Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2006 IBM Information Technology Services Identity Management - přínosy a metody.

Podobné prezentace


Prezentace na téma: "Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2006 IBM Information Technology Services Identity Management - přínosy a metody."— Transkript prezentace:

1 Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2006 IBM Information Technology Services Identity Management - přínosy a metody implementace ISSS dubna 2006

2 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Agenda  Role Identity Managementu v řízení bezpečnosti  Identity Management a podpora procesů  Koncept a přínosy RBAC  Identity Management s využitím RBAC  Metodika implementace Identity Managementu  Příklad integrace Identity Managementu s Cisco ACS  Komplexní služby IBM v oblasti bezpečnosti

3 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Co je to Identity Management? Wikipedia: Identity Management je integrovaný systém obchodních procesů, politik a technologií, které umožňují organizacím zjednodušit a spravovat uživatelské přístupy ke kritickým online aplikacím a zdrojům při současné ochraně důvěrných osobních a obchodních informací před neautorizovanými uživateli. Obsah Wikipedie je licencovaný GNU Free Documentation Licencí. IBM: Identity Management je koncept spočívající u poskytnutí jednotného rozhraní pro správu všech aspektů souvisejících s jednotlivci a jejich interakcí s obchodními procesy. Je to proces, který zjednodušuje obchodní činnosti efektivní správou uživatelského životního cyklu integrací s obchodními procesy.

4 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation IBM Global Business Security Index a význam Identity Managementu  Zpráva IBM o bezpečnosti v globálním byznysu shrnuje trendy v oblasti zabezpečení za rok 2005 a nastiňuje vyhlídky pro rok  Společnost IBM oznámila výsledky zprávy 2005 Global Business Security Index a zveřejnila odhad potenciálních bezpečnostních hrozeb pro rok Na základě prvních ukazatelů IBM očekává fundamentální vývoj kybernetického zločinu od rozsáhlých globálních útoků směrem k menším, skrytějším útokům vedeným proti konkrétním organizacím za účelem vydírání.  Zpráva IBM o bezpečnosti v globálním byznysu nastiňuje také další potenciální hrozby, které se mohou v roce 2006 objevit: –Útoky zevnitř – Zatímco software je už bezpečnější, uživatelé počítačů budou nadále slabým článkem společností a organizací. Zločinci se budou snažit přesvědčit koncové uživatele ke spuštění útoku, místo aby ztráceli čas zdlouhavým odhalováním slabin používaného software. –Rozvíjející se země – Kybernetičtí zločinci zneužívají chabou mezinárodní spolupráci v boji proti elektronickému zločinu a s minimálním osobním rizikem vedou útoky přes hranice do jiných zemí. Je potom mnohem obtížnější vystopovat původce útoků. –Botnety - softwaroví roboti, kteří ovládají systémy bez vědomí majitele, budou nadále představovat jednu z největších hrozeb na internetu. –Mobilní zařízení – V posledním roce podstatně vzrostlo množství škodlivého softwaru, který napadá mobilní telefony, kapesní počítače a další bezdrátová zařízení.

5 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Důvody pro zavedení Identity managementu  Obvyklé problémy –30%-50% všech volání na podporu se týkají hesla –V průměru 25% uživatelských účtů jsou sirotci –95% uživatelů má příliš mnoho přístupových práv nebo zcela zbytečná práva –Noví zaměstnanci a externí subjekty nemají uživatelské účty první pracovní den –Bývalí zaměstnanci neztratí nikdy přístup

6 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Identity Management a podpora procesů  Identity Management řeší následující úkoly: –Přidělení přístupových práv ke službám (zdrojům) –Je každý uživatelský přístup k danému zdroji oprávněný? –Jsou přístupy uživatele ke všem zdrojům nastaveny korektně? –Jsou v souladu politiky se skutečným stavem? –Produktivita –Je způsob přidělování a změn přístupových práv uživatelům efektivní? –Přístupy –Jsou politiky přístupových oprávnění a ochrany senzitivních informací implementovány konzistentně v každém operačním systému, aplikaci, a datovém úložišti? –Audit –Je možno efektivním způsobem dokladovat plnění politik přístupových oprávnění a ochrany senzitivních informací?

