NetIQ Privileged Account Manager Zarządzanie kontami uprzywilejowanymi w systemach Linux, Unix, Windows i bazach danych Piotr Szewczuk Konsultant pszewczuk@netiq.com
Zintegrowane rozwiązania NetIQ do zarządzania tożsamością i dostępem Zarządzenie tożsamością Zautomatyzowane i bezpieczne przydzielanie dostępu dla użytkowników biznesowych i administratorów NetIQ Identity Manager Family NetIQ Access Review NetIQ Access Governance Suite NetIQ edirectory NetIQ Directory and Resource Administrator NetIQ Group Policy Administrator Zarządzenie dostępem Egzekwowanie w czasie rzeczywistym praw dostępu dla wszystkich punktów końcowych NetIQ Access Manager NetIQ Secure Login 8 - Enterprise SSO Advanced Authentication Framework NetIQ SocialAccess - Identify Web Guests NetIQ MobileAccess NetIQ Cloud Security Service Zarządzenie bezpieczeństwem Zapewnienie monitorowania, raportowania i przywracania dostępu do zasobów w całym przedsiębiorstwie SIEM NetIQ Sentinel / Sentinel Log Manager NetIQ Sentinel Security Solutions for iseries Agents NetIQ Privileged Account Manager NetIQ Change Guardian for MS AD, MS GPO, MS Windows and Linux Servers Secure Configuration Manager Security Solutions for iseries serwery fizyczne wirtualne chmura
CZYM JEST ZARZĄDZANIE TOŻSAMOŚCIĄ KONT UPRZYWILEJOWANYCH? 3
Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością? Privacy Mandates HIPAA / HITECH NERC CIP Audits Governance GLBA User demands SOX Right to be forgotten ISO 27001/2 PCI DSS European Data Protection Regulation
Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością? Privacy Mandates NERC CIP Audits HIPAA / HITECH Gartner Strategic Assumption Governance By 2017, more stringent regulations around control of privileged access will lead to GLBA a rise of 40% in fines and penalties imposed by regulatory bodies on organizations User with deficient demands PAM controls that SOX have been breached. - Market ISO Guide for 27001/2 Privileged Access Management May 27, 2015 Right to be forgotten European Data Protection Regulation PCI DSS
Energy company reports $1 billion in charges and a loss - New York Times Security Breach Exposes Data on Millions of Payment Cards - InformationWeek Home Depot Breach Has Already Cost $43 Million esecurityplanet Setting the stage Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg Target says up to 70 million more customers were hit by December data breach The Washington Post Health care data breaches have hit 30M patients and counting The Washington Post Cost of Target Data Breach Exceeds $200 Million Consumer Banker s Association
Several high-profile breaches and insider attacks have been known to exploit Security privileged Breach Exposes accounts, Data on and Millions of Payment Cards - InformationWeek this has increased the interest in tools to tighten controls on privileged activity, as well as interest in two-factor authentication for privileged access. Energy company reports $1 billion in charges and a loss - New York Times Home Depot Breach Has Already Cost $43 Million esecurityplanet Setting the stage While in 2013 the majority of inquiries about PAM tools from Gartner clients were driven by compliance Neiman Marcus Sued Over Customer Credit Card Data Breach Cost of Target Data Breach Exceeds $200 Million Consumer Banker s Association - Bloomberg concerns and operational efficiency, a large part is now driven by the desire to mitigate threats of breaches and insider attacks. Gartner expects this trend to continue at least until 2016. Target says up to 70 million more customers were hit by December data breach The Washington Post Health care data breaches have hit 30M patients and counting The Washington Post - Market Guide for Privileged Access Management May 27, 2015
Zarządzanie uprzywilejowaną tożsamością Z jakimi wyzwaniami spotykają się klienci? Jak monitorować nadużycia uprzywilejowanego dostępu do danych? Jak administratorzy działów IT wykorzystują uprawnienia kont root lub administrator w systemach Unix, Linux i Windows? Za dużo osób ma pełne prawa do usług katalogowych np. domeny Active Directory lub edirectory Jak monitorować aktywność użytkowników w krytycznych systemach i wykrywać podejrzane zachowania?
KONTA UPRZYWILEJOWANE 9
Tożsamość uprzywilejowana Tożsamość uprzywilejowana to konta, które pozwalają na: Dostęp do plików, w tym systemowych Instalacje i uruchamiane programów Zmianę konfiguracji i ustawień systemowych Tworzenie / modyfikacje kont użytkowników lub ich profili Wiele kont w systemach typu konto usługowe Użytkownicy, którym z racji stażu lub funkcji zostały przydzielone uprawnienia znacznie większe niż w przypadku większości użytkowników
Konto uprzywilejowane
Proces uzyskania uprzywilejowanych uprawnień 12
NETIQ PRIVILEGED ACCOUNT MANAGER 13
Czym jest NetIQ PAM Centralne narzędzie do kontrolowanego udostępniania i monitorowania kont uprzywilejowanych Umożliwia nagrywanie sesji, tworzenie reguł, określanie, jakie polecenia można uruchamiać Zarządzanie poprzez reguły i audyt działań Kontrola ryzyka Elementy składowe NetIQ PAM: Framework Manager, Framework Console, Framework Agent, Enterprise Credential Vault Obsługa następujących systemów operacyjnych: Unix, Linux i Windows, baz danych i aplikacji W Linuksie PAM (Pluggable Authentication Modules) to nie to samo co NetIQ PAM (Privileged User Manager)
Magazyn danych uwierzytelniających Enterprise Credential Vault Bezpieczny zaszyfrowany sejf do przechowywania poświadczeń (login i hasło), kluczy itp. Zamawianie danych uwierzytelniających dla niestandardowych przedziałów czasu Gotowe tuż po instalacji przepływy akceptacyjne i powiadomienia Obsługa uprzywilejowanych uprawnień: Aplikacji (np. SAP System) Baz danych (np. Oracle DBMS) Usług typu Cloud (np. Salesforce.com)
Modularna architektura 16
Przepływ informacji w NetIQ PAM 17
Monitorowanie baz danych Oracle NetIQ PAM został przetestowany do współpracy z bazami danych Oracle 11.x i Oracle 12.x Wspierani klienci: SQL Developer, SQL Plus, DbVisualizer i Toad
Monitorowanie baz danych Oracle 19
Portal Użytkownika Widok katalogu z autoryzowanymi kontami uprzywilejowanymi Zarządzanie swoimi żądaniami i potwierdzeniami
Panel administracyjny Zarządzanie żądaniami dostępu i autoryzacji Kontrola wymagań dostępu, czasu ich trwania i rodzaju Odnajdywanie: kto miał dostęp, gdzie, kiedy i dlaczego
Dostęp na żądanie Zapewnia bezpieczny dostęp do zarządzania systemem w sytuacji losowej
Szybkie wdrażanie Duży katalog szablonów, zasad i skryptów Centralny katalog zasad, brak konieczności modyfikacji podłączonych systemów Umożliwia szybkie wdrożenie nowych zasad i powrót do stanu przed ich wdrożeniem
Współpraca NetIQ IDM z NetIQ Privileged Account Manager Sterownik, który pozwala na szybki przydział zasobów Automatyzacja przypisywania profili w PAM Dostarcza przepływy pracy do kontroli, kto ma dostęp, do czego i kiedy dostęp został przyznany Zarządzanie hasłami i ich synchronizacja pomiędzy systemami Wspólny interfejs dla żądań dostępu, zatwierdzeń i zarządzania przepływem pracy
Konkurencja - CyberArk S.NO Features CyberArk NetIQ PAM 1. Digital Vault 2. Shared policy management 3. Complete solution for 1. Operating Systems 2. Network Devices 3. Databases 4. Applications 4. Integration with IDM Partner with IDM vendors 5. Integration with SIEM tool Partner with SIEM Vendors 6. Emergency Access NetIQ IDM NetIQ Sentinel 7. Multifactor Authentication Partners NetIQ NAAF 8 Searchable Windows session logs, recording
Konkurencja - Dell S.NO Features Dell NetIQ PAM 1. Privilege Password Safe 2. Privileged Elevation in Windows and Unix 3. Privileged Session Management 4. Privileged Session Recording 5. Shared policy management Partial
Wdrożenie NetIQ PAM - wymagania Konsola administracyjna wymaga przeglądarki internetowej z obsługą Adobe Flash Otwarte porty sieciowe: 443 (manager) i 29120 (agenci i manager) Serwer musi być widoczny dla klientów (DNS/hosts) Czas musi być zsynchronizowany (ntp)