Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

© 2009 Quest Software, Inc. ALL RIGHTS RESERVED Grzegorz Szafrański, Paweł Żuchowski Quest Polska Quest Executive Briefing 2 czerwca 2011r.

Podobne prezentacje


Prezentacja na temat: "© 2009 Quest Software, Inc. ALL RIGHTS RESERVED Grzegorz Szafrański, Paweł Żuchowski Quest Polska Quest Executive Briefing 2 czerwca 2011r."— Zapis prezentacji:

1 © 2009 Quest Software, Inc. ALL RIGHTS RESERVED Grzegorz Szafrański, Paweł Żuchowski Quest Polska Quest Executive Briefing 2 czerwca 2011r. IDM w teorii i praktyce - wyzwania zarządzania tożsamością i dostępem

2 2 Wyzwania w zarządzaniu tożsamością i dostępem Wyzwania współczesnego środowiska IT Koncepcja zarządzania tożsamością i dostępem w Quest One Rozwiązania do uwierzytelniania i integracji systemów Rozwiązania do autoryzacji Rozwiązania do administracji Audyt bezpieczeństwa środowiska heterogenicznego Quest One – dodatkowe informacje Podsumowanie Agenda

3 3 Co to jest zarządzanie dostępem i tożsamością? Czy jest to uwierzytelnianie? Czy jest to autoryzacja? Czy jest to provisioning? Czy może zarządzanie hasłami? Czy jest to jednokrotne logowanie? Czy jest to inspekcja zdarzeń i zgodność z regulacjami compliance? A może jest to synchronizacja haseł? Czy w ogóle jesteśmy w stanie to osiągnąć? Odpowiedzi znajdują się powyżej!

4 4 Budowa współczesnego środowiska IT Windows/AD Mainframe + Virtual env.Mainframe Unix Applications Unix

5 5 Wyzwania w zarządzaniu tożsamością i dostępem Zbyt wiele…tożsamości, haseł, ról, katalogów, itd. Ręczne wykonywanie wielu procesów Powtarzalność zadań Niewydajna praca użytkownika końcowego Niezabezpieczone uwierzytelnianie Brak kontroli nad uprzywilejowanymi kontami Niespójne i nieefektywne polityki bezpieczeństwa Opóźnienia w de-provisioningu Nieprzypisane konta do żadnego z pracowników Brak wglądu w aktywność użytkowników i wykonywane przez nich akcje Kontrola dostępu Wymuszanie segregacji obowiązków Przestrzeganie i wymuszanie spójnej oraz zgodnej polityki bezp. Zapewnienie zgodności z wymogami bezp. Wydajność operacyjna Bezpieczeństwo Zgodność z wymogami bezp.

6 6 Wyzwania współczesnego środowiska IT Średnio w firmach występuje około 31 różnych katalogów (repozytoriów użytkowników) (3) W firmach liczących około pracowników na jednego użytkownika przypada 14 różnych haseł (2) Ostatni sondaż przeprowadzony przez RSA Security wykazał, że na 10 badanych osób 9 jest sfrustrowana ilością posiadanych identyfikatorów użytkownika i haseł, jakimi muszą zarządzać (1) Dla 58% z badanych firm czas potrzebny na wykonanie de- provisoningu pracownika wynosi więcej niż 24 godziny (3) Wniosek: Im większe i bardziej rozbudowane środowisko, tym trudniej nad nim zapanować i kontrolować 1 Reduced Sign-on Burton Group Reference Architecture Technical Position – September 6, International Data Group 3 Dealing with Directories: Fewer Fuels Faster and More Efficient OperationsAberdeen Research Brief – June 2007

7 7 Problem z wybraniem właściwego rozwiązania? Wysokie koszty wdrożenia rozwiązania IAM –Dostępne na rynku rozwiązania posiadają ukryte dodatkowe koszty przewyższające niekiedy 6-cio krotnie zakup licencji oprogramowania –Wiedza na temat integrowanego środowiska nie jest uwidoczniona w technologii produktu Większość rozwiązań IAM wprowadza dodatkowy katalog –Meta-katalogi są tak naprawdę dodatkowymi katalogami, którymi trzeba zarządzać –Niektóre rozwiązania oparte o meta-katalog potrzebują nie 1 lecz 2 dodatkowych katalogów oraz bazy danych

