IBM Software Group. Identitás alapú biztonsági megoldások Tivoli eszközökkel

Átírás

1 IBM Software Group Identitás alapú biztonsági megoldások Tivoli eszközökkel Nagy-Czirok László, Systems Management Architect, IGS Várkonyi László, IT Architect, SWG

2 Tartalomjegyzék IT kockázatkezelés a törvényi szabályozók tükrében Törvényi szabályozás a különböző iparágakban Az IBM biztonsági megoldásai A Tivoli Risk Manager-ről (TRM) röviden Identitás-alapú biztonság Integrált felhasználó-identitás menedzsment Identity Manager, Directory Integrator, Access Manager Projektek gyakorlati tapasztalatai

3 IT kockázatkezelés, törvényi szabályozás az egyes szektorokban

4 Az IT biztonsági eljárások, szabályzások, technológiák motivációja Az Internet növekvő térhódítása lassan átformálja az üzleti folyamatokat és a korábbiaktól alapjaiban különböző műszaki környezetbe helyezi őket. Ez számos biztonsági problémát von maga után. A változások már ma szemmel láthatók: Az üzleti folyamatokat ma már nem lehet elválasztani a hozzájuk rendelt IT struktúrától. Az IT kiesése az egyes intézményi feladatok ellátásának megszűntét okozza. Az -t már nemcsak emlékeztetők és feljegyzések küldésére használjuk, hanem szerződések, gazdasági információk továbbítására is. e- business e commerce e-payment

5 Általános standardok CC (Common Criteria) (1996) Cobit (Control Objectives for Information and related Technology ) ellenőrzési útmutató (ISACA) BS7799 (ISO MSZ 17799) szabályzási, módszertani vezérvonal Hazai ajánlások (ITB 8. (Informatikai biztonsági módszertani kézikönyv), 12. (Informatikai rendszerek biztonsági követelményei) (1994))

6 Bankszektor: Kockázatkezelési kötelezettségek BASEL II Működési kockázatok tőkekövetelményei A működési kockázatot az emberek, a belső folyamatok és rendszerek nem megfelelő vagy hibás működése, illetve külső tényezők által előidézett veszteségek kockázataként definiálja 2004 évi XXII törvény a pénzügyi szervezetek működésével kapcsolatosan A törvény előírja az üzletmenet folytonosság, a víruskezelés, a licenszek kezelése, dokumentumkezelés, archiválás stb. megfelelő kialakítását is. Felügyeleti szerv: PSZÁF

7 2004 évi XXII törvény előírásai a pénzügyi szervezetek működésével kapcsolatban A 13/B. (5) pont a következőket írja elő a pénzügyi szervezetek számára: A biztonsági kockázatelemzés eredményének értékelése alapján a biztonsági kockázattal arányos módon gondoskodni kell legalább az alábbiakról: a) a rendszer legfontosabb elemeinek (eszközök, folyamatok, személyek) egyértelmű és visszakereshető azonosításáról; b) az informatikai biztonsági rendszer önvédelmét, kritikus elemei védelmének zártságát és teljes körűségét biztosító ellenőrzésekről, eljárásokról; c) a rendszer szabályozott, ellenőrizhető és rendszeresen ellenőrzött felhasználói adminisztrációjáról (hozzáférési szintek, egyedi jogosultságok, engedélyezésük, felelősségi körök, hozzáférés naplózás, rendkívüli események); d) olyan biztonsági környezetről, amely az informatikai rendszer működése szempontjából kritikus folyamatok eseményeit naplózza és alkalmas e naplózás rendszeres (esetleg önműködő) és érdemi értékelésére, illetve lehetőséget nyújt a nem rendszeres események kezelésére;

8 Államigazgatás: Állami Számvevőszék INTOSAI (Számvevőszékek Nemzetközi Szervezete) ellenőrzési standardok: Saját módszertan: Szervezet és irányítás Biztonságpolitika Folytonosság és katasztrófák elhárítása Az IT eszközök felhasználása és külső szolgáltatók igénybevétele

9 Egyéb rendelkezések Gyógyszeripar Amerikai tőzsde: Sarbanes-Oxley Act (NASDAQ) Health Insurance Portability and Accountability Act (HIPAA) FDA (U.S. Food and Drug Administration)

10 Identitás alapú biztonság

11 Tudja-e, ki mihez fér hozzá?! A nyolc legveszélyesebbnek tartott támadótípus közül hat olyan felhasználót jelöl, akinek hozzáférése van a rendszereinkhez!

12 Vállalati biztonsági modell Határőrség (tartsuk kívül...) Tűzfalak VPN Antivírus Betörés-érzékelés Határőrség Audit-réteg Kontroll-réteg Kontroll-réteg Ki léphet be? Mit érhet el és mit tehet? Egyéni preferenciák? Audit réteg Szabályzatoknak való megfelelés Audit jelentések Kockázat-elemzés Biztonsági események kezelése A felhasználók kontrollja: Authentikáció Authorizáció Web Services, legacy és saját alkalmazások

13 IBM Software Group Tivoli software Az identitás a kontroll réteg alapja Az identitás-adatok hiányosak, szétszórtan tárolódnak, pedig ezek képezik az alapját: a hozzáférési döntéseknek (erőforrásokkal való ellátás) az önkiszolgáló funkcióknak az authorizációs folyamatnak a perszonalizációnak Információk az emberekről Információk a hozzáférésről alkalmazottak szerződésesek, alvállalkozók partnerek ügyfelek Felh. account tulajdonságok Elérési jogok Web alk. Op. rendszerek Legacy alk. Felh. Adattárak Címtárak Saját fejlesztésű alk. Biztonsági rendszerek Tranzakciós rendszerek

14 Mi az identitás-menedzsment? Az identitás-menedzsment a biztonsági megfelelőség kezelése......felhasználók felügyeletén, implementáció az IT erőforrásokhoz való hozzáférésük szabályzásán, szabályok megalkotása és betartatása és tevékenységeik követésén ( mihez milyen jogosultsággal ) auditálás...keresztül.

15 Üzleti folyamatok kérdései Felhasználók validálása Minden felhasználói account érvényes minden erőforrás esetében? Felhasználók erőforráshoz juttatása Minden erőforrás felhasználói elérése megfelelően beállított? És így is marad az idő haladtával? Felhasználók hatékonysága A felhasználók gyorsan és egyszerűen jutnak hozzáféréshez? Új szabályok betartása A hozzáférési és adatvédelmi szabályok minden alkalmazás és szerver esetében konzisztensen megvalósításra kerülnek? és mindez bizonyítható is az auditor kérésére?

16 Integrált felhasználó-identitás menedzsment Authentikáció Felhasználók & alkalmazások Felhasználó- és erőforrás-kezelés { { Tivoli Identity Manager Tivoli Access Hozzáférésmenedzsment Felhasználói Security és erőforrás-információk Compliance Manager Felhasználómenedzsment Identitásinfrastruktúra Identitásmenedzsment Címtár szolgáltatások Manager Hozzáférésmenedzsment Címtár szerver IBM Directory Server Címtár-integráció IBM Directory Integrator Tivoli Privacy Manager Adatvédelem Risk Manager

17 Tivoli Identity Manager

18 Az Identity Manager működési modellje Role Based Provisioning Felhasználó Szerep Provisioning Policy attr Szolgáltatás (erőforrás) A felhasználói felelősségi körnek megfelelő szerepkörhöz rendelés A szerepkör tagjainak erőforráshoz rendelése A Provisioning Policy attribútumokat is meghatározhat (pl. felhasználói lemezterület-kvóta, csoport-tagság,...)

19 A reconciliation összeveti az elvárt és a valós állapotot Felhasználó Szerep Provisioning Policy Szolgáltatás (erőforrás) A szabályok betartatása történik a reconciliation során (pl. egy erőforrás elérési jogosultságai) A TIM visszaállíthatja a jogosulatlan módosítások előtti állapotot (lokális admin tevékenység) A reconciliation felfedi az árva account-okat, amelyek adoptálhatók, felfüggeszthetők, vagy törölhetők

20 Engedélyezési folyamatok Provisioning Policy Engedélyező1 Engedélyező2 Erőforrás A folyamat támogatja, automatizálja, gyorsítja az új kérelmek elbírálását policy-khez rendelt munkafolyamatok Az adminisztrátorok a TIM GUI segítségével engedélyezhetik vagy utasíthatják el a kérelmeket A folyamat tervezését drag-and-drop GUI segíti Szekvenciális és párhuzamos folyamatok, Java Script támogatás értesítések, time-out, eszkalációk

21 Önkiszolgálás : Jelszó menedzsment Helpdesk költségek csökkentése Önkiszolgáló, minden rendszerre kiterjedő jelszó reset Jelszó szabályzat ellenőrzése Challenge-Response ( kérdés-válasz) megoldás az elfelejtett jelszavak kezelésére. Jelszó eljuttatás biztonságos módon. Help Desk hívás költsége $20-per-call jelszó újraindítás esetén Gartner Group Átlagosan alkalmazottanként 3-4 újraindítási igény jelentkezik évente Meta Group 1 2

22 Audit és riportok A következő elemek időbélyeggel kerülnek a TIM adatbázisban tárolásra Kérelmek Jóváhagyások Változtatások Standard jelentések pdf formátumban Működtetés - Operation Szolgáltatások - Service Felhasználók - User Elutasított tevékenységek -Rejected Egyeztetés - Reconciliation Alvó Dormant CSV formátumú jelentések a továbbfeldolgozáshoz Crystal Reports jelentések

23 Operation jelentés példa

24 Tivoli Identity Manager (TIM) HR rendszer Biztonságos 128-bites titkosítás PKI authentikáció Identity Manager LDAP DSML Menedzselt erőforrások 70+ támogatott rendszer Kétirányú Finomhangolt vezérlés Hatékony WAN környezetekben Adatszinkronizáció DSML ODBC HTTPS Lokális és távoli működtetés Címtárak Felhasználói műveletek Önkiszolgáló működés Kérelem és engedélyezés Testre szabható folyamatok Grafikus folyamatszerkesztő Tranzakciós integritás

25 Tivoli Directory Integrator

26 IBM Directory Integrator (IDI) Elosztott architektúra címtárak címtára (busz vagy csillag topológia) IDI: elosztott architektúra: mindenki a leghatékonyabb eszközökkel és módszerekkel menedzseli az adatokat Adattranszformáció (AssemblyLine), eseménykezelés, scriptek: szinkronizáció mindig a leghitelesebb forrással, az üzletviteli szabályoknak megfelelően számos kész konnektor: pl. MS AD, Novell, Lotus, Oracle, SAP,... HR NOS LOB Partnerkatalógus IBM Directory Integrator Belső tudakozó címtár Telefónia Költséghelyek

27 Tivoli Directory Integrator működés EventHandlers Valós-idejű integráció előre definiált eseményekre való reagálással AssemblyLines Az előre definiált folyamatok megvalósítása: adatok átalakítása, új bejegyzések létrehozása, módosítása, rendszerek adatainak frissítése Címtár Bemeneti rendszerek Connectors Rendszerekhez, alkalmazásokhoz történő kapcsolódás, adatszerkezetek leírása LDIF File RDBMS Parsers Beérkező adatok értelmezése és átalakítása a kívánt formátumra Kapcsolat több mint 25 rendszerrel ERP Levelezés Adatbázisok (ODBC, JDBC) Címtárak (using LDAP) Protokollok, formátumok Üzenetkezelés (JMS) PeopleSoft, SAP R/ 3, Siebel Lotus Domino, Microsoft Exchange; POP3, SMTP, IMAP4 Oracle, Microsoft Access & SQL Server, IBM DB2 & Informix, CA Ingres CA etrust, Critical Path, DNS, IBM (Domino/ Directory Server),IBM Operating systems AIX, OS390(RACF), generic LDAP, iplanet, Microsoft (NT Domains, Exchange, Active Directory), NEXOR, Novell edirectory, OctetString, OpenLDAP, Oracle, Siemens, Syntegra EDIFACT, HTTP, SOAP, SSL, XML IBM WebSphere MQ, TIBCO Rendezvous, SonicMQ and JMS compliant systems

28 Integrációs feladatok megoldása a felhasználói adatok szinkronizációjával Directory Integrator Feladat Egyes adatelemek szinkronizációja szükséges Felh. mobiltelefonszámok Hiteles adatforrás IDI Felh. költséghely Hiteles adatforrás, B szervezeti egység Hiteles adatforrás, A szervezeti egység IDI Hiteles adatforrás, C szervezeti egység Feladat Több vállalati adatforrás pontos és szinkronizált fenntartása Feladat Különböző interfészek gyors kialakítása elosztott adatforrások és végpontok felé Identity Sources IDI IDI End Points

29 Tivoli Access Manager

30 TAM for e-business - integrált megoldás Címtár-alapú identitás-felügyelet Partnerek Ügyfelek H TT TT P P R O XY XY Biztonsági szint Központi felh. adattár Központi házirend X M L // W E B S E R V II C E S B U S II N E S S L O G II C P L U GĪ GĪ N Alkalmazottak Szállítók Alkalmazottak Nyílt internet Demilitarizált zóna Intranet Webes SSO funkcionalitás Hozzáférés-szabályzás Integrált, központi szabályokon alapuló működés

31 Login Please enter your ID and password ID Password IBM Software Group Tivoli software TAM for e-business authentikáció C SECURID Különböző authentikációs eljárások használata Access Manager A felhasználók identitásának ellenőrzése Basic authentication Forms-based authentication X.509 Certificate Kerberos ticket Desktop SSO RSA SecurID Token Mobil eszközök További, külső ún. Pluggable Authentication módszerek & mások

32 TAM for e-business authorizáció Kérés Elutasítás Elutasítás Engedélyezés / Elutasítás nem nem engedélyezés elutasítás ACL kiért. igen POP kiért. igen Szabály kiért. TAM 5.1 előttig TAM 5.1 Hozzáférés csoport- és felh. jogok alapján Objektum tulajdonságok (pl. auditálás, napszak, stb.) Dinamikus kiértékelés, pillanatnyi feltételek szerint IF credit limit > $10,000 THEN Permit Access

33 Authorizáció nem csak URL szinten Master Authentication/ Authorization Services Login Please enter your ID and password ID Password C SECURID WebSEAL SSO WAS WAS Web Svr. Servlet Authorizáció Erőforrás HTTP header info Alkalmazások WebSEAL (robusztus authentikáció, Web/URL SSO, magas rendelkezésreállás, skálázhatóság) Java alkalmazás (EJB-k/servletek, 100% Java 2 / JAAS security hívásokkal) C, C++ alkalmazás (aznapi hívásokkal - Open Group szabvány)

34 Identitás alapú integrált biztonsági rendszer

35 A TIM, TAM és IDI integrációja Identitás-vezérelt felhasználói account-ok TIM Felhasználók Account-ok Kontroll ki jöhet és mit tehet? HR LOB Partner Directory NOS Szabályzás White Pages Directory Telepho ny Charge Centers IBM Directory Integrator Címtárak szinkronizációja Access Manager Identitás-vezérelt hozzáférés-szabályzás

36 Tivoli Risk Manager

37 Tivoli Risk Manager erősebb biztonság Firewalls CheckPoint Firewall Cisco PIX Firewall Cyberguard Firewall IBM Firewall Microsoft XP Firewall Nokia Firewall Secure Computing Tiny Personal Firewall * Zone Labs Firewall * Host IDS Cisco Host IDS * Enterasys Dragon Squire Entercept * ISS RealSecure Server Sensor OpenSSH Secure Shell Sanctum AppShield * Tivoli Host IDS Tripwire for Servers * Web Servers System Scanners IBM System Scanner IBM Wireless Security Auditor ISS System Scanner Databases IBM DB2 Microsoft SQL Server Oracle Apache Argus PitBull * BEA Weblogic Gilian G-Server * IBM Lotus Domino IBM WebSphere Lockstep WebAgain * Microsoft IIS Sun ONE AntiVirus Ahnlab NAI/McAfee Virus Suite Symantec NAV Risk Manager VPN CheckPoint VPN Routers Cisco Routers Security Software Symantec SESA * ISS SiteProtector TrendMicro Control Manager Tivoli Access Manager for Business Integration Tivoli Access Manager for e-business Tivoli Access Manager for Operating Systems Tivoli Privacy Manager Operating Systems HP-UX IBM AIX, Linux, zlinux Microsoft Windows 2000, NT, XP Sun Solaris Network IDS Cisco Secure IDS Enterasys Dragon Sensor Inzen NeoWatcher ISS RealSecure Network Sensor NFR NIDS Recourse * SNORT (open source) Symantec Intruder Alert Tivoli Network IDS Tripwire for Network Devices 1 : A biztonsági események centralizáci ciója 2 : A biztonsági események egységes gesítésese 3 : Korreláci ció az IDS eszközök k felett, fontos események meghatároz rozása 4 : A hálózat h biztonsági állapotának valós s idejű jelzése 5 : Automatikus reakciók k incidensek esetén 6 : Jelentések és s előrejelz rejelzések

38 Gyakorlati tapasztalatok

39 Identity Manager bevezetési tapasztalatok (1) HR feltöltés problémája Sok a speciális alkalmazás a pénzintézeti szektorban AS400 platformon, ahova nincs illesztés számlavezető rendszer, Kapiti, Equation, bankkártya kezelés: Arksys Egyedi, rugalmas illesztési megoldások: Kapiti MQ csatorna címtárstruktúra IDI TIM SAS DB2 export IDI TIM Kétirányú kapcsolatok is támogatottak

40 Identity Manager bevezetési tapasztalatok (2) Szervezeti kérdések nincs aktuális szervezeti ábra, nyilvántartás, leányvállalatok kérdése (az örökölt szétosztott HR megmaradt) Folyamatok nincs döntéshozó ebben a kérdésben a bevonandó folyamatok túl sok kézben vannak

41 Tivoli Risk Manager Kiegészítés DB2 Intelligent Miner-rel A Miner sem megy magától... Régi log-ok betöltése és feldolgozása a bevezetés előtti események feldolgozása

42 Kérdések? Nagy-Czirok László Várkonyi László