Identity and Security Management Kormány Zoltán konzultáns zkormany@novell.com
Vállalati környezet Számítógépek, mobil eszközök Kiszolgálók,hálózatiés kommunikációs eszközök Alkalmazások és szolgáltatások Felhasználók, ügyfelek, beszállítók és partnerek 2
Vállalati környezet Resource Management Server Management Számítógépek, mobil eszközök Kiszolgálók,hálózatiés kommunikációs eszközök Collaboration Management Alkalmazások és szolgáltatások Identity and Security Management 3 Felhasználók, ügyfelek, beszállítók és partnerek
Vállalati környezet Resource Management Számítógépek, mobil eszközök Server Management Kiszolgálók,hálózatiés kommunikációs eszközök Collaboration Management Alkalmazások és szolgáltatások Identity Management 4 Felhasználók, ügyfelek, beszállítók és partnerek
Hozzáférés- és személyazonosság-kezelés funkciók Személyazonosság adminisztrációja Hozzáférés-kezelés Hitelesítés Adattárolás (vault) Integráció és szinkron Hitelesítés Általános Üzleti folyamatok kezelése Erős hitelesítés Személyre szabott Delegált adminisztráció Egypontos bejelentkezés Saját adminisztráció Federated IM Audit 5 Engedélyezés Adminisztrációs események Hozzáférési események Riportok
Hozzáférés- és személyazonosság-kezelés funkciók Személyazonosság adminisztrációja Hozzáférés-kezelés Hitelesítés Adattárolás (vault) Integráció és szinkron Engedélyezés Hitelesítés Általános Üzleti folyamatok kezelése Erős hitelesítés Személyre szabott Delegált adminisztráció Provisioning SecureLogin Egypontos bejelentkezés Saját adminisztráció Federated IM edirectory Identity Manager / Audit 6 Adminisztrációs Sentinel események NMAS Hozzáférési események Access Manager Riportok
Személyazonosság adminisztrációja Dolgozó belép a céghez Kapcsolat kezdete Igénylés Szerep alapú munkafolyamattal erőforráskiosztás Jóváhagyás Új projekt Előléptetés Access Management Hozzáférés az erőforrásokhoz Másik telephely Single Sign-on Elfelejtett jelszó Kapcsolat vége Dolgozó elhagyja a céget 7 Lejárt jelszó Jelszókezelés
Novell Identity Manager 3.6 - Felhasználói információk szinkronizációja, aggregációja, megosztása (metacímtár) - Szerepkör alapú jogosultságkezelés - Munkafolyamat alapú jogosultságkezelés - Felhasználói információs portál (telefonkönyv, szervezeti ábra stb.) - Integrált a Novell Identity, Access and Security keretrendszerével 8
Szabály alapú erőforrás-kiosztás 1) Egy új felhasználói bejegyzés készül a cég HR rendszerében (Vagy valamely más hiteles adatforrásban) Adatbázis HR rendszer HR Manager Gipsz Jakab Pénzügyi rendszer Gipsz_Jakab Lotus Notes Identity Manager 2) Identity Manager észleli az új felhasználó létrejöttét 3) A vállalat üzleti szabályai alapján lefektetett irányelveknek megfelelően létrehozza a szükséges erőforrásokat a csatolt rendszerekben. 9 Linux jgipsz@mycompany.h u Fizikai eszközök nyilvántartása 30-334-443
Munkafolyamat alapú erőforrás-kiosztás Felettes 1) Felhasználónk új jogosultságokat igényel az IDM rendszerben Adatbázis file:///n:/npsh/documents/%23graphic%20design/graphics/pics/e xported/3d/person_blue.png Gipsz Jakab jgipsz Gipsz Pénzügyi rendszer Gipsz_Jakab 2) Felettes jóváhagyja az igényt 3) A felhasználó bejegyzése létrejön az adatbázisban és a Linux rendszerben, a jogosultságok beállításra kerülnek 10 Linux Lotus Notes Identity Manager jgipsz@mycompany.h u Fizikai eszközök nyilvántartása 30-334-443
