Zarządzanie tożsamością jako praktyczna realizacja polityki bezpieczeństwa Jakub Łukasiewicz Partner Manager jlukasiewicz@netiq.com Piotr Majchrzak Solutions Architect pmajchrzak@netiq.com
Emulacja terminali Modernizacja systemów Transfer zarządzanych plików Zapobieganie oszustwom w firmie Novell Sp. z o.o. ul. Postępu 21 02-676 Warszawa tel. 22 537 5000 infolinia 800 22 66 85 Zarządzanie tożsamością, bezpieczeństwem i zgodnością Zarządzanie systemami Zarządzanie zasobami Praca grupowa Usługi sieciowe i plikowe Zarządzanie punktami końcowymi Serwery Linux dla firm Wirtualne urządzenia (software appliances) Linux na desktopie 2 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Czym jest zarządzanie tożsamością? Zarządzanie tożsamością to... odzwierciedlenie procesów biznesowych i kadrowych poprzez efektywne zarządzanie kontami użytkownika, jego prawami dostępu (do systemów, danych, aplikacji itp.), hasłami oraz informacjami o nim w heterogenicznym środowisku systemów IT 3 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Cykl życia tożsamości w organizacji. Początek Przydzielenie uprawnień Promocja / awans Przemieszczanie Audytor lub administrator Cykl życia tożsamości Nowy projekt Zapomniane hasło Koniec Odebranie uprawnień Wygaśnięcie hasła 4 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Wyzwania Utworzenie konta pracownika Modyfikowanie uprawnień / ról Zgodny z polityką bezpieczeństwa proces przydzielania dostępu Zintegrowany z kadrami katalog ze strukturą i danymi pracowników Wiedza o udostępnionych użytkownikom kontach, rolach lub uprawnieniach i innych zasobach 5 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Zarządzanie informacjami o pracowniku
Rozproszona struktura właścicieli danych o tożsamości użytkownika System Help Desk ID użytk. Imię Nazwisko Nr pracownika Lokalizacja Grupa Adres e-mail System HR Imię Nazwisko Nr pracownika Lokalizacja Przełożony Imię Nazwisko Stanowisko ERP Adres e-mail Adres sieciowy System e-mail Imię Nazwisko Identity Vault Imię Nazwisko Grupa File & Print 7 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Zarządzanie hasłami
Zarządzanie hasłami Silne, szerokie reguły dla kontroli haseł Możliwość zmiany haseł w zarządzanych systemach i ich synchronizacji (uniwersalne hasło do wszystkich/wybranych systemów) Możliwość tworzenia reguł dla haseł Przykład - minimalna/maksymalna liczba znaków, duże i małe litery, zabronione ponowne używanie tego samego hasła itp. 9 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Zarządzanie hasłami Samoobsługa resetu zapomnianego hasła Administratorzy mogą udostępnić użytkownikowi możliwości związane z samodzielną zmianą haseł za pomocą łatwego w obsłudze interfejsu www W przypadku zapomnienia hasła można udostępnić podpowiedzi lub wymagać odpowiedzi na dodatkowe pytania (definiowane wcześniej przez użytkownika), przed zezwoleniem na zmianę hasła Użytkownik samodzielnie definiuje podpowiedzi i pytania/odpowiedzi Podpowiedzi nie mogą zawierać hasła 10 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Zarządzanie hasłami Propagacja haseł do systemów Użytkownik ustanawia nowe hasło przez wbudowany w Identity Managera prosty interfejs WWW Nowe hasło jest zapamiętywane przez Identity Managera Hasło jest propagowane do powiązanych z użytkownikiem systemów Systemy, do których można propagować hasła z NetIQ Identity Managera edirectory/nds Active Directory/Exchange Windows NT Domains Network Information Service (NIS) Linux Solaris AIX, HP/UX System AS/400 i mainframe GroupWise Lotus Notes SunOne SAP User Management Relacyjne bazy danych Oracle DB2 Sybase MSSQL Postgres MySQL 11 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Zarządzanie hasłami Dwukierunkowa synchronizacja haseł Użytkownicy dla podanych niżej systemów mogą zmieniać w nich hasło za pomocą ich naturalnych mechanizmów; zmiany te będą przenoszone do pozostałych systemów Windows NT (NT Domains), Windows 2003 (Active Directory), Windows 2008 (Active Directory), edirectory (all platforms), NIS, Unix (AIX, HP UX, Solaris), Linux, AS/400 mainframe NetIQ Identity Manager wykrywa zmianę i weryfikuje, czy nowe hasło jest zgodne z przyjętą polityką Jeżeli tak, to zmiana jest propagowana do innych systemów Jeżeli nie: Wysyłana jest informacja e-mailem Pozostawiane jest stare, dobre hasło 12 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Reguły
Pracownik Kadr Magazyn danych o użytkownikach Zautomatyzowany system aprowizacji dostępu do systemów System kadrowy Systemy sieciowe i usługi katalogowe E-mail Aplikacje PBX i systemy ochrony pomieszczeń Reguły Identity Vault W celu udostępnienia użytkownikom dostępu do zasobów dostarczamy mechanizmy dynamicznego zakładania kont i synchronizacji haseł zgodnie z przyjętymi procedurami i regułami Identity Manager działa w oparciu o zdarzenia w podłączonych systemach (autorytatywne źródła informacji i danych) i przekształca je zgodnie z wymaganymi regułami biznesowymi Identity Manager działa w czasie rzeczywistym reagując zgodnie z regułami na wprowadzone zmiany w podłączonych systemach lub konsoli 14 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Wnioski
Magazyn danych o użytkownikach System kadrowy Systemy sieciowe i usługi katalogowe E-mail Aplikacje BPM i workflow do akceptacji udostępnienia dostępu Reguły Identity Vault Manager Portal IDM z workflow Użytkownik NetIQ udostępnia gotową aplikację obsługującą procesy wymagające, by uprawnione osoby nadawały lub akceptowały przyznawanie dostępu do systemów Manager widzi konta swoich pracowników i dostępne wnioski o nadanie dostępu/uprawnień do określonych zasobów i może je uruchomić za pomocą przeglądarki Informacje (kto, kiedy) są przechowywane do celów audytowych PBX i systemy ochrony pomieszczeń 16 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
BPM i workflow do akceptacji udostępnienia dostępu Magazyn danych o użytkownikach System kadrowy Systemy sieciowe i usługi katalogowe E-mail Aplikacje Reguły Identity Vault Portal IDM z workflow Użyt. Manager Proces może być również inicjowany przez użytkownika Użytkownik widzi w portalu tylko wnioski do zasobów, o które może się ubiegać Konfigurowane wcześniej procesy workflow i ustawione reguły decydują o tym, kto powinien zaakceptować te wnioski PBX i systemy ochrony pomieszczeń 17 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
BPM i workflow do akceptacji udostępnienia dostępu Magazyn danych o użytkownikach System kadrowy E-mail Aplikacje PBX i systemy ochrony pomieszczeń Reguły Identity Vault Portal IDM z workflow Użyt. Manager Manager widzi wnioski, które może inicjować, jak i wnioski które trafiły do akceptacji. Można zaakceptować, odmówić, przekazać innej osobie, wpisać uzasadnienia. Możliwa jest akceptacja wielostopniowa, wymaganie akceptacji przez quorum, akceptacja jednej osoby z grona (np. pierwsza, która podejmie wniosek) Można ustanowić pełnomocnika w wypadku choroby czy nieobecności Po akceptacji dostęp jest przyznawany natychmiast 18 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Zarządzanie dostępami pracownika konta, uprawnienia
Jak to uprościć (i kontrolować!)? Pracownicy Klienci Dział IT Dostawcy Partnerzy Audytorzy Dawni pracownicy Jak zredukować liczbę ID i haseł dla pracowników? Jak bezpiecznie dostarczyć dostęp do systemów dostawcom i klientom? Jak skrócić czas, od którego nowy pracownik jest bezproduktywny? Jak ochronić systemy, aby dawni pracownicy nie mieli już do nich dostępu? Skąd wiemy, do których systemów ma dostęp każdy z pracowników? Jak zredukować koszty zarządzania całym środowiskiem IT? Jak zapewnić, by dane o użytkownikach były prawidłowe i aktualne we wszystkich systemach? Jak ograniczyć koszty i wysiłki na sprostanie wymogom regulacji HR E-mail Intranet, wewnętrzne portale Ochrona i dostęp do pomieszczeń Aplikacje finansowe Systemy ERP Aplikacje zewnętrzne 20 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Role Based Access Control (RBAC)
Redukcja złożoności? Trzech użytkowników i trzy przywileje dają nam dziewięć relacji do utrzymania Dodanie do schematu jednego przywileju dodaje nam trzy relacje do utrzymania 22 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Uproszczenie przez role... Trzech użytkowników i trzy przywileje dają nam sześć relacji do utrzymania Dodanie do schematu jednego przywileju dodaje nam jedną relację do utrzymania 23 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
... rozdzielenie zarządzania... Techniczne zarządzanie autoryzacją i przywilejami pozostaje w dziale IT Przypisania do ról i wzajemne relacje są zarządzane przez użytkowników biznesowych (line management) 24 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
...wymuszenie separacji obowiązków... Wiele firm ma reguły wymuszające taką separację Role ułatwiają bieżącą implementację reguł w systemach IT 25 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
...ułatwianie raportowania (zgodności z regułami) Zamiast sprawdzania wszystkich zdefiniowanych przywilejów i ich przypisań wystarczy sprawdzić przypisania do ról Dzięki czytelności można to udostępnić pionom biznesowym zamiast angażować IT do generowania raportów 26 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
NetIQ Identity Manager - podsumowanie Pełna wiedza o tym, kto wydał, zaakceptował lub zablokował prawo dostępu do informacji Pełna wiedza o tym, kto ma dostęp do informacji, w tym do jakich systemów Natychmiastowe odbieranie dostępu byłym pracownikom Wprowadzenie rozdziału obowiązków poprzez przyznawanie dostępu z uwzględnieniem ról pełnionych w organizacji Wdrożenie spójnego modelu zabezpieczeń we wszystkich systemach Monitorowanie zgodności z wewnętrznymi przepisami i zasadami obowiązującymi w firmie Możliwość audytu 27 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
Pytania i odpowiedzi... jlukasiewicz@netiq.com pmajchrzak@netiq.com www.netiq.com Dziękujemy za uwagę! 28 2013 NetIQ Corporation. Wszelkie prawa zastrzeżone.
NetIQ w Polsce Novell Sp. z o.o. ul. Postępu 21 02-676 Warszawa tel. +48 22 537 5010 Infolinia 800 22 6685 (bezpłatna) infolinia@netiq.com NetIQ.com http://community.netiq.com 29 2013 NetIQ Corporation. All rights reserved.
This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time. Copyright 2013 NetIQ Corporation. All rights reserved. ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States.