8 8 Problemy z wybraniem właściwego rozwiązania? Producenci oprogramowania IAM nie skupiają się na najważniejszym: Active Directory –Wszechobecności AD oraz popularności działających na stacjach/serwerach Windows systemów lub aplikacji SharePoint/Exchange/OCS/Office/SQL/Oracle itd. –Termin Provisioning dla większości producentów systemów IAM definiowany jest jako provisioning pojedynczej prostej operacji tworzenia konta w kilku systemach Inwestycja poniesiona na wdrożenie Active Directory nie jest wykorzystana do maksimum jego możliwości

9 9 Uproszczone podejście do zarządzania dostępem i tożsamością Quest One upraszcza proces zarządzania tożsamością i dostępem w celu zwiększenia bezpieczeństwa, wydajności oraz spełniania wymogów Compliance poprzez konsolidację krytycznych systemów nie-Windowsowych, ujednolicenie głównych aspektów IAM, automatyzację administracji tożsamościami oraz zabezpieczenie ważnych systemów. QuestOne jednocześnie zapewnia zgodność z wymogami kontroli dostępu oraz segregacje obowiązków z pełnym wglądem w aktywność użytkownika i role biznesowe jakie pełni w środowisku..

10 10 Uproszczone podejście do zarządzania dostępem i tożsamością

11 11 Uproszczone podejście do zarządzania dostępem i tożsamością

12 12 Integracja tożsamosci i systemów systemy Unix oraz Linux systemy HR, Oracle, SAP oraz inne aplikacje Java/ERP/inne Uproszczone zarządzanie Rozszerzenie możliwości do systemów nie-Windowsowych Automatyzacja procesów Provisioning, re-provisioning Zarządzanie rolami Zatwierdzanie zmian Compliance Raportowanie Audytu Kontrola dostępów Compliance Portal Bezpieczeństwo Zarządzanie hasłami De-provisioning Tokeny HP-UX Wprowadzenie do Quest One HR DB2

13 13 Quest integruje różne konta użytkowników Unix/Linux/Java do pojedynczego, dobrze zabezpieczonego środowiska Active Directory

14 14 Następnie, Quest pomaga zarządzać tym zintegrowanym środowiskiem i podnosić wydajność pracy poprzez automatyczny provisioning i de-provisioning

15 15 Wzmocnione bezpieczeństwo Poprzez zarządzanie hasłami dla wszystkich, zintegrowanych systemów + zabezpieczenia tokenowe.

16 16 Poprzez dostarczanie danych potrzebnych do audytu środowiska i raportowanie o wszystkich zdarzeniach związanych z tożsamością w tym zintegrowanym środowisku I spełnienie wymagań dotyczących wewnętrznych/zewnętrznych regulacji

17 17 Integracja innych systemów w AD (współpraca z Quest Quick Connect )

18 18

19 19 Mainframe Virtual env. Studium przypadku użytkownika końcowego HR System Tworzenie konta ? QuickConnect Audyt delegowanych ról Śledzenie zmian i procesów Audytowanie zdarzeń Analiza anomalii Raportowanie tożsamości

20 20 Praktyczny provisioning użytkowika Tworzenie Konfiguracja Inform. 65 minut 10 minut Przypisanie uprawnień administracyjnych i roli10 minut Utworzenie konta w innych systemach Unix/Linux, Oracle, Notes, SAP, itd. 10 minut Poinformowanie Biznesu do IT, Service Desk, Managementu, itd. 10 minut Łączna aktywność: Dalsza aktywność: Godziny / Dni Dodanie pracownika do systemu HR 5 minut HR Utworzenie konta użytkownika w Active Directory Umiejscowienie, unikalna nazwa, hasło, atrybuty 10 minut Utworzenie skrzynki na Exchange Wybranie odpowiedniego Stora, utworzenie aliasu 5 minut Stworzenie katalogu domowego Lokalizacja, uprawnienia NTFS, uprawnienia udziału 5 minut Krok Proces natywny Dodanie użytkownika do grup Grup Security oraz Dystrybucyjnych 5 minut Automatycznie 5 minut Automatycznie Quest One

21 21 Możliwości systemu Quest One Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów

22 22 Rozwiązania dla uwierzytelniania Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów

23 23 Quest Authentication Services Przyłącza systemy Unix, Linux oraz MacOS do Active Directory Zastępuję/eliminuje usługę NIS Rozszerza możliwości Active Directory do środowiska nie- Windowsowego Single sign-on dla standardowych aplikacji Rozszerzenie smart-cardów do serwerów nie-Windows SSO dla SAP Group Policy dla Unix, Linux oraz Mac Ponad 600 klientów Ponad 3,5 miniona użytych licencji 23

24 24 Przejście z tego...

