KRÓTKI OPIS ROZWIĄZANIA CA CloudMinder Jak uzyskać funkcje zarządzania tożsamościami i dostępem jako usługę w chmurze? agility made possible
Rozwiązanie CA CloudMinder udostępnia funkcje zarządzania tożsamościami i dostępem jako hostowaną usługę w chmurze. Umożliwia to szybkie uzyskanie zabezpieczeń bez konieczności wdrażania i utrzymywania dużej infrastruktury informatycznej zwykle związanej z zabezpieczeniami w przedsiębiorstwie. 2
Podsumowanie Wyzwanie Firmy i organizacje działają pod presją rynku. Ich działy informatyczne muszą pilnie wykonywać wiele zadań przy minimalizacji kosztów i infrastruktury, a pozostałe działy oczekują od nich pomocy w zachowaniu sprawności pozwalającej na optymalne wykorzystanie szans rynkowych. Tymczasem zapewnienie bezpieczeństwa staje się coraz większym wyzwaniem z uwagi na nieustannie rosnącą liczbę użytkowników, aplikacji i metod dostępu oraz ich nasilające się zróżnicowanie. Wiele firm zadaje sobie pytanie: Jak zachować elastyczność, a zarazem zminimalizować zagrożenia związane z bezpieczeństwem?. Szansa Chmura powoduje zmianę podejścia do oprogramowania korporacyjnego, ponieważ daje możliwość przeniesienia poza firmę infrastruktury i podstawowej obsługi towarzyszącej wdrożeniom. Jeśli organizacje mogą pominąć proces uzyskania sprzętu i infrastruktury, instalowania i konfigurowania oprogramowania oraz wdrażania poprawek i aktualizacji, ich pracownicy mogą się skupić na realizowaniu kluczowych zadań, które decydują o wyjątkowości firmy. Korzyści Połączenie korzyści operacyjnych modelu wdrożenia w chmurze z funkcjami zabezpieczeń klasy korporacyjnej zapewnia optymalne efekty. Organizacje mogą szybko wdrożyć elastyczne usługi zabezpieczeń, zachowując niezbędną kontrolę nad użytkownikami oraz ich dostępem do chmury i aplikacji lokalnych (w siedzibie firmy). 3
Część 1. Wyzwanie Jak zwiększyć sprawność biznesową i przyspieszyć uzyskiwanie korzyści Niektóre wyzwania w zakresie zarządzania tożsamościami i dostępem w organizacjach nie zmieniły się w ciągu kilku ostatnich lat. Liczba i zróżnicowanie użytkowników korzystających z infrastruktury informatycznej są coraz większe. Przybywa także metod i warunków interakcji użytkowników z witrynami sieci Web, aplikacjami i serwerami organizacji, a infrastruktura informatyczna coraz częściej musi zapewniać bezpieczną obsługę poufnych danych i transakcji. Podsumowując, przed organizacjami stoi wyzwanie uzyskania kontroli nad tożsamościami użytkowników, ich dostępem oraz informacjami, z których korzystają. Z drugiej strony, infrastruktura informatyczna ulega gruntownym przekształceniom, co ma wpływ na wymagania oraz strategie związane z zarządzaniem tożsamościami i dostępem. Zapotrzebowanie na zwiększenie efektywności operacji IT jest większe niż kiedykolwiek. Rynki zmieniają się gwałtownie, a wielkim wyzwaniem dla firm jest utrzymanie sprawności umożliwiającej odpowiednie reagowanie na te zmiany. Granice organizacyjne są definiowane coraz mniej ściśle, a takie uzewnętrznienie firm lub zatarcie wyraźnych granic oznacza nowe czynniki, które należy wziąć pod uwagę w zakresie zabezpieczeń. Chmura Tradycyjny model wdrażania oprogramowania w firmie polegał na zainstalowaniu i skonfigurowaniu rozwiązań lokalnych oraz zarządzaniu nimi w siedzibie firmy, często pod kontrolą działu IT. Jednak korzyści w postaci sprawności działania i efektywności coraz częściej skłaniają firmy do rozważenia podejścia alternatywnego, czyli modelu wdrożenia w chmurze. Jeśli zaufany dostawca wdroży potrzebne oprogramowanie na niezbędnym sprzęcie, korzystając z odpowiednich zasobów sieciowych oraz infrastruktury, organizacja może zyskać oszczędności na bieżących kosztach ogólnych oraz przyspieszyć implementację rozwiązania. Czynnikiem hamującym rozpowszechnianie się rozwiązań w chmurze są obawy o bezpieczeństwo znajdujących się w niej aplikacji i informacji. Jednak dostawcy hostingu w chmurze rozwiewają te obawy, zapewniając bezpieczne środowiska wielodostępne, w których dane i systemy poszczególnych organizacji są rozdzielone oraz podlegają inspekcji. Każda organizacja musi odpowiednio wyważyć poszczególne czynniki wiele firm odkrywa, że wymagania biznesowe dotyczące sprawnej działalności są znacznie istotniejsze niż coraz mniej uzasadnione obawy związane z bezpieczeństwem. Przyjęcie technologii przetwarzania w chmurze nie jest propozycją typu wszystko albo nic i rzeczywistość w każdej organizacji jest inna. Firmy, które nie mają infrastruktury zabezpieczeń, dzięki chmurze zyskują możliwość poznania korzyści wynikających z zarządzania tożsamościami i dostępem na poziomie korporacyjnym. Natomiast organizacje posiadające rozbudowane zasoby informatyczne i przechowujące dane poufne mogą zdecydować się na zachowanie wewnętrznej kontroli nad aplikacjami zabezpieczeń. Nierzadko najlepszym wyjściem jest pośredni model hybrydowy zachowanie niektórych rozwiązań zabezpieczających lokalnie w firmie, zastosowanie wybranych nowych technologii w chmurze oraz stopniowe przechodzenie na nowy system, jeśli przyjęty model się sprawdza. Niezależnie od obranego kierunku, wartości oferowane przez technologię chmury są warte rozważenia w większości organizacji. 4
Część 2. Rozwiązanie Rozwiązanie CA CloudMinder zapewnia hostowane usługi zabezpieczeń Rozwiązanie CA CloudMinder udostępnia zestaw zaawansowanych funkcji zarządzania tożsamościami i dostępem jako hostowaną usługę w chmurze. Usługi te są oparte na istniejącej ofercie firmy CA Technologies, która dostarcza najlepsze na rynku rozwiązania z zakresu zarządzania tożsamościami i dostępem. Infrastruktura usług CA CloudMinder jest ponadto hostowana, monitorowana i obsługiwana przez firmę CA Technologies w systemie całodobowym, siedem dni w tygodniu, przez cały rok (24x7x365). Usługi te mogą działać niezależnie, ale współdziałają też z lokalnymi wdrożeniami rozwiązań zabezpieczających w ramach hybrydowej strategii przyjmowania technologii chmury. CA AuthMinder as-a-service Metoda uwierzytelniania stosowana do identyfikacji użytkowników i potwierdzania ich tożsamości to drzwi wejściowe do wielu aplikacji. Wiele organizacji korzysta z różnych zestawów aplikacji o odmiennych poziomach poufności, więc zarządzanie wieloma metodami uwierzytelniania może być trudne. Rozwiązanie CA AuthMinder as-a-service udostępnia uniwersalną, scentralizowaną usługę uwierzytelniania, która konsoliduje zarządzanie metodami uwierzytelniania w heterogenicznych środowiskach informatycznych. Usługa ta obsługuje szeroki wachlarz metod uwierzytelniania, między innymi hasła, pytania i odpowiedzi, hasła jednorazowe przesyłane za pośrednictwem wiadomości SMS/e-mail oraz tokeny OATH. Ponadto udostępnia kilka unikatowych poświadczeń do uwierzytelniania dwuelementowego, które są bardziej opłacalne i łatwiejsze w obsłudze niż metody tradycyjne: CA ArcotID identyfikator CA ArcotID to bezpieczne poświadczenie programowe przypisane jednoznacznie do danego użytkownika. Połączenie hasła użytkownika i identyfikatora CA ArcotID umożliwia stosowanie uwierzytelniania dwuelementowego, które chroni przed atakami typu bruteforce (tzw. siłowym lub za pomocą algorytmu siłowego) oraz man-in-the-middle (przez pośrednika). Metoda ta jest transparentna dla użytkowników, więc nie trzeba zmieniać sposobu logowania, do którego są przyzwyczajeni. CA ArcotOTP CA ArcotOTP to bezpieczny programowy generator haseł jednorazowych (OTP), który działa na większości urządzeń przenośnych, urządzeń PDA i komputerów. Rozwiązanie CA ArcotOTP zapewnia opatentowane funkcje ochrony kluczy i zabezpieczenie w formie uwierzytelniania za pomocą haseł jednorazowych bez konieczności noszenia przez użytkowników dodatkowych urządzeń. Rysunek A. Rozwiązanie CA AuthMinder as-a-service zapewnia scentralizowany przydział metod uwierzytelniania i zarządzanie nimi, w tym unikatowe opcje tokenu programowego 5
