Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami.



Podobne dokumenty
Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

1. Zakres modernizacji Active Directory

Instalowanie i konfigurowanie Windows Server 2012 R2

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Szczegółowy opis przedmiotu zamówienia

Jednolite zarządzanie użytkownikami systemów Windows i Linux

Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Microsoft Exchange Server 2013

Security Master Class Separacja uprawnień administracyjnych i audytowanie zdarzeń bezpieczeństwa - RBAC w JBoss EAP.

Szkolenie autoryzowane. MS Administracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Zabezpieczanie systemu Windows Server 2016

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Zabezpieczanie platformy Windows Server 2003

William R. Stanek. Vademecum Administratora 2012 R2. Windows Server. Podstawy i konfiguracja. Przekład: Leszek Biolik

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

SELinux podstawa bezpiecznej infrastruktury IT. 30 październik 2008r. Grupa Emerge

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

Praca w sieci z serwerem

System multimedialny Muzeum Górnośląski Park Etnograficzny.

Projektowanie i implementacja infrastruktury serwerów

Szkolenie autoryzowane. MS Instalacja i konfiguracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zabezpieczanie platformy Windows Server 2003

Portal Security - ModSec Enterprise

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Active Directory

Szkolenie autoryzowane. MS 6419 Konfiguracja, zarządzanie i utrzymanie systemów Windows Server 2008

Szkolenie autoryzowane. MS Projektowanie i wdrażanie infrastruktury serwerowej

Nazwa usługi. Usługa nie obejmuje: Telefonii VOIP telefonii PSTN Stanowiska pracy nie związanego z IT (akcesoria biurowe)

11. Autoryzacja użytkowników

pasja-informatyki.pl

Wprowadzenie do sieciowych systemów operacyjnych. Moduł 1

Instalacja Active Directory w Windows Server 2003

Wprowadzenie do Active Directory. Udostępnianie katalogów

Enterprise SSO IBM Corporation

Zabezpieczanie platformy Windows Server 2003

Security Master Class Secure Configuration Life Cycle. Marcin Piebiak Senior Solutions Architect Linux Polska Sp. z o.o.

Win Admin Replikator Instrukcja Obsługi

Opis przedmiotu zamówienia:

Opis przedmiotu zamówienia

Systemy operacyjne. Tworzenie i zarządzanie kontami użytkowników

Windows Server Active Directory

Księgarnia PWN: Jan De Clercq, Guido Grillenmeier - Bezpieczeństwo Microsoft Windows. Podstawy praktyczne

1. Przygotowanie konfiguracji wstępnej Windows Serwer 2008 R2

T: Zabezpieczenie dostępu do komputera.

Szkolenie autoryzowane. MS 6421 Konfiguracja i rozwiązywanie problemów z infrastrukturą sieci Microsoft Windows Server 2008

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Zarządzanie kontami użytkowników w i uprawnieniami

OFFICE ADFS - POŁĄCZENIE KORZYŚCI ROZWIĄZAŃ CHMUROWYCH I CENTRALNEGO ZARZĄDZANIA

Instalacja i konfiguracja serwera IIS z FTP

Skonfigurowanie usług katalogowych Active Directory (AD)

oprogramowania F-Secure

Zdobywanie fortecy bez wyważania drzwi.

7. zainstalowane oprogramowanie zarządzane stacje robocze

MONITOROWANIE WINDOWS Z NETCRUNCHEM 7 P A G E 1

Szkolenie autoryzowane. MS Administracja i obsługa Windows 7. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

SELinux. SELinux Security Enhanced Linux. czyli. Linux o podwyższonym bezpieczeństwie

INSTRUKCJA OBSŁUGI DLA SIECI

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Przełączanie i Trasowanie w Sieciach Komputerowych

UMOWA NR... zawarta w dniu... pomiędzy ANNĘ TREPKA

Dni: 5. Opis: Adresaci szkolenia. Kurs jest przeznaczony dla:

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

Rozwiązanie Zadania egzaminacyjnego egzamin praktyczny z kwalifikacji e13 styczeń 2015

EPA Systemy Sp. z o.o. Przedstawiciel CTERA Networks Ltd w Polsce Tel gbi@profipc.pl CTERA

z testów penetracyjnych

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Bezpiecznie i rozsądnie z Project Server 2013, czyli SharePoint Permission Mode vs Project Server Mode Bartłomiej Graczyk

UNIX: architektura i implementacja mechanizmów bezpieczeństwa. Wojciech A. Koszek dunstan@freebsd.czest.pl Krajowy Fundusz na Rzecz Dzieci

System operacyjny Linux

(Pluggable Authentication Modules). Wyjaśnienie technologii.

Serwery LDAP w środowisku produktów w Oracle

Adres strony internetowej, na której Zamawiający udostępnia Specyfikację Istotnych Warunków Zamówienia:

Szczegółowy opis przedmiotu zamówienia

Wyjaśnienia treści Specyfikacji Istotnych Warunków Zamówienia

!!!!!! FUDO% Architektura%Bezpieczeństwa! % % Warszawa,%28:04:2014%

Biorąc udział w projekcie, możesz wybrać jedną z 8 bezpłatnych ścieżek egzaminacyjnych:

Konfiguracja serwera druku w Windows Serwer 2008R2.

Różnice pomiędzy kontami lokalnymi a domenowymi. Profile mobilne.