Csatolható rendszerek a d a t b á z is o k IB M D B 2 In f o r m ix M ic r o s o f t S Q L S e r v e r M ysq L O ra c le Syb ase JDBC c ím t á r a k C r it ic a l P a t h In J o in D ir e c t o r y IB M D ir e c t o r y S e r v e r (S e c u r e W a y ) ip la n e t D ir e c t o r y S e r v e r M ic r o s o f t A c t iv e D ir e c t o r y M ic r o s o f t W in d o w s N T D o m a in s N e t s c a p e D ir e c t o r y S e r v e r N IS N IS + N o v e ll N D S N o v e ll e D ir e c t o r y O r a c le In t e r n e t D ir e c t o r y S u n O N E D ire c to r y S e rv e r LDAP le v e le z ő r e n d s z e r e k M ic r o s o f t E x c h a n g e 2 0 0 0, 2 0 0 3 M ic r o s o f t E x c h a n g e 5.5 N o v e ll G r o u p W is e L o tu s N o te s 11 ü z le t i a lk a lm a z á s o k Baan J.D.E d w a rd s La w so n O ra c le P e o p le s o ft SAP H R S A P R / 3 4.6 a n d S A P E n t e r p ris e S y s t e m s (B A S IS ) S A P W e b A p p lic a t io n S e r v e r ( W e b A S ) 6. 2 0 S ie b e l a d a tb u sz o k BEA IB M W e b s p h e r e M Q O pen JM S O ra c le JBO SS Sun T IB C O m a in fr a m e r e n d s z e r e k RACF ACF2 T o p Se c re t m id r a n g e r e n d s z e r e k O S / 4 0 0 (A S / 4 0 0 ) o p e r á c ió s r e n d s z e r e k M ic ro s o ft W in d o w s N T 4.0 M ic ro s o ft W in d o w s 2 0 0 0, 2 0 0 3 S U S E L IN U X D e b ia n L in u x F re e B SD Red Hat AS and ES R e d H a t L in u x H P -U X IB M A IX S o la r is U N IX F ile s - / e t c / p a s s w d egyéb D e lim it e d T e x t R e m e d y (fo r H e lp D e s k ) SO AP DSM L SPM L S c h o o ls In t e r o p e r a b ilit y F r a m e w o r k ( S IF ) p b x ren d sze re k Avaya PBX
Jelszó menedzsment Kétirányú jelszószinkronizáció Az IDM képes a felhasználói jelszavak kétirányú szinkronizációjára annak érdekében, hogy csak egy jelszót kelljen fejben tartani. Erős, vállalati szintű jelszóirányelvek Kialakítható olyan vállalati szintű jelszóirányelv, amely minden csatolt rendszerben kikényszeríti annak megfelelő jelszavak használatát Példák - A karakterek min./max. száma, kis- és nagybetűk száma, numerikus karakterek száma, hány jelszót jegyezzen meg a használtak közül a rendszer, kizárt jelszavak listája Jelszó visszaállítás Webes felületen a felhasználók visszaállíthatják saját elfelejtett jelszavaikat. A felhasználók a rendszerek natív interfészén keresztül válthatnak jelszót a továbbiakban is. 12
Az IDM főbb komponensei Identity Manager 3.6 > A termék részei:» Identity Manager engine» Alap integrációs modulok: Windows, Címtárak, Levelezőrendszerek» Felhasználói portál előre definiált portletekkel (telefonkönyv, szervezeti ábra, saját adatok módosítása, adatkarbantartó alkalmazás stb.) Integrációs modulok > Ezek biztosítják a kapcsolatot a különböző csatolt rendszerek irányába > Általános és alkalmazásspecifikus csatolók > Agentless technológia Munkafolyamat támogató modul > 13 Egy kiegészítése a felhasználói portálnak, amelyen munkafolyamatokok kezdeményezhetőek, illetve kezelhetőek