25 25 Przejście z tego... do tego!

26 26 Quest Single Sign-on for Java Oparte na kontach Active Directory logowanie single sign- on dla aplikacji Java Federacja uprawnień Kerberos dla Java Czysta implementacja Java 26

27 27 To samo... tylko dla aplikacji Java

28 28 Quest Enterprise Single Sign-on SSO wykorzystujące Active Directory Wymuszanie polityk dostępowych oraz bezpieczeństwa w środowisku Pojedynczy punkt uwierzytelniania dla wszystkich zasobów Zwiększa produktywność IT oraz wydajność użytkowników Raportowanie audytu/Compliance Polityki dostępowe dla Desktopów 28

29 29 Quest Defender Mocne, dwu-warstwowe uwierzytelnianie Active Directory-based Wsparcie dla szerokiej listy systemów i aplikacji Niezależność od producenta tokenów Tokeny Hardware lub software Brak konieczności stawiania dodatkowej infrastruktury serwerowej ZeroIMPACT Migrations Raportowanie 29

30 30 Quest Defender 30

31 31 inne rozwiązania dla uwierzytelnienia Password Manager 31

32 32 Rozwiązania do autoryzacji Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów

33 33 Total Privilege Access Management Zarządzania uprzywilejowanymi hasłami (Privileged Password Management) Zarządzania hasłami aplikacji (Application Password Management) Zarządzania uprzywilejowanymi sesjami (Privileged Session Management) Zarządzania uprzywilejowanymi komendami (Privileged Command Management). 33 Best Regulatory Compliance Solution

34 34 Total Privilege Access Management - cechy Rejestrowanie, gromadzenie i późniejsze odtwarzanie zdalnych sesji terminalowych i graficznych nawiązywanych do systemów, Workflow akceptacyjny Zarządzania systemem poprzez dedykowane konsole z różnych lokalizacji geograficznych (konsole webowe ), Generowanie raportów historycznych z działań użytkowników, Brak konieczności przekazywania użytkownikom dodatkowego, dedykowanego oprogramowania służącego do nawiązywania połączeń zdalnych, Brak instalacji dodatkowego oprogramowania na serwerach 34

35 35 TPAM – schemat działania 35

36 36 Privilege Manager for Unix Uszczegółowiona kontrola uprawnień administracyjnych na serwerach Unix Raportowanie oraz inspekcja aktywności root Logowanie aktywności i odgrywanie sesji roota na Unixach

37 37 Privilege Manager for Unix

38 38 Access Manager Oferuje pojedynczą konsolę umożliwiającą działom IT kontrolować i zarządzać dostępami użytkowników do zasobów serwerowych Windows takich jak pliki, foldery, udziały oraz lokalne uprawnienia administracyjne. –Gdzie użytkownik X ma przydzielony dostęp? –Czy użytkownik X ma prawidłowe uprawnienia i dostęp w środowisku? –Poprzez jaką grupę użytkownik X ma nadany dostęp? –Gdzie grupa ma przydzielone inne dostępy? Umożliwia stworzenie czytelnego raportu o dostępach Delegowanie ról do zarządzania uprawnieniami do zasobów Umożliwia identyfikowanie i usuwanie nierozwiązywalnych SIDów Umożliwia podmianę uprawnień użytkownika/grupy na inne Centralnie zarządza uprawnieniami

39 39 Weryfikacja uprawnień i dostępów grupy zanim zostanie do niej przydzielona osoba…

40 40 Rozwiązania do zarządzania IAM Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów

41 41 ActiveRoles Server

42 42 Delegacja uprawnień oparta o Role Funkcja Rola w organizacji Dostęp Tworzenie użytkowników/grup Reset haseł, Odblokowywanie kont Computers Domain Controllers APAC EMEA North America Architekci AD New York Mexico City Starsi Administratorzy Administratorzy OU / Help Desk Właściciele Aplikacji/Danych Tworzenie OU Tworzenie obiektów Przyłączanie komputerów Zarządzanie dostępem Przypisywanie asystentów Weryfikacja ról Administratorzy Exchange Tworzenie/Usuwanie skrzynek Przenoszenie skrzynek Aktualizacja adresów AD / AD LDS Cross-platform Aktualizacja danych personalnych Wnioskowanie o dostęp Aktualizacja nr telefonu Samoobsługa konta Aplikacje Samoobsługa konta Codzienna administracja Właściciele aplikacji/danych Administratorzy skrzynek pocztowych Service Desk Bazy danych Katalogi Platformy

