Identity Management - přínosy a metody implementace ISSS 2006 3. dubna 2006
Agenda Role Identity Managementu v řízení bezpečnosti Identity Management a podpora procesů Koncept a přínosy RBAC Identity Management s využitím RBAC Metodika implementace Identity Managementu Příklad integrace Identity Managementu s Cisco ACS Komplexní služby IBM v oblasti bezpečnosti
Co je to Identity Management? Wikipedia: Identity Management je integrovaný systém obchodních procesů, politik a technologií, které umožňují organizacím zjednodušit a spravovat uživatelské přístupy ke kritickým online aplikacím a zdrojům při současné ochraně důvěrných osobních a obchodních informací před neautorizovanými uživateli. Obsah Wikipedie je licencovaný GNU Free Documentation Licencí. IBM: Identity Management je koncept spočívající u poskytnutí jednotného rozhraní pro správu všech aspektů souvisejících s jednotlivci a jejich interakcí s obchodními procesy. Je to proces, který zjednodušuje obchodní činnosti efektivní správou uživatelského životního cyklu integrací s obchodními procesy.
IBM Global Business Security Index a význam Identity Managementu Zpráva IBM o bezpečnosti v globálním byznysu shrnuje trendy v oblasti zabezpečení za rok 2005 a nastiňuje vyhlídky pro rok 2006. Společnost IBM oznámila výsledky zprávy 2005 Global Business Security Index a zveřejnila odhad potenciálních bezpečnostních hrozeb pro rok 2006. Na základě prvních ukazatelů IBM očekává fundamentální vývoj kybernetického zločinu od rozsáhlých globálních útoků směrem k menším, skrytějším útokům vedeným proti konkrétním organizacím za účelem vydírání. Zpráva IBM o bezpečnosti v globálním byznysu nastiňuje také další potenciální hrozby, které se mohou v roce 2006 objevit: Útoky zevnitř – Zatímco software je už bezpečnější, uživatelé počítačů budou nadále slabým článkem společností a organizací. Zločinci se budou snažit přesvědčit koncové uživatele ke spuštění útoku, místo aby ztráceli čas zdlouhavým odhalováním slabin používaného software. Rozvíjející se země – Kybernetičtí zločinci zneužívají chabou mezinárodní spolupráci v boji proti elektronickému zločinu a s minimálním osobním rizikem vedou útoky přes hranice do jiných zemí. Je potom mnohem obtížnější vystopovat původce útoků. Botnety - softwaroví roboti, kteří ovládají systémy bez vědomí majitele, budou nadále představovat jednu z největších hrozeb na internetu. Mobilní zařízení – V posledním roce podstatně vzrostlo množství škodlivého softwaru, který napadá mobilní telefony, kapesní počítače a další bezdrátová zařízení.
Důvody pro zavedení Identity managementu Obvyklé problémy 30%-50% všech volání na podporu se týkají hesla V průměru 25% uživatelských účtů jsou sirotci 95% uživatelů má příliš mnoho přístupových práv nebo zcela zbytečná práva Noví zaměstnanci a externí subjekty nemají uživatelské účty první pracovní den Bývalí zaměstnanci neztratí nikdy přístup
Identity Management a podpora procesů Identity Management řeší následující úkoly: Přidělení přístupových práv ke službám (zdrojům) Je každý uživatelský přístup k danému zdroji oprávněný? Jsou přístupy uživatele ke všem zdrojům nastaveny korektně? Jsou v souladu politiky se skutečným stavem? Produktivita Je způsob přidělování a změn přístupových práv uživatelům efektivní? Přístupy Jsou politiky přístupových oprávnění a ochrany senzitivních informací implementovány konzistentně v každém operačním systému, aplikaci, a datovém úložišti? Audit Je možno efektivním způsobem dokladovat plnění politik přístupových oprávnění a ochrany senzitivních informací?
Přiřazení přístupových oprávnění na základě role attr Uživatel Role Služba (Zdroj) Politiky přístupových oprávnění Uživateli jsou přiřazeny role na základě jeho pracovního zařazení Rolím jsou přiřazeny zdroje na základě Politik přístupových oprávnění (Provisioning policy) Politiky přístupových oprávnění mohou přiřazovat uživatelům další atributy
Potvrzení souladu (Rekonciliace) porovnává “Jak to je” s tím “Jak to má být” attr Uživatel Role Služba (Zdroj) Politiky přístupových oprávnění Rekonciliace Na základě rekonciliace jsou prosazovány Politiky přístupových oprávnění (oprávnění ke zdroji) Např. zjištění neoprávněných změn provedených lokálním administrátorem a jejich náprava. Rekonciliace zjišťuje „sirotčí účty“ Např. testovací účty nebo účty uživatelů, kteří již nejsou v organizaci
Co je to Identity Management schvaluje Managerka definuje zahajuje synchronization provisioning reconcilation Procesní analytička HR spravuje Access management AAA Server Administrátorka autentizuje autorizuje Aplikační platforma Aplikace nebo informační zdroj přistupuje Uživatelka
Přidělování přístupů bez RBAC - - - Obvykle manuální proces - - - Požadavek na aplikaci X Admin X Zpráva o dokončení Požadavek na aplikaci Y Koncový uživatel přistupuje k aplikacím Manažer uživatele určí, ke kterým aplikacím potřebuje uživatel přístup a ke každé aplikaci zvlášť požádá o nastavení přístupových oprávnění Admin Y Manažer zkontroluje dokončení požadovaných operací a uvědomí uživatele Požadavek na aplikaci Z User Provisioning Admin Z Audit Record Audit Record Audit Record Systémoví administrátoři vytvoří uživatelské účty, nastaví oprávnění a pošlou zprávu o dokončení Trvání – řádově týdny
Identity Management s použitím RBAC - - - Automatizovaný proces - - - Požadavek na aplikaci X Admin X Completion Notification Automatizovaný Identity Life Cycle Management Automatizované přidělení přístupů na základě rolí Automatizované schvalování, Workflow, and notifikace Centralizovaný audit a reportovací nástroje Koncový uživatel přistupuje k aplikacím Uživatelé jsou členy předdefinovaných rolí Požadavek na aplikaci Y Admin Y Požadavek na aplikaci Z User Provisioning Admin Z Audit Record Audit Record Audit Record Trvání – řádově minuty až desítky minut (pro systémy offline)
Přínosy zavedení Identity Managementu a RBAC Jednotný administrativní proces napříč organizací /aplikacemi / platformami Jednotné prosazování bezpečnostních politik napříč organizací Jednodušší a lépe dokladovatelný audit (centralizované vytváření auditních záznamů o přidělování přístupových oprávnění) Změna postavení IT auditu: Reaktivní -> Proaktivní (rekonciliace) Jednodušší implementace organizačních změn Automatizace rutinních úloh Redukce celkových nákladů na administraci uživatelů Přehlednější systém přístupových oprávnění znamená méně bezpečnostních rizik -> uživatelé mají pouze taková oprávnění ke službám a datovým zdrojům, které potřebují ke své práci Řešení problémů se „sirotčími“ účty, tzn. účty, které kdysi byly pro uživatele zavedeny a v současné době je již žádný oprávněný uživatel nepoužívá
Metodika implementace IM - Dva přístupy k implementaci Identity managementu Nasazení “Shora dolů (Top Down)” Taktické pokrytí, limitovaný rozsah aplikací, pozdější návratnost, malý dopad na uživatele, vyšší cena nasazení Nasazení “Zdola nahoru (Bottom Up)” Větší rozsah pokrytí, dobře definovatelné cíle, rychlejší návratnost/užitnost, větší dopad na uživatele Operační systémy Aplikace Infrastruktura Data Podnikové systémy Zaměstnanci Zákazníci BP‘s Dodavatelé Identity management
Pro a proti (1): „zdola nahoru“ Metodika implementace IM - Dva přístupy k implementaci Identity managementu Pro a proti (1): „zdola nahoru“ Pro: Uživatelé jsou si vědomi nového identity řešení už v raných fázích projektu Mnoho manuálních procesů se nahradí automatickými Správa hesel (password management) se implementuje pro velké množství uživatelů V první fázi se pokrývají standardní operační systémy a aplikace Odpadá tvorba „custom“ agentů v první fázi Proti: Organizační struktura může v pozdějších fázích vyžadovat větší změny Větší dopad na uživatele, nutná větší součinnost na straně zákazníka Implementace kopíruje infrastrukturu a není řízena „business“ pohledem na věc
Metodika implementace IM - Dva přístupy k implementaci Identity managementu Pro a proti (2): „zhora dolů“ Pro: Soustředění se na klíčovou obchodní aplikaci Kompletní pokrytí první aplikace je demonstrací toho, jak se Identity Management rozšíří na celou společnost Klíčová aplikace je pokryta komplexně (správa hesel, automatické poskytování účtů, workflow, RBAC…) Dopad na uživatele během implementace je minimální Proti: Omezené pokrytí v prvních fázích, procento uživatelů zahrnutých do projektu je malé „Custom“ agenti jsou obvykle programováni již pro první aplikace Přínos identity managementu není v první fázi díky omezenému pokrytí zřetelný Náklady na implementaci jsou vyšší (díky delší analýze)
Příklad integrace Identity Managementu - Řízení přístupu do interní sítě
Příklad integrace Identity Managementu - Řízení přístupu do interní sítě Řešení Zajišťuje, že zařízení přistupující do interní sítě mají předepsanou konfiguraci (FW, AV, aktualizované). Zajišťuje, že konfigurace zařízení odpovídá bezpečnostním politikám. Technologie Infrastruktura Cisco Network Admission Control (NAC) NAC-compliant směrovače, Cisco Trust Agent, Cisco ACS Volitelně Cisco Security Agent IBM Tivoli sw Tivoli Security Compliance Manager Tivoli Provisioning Manager
Komplexní služby IBM v oblasti bezpečnosti IBM má silné kompetence v oblasti bezpečnosti – metodika auditu založená na ISO 17799; metodika pro návrh bezpečnostní architektury založená na Common Criteria; cca 1100 certifikovaných specialistů; celosvětově sdílené informace o bezpečnostních hrozbách a řešeních. Strategie Vypracování strategie řízení bezpečnosti IT Vypracování bezpečnostních politik a standardů Bezpečnostní audit IT Příprava na certifikaci/ certifikace podle ISO 17799 Vypracování Analýzy rizik Návrh a implementace Identity & Access Mangementu Návrh bezpečnostní architektury IT systémů Vybudování infrastruktury veřejných klíčů (PKI) Bezpečné připojení k Internetu – DMZ, FW, VPN ... Systémy detekce útoků Penetrační testy – interní & externí Business Continuity & Recovery Services Budování vysoce odolných datových center Organizace Procesy Data / Aplikace Technologie Fyzická zařízení / Prostory
Otázky ? Děkuji za pozornost Stanislav_Biza@cz.ibm.com