Vahvojen tunnusten hallinta
•
0 likes•431 views
Miksi miettiä vahvojen tunnusten hallintaa organisaatioissa. Vahvat tunnukset ovat oikeuksia, joilla on suuret oikeudet esimerkiksi tiedostoihin tai ohjelmien asennukseen ja ajoon. Vahvoja tunnuksia on useilla henkilöillä organisaatiossa, kuten IT, kehittäjät tai liiketoimintakäyttäjillä. Usein ulkoistetuilla toiminnoilla ja käyttäjillä (kuten IT) on vahvoja tunnuksia. Kuinka siis hallita vahvoja tunnuksia ja salasanoja? Esityksessä käydään läpi NetIQ:n eri ratkaisujen vaihtoehtoja. Esitys pidetty 17.9.2015
Report
Share
Vahvojen tunnusten hallinta
- 1. Vahvojen tunnusten hallinta Pekka Lindqvist pekka.lindqvist@netiq.com
- 2. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.2 NERC CIP Privacy Mandates HIPAA / HITECH ISO 27001/2 SOX Audits European Data Protection Regulation PCI DSS Miksi miettiä vahvojen tunnusten hallintaa? “Right to be forgotten” GLBA User demands Governance
- 3. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.3 NERC CIP Privacy Mandates HIPAA / HITECH ISO 27001/2 SOX Audits European Data Protection Regulation PCI DSS Miksi miettiä vahvojen tunnusten hallintaa? “Right to be forgotten” GLBA User demands Governance Gartner Strategic Assumption By 2017, more stringent regulations around control of privileged access will lead to a rise of 40% in fines and penalties imposed by regulatory bodies on organizations with deficient PAM controls that have been breached. - Market Guide for Privileged Access Management – May 27, 2015
- 4. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.4 Setting the stage “Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet “Cost of Target Data Breach Exceeds $200 Million” – Consumer Banker’s Association Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg “Target says up to 70 million more customers were hit by December data breach”– The Washington Post “Health care data breaches have hit 30M patients and counting…” – The Washington Post “Energy company reports $1 billion in charges and a loss” - New York Times “Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek
- 5. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.5 Setting the stage “Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet “Cost of Target Data Breach Exceeds $200 Million” – Consumer Banker’s Association Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg “Target says up to 70 million more customers were hit by December data breach”– The Washington Post “Health care data breaches have hit 30M patients and counting…” – The Washington Post “Energy company reports $1 billion in charges and a loss” - New York Times “Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek Several high-profile breaches and insider attacks have been known to exploit privileged accounts, and this has increased the interest in tools to tighten controls on privileged activity, as well as interest in two-factor authentication for privileged access. While in 2013 the majority of inquiries about PAM tools from Gartner clients were driven by compliance concerns and operational efficiency, a large part is now driven by the desire to mitigate threats of breaches and insider attacks. Gartner expects this trend to continue at least until 2016. - Market Guide for Privileged Access Management – May 27, 2015
- 6. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.6 Vahvojen tunnusten hallinta Vahvat tunnukset on tunnuksia, joilla on suuret oikeudet: ‒ Tiedostoihin ‒ Ohjelmien asennukseen ja ajoon ‒ Asetusten ja määritysten muutoksiin – Uusien käyttäjien/profiilien luonti ja käyttäjien oikeuksien muuttaminen Monet tunnuksista ovat konetilejä Käyttäjät, joille aseman tai työsuhteen keston perusteella on myönnetty/ kertynyt selkeästi normaalikäyttäjää vahvemmat oikeudet
- 7. © 2014 NetIQ Corporation. All rights reserved.7 Vahvoja tunnuksia organisaatioissa SaaSPaaSIaaS Tietokannat Sovellukset Virtuaali- palvelimet Fyysiset palvelimet Oma konesali IT-hen- kilöstö Kehittäjät Liiketoiminta- käyttäjät Ulkoistettu konesali Ulkoistettu IT Liiketoiminta Verkkolaittet