43 43 Zachowanie integralności danych - reguły Przykład reguły biznesowej Opis nie może pozostać pusty Numer telefonu musi składać się z +48- ### - ### - #### Adres = pierwsza litera imienia + Adres = pierwsza litera imienia + Wygenerowanie Wyświetlanej nazwy

44 44 Polityki provisioningu w AD i poza… Policy User Account Create Configure Group/Role Membership Location, Unique Logon Generation, Strong Password Generation, Remote Access Applications & Databases Unix/Linux & Java Location, NTFS permissions, Share permissions Controlled Store Selection, Alias Generation Access Control / Distribution Lists Cross Platform for non AD Integrated Exchange Mailbox & IM Home Folder & File Shares Notifications Linux/Unix/Java Enabled Centralized Provisioning Managers, HR and Support Inform Affordable / Efficient / Error Free Completed in Minutes Affordable / Efficient / Error Free Completed in Minutes Other Identity Manager Cross-platform Manual

45 45 Policy Polityki de-provisioningu w AD i poza… Lockdown Configure Disable Account, Set/Clear Attributes, Move to Recycle Bin and Schedule for Deletion in Revoke Access, assign permissions to Managers/Admins Assign Self, Hide from GAL, permissions for Mgr/Admins Remove and Record Security and Distribution Group Memberships Initiate Cross Platform Deprovisioning Linux/Unix/Java Disable Deprovision ADLDS Managers, HR and Support Inform User Account Home Folder & File Shares Exchange Mailbox & IM Group/Role Membership Applications & Databases Unix/Linux & Java Notifications/ Reporting Policy Cross-platform Other Identity Manager Manual Affordable / Efficient / Error Free Completed in Minutes Affordable / Efficient / Error Free Completed in Minutes

46 46 Umożliwia podział obowiązków oraz śledzenie zmian w sposób bardziej kontrolowany i zgodny z bezpieczeństwem Zatwierdzanie zmian - workflow

47 47 Scentralizowanie raportowanie i historia zmian online Śledzenie operacji i sprawdzanie Compliance Aktualna historia zmian oraz Śledzenie aktywności użytkownika

48 48 Self-Service Umożliwia użytkownikom zarządzanie swoimi danymi osobistymi Centralne miejsce do zgłaszania zapotrzebowań na dostęp Umożliwia managerom kontrolować dostępy pracowników i jednocześnie zarządzać ich dostępami do aplikacji lub danych Umożliwia self-service konta (np. reset hasła)

49 49 Self-Service Manager

50 50 Applications Databases Directories HR/ERP Systems Cross-platform with Quick ConnectAttestation ReportingRemediationOversight Governance, Risk & Compliance Workflow Self-Service Access Request Secondary Owners Application, Data or Business Owner Self-Service Group Management Microsoft Resources

51 51 ActiveRoles Quick Connect Umożliwia automatyczny provisioning, re-provisioning oraz de-provisioning tożsamosci ze śródeł danych takich jak HR/ERP/Lotus Notes/SharePoint i inne. Integruje się z systemem Microsoft FIM Prosty do konfiguracji, konfiguracja provisioningu zajmuje mniej niż 10 min. Synchronizacja tożsamości, synchronizowane są obiekty i atrybuty pomiędzy połączonymi systemami Synchronizacja dostępów, synchronizuje przynależność do grup pomiędzy połączonymi systemami Wykorzystuje PowerShell oraz możliwość wykonania zapytania na bazie

52 52 Quest Password Manager Samoobsługa resetowania haseł przez użytkowników końcowych Samoobsługa odblokowywania kont Rozszerzone polityki haseł oraz zaawansowana kontrola haseł Definiowanie różnych polityk haseł w jednej domenie 52

53 53 Password Manager

54 54 Inne rozwiązania do administracji GPOAdmin – zarządzanie GPO Quest Authentication Services Quest Single Sign-on for Java Privilege Manager for Unix Enterprise Single Sign-on 54

55 55 Rozwiązania do audytu/Compliance Integracja Unix, Linux, Mac i Java z Active Directory Jednokrotne logowanie Synchronizacja haseł Silne uwierzytelnianie Delegacja uprawnień administracyjnych Pilnowanie uprawnień Autoryzacja poprzez Web Podział obowiązków Provisioning, de-provisioning oraz re-provisioning Definiowanie ról oraz zatwierdzanie zmian Self-service oraz zarządzanie hasłami Definiowanie polityk dostępowych oraz stosowanie do reguł Audytowanie zmian oraz zgodność z polityką bezpieczeństwa Międzyplatformowe raportowanie Powiadomienia i analiza anomalii Podział obowiązków Inspekcja wykorzystania podwyższonych uprawnień oraz raportowanie Kontrola dostęp do zasobów

56 56 Quest InTrust Bezpiecznie zbiera logi zdarzeń ze środowiska informatycznego Koreluje zdarzenia Oferuje inteligentne raportowanie Dostarcza raporty dla audytorów Kompresuje logi, długoterminowo je przechowuje Monitoring zdarzeń Real-time (alerty, wywoływanie akcji) 56

57 57 Quest InTrust 57

58 58 ChangeAuditor for Active Directory Audytowanie Real-time zmian w Active Directory Śledzenie krycznych zmian w konfiguracji systemu Active Directory Poszerzona wewnętrzna kontrola autoryzowanych i nieautoryzowanych zmian Zabezpieczanie obiektów w AD Raportowanie dla biznesu o zmianach

59 59 ChangeAuditor for Active Directory

60 60 Quest Reporter Bieżące oraz zaplanowane kolekcjonowanie danych Rozproszone kolektory danych, pracujące w trybie kompresji danych Architektura bezagentowa Widoki przystosowane pod klienta Raporty z możliwością podjęcia akcji na danych Kolekcjonowanie i przechowywanie danych historycznych Raporty przystosowane pod klienta Raporty historyczne Ponad 300 predefiniowanych, edytowalnych raportów Elastyczne raporty z możliwości zapisu do formatów: Excel, PDF, CSV, RTF oraz HTML 60

61 61 Quest Reporter 61

62 62 Inne rozwiązania dla Compliance Quest Authentication Services Quest Single Sign-on for Java ActiveRoles Server Privilege Manager for Unix Defender Password Manager Enterprise Single Sign-on 62

63 © 2009 Quest Software, Inc. ALL RIGHTS RESERVED Quest One Identity Solution Podsumowanie

64 64 Podsumowanie Zwiększenie wydajności dzięki automatyzacji zarządzania tożsamością w wielu systemach oraz konsolidację tożsamości różnych systemó w Active Directory Zwiększenie bezpieczeństwa dzięki implementacji silnych mechanizmów uwierzytelniania dla wielu systemów, wsparciu dla smart card i tokenów oraz kontrolę uprawnionych kont Osiągnięcie zgodności z Compliance z potężnym, zintegrowanym audytem, raportowaniem, konsolidacją tożsamości, jednokrotnym logowaniem, wymuszaniem polityk audytu oraz podziałem obowiązków na użytkowników Quest Software upraszcza zarządzanie środowiskiem IT oraz dostęp do niego poprzez:

65 65 Opinie o Quest One Quest could easily emerge as an IAM market leader over the next several years – the company has strong executive leadership in the IAM space and a strong relationship with Microsoft, and it seems to be making the necessary moves to position itself for a leadership role in the mid- to large-scale enterprise. Quest Software is one of the leading vendors of solutions for Windows Management and IAM/GRC, with focus on Add-ons mainly to Active Directory-centric environments. Thus Quest has a clear and strong positioning at the market and appears as a well established and solidly financed vendor in that market. Quest Software can as well provide (more or less) complete solutions, especially in the SME market segment, as value-adds to existing IT infrastructures even in very large organizations, improving the Active Directory management, the integration with Unix, Linux and Mac and providing as well a deeper level of integration with Active Directory and a higher degree of control than typical IAM solutions do today. Thus we recommend evaluating the Quest Software portfolio, depending on the current IT infrastructure and requirements, in the context of the business cases mentioned above.

66 © 2009 Quest Software, Inc. ALL RIGHTS RESERVED Quest One Identity Solution Dostęp do większej ilości informacji

67 67 Projekty IAM

68 68 Portal społecznościowy dla użytkowników ARS Forum dyskusyjne Dodatkowe dokumenty Przydatne narzędzia i skrypty

69 69 Dziękuję za uwagę! Grzegorz Szafrański


Pobierz ppt "© 2009 Quest Software, Inc. ALL RIGHTS RESERVED Grzegorz Szafrański, Paweł Żuchowski Quest Polska Quest Executive Briefing 2 czerwca 2011r."

Podobne prezentacje


Reklamy Google