Security Master Class Separacja uprawnień administracyjnych i audytowanie zdarzeń bezpieczeństwa - RBAC w JBoss EAP.

Podobne dokumenty
Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami.

Szkolenie autoryzowane. MS Administracja Windows Server Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Instalacja Active Directory w Windows Server 2003

Dokumentacja wdrożeniowa Project Lord 1.0

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

I. Instalacja i konfiguracja Password Manager Pro v. 8

Programowanie komponentowe. Przykład 1 Bezpieczeństwo wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

ĆWICZENIE NR 6 Użytkownicy i grupy

Charakterystyka sieci klient-serwer i sieci równorzędnej

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Autoryzowane szkolenia droga do biegłości. Artur Szymczak Instruktor/Altkom

COMODO Endpoint Security Błąd access denied

Security Master Class Secure Configuration Life Cycle. Marcin Piebiak Senior Solutions Architect Linux Polska Sp. z o.o.

Wprowadzenie do Active Directory. Udostępnianie katalogów

Wykład 3 Inżynieria oprogramowania. Przykład 1 Bezpieczeństwo(2) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

ASAP Akademicki System Archiwizacji Prac

Klucz do wydajności JBoss. Przemysław Kuźnicki RHC{E,VA} JBCAA B2B Sp. z o.o. pk@bel.pl

Szkolenia certyfikacyjne i biznesowe Red Hat i JBoss współpraca z Partnerami

ZiMSK NAT, PAT, ACL 1

Microsoft Exchange Server 2013

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.

Zarządzanie tożsamością

Laboratorium Systemów Operacyjnych

Ćwiczenie 6 Przełącznik zarządzalny T2500G-10TS (TL-SG3210).

Identity Management w Red Hat Enterprise Portal Platform. Bolesław Dawidowicz

Nowy model subskrypcji, dobór produktów Red Hat i JBoss. Grzegorz Niezgoda

Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW.

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.

Nazwa usługi. Usługa nie obejmuje: Telefonii VOIP telefonii PSTN Stanowiska pracy nie związanego z IT (akcesoria biurowe)

Prawa dostępu do serwera. Nadawanie i odbieranie uprawnień DCL. Użytkownicy a role

Administratorzy systemów, inżynierowie, konsultanci, którzy wdrażają i zarządzają rozwiązaniami opartymi o serwery HP ProLiant

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

JBoss EAP 6 - nowa szybkość i łatwiejsze zarządzanie

Instalacja i konfiguracja serwera IIS z FTP

Serwer aplikacji VISO WEB. Instrukcja obsługi

KONFIGURACJA USŁUGI ZSIMED NA SERWERZE ZDALNYM

Silent setup SAS Enterprise Guide (v 3.x)

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Active Directory

MS Windows Vista. Spis treści. Autor: Jacek Parzonka, InsERT

ZADANIE.10 DHCP (Router, ASA) 1,5h

Bezpieczeństwo IT z Open Source na nowo

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?

Aplikacja VISO Mobile (Android) Instrukcja instalacji i obsługi

Red Hat Network Satellite Server

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Zabezpieczanie systemu Windows Server 2016

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

KURIER FEDEX XL BY CTI INSTRUKCJA

Ochrona danych i bezpieczeństwo informacji

ibok Internetowe Biuro Obsługi Klienta

Projekt TrustedBSD jako klucz do bezpieczeństwa systemu FreeBSD

Pracownia internetowa w szkole podstawowej (edycja jesień 2005)

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Seria wielofunkcyjnych serwerów sieciowych USB

Windows Serwer 2008 R2. Moduł 8. Mechanizmy kopii zapasowych

Szkolenie autoryzowane. MS 6421 Konfiguracja i rozwiązywanie problemów z infrastrukturą sieci Microsoft Windows Server 2008

CREATE USER

1. Zakres modernizacji Active Directory

Microsoft System Center Virtual Machine Manager 2012

Agenda. Co to jest RWD? Dlaczego warto myśleć o RWD w kontekście aplikacji biznesowych? Przykłady. ericpol.com

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

Instalacja krok po kroku /instalacja programu, serwera bazy danych/

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

10.2. Udostępnianie zasobów

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Czym jest router?... 3 Vyatta darmowy router... 3 Vyatta podstawowe polecenia i obsługa... 3 Zarządzanie użytkownikami... 3 Uzupełnianie komend...

Seria wielofunkcyjnych serwerów sieciowych USB

Monitorowanie systemów IT

Nazwa: System ewebtel Wersja: 1.4.x.x. Instrukcja obsługi. Wydanie dokumentu: 0001 / Marzec 2017 OPIS

pasja-informatyki.pl

1. Moduł Print Master

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

Instrukcja instalacji

Windows Server Serwer RADIUS

Instrukcja szybkiego rozpoczęcia pracy

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Case studies - doświadczenia, dobre praktyki. Jarosław Żeliński analityk biznesowy, projektant systemów

EGZAMIN POTWIERDZAJĄCY KWALIFIKACJE W ZAWODZIE Rok 2017 ZASADY OCENIANIA

Instrukcja obsługi zestawu WiFi

Instrukcja do programu Roger Licensing Server v1.0.0 Rev. A

Rozeznanie rynku w zakresie przeprowadzenia kursu Obsługa i administracja Microsoft Windows 2008 serwer Projekt Beskidzka Akademia Samorządowa

Zarządzanie i drukowanie Instrukcja obsługi

Po instalacji serwera MYSQL dostępne jest konto o nazwie root. Domyślnie nie ma ono przypisanego hasła, aczkolwiek podczas procesu konfiguracji jest

Sposoby zdalnego sterowania pulpitem

Wyzwania. Rozwiązanie

Administrowanie serwerami baz danych ZADANIA ADMINISTRATORA BAZ DANYCH

Szkolenie autoryzowane. MS 6419 Konfiguracja, zarządzanie i utrzymanie systemów Windows Server 2008

Zmiany funkcjonalne i lista obsłużonych zgłoszeń Comarch DMS

Zarządzanie lokalnymi kontami użytkowników

<Insert Picture Here> Bezpieczeństwo danych w usługowym modelu funkcjonowania państwa

oprogramowania F-Secure

Zarządzanie kontami użytkowników w i uprawnieniami

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Egzamin : administrowanie systemem Windows Server 2012 R2 / Charlie Russel. Warszawa, Spis treści

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Konfiguracja serwera druku w Windows Serwer 2008R2.

Transkrypt:

Security Master Class Separacja uprawnień administracyjnych i audytowanie zdarzeń bezpieczeństwa - RBAC w JBoss EAP. Przemysław Kuźnicki Senior Solutions Architect Linux Polska Sp. z o.o. 1

Agenda 1. Czym jest RBAC 2. Uprawnienia dawniej i dziś 3. Access Control Provider 4. Zasięg działania i typy zasobów 5. Opis ról w EAP 6 6. Kierunki rozwoju 7. Pokaz na żywo 2

3

4

5

Business Benefits of RBAC Zredukowanie ryzyka, że użytkownicy bez odpowiednich uprawnień będą mieli dostęp poza wyznaczone ramy własnych obowiązków Zredukowanie czasu na przydział uprawnień dla nowych użytkowników. Jeśli kogoś przyjmujemy do pracy, nadajemy mu odpowiednią rolę i wszystko dzieje się automagicznie Proste poświadczenia i audytowanie dzięki szybkiemu przeglądaniu uprawnień dla roli Uproszczenie kontroli krzyżowej uprawnień i zmniejszenie ryzyka nieupważnionego dostępu do zasobów Adresowanie uprawnień zgodnie z polityką firmy i pełnioną funkcją 7

Jak wiele firm potrzebuje RBAC? 97% klientów potrzebuje wdrożenia RBAC w swojej infrastrukturze Ile firm próbuje wdrażać RBAC? Co trzecia zainteresowana firma Ilu firmom się udaje? Co dziesiątej Dlaczego? 8

Wyzwania przed jakimi stoimy Ilość czasu jaką pożera nam zarządzanie dostępem do danych Potrzeba dużych umiejętności pracowników Niewystarczające rezultaty dotychczasowych poczynań Trzeba zrozumieć, że wdrażanie uprawnień to proces a nie stan Rekomendacja D wymaga od nas rozliczeń i audytu dla sektora finansowego 9

Jak było do tej pory: JBoss AS7 / EAP 5 umożliwiał pełna kontrolę osobie zalogowanej wg zasady Wszystko-Albo-Nic. W wielu zastosowaniach użytkownicy potrzebowali większej granulacji uprawnień Zarządzanie wg ról możliwe było tylko dzięki zewnętrznym narzędziom takim jak np: JON 11

Jak jest obecnie: Użytkownicy administracyjni mają przypisane role Rola nadaje uprawnienia Uprawnienia specyfikują jakie akcje może podjąć użytkownik na zasobie: Zasób wrażliwy [atrybut, operacja, dane] Zasób audytowy Zasób aplikacyjny 12

Access Control Providers Dwa sposoby pracy: SIMPLE każdy zautentykowany użytkownik ma wszystkie przywileje działa to jak w niższych wersjach EAP lub AS 7 jest to domyślny sposób pracy RBAC mapowanie użytkowników na role nowość w WF 8 i EAP 6.3 13