CA RiskMinder as-a-service Ryzyko oszustwa z wykorzystaniem skradzionej tożsamości wciąż rośnie, ponieważ intruzi często nielegalnie przejmują poświadczenia tożsamości w celu uzyskania dostępu do systemów z poufnymi danymi. Organizacje stale poszukują rozwiązania zapewniającego równowagę między odpowiednim poziomem bezpieczeństwa uwierzytelniania a wygodą użytkowników. Rozwiązanie CA RiskMinder as-a-service zapewnia ochronę przed oszustwami w sieci przez monitorowanie prób dostępu i obliczanie ryzyka na podstawie zestawu zmiennych. Wynik oceny ryzyka służy następnie do ustalenia, czy zezwolić na dostęp, czy też zainicjować dodatkowe działanie. Aparat reguł rozwiązanie CA RiskMinder as-a-service udostępnia programowalny aparat reguł, który może służyć do oceny wielu kryteriów transakcji i sesji, co pozwala na określenie poziomu ryzyka danego działania. Ocena ryzyka jest następnie odnoszona do predefiniowanego zestawu zasad organizacji w celu wyznaczenia zalecanej czynności. Możliwe wyniki obejmują zezwolenie na dostęp, zezwolenie na dostęp z wysłaniem alertu, odmowę dostępu lub wymaganie dodatkowego uwierzytelnienia. Aparat modelowania rozwiązanie CA RiskMinder as-a-service zawiera inteligentny aparat analityczny, który ocenia ryzyko na podstawie zdarzeń i sposobów działania z przeszłości. Aparat oceny jest oparty na technikach modelowania analitycznego. Do opracowania modeli wykorzystuje się analizę statystyczną danych dotyczących transakcji i oszustw. Stosowana jest analiza wielowymiarowa oraz techniki bayesowskie, tak by zwracany wynik był oparty na względnych wartościach wielu parametrów. Jeśli na przykład w 99% przypadków pracownik loguje się do systemu finansowego firmy z komputera biurowego w godzinach pracy, aparat przypisałby wysoki poziom ryzyka do próby uwierzytelnienia, która nastąpiłaby z nieznanego komputera w środku nocy. Zintegrowane uwierzytelnianie rozwiązania CA AuthMinder as-a-service i CA RiskMinder as-a- Service są ściśle zintegrowane, więc zapewniają solidną, zaawansowaną usługę uwierzytelniania. Jeśli na przykład użytkownik zainicjuje podejrzaną próbę dostępu, rozwiązanie CA RiskMinder as-a-service pozwoli ocenić ryzyko i wywołać zasadę, która wymaga dodatkowego uwierzytelnienia. Rozwiązanie CA AuthMinder as-a-service może następnie bezproblemowo wymusić wymaganą metodę uwierzytelniania i określić powodzenie lub niepowodzenie próby dostępu. 6
CA FedMinder as-a-service Granice biznesowe szybko przesuwają się poza domeny IT kontrolowane przez daną organizację, ponieważ użytkownicy regularnie potrzebują dostępu do aplikacji partnerów lub aplikacji hostowanych w chmurze. Wiele z tych witryn jest zabezpieczonych i wymaga odpowiednich poświadczeń oraz uwierzytelniania, jednak użytkownicy nie chcą trudzić się zarządzaniem oddzielnymi zestawami poświadczeń do różnych aplikacji. Najlepszym rozwiązaniem jest bezproblemowe logowanie jednokrotne, niezależne od rzeczywistego właściciela aplikacji. Federacyjne logowanie jednokrotne rozwiązanie CA FedMinder as-a-service udostępnia mechanizm logowania jednokrotnego w wielu domenach zarówno w przypadku dostawców tożsamości, jak i dostawców usług. Jest to usługa oparta na standardach, która wykorzystuje protokół SAML (Security Assertion Markup Language) 1.1 i 2.0 w celu ułatwienia wdrożenia mechanizmu federacyjnego w różnego rodzaju partnerskich witrynach sieci Web. Po prawidłowym uwierzytelnieniu użytkownika jego poświadczenia i powiązane atrybuty są bezpiecznie udostępniane w celu umożliwienia uwierzytelnienia w witrynach partnerów bez konieczności działania użytkownika. Obsługa administracyjna w trybie JIT rozwiązania CA FedMinder as-a-service i CA IdentityMinder as-a-service zapewniają obsługę administracyjną w trybie JIT (Just-in-Time). Obsługa administracyjna w trybie JIT umożliwia użytkownikom, którzy nie mają konta w danej aplikacji, bezproblemowe utworzenie konta i logowanie jednokrotne w jednym kroku. Obejmuje to wykorzystanie skojarzenia użytkownika z daną grupą lub rolą w celu przypisania mu odpowiednich uprawnień w systemach docelowych. Rysunek B. Rozwiązanie CA FedMinder as-a-service udostępnia oparte na standardach funkcje federacji tożsamości i logowania jednokrotnego 7
CA IdentityMinder as-a-service Coraz większa liczba użytkowników i systemów, do których wymagają oni dostępu, przekłada się na konieczność zarządzania rosnącą liczbą tożsamości cyfrowych. Zarządzanie tożsamościami przez cały cykl ich życia obejmuje wiele aspektów, w tym tworzenie kont, przydzielanie praw dostępu, obsługę żądań dostępu i zarządzanie powiązanymi atrybutami tożsamości. Organizacje wymagają rozwiązania, które umożliwia scentralizowane gromadzenie tożsamości i sterowanie ich użyciem w całym środowisku informatycznym oraz w chmurze. Zarządzanie użytkownikami wiele organizacji ma klientów i partnerów zainteresowanych możliwością współpracy lub dostępem do portali w trybie online. Rozwiązanie CA IdentityMinder as-a-service można zintegrować z tymi aplikacjami, aby zapewnić zarządzanie tożsamościami oparte na chmurze, które obejmuje samoobsługę użytkowników, tworzenie profili, resetowanie haseł i dystrybucję zapomnianych nazw użytkowników. Obsługa administracyjna rozwiązanie CA IdentityMinder as-a-service automatyzuje proces dodawania, modyfikowania i usuwania kont użytkowników, w tym obsługę atrybutów użytkowników i skojarzeń ról, które mogą być używane do przydziału uprawnień w systemach docelowych. Usługa ta ma zastosowanie do obsługi administracyjnej kont tak w chmurze, jak i aplikacjach lokalnych, a także w modelu hybrydowym obejmującym oba podejścia. Zarządzanie żądaniami dostępu kiedy użytkownik potrzebuje dostępu do aplikacji firmowych, zwykle zwraca się bezpośrednio do działu IT lub zespołu pomocy technicznej, co może być kosztowne i nieskuteczne. Rozwiązanie CA IdentityMinder as-a-service umożliwia użytkownikom wysyłanie żądań dostępu w trybie online. Usługa w chmurze może następnie przekazywać żądania za pośrednictwem przepływów pracy do zatwierdzenia na podstawie zdefiniowanych zasad, a odpowiednie przydziały użytkowników do systemów są wykonywane automatycznie. Rysunek C. Rozwiązanie CA IdentityMinder as-a-service zapewnia usługi dotyczące tożsamości dostępne na poziomie chmury, w tym obsługę administracyjną, zarządzanie użytkownikami i samoobsługę 8
Część 3. Korzyści Sprawne działanie w chmurze, bezpieczeństwo firmy Usługi zabezpieczeń w chmurze mogą przynieść firmie wiele ważnych korzyści: Elastyczność usługi związane z tożsamością mogą być rozwijane lub ograniczane w zależności od bieżących potrzeb organizacji. Ponadto modele licencjonowania w chmurze oznaczają, że płaci się tylko za usługi, które są używane. Niskie koszty wprowadzenia model oparty na chmurze eliminuje konieczność zakupu sprzętu, obiektów i innej kosztownej infrastruktury informatycznej, która często jest niezbędna do obsługi rozwiązań zabezpieczających w przedsiębiorstwie. Niskie koszty posiadania bieżąca obsługa i konserwacja jest prowadzona przez zaufanych dostawców usług, więc pracownicy mogą się skupić na inicjatywach, które wyróżniają daną firmę. Elastyczność modelu opartego na chmurze pozwala też na zachowanie kosztów na poziomie dokładnie odzwierciedlającym stopień wykorzystania usługi. Krótsze cykle wdrożeniowe instalacją i konfiguracją oprogramowania stanowiącego podstawy usług w chmurze zajmują się dostawcy usług, więc zamówienie oraz zaimplementowanie usług w firmie jest szybkie i proste. Część 4 Przewaga firmy CA Technologies nad konkurencją Usługi CA CloudMinder są oparte na wiodących rozwiązaniach z zakresu zarządzania tożsamościami i dostępem oferowanych przez firmę CA Technologies, w tym na produktach CA SiteMinder i CA Identity Manager. Rozwiązania te zostały sprawdzone w tysiącach wdrożeń u klientów na całym świecie, w wielu branżach, w firmach o różnej wielkości i w wielu modelach zastosowań. Połączenie sprawdzonych rozwiązań do zarządzania tożsamościami i dostępem z wygodą hostowanych usług w chmurze może zapewnić większą elastyczność, mniejsze koszty i szybsze efekty. Usługi CA CloudMinder zapewniające zaawansowane uwierzytelnianie, federację i zarządzanie tożsamościami umożliwiają organizacji zmniejszenie ryzyka związanego z bezpieczeństwem, a jednocześnie zwiększenie wygody użytkowników. Usługi CA CloudMinder są hostowane i nadzorowane przez dział pomocy technicznej firmy CA Technologies w systemie całodobowym, siedem dni w tygodniu, przez cały rok. Dzięki temu klienci mogą być pewni, że poszczególne produkty są wdrażane i obsługiwane przez ekspertów. Usługi CA CloudMinder można zastosować niezależnie lub zintegrować je z rozwiązaniami firmy CA Technologies do zarządzania tożsamościami i dostępem wdrożonymi lokalnie. Model oparty na chmurze oznacza, że klient ponosi koszty jedynie tych usług, które są potrzebne, jednocześnie zachowując możliwość rozszerzenia zakresu usług w miarę rosnących wymagań biznesowych. 9
Firma CA Technologies zajmuje się opracowywaniem oprogramowania i rozwiązań do zarządzania infrastrukturą informatyczną we wszystkich środowiskach, od systemów typu mainframe, rozproszonych i wirtualnych po przetwarzanie w chmurze. Firma CA Technologies zarządza środowiskami informatycznymi i zabezpiecza je. Dzięki niej klienci mogą świadczyć elastyczniejsze usługi informatyczne. Innowacyjne produkty i usługi firmy CA Technologies zapewniają uzyskanie informacji i kontroli, których organizacje IT potrzebują w celu utrzymania sprawnej działalności biznesowej. Większość firm z listy Global Fortune 500 używa rozwiązań firmy CA Technologies do zarządzania swoimi rozwijającymi się ekosystemami IT. Dodatkowe informacje można znaleźć w witrynie firmy CA Technologies pod adresem ca.com. Copyright 2011 CA. Wszelkie prawa zastrzeżone. Wszelkie znaki towarowe, nazwy towarowe, znaki usługowe oraz logo wymienione w niniejszym dokumencie stanowią własność odpowiednich firm. Ten dokument służy wyłącznie do celów informacyjnych. Firma CA nie przyjmuje na siebie żadnej odpowiedzialności za dokładność i kompletność informacji. W zakresie dozwolonym przez obowiązujące prawo firma CA udostępnia niniejszy dokument w stanie, w jakim się on znajduje, oraz nie udziela gwarancji jakiegokolwiek rodzaju, w tym żadnych dorozumianych gwarancji przydatności handlowej, użyteczności do określonego celu ani nienaruszania praw osób trzecich. W żadnym przypadku na firmie CA nie ciąży odpowiedzialność za jakiekolwiek bezpośrednie lub pośrednie straty lub szkody powstałe w związku z korzystaniem z niniejszego dokumentu, w tym za utratę zysków, przerwy w prowadzeniu działalności, uszczerbek na dobrym imieniu ani za utratę danych, nawet jeśli firma CA została z wyprzedzeniem wyraźnie poinformowana o możliwości wystąpienia takich strat lub szkód. CS1837_1111