Nadzór nad tożsamością, rolami i uprawnieniami użytkowników w systemach informatycznych Tomasz Surmacz Sales Manager Micro Focus NetIQ w Polsce Witold Graczyk Product Manager IDM IT.expert sp. z o.o.
Micro Focus w liczbach $1.4 mld 80+ Oddziałów na świecie 4,500+ Pracowników Roczne obroty 20,000+ Klientów 5,000+ Partnerów
Kluczowe przejęcia AcuCorp Acu COBOL NetManage Connectivity Borland Application Lifecycle Management & Testing Novell, NetIQ, Attachmate Identity, Access, Security Host Connectivity Collaboration Performance Monitoring Workload Management Cloud Management Micro Focus ogłosił zamiar przejęcia HPE Software 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 Liant COBOL and PL/I development CompuWare Application Testing Orbix CORBA AccuRev Agile Software Delivery Serena Dimensions CM Business Manager Release Control Authasas Advanced Authentication GWAVA
Kim jesteśmy i co oferujemy? Marki będące w portfolio firmy Micro Focus Host Connectivity Systems Management Collaboration Enterprise Linux Servers Test Automation & Management Enterprise Application Management Enterprise Security & File Transfer Identity, Security, & Compliance File and Networking Services Software Appliances Requirements Management COBOL Development & Deployment Legacy Modernization Resource Management Endpoint Management Linux Desktops Change & Configuration Management Interoperability Solutions (CORBA) Seattle, WA Houston, TX Provo, UT Nuremberg, Germany Rockville, MD Newbury, Berkshire UK
Zarządzanie tożsamością i dostępem oraz monitorowanie jako fundamenty bezpieczeństwa IT Jak zarządzać tożsamością użytkowników i zapewnić zgodność działań z regulacjami prawnymi, normami bądź zestawami zaleceń (Identity Governance & Compliance)
1. Zarządzanie uprawnieniami Zarządzaj uprawnieniami w całym cyklu pracy pracownika Minimalizuj zakres i ilość uprawnień użytkownika Ograniczaj liczbę użytkowników korzystających z kont administracyjnych i uprzywilejowanych
2. Kontrolowanie dostępu Wykorzystaj niezależne systemy kontroli dostępu do aplikacji Weryfikuj ryzyko przy kontroli dostępu Wykorzystaj dodatkowe mechanizmy weryfikacji tożsamości użytkownika Źródło: Privileged User Abuse & The Insider Threat, Ponemon Institute Research Report 5/2014
3. Monitorowanie aktywności Jak użytkownicy wykorzystują posiadane uprawnienia? Czy możemy łatwo wykryć niezgodne z regulacjami aktywności i przypisać je dla danego użytkownika?
Zintegrowane rozwiązania Micro Focus NetIQ Zarządzanie tożsamością i bezpieczeństwem Governance and Identity Management Automated and secure access fulfillment for the business user and the administrator NetIQ Access Review (Identity Governance) NetIQ Identity Manager Family NetIQ edirectory NetIQ Directory and Resource Administrator NetIQ Group Policy Administrator Access Management Run time access enforcement across all end points NetIQ Access Manager i Mobile Access NetIQ Secure Login 8 - Enterprise SSO NetiQ Advanced Authentication NetIQ Privileged Account Manager NetIQ Cloud Security Service Security Management Providing monitoring, reporting and remediation to resource access throughout the enterprise SIEM NetIQ Sentinel / Sentinel Log Manager NetIQ Change Guardian for MS AD, GPO NetIQ Change Guardian for MS Windows and Linux/Unix Servers NetIQ Privileged Account Manager Secure Configuration Manager Physical Virtual Cloud
Unikalna cecha rozwiązań NetIQ to kompletność rozwiązań (wszystkie obszary) i koncentracja na relacji użytkownika z (resztą zasobów) Tożsamość i relacje
NetIQ Privileged Account Manager
Najważniejsze potrzeby, które może zaspokoić NetIQ Privileged Account Manager (PAM) Privileged Account Manager Potrzeba rozliczania pracy użytkowników z uprawnieniami administracyjnymi (zarówno wewnętrznych jak i zewnętrznych). Praca kilku osób na jednym koncie root i administrator nie jest rozróżnialna. Potrzeba zarządzania możliwymi do wykonania przez uprzywilejowanych użytkowników komendami. Potrzeba centralnego mechanizmu do udostępniania dostępu do systemów dla użytkowników uprzywilejowanych, posługujących się tym samym kontem administracyjnym (One Time Password dla Shared Accounts). Potrzeby audytu: monitorowanie i nagrywanie sesji realizowanych przez użytkowników z wysokimi uprawnieniami. Potrzeba posiadania sejfu udostępniającego klucze lub inne potrzebne do logowania dane (hasła) dla użytkowników uprzywilejowanych password vault.