Access Control Providers Security Realm Access Control Provider Simple User Role Group 14

Zasięg ról: Nowe role są tworzone w oparciu o te już predefiniowane Rolom można przypisać zasięg działania: Zasięg Hosta (Host Controller) Zasięg Server Grupy 15

Wrażliwe zasoby: Wszystkie np: atrybuty, operacje, zasoby, do których chcemy ograniczyć dostęp do: Pisania Czytania Adresowania Np: socket_config, jms_security_setting... 16

Wrażliwe dane: EAP6 wspiera zewnętrzne wsparcie bezpieczeństwa w postaci narzędzia VAULT, w którym można przechowywać np: hasła w formie kryptowanej. Domyślnie atrybuty używane w VAULT są traktowane jako wrażliwe. Przykład VAULT: ${VAULT::VaultBlock::AttributeName::SharedKey} 17

Zasoby aplikacyjne: Skoncentrowane wokół roli DEPLOYER by zarządzać deploymentem Niektóre Subsystemy mogą być traktowane jako zasoby aplikacyjne np: JMS destination Datasources 18

Predefiniowane ROLE: Podstawowa administracja Monitor Operator Maintainer Deployer Podwyższona administracja Adminstrator Auditor Super User 19

Uprawnienia roli MONITOR: Może przeglądać konfigurację serwera i metryki Bieżące informacje/statusy Tylko odczyt Informacja o konfiguracji Tylko odczyt Dane wrażliwe (hasła, connection string) Brak dostępu Informacje Audytowe Brak dostepu R runtime C config S sensitive A - Audit MONITOR R: r S: - C: r A: - 20

Uprawnienia roli OPERATOR: Oparta na roli MONITOR, dodatkowo może zmieniać bieżące ustawienia np: przeładowanie / zatrzymanie serwerów zatrzymanie / wznowienie kolejki JMS OPERATOR MONITOR opróżnienie puli połączeń (flush) R: r S: - Inne... C: r A: - R: rw 21

Uprawnienia roli MAINTAINER: Oparta na roli OPERATOR, dodatkowo może zmieniać konfigurację np: osadzać (deploy) aplikacje konfiguracja datadources konfiguracja JMS destination Inne... MAINTAINER OPERATOR MONITOR R: r S: - C: r A: - R: rw C: rw 22

Uprawnienia roli DEPLOYER: Oparta na roli MAINTAINER, dodatkowo: może tylko zarządzać osadzaniem aplikacji nie może zmieniać konfiguracji. DEPLOYER MAINTAINER OPERATOR MONITOR R: r S: - C: r A: - R: rw C: rw D: rw 23

Uprawnienia roli ADMINISTRATOR: Oparta na roli MAINTAINER, dodatkowo może modyfikować dane wrażliwe nie ma dostępu do danych audytowych. ADMINSTRATOR MAINTAINER OPERATOR konfiguruje dostęp do systemu (kontrolera) MONITOR R: r S: - C: r A: - R: rw C: rw S: rw 24

Uprawnienia roli AUDITOR: Oparta na roli MONITOR, dodatkowo: ma dostęp do danych audytowych może czytać dane wrażliwe (hasła, użytkowników) AUDITOR Inne... MONITOR R: r S: - C: r A: - konfiguruje audytowanie S: r A: rw 25

Uprawnienia roli SuperUser: Rola posiadająca maksimum uprawnień. Odpowiada użytkownikowi admin we wcześniejszych wersjach JBoss. Super User ADMINSTRATOR MAINTAINER OPERATOR MONITOR R: r S: - C: r A: - R: rw C: rw S: rw A: rw 26

Kierunki na przyszłość: Własne konfigurowanie zasięgu ról W szczególności zasięgi zasobów Użycie danych środowiskowych w mapowaniu ról Czas dnia, dzień tygodnia itp... Czy połączenie przychodzące używa TLS 27

Podsumowanie RBAC to większa kontrola nad dostępem do zasobów RBAC to elastyczność w przydzielaniu uprawnień RBAC to logi audytu dla rekomendacji D RBAC to dopasowanie uprawnień do pełnionej funkcji RBAC to mniej czasu na administrację 28

Zapraszamy na szkolenia JB-248 Administracja poziom I JB-348 Administracja poziom II EX-248 Red Hat Certified JBoss Administrator 29

in action The Productiv e Life Show 30

Dziękujemy za uwagę Przemysław Kuźnicki Senior Solutions Architect Linux Polska Sp. z o.o. 31

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres