Személyazonosság-kezelési (IDM) projektek tipikus célkitűzései és azok elérése Hargitai Zsolt üzletfejlesztési vezető Novell Magyarország zsolt.hargitai@novell.hu
Miről lesz ma szó? Célok és azok elérése Személyazonosság-kezelés célkitűzései és azok elérésének lehetősége Tipikus problémák Bevezetés során elkövetett tipizálható problémák és azok kivédése Szerepkörök és adattisztítás Szerepkörök kialakításának fontossága, kialakításának módszerei Jelentések, PSZÁF elvárások Jelentések készítése, törvényi- és PSZÁF-megfelelőség elérése 2
Komplex kihívások Hogyan lehet a felhasználókat és azok jogosultságait egyszerűen, mégis dinamikusan nyilvántartani? Hogyan lehet az IT működését és a végfelhasználók munkáját hatékonyabbá tenni? Hogyan lehet a jelszavakkal kapcsolatos problémákat csökkenteni? Hogyan lehet kialakítani egy olyan környezetet, ahol mindenki csak a munkájához szükséges minimális jogosultságokkal rendelkezik? Hogyan lehet hatékonyan kezelni a rendszerhez kapcsolódó külső felhasználókat és partnereket? Hogyan lehet a folyamatosan változó vonatkozó szabályoknak és előírásoknak precízen megfelelni? 3
Identity és Access Management megoldások Felhasználók adminisztrációja Egyszerű, biztonságos hozzáférés IT Felh. Vezetők Szerepkörök kezelése 4
Miben segít egy IDM rendszer? Biztonság Jogosultságok visszavonása percek és nem napok alatt Jelszavak központosított kezelése Alkalmazottak csak ahhoz kapnak hozzáférést amihez feltétlenül szükségük van Megszünteti a duplikált nyilvántartásokat Megfelelőség Egyértelmű nyilvántartás arról, hogy ki mihez fér hozzá és a hozzáférést ki hagyta jóvá Historikus riportok Ütköző jogosultságok kimutatása Céges irányelvek egyszerű leképezése Azonnali dokumentációkészítés auditoroknak Költségek Nagyban csökkenti a helpdesk hívások számát Munkafolyamatok elektronikus útra való terelése Új alkalmazások bevezetésének egyszerűsítése Gyors és költséghatékony implementáció Rugalmasság Új folyamatok napok alatt bevezethetőek A munkatárs felvételét követően a szükséges jogosultságok azonnal rendelkezésre állnak A felhasználók saját maguk igényelhetnek erőforrásokat Az üzleti döntések alakíthatják ki az IT szabályokat és nem fordítva 5
Tipikus IDM architektúra logikai nézete Mobil Munkaállomás Portál/ web service Vezetők CISO Compliance/ Auditor Alkalmazottak Külsősök, partnerek Fejlesztők és konzultánsok Főbb funkciók Telefonkönyv/ Self-Service/ Pwd Mgmt Erőforrás igénylés Jóváhagyásos munkafolyamat Szerepkör alapú jogosultságkezelés Riportok és metrikák Szerepkörök összerendelése Projekt dokumentálása Rekonsziláció RBAC jogosultsági modell Központi nyilvántartás Főbb komponensek Work-flow rendszer Naplózás és historikus riportok Nyílt API-k Fejlesztői és mgmt. eszközök Alkalmazáscsatolók 6 Címtárak Help Desk Alkalmazások Operációs rendszerek és fájlrendszerek Telefonközpontok, beléptető rendszerek Adatbázisok Cloud and SaaS Egypontos beléptető rendszerek
Identity Manager működés közben Alkalmazott, külsős, partner, technikai f. Alapjogosultságok kiosztása Előléptetés Szerepkörök változása Regisztráció Szervezeti vándorlás Riportok és felügyelet Auditor, biztonsági vezető Új projekt Vezető, adatgazda, alkalmazásgazda Kilépés Jogosultságok megszüntetése x Lejárt jelszó? Elfejlejtett jelszó Jelszavak kezelése Igénylés és jóváhagyás 7
IDM rendszer működés közben Alkalmazott, külsős, partner, technikai f. Alapjogosultságok kiosztása Előléptetés Szerepkörök változása Regisztráció Szervezeti vándorlás Riportok és felügyelet Auditor, biztonsági vezető Új projekt Vezető, adatgazd a, alkalmaz ás-gazda Kilépés Jogosultságok megszüntetése x Lejárt jelszó? Elfejlejtett jelszó Jelszavak kezelése Igénylés és jóváhagyás 8
IDM projektek tipikus problémái Scope hibás meghatározása Szerepkörösítés megvalósítása, helyes módszer és a szerepkörösítés mértékének kijelölése Adattisztítás Éles indítás lépései Üzemeltetési szerepek meghatározása 9
A projekt scope-ja Olyan scope-ot kell meghatározni: Maximum 6-8 hónap alatt megvalósítható és a felhasználók széles rétege számára kézzelfogható eredményeket hoz Az architektúra és üzleti logika szempontjából lehetőség szerint teljes körű Az auditorok számára már elfogadható megoldást jelent Fenntartható és könnyen továbbfejleszthető környezetet alakít ki A legfontosabb IT rendszerekre koncentrál 10
A projekt scope-ja Mivel lehet a scope-ot ésszerűen csökkenteni? A legfontosabb alkalmazásokat és rendszereket on-line csatoljuk, a többit off-line rendszerként hagyjuk meg. Off-line rendszereknél automatikus ütemezett jogosultságvisszaellenőrzést valósítunk meg. A szerepkörök fogadásához szükséges struktúrákat felépítjük, de csak a szerepkörök legfelső szintjét töltjük fel tartalommal. Azon riportokat és kimutatásokat készítjük el amelyek feltétlenül szükségesek (pl. PSZÁF szempontból) Teljes körű adattisztítást csak az on-line rendszerekre végzünk. 11
Szerepkörösítés Mi az a szerepkör? A jogosultságok olyan csoportja, amely a tipikus felhasználó tevékenységek mentén szervezett. A szerepkör lehet alkalmazáson belüli és alkalmazásokon átívelő. Előnyei: Jogosultságok nagy részének beállítása automatikus. Tömegesen lehet jogosultságokat változtatni. Munkafolyamatok száma nagymértékben csökken. Felesleges jogosultságok könnyebben kiszűrhetőek. 12
Optimális helyzet Szerepkör alapú modell Magas bevezetési és fenntartási költségek Hatékony működési modell Szabály alapú modell Nehéz lefedni a szervezetet Igénylés alapú modell Nagy terhelés a szervezeten 13
Szerepkörök kialakításának módszerei Top Down felhasználók oldaláról indított A szerepköröket a felhasználók attribútumai alapján próbáljuk meg kialakítani. Különböző szerepkörök csoportokat kaphatunk különböző attribútumok alapján vizsgálódva. Top Down jogosultságok oldaláról indított A felhasználókat keressük meg a jogosultsági csoportokhoz. Ez a módszer azt feltételezi, hogy jól ismert a jogosultságok kiosztásának rendje. Bottom Up Mintákat keresünk a kiosztott jogosultságokban. Akkor alkalmazandó, ha sem a felhasználói csoportokat, sem a jogosultságok kiosztásának módját nem ismerjük. Kis létszámú szervezeteknél alkalmazható. Interjúk A szakmai területekkel egyeztetve találjuk meg a minimálisan szükséges jogosultsági csoportokat. 14
Tipikus szerepkör kezelés 1 2 3 Az IDM rendszer ősfeltöltése a lehetséges szerepkörökkel Szerepkör bányászat Kigyűjti, hogy milyen jogosultságokkal rendelkeznek a felhasználók. Szerepkör modellezés A gyűjtött adatok alapján tervezi, modellezi a szerepköröket Hozzáférés ellenőrzés A vezetők ellenőrizhetik, hogy kinek, milyen joga van A hozzáférés ellenőrzés eredményeképpen változó környezet újratervezést vonhat maga után 15
Tipikus szerepkör kezelés 1 2 3 Jogosultságok beállítása automatikusan a kiosztott szerepkörök alapján Szerepkörök felhasználása Az IDM rendszer felhasználja a szerepköröket alapadatként. Automatikus beállítás A jogosultságok beállítása automatikus, ezzel csökken a hibák száma és emelkedik a biztonság szintje. 16
Tipikus szerepkör kezelés 1 2 3 A felhasználói tevékenységek folyamatos ellenőrzése: SIEM rendszer Vizsgálat A jogosultságok használatának ellenőrzése. Elhárítás Kiosztott jogosultságok módosítása az IDM-ben ha szükséges. Újratervezés A szerepkörök újratervezése, hogy minél kevesebb felesleges jog legyen kiosztva. Ez a folyamat folytonos, nem csak egy auditot követően történik meg 17
Adattisztítás fontossága Adathibák Hibás adat Rosszul formázott adat Hiányos adat Duplikátumok Hiányzó adat Nem egyező adat Séma nem tisztázott Ősfeltöltési nehézségek Problémák Rossz döntések Folyamatok hibás definiálása Biztonsági rések Megfelelőség hiánya Nem gazdaságos megoldás Magas erőforrásigény Információvesztés Asszociációk felépítése 18
Adattisztítási folyamat Adatok online és offline begyűjtése Az adatok állapotának meghatározása mintaillesztéssel, statisztikai módszerekkel Adatok tisztítása (manuális, tömeges, automatikus, szkript alapú) Egyediség vizsgálat Adatforrások összegzése Tisztított adatok visszatöltése Az adatok folyamatos monitorozása (pl. reconciliation) REPORT MONITOR 19
IDM rendszer élesbe állítása Fontos lépések a rendszer éles indulásának időszakában: Kulcsfelhasználók oktatása On-line tananyag létrehozása Üzemeltetők és HelpDesk oktatása Szabályzatok módosítása Hagyományos jogosultságigénylő folyamatok blokkolása Mentés, monitorozás beállítása Éles indulást követő kiemelt támogatás biztosítása Üzemeltetési szerepek meghatározása 20
Üzemeltetési szerepek Hagyományos (OS, címtár, adatbázis, mentések stb.) Szerepkörök és SOD szabályok folyamatos ellenőrzése Munkafolyamatok módosítása, a változó környezethez igazítása Jóváhagyói csoportok, kiemelt IDM szerepek adminisztrációja 21
Riportok, kimutatások PSZÁF elvárások: kinek milyen jogosultsága van, illetve volt adott jogosultsággal ki rendelkezik, illetve rendelkezett ki hagyta jóvá az adott jogosultságot technikai felhasználók jogosultságai SOD mátrix ütköző jogosultságok 22
További tipikus riportkövetelmények Előkészített riportok, amelyek bővíthetőek, testre szabhatóak Compliance (megfelelőségi) riportok Attestation (újra hitelesítési) riportok Segregation of Duties (összeférhetetlenségi) riportok Hisztorikus adatkezelés adatelem szinten Csomóponti és átfutási idő statisztikák Munkafolyamatokkal kapcsolatos egyéb riportok 23
Kérdések?
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.