- 8. © 2014 NetIQ Corporation. All rights reserved.8 Vahvojen tunnusten hallinta Jaettujen tunnusten salasanojen hallinta Pääkäyttäjien oikeuksien ja salasanojen hallinta Monitorointi Autentikointi IGA * IGA – Identiteetin ja pääsyn hallinnnan järjestelmät Lähde: Gartner
- 9. © 2014 NetIQ Corporation. All rights reserved.9 Jaettujen tunnusten salasanojen hallinta • Salasanaholvi jaettujen tunnusten salasanoille • Jaetutu tilit voivat olla käyttöjärjestelmä-, tietokanta- tai sovellustilejä. (root, Järjestelmävalvoja Administrator, SYS,ora_dba, sa) • Tukee salasanojen ulos- ja sisäänkuittausta • Automatisoitu kirjautuminen ja session luonti • Jaettujen salasanojen automaattinen uudelleenasetus • Auditointi
- 10. © 2014 NetIQ Corporation. All rights reserved.10 Pääkäyttäjien oikeuksien ja salasanojen hallinta • Mahdollistaa kirjautumisen henkilökohtaisella tunnuksella ja myöntää pääsyn vahvoilla oikeuksilla, joita on mahdollisesti rajattu • Oikeuksien käytön ajankohdan rajoittaminen • Perustuu agenttiin tai hyppykoneeseen • Session hallinta • Hienojakoinen monitorointi ja raportointi
- 11. © 2014 NetIQ Corporation. All rights reserved.11 Monitorointi • Session monitorointi, näppäilyjen monitorointi, näyttöjen nauhoitus • Hakutoiminto tietueisiin, raportit • Tietokanta toimien monitorointi • Tietoturvainformaation hallinta (SIEM)
- 12. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.12 Vahvojen tunnusten hallinta • Mikä näistä on suurin ongelma? ‒ Tiedostojen eheys tai vahvojen oikeuksien luvaton käyttö tietojen tarkasteluun ‒ Pääkäyttäjien toiminta Root- ja Järjestelmävalvoja- tunnusten kautta UNIX-, Linux- ja/tai Windows- ympäristöissä ‒ Liian monella henkilöllä on Windows-domainin täydet Järjestelmävalvojan oikeudet Active Directoryyn ‒ Kriittisten järjestelmien jatkuva seuranta ja epäilyttävien toimien havaitseminen
- 13. © 2015 NetIQ Corporation and its affiliates. All Rights Reserved.13 Vahvojen tunnusten hallinta • NetIQ/Micro Focus tarjoaa erilaisia vaihtoehtoja vahvojen tunnusten hallintaan. – Identity Manager – Privileged Account Manager – Change Guardian – Directory Resource Administrator – Identity Tracking • Ennen ratkaisumallin valintaa kannattaa selvittää kaikkien osapuolien vaatimukset ratkaisulle
- 14. © 2014 NetIQ Corporation. All rights reserved.14 Privileged Account Manager • Perustuu Privileged User Manager -tuotteen pohjalle • Unix-, Linux- ja Windows-ympäristöjen sessioiden hallinta • Sessioiden nauhoitus ja auditoitavuus • Toimenpiteiden hyväksyntä • Selainpohjainen konsoli • Sääntöjen hallinta, käyttäjä, laite, aika … • Vikasietoinen arkkitehtuuri • Toiminta agentilla ja hyppykoneella
- 15. © 2014 NetIQ Corporation. All rights reserved.15 Privileged Account Manager • Salasanaholvi, josta salaisuudet voidaan kuitata käyttöön • Tietokantojen käyttö vahvoilla tunnuksilla (Oracle, MS SQL) • Hätäpääsy (normaalista poikkeava tilanne) • Auditointitietojen siirto CSV-muodossa • REST-rajapinnan tuki ylläpitoon ja tunnusten hallintaan
- 16. © 2014 NetIQ Corporation. All rights reserved.16 Salasanaholvi SaaSPaaSIaaS DB Sovellukset Virtuaalipalvelimet Säännöt Esimies Käyttäjä Salasanan uloskuittaus ja session aloitus Authorization workflow Auditointilokit ja -raportit Salasanaholvi
- 17. © 2014 NetIQ Corporation. All rights reserved.20 Salasanan uloskuittaus - pyyntö
- 18. © 2014 NetIQ Corporation. All rights reserved.21 Salasanan uloskuittaus
- 19. © 2014 NetIQ Corporation. All rights reserved.26 Hätäpääsy – Uusi pyyntö
- 20. © 2014 NetIQ Corporation. All rights reserved.30 Yhteenveto • Jaettujen tilien käytössä on riskejä • Ongelma voidaan ratkaista monella tavalla • Valitse omaan ympäristöön ja haasteeseen parhaiten sopiva työkalu
- 21. © 2014 NetIQ Corporation. All rights reserved.31 Yhteenveto Toimeenpane pääsyn hallinta Monitoroi toimintaa Hallitse oikeuksia
- 22. © 2014 NetIQ Corporation. All rights reserved.32 © 2014 NetIQ Corporation. All rights reserved.32 +1 713.548.1700 (Worldwide) 888.323.6768 (Toll-free) info@netiq.com NetIQ.com Worldwide Headquarters 1233 West Loop South Suite 810 Houston, TX 77027 USA http://community.netiq.com
- 23. This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time. Copyright © 2014 NetIQ Corporation. All rights reserved. ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States and other countries.