Migracja Business Intelligence do wersji

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

Przewodnik zdalnej instalacji

2 Projektowanie usług domenowych w usłudze Active Directory Przed rozpoczęciem... 77

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Laboratorium Systemów Operacyjnych

Tomasz Greszata - Koszalin

Win Admin Replikator Instrukcja Obsługi

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

Sieć aktywna. Podział infrastruktury sieciowej na różne sieci wewnętrzne w zależności od potrzeb danego klienta.

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Transkrypt:

Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Fakty Rosnące wymagania biznesu na IT: Rozrastające się środowiska Linux/Unix Coraz większa liczba systemów, usług i danych Wysoki poziom skomplikowania i zależności Ciągła rekrutacja nowych pracowników Regulacje prawne Polityka bezpieczeństwa dedykowana dla całej organizacji Domena Active Directory w środowisku Windows: Hermetyczne i kompletne podejście Standard korporacyjny 2

Problemy środowisk Linux/Unix Do jakich systemów Leszek.Miś miał dostęp? Kto zna hasło roota do systemów krytycznych? Czy przestrzegana jest polityka bezpieczeństwa haseł? Z jakich adresów IP można logować się do systemów krytycznych? Kto dodał tego użytkownika? Kto uruchomił usługę telnet? 3

Problemy środowisk Linux/Unix Kto i kiedy próbował uzyskać uprawnienia roota? W jaki sposób nadać dostęp użytkownikowi Leszek.Mis do farmy 500 serwerów z uwzględnieniem: Przeznaczenia systemów Różnych uprawnień i przypisanych ról Kontroli dostępu Rozliczalności i audytowania działań 4

IdM - potrzeby organizacji Nieskomplikowana integracja z Active Directory/SSO Rozliczalność czyli kto, co, gdzie i kiedy? Centralne uwierzytelnienie Spójne zarządzanie tożsamością i dostępami Jednolitość UID/GID Polityka bezpieczeństwa kont i haseł użytkowników Najwyższy poziom bezpieczeństwa przy zachowaniu funkcjonalności Domena administratorów Separacja funkcji administracyjnych 5

Separacja funkcji Administracja vs. projektowanie zabezpieczeń Administracja vs. monitorowanie Administracja vs audyt Nadzór nad działaniami użytkowników Separacja uprawnień SELinux/RBAC/MCS: www_admin: www_r -> httpd_*_t (uid=0) dns_admin: dns_r -> named_*_t (uid=0) app_admin: tomcat_r -> tomcat_*_t (uid=0) Podział uprawnień roota pomiędzy kilkoma użytkownikami, tzw. security officers 6

Klasyfikacja danych Różne typy danych o różnej klasyfikacji (o różnych poziomach bezpieczeństwa) MultiLevel Security/MultiCategory Security: Możliwość klasyfikacji danych z uwzględnieniem czułości (sensitivity) Nadawanie plikom kategorii przez zwykłych użytkowników Dostęp do danych dla użytkowników z różnymi poziomami dostępu do danych Niskie i wysokie komponenty wysoki zawsze dominuje nad niskim Przykład: kategoria Company_Confidential 7

Klasyfikacja danych No read up, no write down 8

Ochrona systemów krytycznych Obowiązkowa kontrola dostępu ubezpieczenie Piaskownice czyli tzw. Sandboxing Ograniczenie możliwości wykorzystania podatności Utwardzanie: standardy STIG, CIS, PCI DSS 9

Red Hat IdM Mix ustawień operujących na: Użytkownikach i grupach Hasłach i politykach Hostach i grupach hostów Usługach Sudo, HBAC, SELinux, AD Cross Realm Trust Synchronizacja 10

Red Hat IdM Integracja Linux-Active Directory: 11

Rekomendacja D 5.2: Bank powinien precyzyjnie zdefiniować obowiązki i uprawnienia poszczególnych pracowników w zakresie technologii informacyjnej i bezpieczeństwa informacji. 11.2: Parametry haseł dostępu (w tym długość i złożoność hasła, częstotliwość zmiany, możliwość powtórnego użycia historycznego hasła) oraz zasady blokowania kont użytkowników powinny zostać ustalone w regulacjach wewnętrznych, z uwzględnieniem klasyfikacji systemu 11.5: Opracowania standardowych profili dostępu dla określonych grup pracowników lub stanowisk pracy 11.6: Bank w miarę możliwości powinien ograniczać użytkownikom dostęp do funkcji pozwalających na samodzielne zwiększenie własnych uprawnień. 11.9, 11.10 12

13 Pokaz integracji systemu RHEL z Active Directory za pomocą Cross Realm Trust: - Utworzenie nowego - Dodanie do grupy - Zablokowanie konta - Wymuszenie zmiany hasła

Pokaz ograniczenia dostępu do użytkownika root dla wybranych użytkowników, w obrębie wybranych hostów. admin1->wszystkie hosty, wallf1->sudo httpd webapp1->liferay (HBAC) leszek->wszystkie hosty 14

Po godzinach Sercem integracji jest mechanizm SSSD: Demon dostarczający dostęp do zdalnych zasobów typu identity and auth. Komunikuje się z systemem poprzez moduł NSS i PAM: Backendy: LDAP,Kerb,IPA,AD,proxy Offline cache + Redukuje load Server failover Jedno połączenie do serwera katalogowego Bez potrzeby wsparcia dla atrybutów POSIX po stronie AD Bezpośrednie mapowanie SID->ID = konwersja Windows Security Identifiers do UNIX IDs Automatyczne przyznawanie wartości: ldap_id_mapping = true Traktuje AD jako typowy LDAP server 15

Dziękujemy za uwagę. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 16

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres