Security & Identity Round Table Warszawa, 24 kwietnia 2014 Quest Software, now a part of Dell Bezpieczeństwo i Audyt Systemów Warszawa, 27 maja 2014 1
Zarządzanie dostępem użytkowników uprzywilejowanych Mariusz Przybyła, Konsultant IdM
Agenda 1. Informacja o firmie Quest Software 2. TPAM Wprowadzenie 3. PPM Omówienie funkcjonalności 4. PSM Omówienie funkcjonalności 5. Demo 6. Podsumowanie
O nas Od ponad 10-ciu lat firma Quest Dystrybucja oferuje rozwiązania wspierające zarządzanie IT firmy Dell Software/Quest. Do naszych zadań należy zarówno sprzedaż licencji i odnowy asysty technicznej, jak i zapewnienie wsparcia w zakresie implementacji i wykorzystania oferowanego oprogramowania. Quest Dystrybucja jako jedyna firma w Polsce posiada status Support Providing Partner firmy Dell Software. Zapraszamy na nasz polskojęzyczny portal serwisowy, na którym możecie Państwo zgłosić wszelkie problemy i pytania dotyczące oprogramowani zakupionego w kanale sprzedaży Quest Dystrybucja
Portal serwisowy
Nowa strona www
Obszary produktowe w ofercie Quest Dystrybucja Zarządzanie Środowiskami Microsoft Bezpieczeństwo i Kontrola Dostępu Monitoring Systemów i Aplikacji Zarządzanie Bazami Danych Zarządzanie Stacjami Roboczymi Zarządzanie Wirtualizacją Ochrona Danych
Bezpieczeństwo i kontrola dostępu Zarządzanie dostępem Kontroluje dostęp do krytycznej informacji Wnioskowanie i przydzielanie dostępu Certyfikacja dostępu Automatyzacja nadawania uprawnień Zarządzanie dostępem poprzez interfejs web Autoryzacja do poszczególnych obiektów systemu Inteligentne zarządzanie tożsamością i rolami Bogate możliwości raportowania Portal samoobsługowy Zarządzanie uprzywilejowanymi użytkownikami Zrozumienie i kontrola aktywności administratorów Granularne delegacje uprawnień Wymusza odseparowanie obowiązków Zabezpiecza przywileje de dostępu Zarządzanie sesjami Monitorowanie prowadzanych poleceń Administracja tożsamością Upraszcza zarzadzanie kontami Konsolidacja usług katalogowych Administrowanie kontami Zarządzanie hasłami Uproszczenie zarządzanie MS, Unix, Linux, Mac Zarządzanie grupami Pojedyncze logowanie (ESSO/SSO) Zarządzanie AD, migracje i koegzystencja środowisk Monitorowanie aktywności użytkowników Audytuje aktywność użytkowników Granularny audyt kont AD Raportowanie uprawnień Kolekcjonowanie zdarzeń i powiadamianie Zarządzanie logami Rozwiązywanie kryzysów
Dell Software Simplicity at work
Kto posiada klucze do Królestwa? Współdzielenie kont Brak szczegółowego podziału uprawnień Czy możesz być pewien?
Jak silne hasła możemy wymyśleć? Proste hasła są łatwe do zapamiętania Złożone hasła są zapisywane Naturalne skłonności do współdzielenia haseł Human Nature
Ryzyka Kontrola firm zewnętrznych Dostęp dla programistów Wewnętrzne zagrożenia Udostępnienia haseł Separacja ról Ograniczanie uprawnień do codziennych czynności administracyjnych Monitorowania i audyt I wiele, wiele innych. Global Marketing
Wyzwanie: zarzadzanie kontami uprzywilejowanymi Konta uprzywilejowane występują zawsze Audyt sesji kont uprzywilejowanych Network Devices Application s Databases Command Session Sessions Operating Systems Applications Virtual Platforms
Kontrola Cykl życia konta Dostęp przez role Automatyzacja Uwierzytelnianie Audyt zmian Zaufane zespoły Kontrolowane przez Użytkowników Uprzywilejowanych
TPAM - Quest Privilege Account - Przegląd s Sessions Unix Delegation AD Bridge Pomaga biznesowi rozwiązać problemy rozliczalności dostępu do kont uprzywilejowanych Pozwala biznesowi odpowiedzieć na pytanie: Kto, kiedy i co zrobił korzystając ze swoich uprawnień? Pozwala na zastosowanie reguły najmniejszych uprawnień do wykonania czynności administracyjnych Pozwala na wykorzystanie możliwości AD w mieszanych środowiskach Konsoliduje tożsamości i konta Wymusza polityki bezpieczeństwa AD na systemach Unix
Total Access (TPAM) Suite Zabezpieczony serwer Pełne szyfrowanie AES Szyfrowanie wszystkich haseł Wbudowany firewall Wbudowane zabezpieczenia Zamknięty dostęp Architektura HA Klastry Rozmiar 1u Nadmiarowość sprzętu Bezpieczna kopia Integracja z SYSLOG AUDIT Application Command Session s Sessions
Wspierane różne scenariusze wdrożenia Wysoka dostępność Decentralizacja Rozproszenie
Obsługiwane platformy Wymaga DPA dla Proxy Wymaga DPA
Obsługiwane połączenia Proxy PSM Session Managemnt: PSM Session Managemnt + DPA: Wymaga DPA Wymaga DPA
Podwójna kontrola Kontrola zmian Integracja Enterprise Efektywny Workflow Podwójna (lub więcej poziomów) kontrola Konfigurowalna kontrola zmian Czasowa (co X dni) Po dostępie Ręczna zmiana Duże możliwości integracji Silne uwierzytelnianie Wykrywanie kont Wykrywanie konfliktów Systemy ServiceDesk Zarządzanie kontami Harmonogramy Application Command Session
Account Auto Discovery automatyczne wykrywanie kont
Workflow wniosek o hasło Initiate password request Enter date/time/duration/reason Enter password Date/Time/Duration/Reason is needed Code/Request Reason as needed Ticket Optional ticket field. Can System be active (check ticket) or passive Validation. Mandatory or Optional Filter & select account(s) Retrieve password
Problem: Application zarządzanie hasłami zapisanymi w kodzie apliakacji Application Command Zapisane w kodzie, zakodowane hasła często są ukrytą furtką Konta i hasła znane programistom Konta Back-door Wymagania aplikacji mogą być bardzo różne Ciągłość połączeń A2A Transakcyjność połączeń A2A Session
Rozwiązanie: Manager obsługa A2A Wsparcie C/C++.NET Java Perl Application Command Session Podmiana zapisanych w kodzie haseł za pomocą wywołań API do PPM Bez dodatkowych opłat z licencją PPM Dla scenariuszy gdzie wymagana jest wysoka wydajność odpowiedzi - ParCache Obsługuje do 5000 żądań na sekundę
Session Szczegółowy dostęp Kontrola połączenia Ukrywanie haseł Real time monitoring Szczegółowy dostęp Dostęp do systemów poprzez role Pełna kontrola połączenia Podwójna kontrola połączeń Limity czasowe sesji Powiadomienia o przekroczeniu sesji Rejestrowanie i przeszukiwanie zdarzeń Ukrywanie haseł Użytkownicy nie muszą znać haseł w celu ustanowienia sesji Monitorowanie sesji w czasie rzeczywistym Application Command Session
Command Command Kontrola dostęp do poleceń Listy: Blacklist lub Whitelist Windows i Unix Demo Kontrola poleceń na Windows Application Command Session
Workflow wniosek o dostęp do sesji Initiate session request Enter date/time/duration/reason code/request reason as needed Ticket system validation. mandatory or optional Filter & select account(s) Once session is approved (or autoapproved) simply Connect.
Workflow - przegląd
AUDYT Release Rejestracja sesji Application Activity Command Activity Audyt Rejestrowanie żądań Administracja Integracja z SYSLOG Release Kto miał dostęp do jakiego hasła Rejestracja sesji Szyfrowanie sesji Przeszukiwanie i tworzenie zakładek Application Activity Rejestracja aktywności Command Activity Rejestracja wykonywanych poleceń Application Command Session
Demo
Pytania?
Dziękuję za uwagę Mariusz Przybyła tel: +48 666 89 13 17 e-mail: m.przybyla@quest-pol.com.pl Quest-Dystrybucja Sp. z o.o. Oddział: ul. Nabielaka 6, 00-743 Warszawa Centrala: ul. Podwale 62, 50-010 Wrocław www.quest-pol.com.pl