Az IDM megoldás evolúciója A megoldás célja: Az ismétlődő adminisztráció megszüntetése A biztonság növelése A költségek csökkentése Új funkciók: Állandó funkciók: Jelszó menedzsment Szerepkör alapú jogosultságkiosztás Irányelv alapú fejlesztői felület Delegált adminisztráció Jobb naplózási és monitoring lehetőségek Platformfüggetlen megoldás A meglévő szabványokra épít Könnyen kezelhető felületek az adminisztrátorok, fejlesztők ésinc.a Allvégfelhasználók számára 14 Novell rights reserved Továbbfejlesztett funkciók: Legújabb fejlesztések: Automatizált workflow alapú erőforráskiosztás Törvényi előírásoknak való megfelelés támogatása Még egyszerűbb bevezetés Automatikusan előálló teljes körű dokumentáció Felhasználók saját erőforrásaikat maguknak igényelhetik meg Grafikus munkafolyamat tervezés Beépített szerepkör definíciós és adminisztrációs oldalak Munkafolyamat API-k és web service-ek Ütemezett események Többnyelvű felhasználói felület Munkafolyamat monitoring felület
Designer: az eszköz IDM fejlesztéshez 15
Designer: munkafolyamatok 16
Designer: üzleti szabályok leképezése 17
Designer Off-line eszköz Egyszerre több projekten lehet dolgozni Verziókövetést biztosít Változások felderítése A teljes projekt automatikus dokumentálása Off-line tesztelési lehetőség Automatikus ellenőrzés és validáció Mintafolyamatok Beépített applikációk: élő trace, ldap browser, böngésző stb. 18
Integrált működés Novell Identity & Security Solutions 19
Novell Access Manager Web Single Sign On a webalkalmazások módosítása nélkül A nem webes alkalmazásokat SSL VPN kapcsolattal védi és teszi egyben elérhetővé. Többszintű hitelesítést tesz lehetővé bármely alkalmazásnál. SAML and Liberty Alliance szabványokon keresztül képes az üzleti partnerekkel személyazonosság federációra. Felgyorsítja az új alkalmazások bevezetését, egyszerűsíti adminisztrációjukat és csökkenti üzemeltetésük költségeiket. 20
Mi a Novell Access Manager 3? A Novell Access Manager 3 átfogó, személyazonosság alapú, biztonsági- és hozzáférés-szabályozást tesz lehetővé; nyílt szabványokon alapuló, technológiai és szervezeti határokon keresztülívelő egypontos bejelentkezést biztosítva, olyan technológiákat ötvözve, mint a többlépcsős hitelesítés, az adattitkosítás, a kliens nélküli egypontos bejelentkezés, vagy az SSL VPN, az adatok biztonságos elérését valamint az egyszerű kialakítást és adminisztrációt szem előtt tartva. 21
A NAM működése Identity Server gipszj ********* Identity Store 3 4 2 5 1 6 Access Gateway Webszerver A A biztonságos megadott azonosítókat kapcsolat névvel és ezzel az jelszóval Identity aazegy az Felhasználó átirányításra hozzá szeretne kerül férni Azbejelentkezési azonosítók validálása után az Access felhasználó Server ellenőrzi Gateway és a awebalkalmazás aelőkeresi címtárban webalkalmazáshoz között Identity védett Server-hez, ahol azonosítóit Accesserőforráshoz Gateway a fordul kialakult és bejelentkezteti a felhasználót meg kell adnia (itt felhasználónevet felhasználó bejelentkezési nevét és és jelszót. jelszavát 5 3 6 1 2 4 22
Access Manager 3 felépítése 23
Access Manager 3 komponensei Identity Server Identity Server Access Gateway SSLVPN Server J2EE Agent Administration Server Felhasználó hitelesítés jelszó, X.509v3, Token (OTP/Radius), NMAS Címtártámogatás Novell edirectory Microsoft Active Directory Sun One Directory Federation SAML 1.1, SAML 2.0 Liberty Alliance federation Szerepkörök kialakítása Címtáradat alapján Authentication Contract alapján Külső rendszer döntése alapján Adatok rendszerezése Federation adatok párosítása Liberty Alliance Web Service Framework 24
Access Manager 3 komponensei Access Gateway Identity Server Access Gateway SSLVPN Server J2EE Agent Administration Server 25 Webalkalmazás-védelem URL összerendelések Több webszolgáltatás védelme SSL beállítások Szerepkörök kiosztása Web Single Sign-On kliens nélküli megoldás nincs szükség az alkalmazás módosítására Platformtámogatás NetWare (dedikált) Linux (Identity + SSLVPN)
Access Manager 3 komponensei SSLVPN Server Identity Server Access Gateway SSLVPN Server J2EE Agent Administration Server 26 Alkalmazások védelme IP:port alapján ActiveX vagy Java kliens Client Integrity Check Access Gateway szükséges Támogatott kliensek Windows Linux Mac OSX
Access Manager 3 komponensei J2EE Agent Identity Server Access Gateway SSLVPN Server J2EE Agent Administration Server 27 Java alkalmazások védelme EJB / Servlet hozzáférés Felhasználó átirányítása az Identity Serverhez JAAS és JACC támogatás Támogatott alkalmazáskiszolgálók IBM Websphere BEA WebLogic JBOSS
Access Manager 3 komponensei Administration Server Identity Server Access Gateway SSLVPN Server J2EE Agent Administration Server 28 Adminisztrációs pont Kezelés egy helyről imanager kiterjesztés nem kell hozzá licenc telepíthető az Identity Serverre
Célcsoport Kinek van rá szüksége? Olyan ügyfeleknek,......akik költséghatékony, biztonságos és auditálható hozzáférés-kezelést szeretnének, akik konzisztens, egyszerű biztonsági megoldást szeretnének nyújtani alkalmazásaik eléréséhez a felhasználók, ügyfelek és partnerek számára, akik gyorsan változó alkalmazásparkkal rendelkeznek....akik saját J2EE fejlesztési stratégiával rendelkeznek,...akiknek üzleti tervei között B2B alapú partneri stratégia szerepel, 29 Kinek nincs rá szüksége? Olyan ügyfeleknek,......akik Linuxot használnak és ki akarják váltani a BorderManager tartalomszűrő (proxy) funkcióját, akik Shibboleth szabvány alapján szeretnék összekapcsolni személyazonossági rendszerüket.
Web Access Management trendek 2007 Piackonszolidáció szétszakadó mezőny Szolgáltatások szétválasztása hitelesítés, ellenőrzés, üzleti logika, envelope hatás, integráció Árverseny különböző árstruktúrák kialakítása 30
Web Access Management Trendek 2007 Miért vesznek WAM megoldásokat? 50 10 25 31 15 http://mediaproducts.gartner.com/reprints/ca/152046.html Hitelesítés/SSO Ellenőrzés Federation Egyéb
Novell Access Manager Teljes körű megoldás Belső fejlesztés a NIM-mel együtt Nagyon jó audit funkciók Nem csak az edirectory-hoz köthető Beépített adminisztrációs felület, amely kompatibilis a termékekkel Jó elfogadottság a felhasználók körében Nem kellően bevezetett név az ügyfeleknél Vannak funkciók, amelyek csak edirectory-val teljesednek ki Még nem kiteljesedett Web Services support, de az irány jó A Novell nem rendelkezik olyan üzleti alkalmazások, amelyek felgyorsítanák az elterjedést 32
Validáció 33
Novell Sentinel Integrált megoldás 34
Mi indokolja egy ilyen rendszer bevezetését? Külső és belső előírások, szabályozások egyre inkább meghatározzák, hogy felhasználók aktivitását a rendszerekben és alkalmazásokban milyen mértékben kell monitorozni. A kihívás SIEM Szabályozások Pénzügyi adatok kezelésének monitorozása (SOX, PCI DSS stb.) Külső & beéső auditok IT csapat éles környezethez való hozzáférésének monitorozása és riportolása IT Kockázatelemzés A biztonsági események összegyűjtése segít a kockázatok felderítésében IT üzemeltetés egyszerűsítése A különálló monitorozó eseménymonitorozó eszközök összevonásával, a hatékony működés elősegítése. Egy sikeres SIEM implementáció nagyban megnöveli a vállalat naplózási, monitorozási és riportolási hatékonyságát, és emellett az IT szabályozásoknak és kockázatelemzési célkitűzések elérésében is segít. 35
Sok rendszer, kevés tudás arról, hogy mi történik 36
Logelemzés Sentinellel 37
Active nézetek A biztonsági szakember kontrollterme Real-Time megjelenítés és elemzés Trendek észlelése, analizálása, a veszélyek és fenyegető cselekmények felderítése Villámgyorsan visszanézhetők az események a jelen pillanattól kezdődően akár több órára visszamenően 38
Megfelelőségi riportok, kimutatások 39 IT felügyelet Trendek, anomáliák felderítése Nyomon követése és riportolása a Sarbanes-Oxley és más szabályozások által definiált eszközökön végrehajtott cselekményeknek Kritikus IT eszközök aktív monitorozása Biztonsági eseményekre azonnal incidens indítható a kivizsgálás érdekében Out-of-Box riportokkal rendelkezik, de saját riportok is készíthetőek
Sentinel architektúra 40
Hogyan tud logokat feldolgozni? Nagyon sok előre elkészített Collector létezik Különböző csatornákon gyűjthetőek össze a logok: Operációs rendszerekhez Tűzfalakhoz Szkennerekhez IDS/IPS Adatbázisokhoz stb. Logfile, Socket, Syslog, SSL, SSH, OPSEC, SNMP, ODBC, JDBC, HTTP, WMI stb. Scriptnyelv segítségével saját collectorok definiálhatóak, amelyek összegyűjtik, parse-olják, normalizálják és kibővítik az eseményeket 41
Identity, Access Management és a SIEM Identity és Access Management rendszerek Riportok Segítségükkel biztonságossá tehetjük a hozzáférést a vállalat rendszereihez Metrikák,amelyek kimutatják a kritikus eseményeket Több száz előre definiált riportsablon Adatok és események összegyűjtése Felderítés és elhárítás + IDM adatok importálása a Sentinelbe A felhasználói rendszerekből érkező logokat a Sentinel feldolgozza Az analízishez minden szükséges adat rendelkezésre áll 42 Automatikusan workflow indítható a felderített problémák elhárítása érdekében (jogosultságok megszüntetése)
Sentinel riportok 43
Gartner jelentés a SIEM rendszerekről Tények: a SIEM megoldások kiegészítik az IDM rendszerek naplózási és riportolási lehetőségeit azon területekkel, amelyeket az IDm rendszerek technológiai korlátjaikból kifolyólag nem érnek el a SIEM kimutatások referenciaadatait egy IDM rendszer képes szolgáltatni Ajánlások 44 az IDM megoldás auditáló és riportáló funkcióit integráljuk a SIEM megoldásunkkal az IDM real-time módon adja át az adatokat a SIEM megoldásnak, amely így azokat a felhasználói tevékenységekkel össze tudja vetni az IAM rendszerben végzett felhasználói tevékenységeket is ajánlott a SIEM megoldásban összegyűjteni, elemezni a SIEM technológiát használjuk az IDM-en kívül eső területek monitorozására
Unpublished Work of Novell, Inc. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc. Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Novell products remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United States and other countries. All third-party trademarks are the property of their respective owners.