflow jak dla żądania o sesję.
Workflow Command Limited Session Sesja realizowana jest na docelowym systemie/koncie (Windows A3/e22egp) przez moduł PCM. Sesja użytkownika jest ustanowiona tylko dla określonej komendy. W tym przypadku dla użytkownika odpalona została konsola zarządzania komputerem. Użytkownik nie ma dostępu do innych komend, menu itp. w zalogowanym systemie. Sesja jest tylko dostępna w kontekście udostępnionej komendy (np. Zarządzanie komputerem). W sytuacji, kiedy użytkownik zamknie komendę, sesja zostanie automatycznie zakończona.
Ulepszenia w module Quest One Privileged Session Manager (PSM) Kontrola sesji, audyt, rejestracja komend, użytkowników uzyskujących dostęp do systemów np. zewnętrznych konsultantów, administratorów czy użytkowników z podwyższonymi uprawnieniami. Dostarcza pojedynczy punkt kontroli i audytu działalności w/w użytkowników. Rejestracja zdarzeń w sesji. Umożliwia o wiele bardziej granularną i szczegółową kontrolę. Pozwala na przeszukiwanie zdarzeń z zarejestrowanej sesji. Dodano możliwość oznaczanie zdarzeń / fragmentów sesji. Rejestracja zdarzeń umożliwia zbieranie informacji o próbach uruchomienia zabronionego polecenia. Po wykryciu takiego zdarzenia TPAM może wykonać określoną akcję np. wysłanie powiadomienia lub zakończenie sesji.
Ulepszenia w module Quest One Privilege Command Management (PCM) W wersjach wcześniejszych moduł PCM był dostępny jako oddzielny komponent. W wersji 2.5 został włączony do licencji PSM. Dodane przechwytywanie zdarzeń - rejestracja zdarzeń w trakcie trwania sesji (dostępny jest log z sesji) Logi sesji zawierają również liczbę powtarzających się zdarzeń.
Użycie przez użytkownika zabronionych komend Dodano nowy profil (ang. Restricted Commands Profile) w celu wyłączenia możliwości uruchomienia konkretnego polecenia / zadania Rejestracja kliknięć w klawiaturę (ang. keystrokes ), umożliwia monitoring i rejestrację wpisywanych poleceń przez użytkownika podczas sesji. Keystroke jest zapisywany w logu i możliwe jest jego przeszukanie w celu wyszukania konkretnego ciągu znaków.
Monitorowanie użytkowników i audyt http://wm.quest.com http://www.quest-pol.com.pl
Kompletne zarządzanie tożsamością i dostępem Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Kompletne zarządzanie tożsamością i dostępem Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Quest ChangeAuditor W czasie rzeczywistym, skonsolidowany audyt zmian dla: AD, LDAP, Exchange, SharePoint, SQL, serwerów plików Windows, VMware, NetApp, EMC, rejestrów sys., usług, lokalnych grup i użytkowników. Umożliwia kompleksowy audyt zmian w przedsiębiorstwie z intuicyjnego klienta. Sortowanie, grupowanie, filtrowanie i wykresy online. Zapewnia bezp. i zgodną infrastrukturę poprzez śledzenie zmian w czasie rzeczywistym, rejestrując pochodzenie zdarzenia, jak również wartości przed i po. Wzmacnia system kontroli wewnętrznej poprzez ochronę obiektu i wgląd zarówno zmian autoryzowanych i nieautoryzowanych.
ChangeAuditor własny audyt zmian ChangeAuditor jest rozwiązaniem oferującym kompleksowe zarządzanie zmianami, raportowanie, zabezpieczanie aktywności użytkowników oraz powiadamianie o zdarzeniach na systemach Windows - Active Directory, LDAP, ADLDS, Windows File Servers, SQL, Exchange, SharePoint, VMWare, EMC oraz NetApp. Dostarcza informacje: Kto (Who ) wykonał zmianę? Co (What ) zostało zmienione (wartość przed i po)? Gdzie (Where ) zmiana została wykonana? Kiedy (When ) zmiana została wykonana? Dlaczego (Why) wykonano zmianą? (komentarz) Inteligentne alarmy Adres (Workstation) skąd zmiana była wykonana?
Quest InTrust Kolekcjonowanie, przechowywanie oraz raportowanie logów w trybie rzeczywistym z całej infrastruktury MS oraz Unix. InTrust raportuje logi, które dotyczą naszej polityki bezpieczeństwa, dobrych praktyk lub awarii systemów oraz aplikacji
Cechy ChangeAuditor a i InTrust - porównanie ChangeAuditor Zmniejsza złożoność i koszty zarządzania dziennikiem zdarzeń. Szczegółowy audyt dla Active Directory, Exchange, serwerów plików Windows, SharePoint, VMware i innych. Ochrona przed niechcianymi lub nieplanowanymi zmianami w Active Directory, Exchange oraz systemie plików Windows Natychmiastowy wgląd do wszystkich zmian zachodzących w środowisku IT. Interaktywna analiza zmian wraz z ich wbudowanym grupowaniem, sortowaniem, filtrowaniem i możliwościami tworzenia wykresów. Oferuje panele dostępne przez WWW prezentujące statystyki zmian dla kadry zarządzającej i audytorów. Inteligentne powiadamianie dla poszczególnych zdarzeń na podstawie wzorców. InTrust Gromadzenie, przechowywanie, raportowanie i powiadamianie z natywnych logów Windows wraz z rejestrowaniem logowań i wylogowań użytkowników na serwerach Windows i stacjach roboczych. Długoterminowe archiwizowanie logów dla zdarzeń Windows oraz ChangeAuditor a (wartościowe dane z kilku lat) Szczegółowa analiza aktywności użytkowników w całej sieci przedsiębiorstwa. Szerokie wsparcie dla systemów heterogenicznych, aplikacji i urządzeń. Zaplanowane w czasie wykonywanie raportów ze strony WWW wraz z elastycznymi możliwościami ich dostarczania. Natychmiastowa korelacja zdarzeń i wykonywanie automatycznych akcji.
Defender dwuskładnikowe uwierzytelnianie
Przypadki użycia Defender
Quest Webthority bezpieczny zdalny dostęp
Tokeny Defender a Szeroki zakres tokenów Tokeny sprzętowe są dobre dla ich całego życia baterii (5-7 lat) Tokeny programowe nigdy nie wygasa Każdy użytkownik może mieć więcej niż jeden token Kilka tokenów sprzętowych może być przyporządkowane do więcej niż jednego użytkownika Aplikacja Helpdesk dla tokenów Wsparcie dla każdego innego tokena sprzętowego zgodnego z OATH
Przykładowi klienci
Przykładowi klienci c.d.
Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów