Скачать презентацию Контроль и аудит доступа пользователей в IT-инфраструктуре
a289146b104a1eb528474f79c7ac514c.ppt
- Количество слайдов: 54
Контроль и аудит доступа пользователей в IT-инфраструктуре. © 2007, Компания Aladdin
![Найдите одно отличие Самый РАСПОСТРАННЕНЫЙ пароль qwerty Hdy. JGy%84^$; -)hjd. G&743 kkf. T*][_%lbd 629](https://present5.com/presentation/a289146b104a1eb528474f79c7ac514c/image-2.jpg "Найдите одно отличие Самый РАСПОСТРАННЕНЫЙ пароль qwerty Hdy. JGy%84^$; -)hjd. G&743 kkf. T*][_%lbd 629")
Найдите одно отличие Самый РАСПОСТРАННЕНЫЙ пароль qwerty Hdy. JGy%84^$; -)hjd. G&743 kkf. T*][_%lbd 629 Самый ПРАВИЛЬНЫЙ пароль
Кража личности – миф или реальность? Доля на “кражу личности” 57%
Burton Group: Аутентификация – основа IAM (Identity and Access Management)
Многофакторная аутентификация Для успешного прохождения процедуры аутентификации пользователь должен #e 3 Gr 3!$FR знать нечто иметь нечто обладать набором индивидуальных черт IP-адрес, данные RFID находиться в определённом месте
Идентификация - процедура присвоения идентификатора объекту КС или установления соответствия между объектом и его идентификатором; узнавание. Аутентификация – Процедура проверки соответствия предявленного идентификатора объекта КС на предмет принадлежности его этому объекту; установление или подтверждение аутентичности. НД ТЗИ 1. 1 -003 -99
Технология ААА x User Name: Password: Кто ты?
Технология ААА x User Name: Password: Кто ты? X Что ты можешь?
Технология ААА x User Name: Password: Кто ты? Как всем этим управлять? X Что ты можешь?
Технология ААА+А x User Name: Password: X Кто ты? Что ты можешь? Audit Как всем этим управлять? Эээ…А что это было? !?
Компоненты инфраструктуры IAM • Средства строгой аутентификации пользователей • Инфраструктура открытых ключей (PKI) • Служба каталога • Single sign-on (Web, Host) • Аутентификация в унаследованных приложениях • Управление учетными (аутентификационными) данными пользователя • Учет пользовательских данных и мониторинг
Концепция продуктовой линейки 1. Средства аутентификации – USB-ключи / смарт-карты / OTP – Средства разработки 2. Решения для управления паролями – e. Token SSO / Windows Logon – e. Token для Lotus Notes, SAP R/3 3. Решения для PKI-систем (хранение и использование закрытых ключей и цифровых сертификатов) – Microsoft, Linux, Oracle, IBM – Продукты российских разработчиков – Крипто-Про УЦ, Microsoft CA, RSA Keon 4. Управление учётными данными пользователями – e. Token TMS 5. Защита персональных и корпоративных данных – Персональные данные, конфиденциальная информация – Базы данных, файловые архивы
Смарт-карты и USB-ключи для решения задач ИБ 13
e. Token Pro • • Защищенный микроконтроллер Аппаратные шифрования DES, 3 DES, RSA 1024/2048 Аппаратные хеш-функций SHA-1, MD 5 HMAC Четыре уровня полномочий доступа: Гость Пользователь (с PIN-кодом) Администратор Эмитент • PIN-авторизация со счетчиком набора (запрос-ответ) • Дополнительная аутентификация при работе с RSA-ключами • • • Защищенная память (16, 32, 64 кб) Уникальные ID номера e. Token и смарт-карты Генератор закрытых ключей • Длина RSA ключа – от 8 до 2048 бит • • Световой индикатор работы Полупрозрачный защищенный герметичный корпус
Функциональная модель
Контроль физического доступа • Бесконтактные радиометки RFID – – – • Все форм-факторы – • • Ангстрем БИМ-002 HID ISOProx. II Mifare EM-Marine Indala USB-ключ, смарт-карта, комбинированные ключи Высокочастотные метки Единая карта – – Физический доступ Логический доступ Чип смарт-карты Фото, логотип RFID-метка
e. Token Windows Logon • • • Автоматический вход в корпоративную сеть Блокирование компьютера Мобильность Автоматическая генерация пароля Использование сложных паролей Возможность входа в сеть по паролю
e. Token Windows Logon • • • Автоматический вход в корпоративную сеть Блокирование компьютера Мобильность Автоматическая генерация пароля Использование сложных паролей Возможность входа в сеть по паролю