PAM: główne możliwości i scenariusze Użytkownicy uprzywilejowani mogą pracować na serwerach MS Windows, Unix, Linux na swoim indywidualnym koncie, a PAM udziela im podwyższonych uprawnień i kontroluje wykonywane operacje PAM umożliwia centralnie kreowanie polityki dostępnych komend (Unix, Linux, Oracle, MS SQL) programów (Windows) dla użytkownika to znaczy może umożliwiać realizację tylko określonych zadań. Przez konsolę PAM możliwe jest centralne udostępnianie dostępu użytkownikom uprzywilejowanym do serwerów MS Windows, Linux, UNIX bez udostępniania im uprzywilejowanych danych do logowania (hasło konta admina). Możliwość integracji z NetIQ Advanced Authentication w celu wymuszenia potwierdzenia tożsamości drugim czynnikiem (email OTP, smartfon, SMS, token) Przykładowe scenariusze wykorzystania PAM Wnioskowanie i potrzeba udzielenia dostępu do serwerów na określony czas dla pracowników zewnętrznych bez udostępniania danych administratora do logowania. Wnioskowanie i udostępnianie jednorazowych kluczy na określony czas do logowania się do systemów: MS AD, edirectory SAP Vmware ESXi Po każdej sesji PAM ma możliwość resetu/zmiany hasła w tych systemach, aby nie można było ponownie wykorzystać tych kluczy. Monitorowanie i zapisywanie sesji dla połączeń z serwerami MS Windows (wideo), Linux, Unix oraz bazami danych. Monitorowanie sesji i możliwość przerwania przez PAM sesji w przypadku wykrycia wpisywani nieuprawnionych komend.
Portal PAM dla użytkowników uprzywilejowanych Katalog udostępnionych zasobów Składnie wniosków o uprzywilejowany dostęp
NetIQ Advanced Authentication
Potrzeby, które zaspokaja NetIQ Advanced Authentication Zmniejsza ryzyko nieautoryzowanego dostępu do informacji i danych Wymusza uwierzytelnianie za pomocą metod, które dodatkowo potwierdzają tożsamość osoby Zwiększa bezpieczeństwo danych i zasobów w firmie Eliminuje problemy użytkowników z hasłami Umożliwia realizację wymogów regulacji prawnych Instytucje finansowe Instytucje ochrony zdrowia
NetIQ Advanced Authentication Wpiera wiele kombinacji i metod uwierzytelniania Wspiera użytkowników desktopów oraz mobilnych Obsługa zaawansowanego uwierzytelniania dla wielu platform: MS Windows Desktop, ADFS, MacOS, Linux PAM, Urządzenia VPN, Obsługa standardów przemysłowych FIDOu2F, OAUTH, LDAP, RADIUS
NetIQ Advanced Authentication Smartfon jako dodatkowy składnik uwierzytelniania Aplikacja NetIQ dla urządzeń ios, Android i Windows Mobile Push na telefon: Użytkownik jedynie potwierdza wykonywaną operację login W przypadku braku dostępu do sieci aplikacja na telefonie podaje kod jednokrotny Mając NetIQ Advanced Authentication można korzystać również z Google Authenticator lub dowolnej innej aplikacji wpierającej OATH.2
NetIQ Advanced Authentication 5.5 Podstawowa architektura i zaawansowane uwierzytelnianie dla VPN Użytkownik VPN Cisco VPN, Juniper VPN, Check Point VPN, Fortinet VPN itd. Radius Serwer NetIQ Advanced Authentication z wbudowanym serwerem Radiusa Użytkownik VPN Standardowy serwer Radius User Rep: LDAP/MS AD
Access Review (Identity Governance) Nadzór nad tożsamością, rolami i uprawnieniami użytkowników; certyfikowanie dostępu w oparciu o ocenę ryzyka (risk-scoring), korzyści z integracji z systemem zarządzania tożsamością
Nadzór nad tożsamością, rolami i uprawnieniami użytkowników w systemach informatycznych Webinarium, 17 stycznia 2017 roku NetIQ Access Review 2.0
Agenda O firmie Wyzwania i ryzyka w zarządzaniu tożsamością Zarządzanie dostępem NetIQ Access Review Demo produktu Grupa Kapitałowa IT.expert 22
IT.expert Sp. z o.o. 16 lat doświadczenia na dynamicznie zmieniającym się rynku informatycznym Unikatowe portfolio produktowe i usługowe w zakresie zaawansowanych systemów IT 200 wysokiej klasy specjalistów, inżynierów i ekspertów 450 certyfikatów technicznych 150 certyfikatów handlowych 80 certyfikatów audytorskich i metodologii zarządzania Główne sektory działalności: Sektor finansowy Sektor przemysłowy Sektor publiczny Główne obszary działalności: Cooperation Security Cloud Outsorcing Smart City Mobility Grupa Kapitałowa IT.expert 23
Nasze produkty Oferta produktowa Grupy Kapitałowej obejmuje takie obszary jak: Smart City oraz Cooperation i dedykowana jest dla wszystkich sektorów biznesowych, w tym między innymi dla sektora publicznego oraz szeroko rozumianego przemysłu. Do rodziny produktów Grupy Kapitałowej IT.expert należą: Cameleoo, Elephantoo, Debt Collector, SOOP. Grupa Kapitałowa IT.expert 24
Pytania o nasz program Zarządzania Tożsamością Czy statystyki wycofania uprawnień (revocation rates) po przeprowadzonej certyfikacji dostępu odzwierciedlają spodziewane zmiany w modelu biznesowym? Czy wszystkie polityki dostępu są centralnie zarządzane i wdrażane? Czy posiadamy metodę weryfikacji w jaki sposób użytkownik korzysta z posiadanych dostępów? Czy jest ona na bieżąco sprawdzana? Czy posiadamy instrumenty do podjęcia natychmiastowych akcji w celu przeprowadzenia certyfikacji / wycofania dostępów, gdy aktywność użytkownika wykazuje zagrożenie? Grupa Kapitałowa IT.expert 25
Działania w celu redukcji ryzyka Kolekcjonowanie i korelowanie kontekstu dostępu dla precyzyjnego odzwierciedlenia aktualnego stanu Zwrócenie uwagi na konta osierocone (orphaned accounts) i naruszenia rozdziału obowiązków (SoD) Płynne wycofanie uprawnień w powiązaniu z systemem IdM Zaimportowanie kontekstu ryzyka z systemu GRC lub zdefiniowanie własnej oceny ryzyka Grupa Kapitałowa IT.expert 26
Technologie bezpieczeństwa ograniczające koszty Source: Ponemon 2015 Cost of Cybercrime Study: Global Grupa Kapitałowa IT.expert 27
Zarządzanie dostępem już nie tylko dla audytorów Grupa Kapitałowa IT.expert 28
Dotychczasowa certyfikacja dostępu Długi czas związany z generowaniem raportów Zwykłe zrzuty danych Menadżerowie: Zaznacz wszystko -> Dalej Cyfrowo doświadczony pracownik oczekuje bezproblemowego użytkowania zasobów IT Współpraca biznes IT Security Grupa Kapitałowa IT.expert 29
Doskonalenie certyfikacji dostępów Audytor Menadżer Właściciel aplikacji Administrator przeglądu uprawnień Śledzenie postępu & raportowanie (Automatyczne) wycofanie uprawnień CIĄGŁA ZGODNOŚĆ (COMPLIANCE) Planowanie przeglądów ze względu na ryzyka Poprawa jakości dostarczanych przeglądów w kontekście tożsamości Grupa Kapitałowa IT.expert 30
NetIQ Access Review 2.0 Grupa Kapitałowa IT.expert 31
NetIQ Access Review Access Review dostarcza kompleksowe rozwiązanie w zakresie przeglądu dostępów i procesu certyfikacyjnego, który zapewnia: Mniejszą złożoność w aspekcie komplikacji procesów certyfikacji Ułatwione wdrażanie rozwiązania Podnoszenie efektywności procesów Grupa Kapitałowa IT.expert 32
Kontekst dostępu Kto? Jaki dostęp? Tożsamość? Dostęp prawidłowy? Nieodbiegający? Gdzie? Grupa Kapitałowa IT.expert 33
NetIQ Access Review NetIQ włącza kontekst organizacji jak i kontekst ryzyka bezpośrednio w procesy przeglądu i certyfikacji zapewniając spójne i dokładne wyniki dla audytorów Kontekst tożsamości Kto ma dostęp do czego? Czy jest to prawidłowe? Grupa Kapitałowa IT.expert 34
Kontekst organizacji Określa zależność pomiędzy Weryfikującym a Pracownikiem Certyfikacji powinni podlegać pracownicy, kontraktorzy oraz klienci Grupa Kapitałowa IT.expert 35
Przegląd kontekstu uprawnień Vulnerability Scans DLP... Rola Uprawnienie Departament Stanowisko Specyficzne atrybuty Lokalizacja Konto uprzywilejowane lub wysokiego ryzyka... Privileged User Activity HR and Ticketing Systems Password Resets PII Identity Threat Business Policy IP Reputation Physical / Geo Access Risk Scores System Logs File Integrity Monitoring Database Activity Monitoring Seasonality Grupa Kapitałowa IT.expert 36
Kolekcjonowanie i korelacja uprawnień Przeglądy uwzględniające ryzyka: Konta osierocone (orphaned accounts) Rozdział obowiązków (SoD) Użytkownicy uprzywilejowani Płynne wycofanie uprawnień Grupa Kapitałowa IT.expert 37
Źródła danych Active Directory edirectory Dane w plikach CSV JDBC LDAP NetIQ Identity Manager Grupa Kapitałowa IT.expert 38
Informowanie o statusie raportów certyfikacyjnych Grupa Kapitałowa IT.expert 39
Raportowanie o naruszeniu zgodności (compliance) Grupa Kapitałowa IT.expert 40
NetIQ Access Review Integracja z NetIQ Identity Manager dostarcza w pełni zautomatyzowany proces wycofania (odbierania) dostępu, redukując potencjalne ryzyko wewnętrznych zagrożeń Certyfikacja dostępu (Automatyczne) Wycofanie Grupa Kapitałowa IT.expert 41
Demo produktu Grupa Kapitałowa IT.expert 42
Nowa wersja (luty 2017) Zmiana nazwy na Identity Governance Więcej informacji analitycznych ułatwiających decyzje np.: Ostatnie logowanie Wyjątki w uprawnieniach Łatwiejsze pobieranie danych z SAP HR i MS SharePoint Więcej raportów Grupa Kapitałowa IT.expert 43
Dziękujemy za uwagę WWW.ITEXPERT.PL Kontakt Witold Graczyk tel. 668 873 402 witold.graczyk@itexpert.pl