7 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Přiřazení přístupových oprávnění na základě role Politiky přístupových oprávnění Služba (Zdroj) UživatelRole  Uživateli jsou přiřazeny role na základě jeho pracovního zařazení  Rolím jsou přiřazeny zdroje na základě Politik přístupových oprávnění (Provisioning policy)  Politiky přístupových oprávnění mohou přiřazovat uživatelům další atributy attr

8 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Potvrzení souladu (Rekonciliace) porovnává “Jak to je” s tím “Jak to má být”  Na základě rekonciliace jsou prosazovány Politiky přístupových oprávnění (oprávnění ke zdroji) Např. zjištění neoprávněných změn provedených lokálním administrátorem a jejich náprava.  Rekonciliace zjišťuje „sirotčí účty“ Např. testovací účty nebo účty uživatelů, kteří již nejsou v organizaci Politiky přístupových oprávnění Služba (Zdroj) UživatelRole attr Rekonciliace

9 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Co je to Identity Management Aplikace nebo informační zdroj Uživatelka AAA Server Administrátorka přistupuje autentizuje autorizuje spravuje Identity Management provisioning reconcilation synchronization Managerka Procesní analytička HR schvaluje definuje zahajuje Aplikační platforma Access management

10 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Přidělování přístupů bez RBAC Manažer uživatele určí, ke kterým aplikacím potřebuje uživatel přístup a ke každé aplikaci zvlášť požádá o nastavení přístupových oprávnění Manažer zkontroluje dokončení požadovaných operací a uvědomí uživatele Systémoví administrátoři vytvoří uživatelské účty, nastaví oprávnění a pošlou zprávu o dokončení Koncový uživatel přistupuje k aplikacím Požadavek na aplikaci X Požadavek na aplikaci Y Požadavek na aplikaci Z Audit Record Audit Record Audit Record Admin X Admin Y Admin Z User Provisioning Zpráva o dokončení Trvání – řádově týdny Obvykle manuální proces - - -

11 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Identity Management s použitím RBAC Požadavek na aplikaci X Požadavek na aplikaci Y Požadavek na aplikaci Z Audit Record Audit Record Audit Record Admin X Admin Y Admin Z User Provisioning Completion Notification Automatizovaný Identity Life Cycle Management Automatizované přidělení přístupů na základě rolí Automatizované schvalování, Workflow, and notifikace Centralizovaný audit a reportovací nástroje Uživatelé jsou členy předdefinova ných rolí Trvání – řádově minuty až desítky minut (pro systémy offline) Automatizovaný proces Koncový uživatel přistupuje k aplikacím

12 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Přínosy zavedení Identity Managementu a RBAC  Jednotný administrativní proces napříč organizací /aplikacemi / platformami  Jednotné prosazování bezpečnostních politik napříč organizací  Jednodušší a lépe dokladovatelný audit (centralizované vytváření auditních záznamů o přidělování přístupových oprávnění)  Změna postavení IT auditu: Reaktivní -> Proaktivní (rekonciliace)  Jednodušší implementace organizačních změn  Automatizace rutinních úloh  Redukce celkových nákladů na administraci uživatelů  Přehlednější systém přístupových oprávnění znamená méně bezpečnostních rizik -> uživatelé mají pouze taková oprávnění ke službám a datovým zdrojům, které potřebují ke své práci  Řešení problémů se „sirotčími“ účty, tzn. účty, které kdysi byly pro uživatele zavedeny a v současné době je již žádný oprávněný uživatel nepoužívá

13 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Metodika implementace IM - Dva přístupy k implementaci Identity managementu Podnikové systémy Zaměstnanci Zákazníci BP‘s Dodavatelé Identity management Operační systémy Aplikace Infrastruktura Data Aplikace Nasazení “Zdola nahoru (Bottom Up)” Větší rozsah pokrytí, dobře definovatelné cíle, rychlejší návratnost/užitnost, větší dopad na uživatele Nasazení “Shora dolů (Top Down)” Taktické pokrytí, limitovaný rozsah aplikací, pozdější návratnost, malý dopad na uživatele, vyšší cena nasazení

14 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Metodika implementace IM - Dva přístupy k implementaci Identity managementu Pro a proti (1): „zdola nahoru“ Pro: Uživatelé jsou si vědomi nového identity řešení už v raných fázích projektu Mnoho manuálních procesů se nahradí automatickými Správa hesel (password management) se implementuje pro velké množství uživatelů V první fázi se pokrývají standardní operační systémy a aplikace Odpadá tvorba „custom“ agentů v první fázi Proti: Organizační struktura může v pozdějších fázích vyžadovat větší změny Větší dopad na uživatele, nutná větší součinnost na straně zákazníka Implementace kopíruje infrastrukturu a není řízena „business“ pohledem na věc

15 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Pro a proti (2): „zhora dolů“ Pro: Soustředění se na klíčovou obchodní aplikaci Kompletní pokrytí první aplikace je demonstrací toho, jak se Identity Management rozšíří na celou společnost Klíčová aplikace je pokryta komplexně (správa hesel, automatické poskytování účtů, workflow, RBAC…) Dopad na uživatele během implementace je minimální Proti: Omezené pokrytí v prvních fázích, procento uživatelů zahrnutých do projektu je malé „Custom“ agenti jsou obvykle programováni již pro první aplikace Přínos identity managementu není v první fázi díky omezenému pokrytí zřetelný Náklady na implementaci jsou vyšší (díky delší analýze) Metodika implementace IM - Dva přístupy k implementaci Identity managementu

16 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Příklad integrace Identity Managementu - Řízení přístupu do interní sítě Identity Management

17 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Příklad integrace Identity Managementu - Řízení přístupu do interní sítě  Řešení –Zajišťuje, že zařízení přistupující do interní sítě mají předepsanou konfiguraci (FW, AV, aktualizované). –Zajišťuje, že konfigurace zařízení odpovídá bezpečnostním politikám.  Technologie –Infrastruktura Cisco Network Admission Control (NAC) –NAC-compliant směrovače, Cisco Trust Agent, Cisco ACS –Volitelně Cisco Security Agent –IBM Tivoli sw –Tivoli Security Compliance Manager –Tivoli Provisioning Manager

18 Ing. Stanislav Bíža, Senior IT Architect, CISA IBM Information Technology Services © Copyright IBM Corporation Komplexní služby IBM v oblasti bezpečnosti Technologie Procesy Data / Aplikace Fyzická zařízení / Prostory Organizace Strategie IBM má silné kompetence v oblasti bezpečnosti – metodika auditu založená na ISO 17799; metodika pro návrh bezpečnostní architektury založená na Common Criteria; cca 1100 certifikovaných specialistů; celosvětově sdílené informace o bezpečnostních hrozbách a řešeních.  Vypracování strategie řízení bezpečnosti IT  Vypracování bezpečnostních politik a standardů  Bezpečnostní audit IT  Příprava na certifikaci/ certifikace podle ISO  Vypracování Analýzy rizik  Návrh a implementace Identity & Access Mangementu  Návrh bezpečnostní architektury IT systémů  Vybudování infrastruktury veřejných klíčů (PKI)  Bezpečné připojení k Internetu – DMZ, FW, VPN...  Systémy detekce útoků  Penetrační testy – interní & externí  Business Continuity & Recovery Services  Budování vysoce odolných datových center

19 Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2006 IBM Information Technology Services Otázky ? Děkuji za pozornost


Stáhnout ppt "Ing. Stanislav Bíža, Senior IT Architect, CISA © Copyright IBM Corporation 2006 IBM Information Technology Services Identity Management - přínosy a metody."

Podobné prezentace


Reklamy Google