e. Token Windows Logon • • • Автоматический вход в корпоративную сеть Блокирование компьютера Мобильность Автоматическая генерация пароля Использование сложных паролей Возможность входа в сеть по паролю
Доступ к приложениям • Simple Sign-On – Безопасное хранение регистрационных данных и автоматическое заполнение полей форм Windows-приложений • Web Sign-On – Безопасное хранение регистрационных данных и автоматическое заполнение полей HTML-форм • e. Token Windows Logon – Безопасное хранение регистрационных данных и их использование при регистрации на рабочей станции и в сети Windows
e. Token для PKI-решений • Тенденции рынка – Переход от парольной к строгой двухфакторной аутентификации – Всё больше продуктов поддерживают технологии PKI – аутентификация, ЭЦП, шифрование данных – Продукты– «стимуляторы» : системы документооборота • e. Token обеспечивает – Безопасное хранение и использование закрытых ключей – Усиление функций безопасности • Приложения, использующие закрытые ключи – ОС: Windows 2000/XP/2003/Embedded/Vista – Службы каталога: Active Directory, Novell e. Directory – Бизнес-приложения: Outlook/Exchange, Microsoft Office, Lotus Notes/Domino, Oracle e. Business Suite, my. SAP Enterprise Portal – Продукты отечественных разработчиков: системы документооборота (ЭОС); Крипто. АРМ (Digt); «Клиент-Банк» (Диасофт); системы сдачи налоговой отчётности
e. Token в решениях Cisco • Аутентификация по протоколу 802. 1 x – Аутентификация на уровне сетевого порта • Аутентификация клиентов при VPN-доступе – – Клиентский VPN (IPSec) Бесклиентский VPN (SSL VPN) Средства: USB-ключи, смарт-карты, комбинированные ключи с генераторами одноразовых паролей Методы: закрытый ключ + сертификат, одноразовый пароль • Хранение конфигурационных параметров, закрытых ключей и сертификатов сетевого оборудования – – Cisco ASA Cisco VPN Concentrator 300 x Маршрутизаторы серии Cisco 2800 и 3800 ISR Коннектор e. Token TMS
e. Token в решениях IBM • Lotus Notes / Domino – – Аутентификация пользователей Lotus Notes Защита ID-файлов серверов Lotus Domino Безопасное хранение и использование закрытых ключей сертификатов Защищённый удаленный доступ к веб-сервисам на базе Lotus Domino • Tivoli Access Manager – – Обеспечение надёжной однократной регистрации пользователя в информационной системе (Single Sign. On, SSO) с использованием e. Token Реализация мандатного доступа к информационным ресурсам Поддержка e. Token в IBM Web. Shpere Application Server и BEA Web. Logic Server (IBM Tivoli Access Manager выступает как аутенфикационный прокси) Единая централизованная стратегия управления доступом
Аутентификация на терминальных клиентах • Строгая аутентификация с использованием закрытого ключа и цифрового сертификата Х. 509, установленных на e. Token • • В домене Windows • • На терминальных клиентах (регистрация в ОС) На сервере при терминальном доступе к Windows Server 2003 Дополнительные возможности • Блокировка терминальной сессии и терминала • Использование e. Token в серверных приложениях
e. Token для Microsoft Windows • Решение проблемы «слабых» паролей – – Полный отказ от использования паролей Удобное использование сложных паролей • Усиление функций безопасности операционных систем Microsoft Windows – Замена однофакторной парольной аутентификации на двухфакторную аутентификацию • Безопасное администрирование – – – Работа с минимальным уровнем привелегий Простое выполнение операций / запуск приложений, требующих повышенного уровня полномочий Отсутствие необходимости ввода паролей с клавиатуры • Максимальное полное использование потенциала уже приобретённых продуктов Microsoft – – Использование более защищённых протоколов ИБ Повышается масштабируемость и управляемость
e. Token для SSL / TLS • SSL и TLS - основные протоколы защиты Web-трафика • SSL обеспечивает: – Аутентификацию сервера: цифровой сертификат X. 509 – Защиту и целостность данных: данные шифруются с использованием симметричных алгоритмов; для контроля целостности используются хэш-фукции – Аутентификацию клиента: цифровой сертификат X. 509 • Преимущества использования для SSL-аутентификации цифровых сертификатов X. 509, установленных на e. Token: Для пользователя • Мобильность • Надёжность • Безопасность Для владельца серверного ресурса • Надёжная аутентификация (напр. , для биллинга)
Выбор цифрового сертификата для входа на защищенный Web-портал
SSL-аутентификация с использованием закрытого ключа в памяти e. Token
Роль e. Token в PKI-системах • Обеспечение безопасности закрытых ключей пользователя на всeх этапах их жизненного цикла: - Генерация Хранение Использование Уничтожение
Проблема управления Децентрализованное управление Централизованное управление • • Microsoft IBM Cisco Oracle Novell RSA … унаследованные приложения
Жизненный цикл токена
Основные задачи • Выпуск смарт-карты • Персонализация смарт-карты сотрудником • Обслуживание карты – Добавление возможности доступа к новым приложениям – Отзыв предоставленного ранее доступа • • Замена / временная выдача новой карты Разблокирование PIN-кода Выход смарт-карты из строя Отзыв карты
Что такое Aladdin Token Management System (TMS)? Система, предназначенная для внедрения, управления и использования средств аутентификации пользователей в масштабах организации. TMS - связующее звено между: – пользователями; – политикой безопасности (организационными правилами); – средствами аутентификации; – приложениями ИБ.
e. Token TMS 2. 0 Система управления жизненным циклом • • • Новая архитектура Ролевое управление Новый графический интерфейс Поддержка e. Token NG-FLASH Поддержка «виртуального токена»
Возможности e. Token TMS 2. 0 • • • Единая система управления жизненным циклом для всех средств аутентификации - смарт-карт, USB-ключей и устройств с функционалом OTP Простая установка, основанная на мастерах (wizards) Веб-интерфейсы: – TMS Management Center (администрирование) – TMS Self-Service Center (пользователь в локальной сети) – TMS Remote Service Center (удалённый пользователь) • Открытая архитектура – Коннекторы для интеграции с разнообразными приложениями безопасности – Комплект разработчика (e. Token TMS Connector SDK) для разработки собственных коннекторов • • Обработка сценариев «утеря e. Token» и «выход e. Token из строя» Обработка ситуации, если пользователь, находясь в командировке, потерял или забыл e. Token Безопасное резервное копирование и восстановление профилей пользователя на e. Token Аудит и отчёты Ролевая модель доступа к e. Token TMS Встроенные механизмы шифрования данных, различные ключи шифрования для разных поддоменов Не требует выделенного сервера Полная интеграция с Microsoft Active Directory – Прямая связь с данными пользователя – нет необходимости в репликации – Полная интеграция с правилами и политиками пользователя в AD
Поддерживаемые приложения • Различные приложения безопасности поддерживаются за счет использования специальных коннекторов, входящих в комплект поставки: – – e. Token Windows Logon (GINA) e. Token OTP Authentication, включая e. Token PASS e. Token Single Sign-On (SSO) 3. 0 Microsoft CA – для приложений, использующих PKI -технологии (VPN, SSL, аутентификация в сети) – P 12 Importing Tool – Check Point Internal CA – e. Token Flash Partition Application
Ролевое управление
Редактор Token Policy Object (TPO) • • • Установка всех политик TMS Если политика может быть установлена как Not Defined, то определение берётся из вышестоящей политики Установки включают: – General Settings/Mail Server Settings – Connectors Settings – e. Token Settings (Initialization Settings, Password Settings, e. Token Properties – Enrollment Settings – e. Token recovery options – Audit Settings – Desktop Agent Settings
Конфигурация Token Policy Object
TPO для конекторов • В качестве примера – коннектор e. Token OTP.
TPO – параметры PIN-кода e. Token
TMS Management Center Help Desk Быстрые и эффективные help desk – утилиты и операции
Token Inventory Онлайновая инвентаризация токенов User Search by OU
Отчеты и аудит TMS предоставляет гибкие и обширные отчеты
Веб-сайт пользователя - Mye. Token Безопасное самообслуживание токена, снятие нагрузки с администратора
Сотрудник в дороге • Сотруднику необходимо сделать очень важную презентацию у заказчика, находящегося за границей и он не может найти etoken • Ему необходимо следующие решения для: – Входа в свой персональный компьютер – Проведения операций по расшифрованию файлов – Получить доступ к электронной почте и другим приложениям • Поддержка - e. Token Virtual – Безопасный ключ в программном хранилище, временно активируется до возвращения сотрудника в офис – TMS предлагает несколько методов для использования e. Token Virtual в зависимости от требований безопасности и схем использования
Восстановление доступа с использованием виртуального e. Token • Когда используется виртуальный e. Token? – Решение в случае утери e. Token – Особенно полезно в ситуации, когда сотрудник находится вне офиса • Содержимое виртуального токена определяется через e. Token TMS (коннекторы): – Например, Windows Logon (профиль или сертификат) • Как виртуальный e. Token загружается на клиентскую рабочую станцию? – Вручную пользователем через веб-сайт TMS – Автоматически через TMS Client (возможность устанавливается администратором) • Виртуальный e. Token создаётся заново каждый раз, как происходят изменения в оригинальном e. Token (выпуск, обновление данных и др. )
Восстановление доступа с использованием виртуального e. Token • Срок действия и отзыв виртуального e. Token: – При выпуске виртуального e. Token определяется период времени, в течение которого он будет действовать (до возвращения пользователя в офис) – По истечении данного периода виртуальный e. Token отзывается • По возвращении в офис – выпуск нового аппаратного e. Token для пользователя: – Выпуск нового e. Token приведёт к автоматическому отзыву виртуального e. Token.
Коннекторы TMS • TMS управляет приложениями ИБ с использованием механизма TMS connectors • Коннектор отвечает за взаимодействие с определённым приложением • Коннекторы добавляются и конфигурируются отдельно для каждого ОП • Коннекторы конфигурируются через настройки TPO. Настройки также могут применяться на уровне пользователя / группы пользователей.
Возможности коннекторов • Коннекторы TMS обеспечивают: – Прямой выпуск или выпуск через веб-интерфейс (т. е. Веб-сайт самообслуживания пользователя) данных приложений (профили, ключи и др. ) на e. Token – Конфигурация и настройка параметров приложений – Безопасное централизованное хранение пользовательских данных – Отзыв токенов и профилей данных – Резервное копирование и восстановление при отработке сценариев «потерянный e. Token» и «вышедший из строя Token» – Предоставление данных для аудита и построения отчётов
e. Token TMS Connector SDK • Набор APIs и примеров кода для создания новых коннекторов • Простейший коннектор может поддерживать только операцию выпуска • Более сложный коннектор обеспечивает: • Конфигурацию и настройку приложения, предоставление данных для системы построения отчётов, отзыв, резервное копирование и восстановление данных • SDK включает: • Пример кода коннектора (с комментариями), который сохраняет введённый пароль в памяти e. Token • Полную документацию
Линейка решений на e. Token Успешный проект от одного вендора
Партнерские решения
Спасибо за внимание! Дмитрий Снопченко D. Snopchenko@yug. com. ua