Post on 11-Jan-2016
description
Identity and Access Governancena przykładzie rozwiązań SailPoint
Maciej Bukowski, CompFort Meridian
Agenda
1. Wstęp
2. Identity and Access Governance (IAG)
3. Zarządzanie dostępami w Cloud
4. Rozwój modułów SailPoint
Strategiczne partnerstwo
Najlepszy w swojej klasie dostawca BSM i Identity Management
Najlepszy w swojej klasie dostawca Identity & Access Governance
Wspólne dostarczanie systemu nowej generacji Identity Management & Access Governance aware BSM
Innowacja - reakcja na nowe potrzeby klientów
Historia ewolucji IdM i IAG
Identity Management i Identity & Access Governance
2010’s1990’s 2000’s
• Administracja kont
• Automatyzacja procesów
• Zarządzanie ryzykiemi zgodnością z politykami
Przetwarzanierozproszone
Internet
Prywatnośći nadzór finansów
Zmiana priorytetów dla IdM
Dzisiaj IdM to nie tylko kwestia technologii – to potrzeba biznesu• Potrzeby napędzane są przez biznes, audyt lub ryzyko• Biznes oczekuje aktywnego udziału w procesach zarządzania
cyklem życia tożsamości
Szeroka widoczność systemów jest wymagana do spełnienia wymogów bezpieczeństwa i zgodności z regulacjami
• Głębszy wgląd w szerszy zestaw udostępnianych aplikacji• Biznesowa interpretacja uprawnień IT
Ewolucja od ręcznego wykrywania do prewencyjnego zarządzania ryzykiem
• Potrzeba zdolności do identyfikacji istniejących problemów jak również zapobieganie powstawaniu nowych
Identity Access Governance
As a security and risk leader, if you only have one dollar to spend on identity management,
spend it on Identity Access Governance Andras Cser, Forrester August 2011
• Czy wiemy kto i do czego posiada dzisiaj dostępy ?
• Czy wiemy kto i do czego powinien posiadać dzisiaj dostępy ?
• Jakie metody weryfikacji są wykorzystywane do zapewnienia obu powyższych ?
Idea IAG
A gdy już posiadamy rozwiązanie IdM …Jaki procent z wykorzystywanych systemów jest aktualnie zintegrowany i podlega automatycznemu monitorowaniu ?
IdM 10%-----------------------------90% AIG
Różne rodzaje zagrożeń
Zabezpieczaneaktywa$$$$
Gromadzenie uprawnień
Konta uprzywilejowaneKonta oszustów
Konta osierocone
• Kumulacja uprawnień • „Toksyczne” uprawnienia• Skutki nadawania uprawnień
przez klonowanie ról
• Użytkownicy z “kluczami do raju”
• Słaba czytelność uprawnień• Skutki przy współdzieleniu haseł
• Konta do realizacji nadużyć• Nie wykryte dostępy i aktywności• Złodzieje danych, nadużycia
• Braki lub opóźnienia przy odbieraniu uprawnień
• Słaba czytelność uprawnień• Skutki redukcji zatrudnienia
Brak informacji z biznesu o zmianach dla tożsamości wpływa na powstawanie zagrożeń !
Potrzeba biznesowego narzędzia
• Wiele organizacji dostrzega „chaos”– Osobne silosy danych o tożsamościach– Brak jednoznacznego powiązania kont
z tożsamościami– Występowanie kont zduplikowanych i
„duchów”– Nieoznaczone konta systemowe i
uprzywilejowane
• Centralny rejestr danych o wszystkich systemach jest kluczem do właściwej kontroli zgodności
Multiple Applications
Multiple Identity Sources
Multiple Identity Name Spaces
Shared Accounts
Isolated Role Models
Heterogeneous Infrastructure
Metodologia IAG oraz IdM
Zrozumienie aktualnego stanu dostępów i określenie linii bazowej
Szybka weryfikacja bieżącej zgodności
Budowa podstawy do badania kontroli zgodności
Wdrożenie procesów biznesowych
Automatyzacja Provisioning
Krok 1
Krok 2
Krok 3
Krok 4
Definicja i implementacja modelu zgodności oraz kontroli (role, polityki bezpieczeństwa, ryzyko)
Wnioski o dostępy, usługi self-service np.password management i inne procesy biznesowe
Uruchomienie automatycznego Provisioning’u do systemów docelowych
IAG
IdM
Cza
s w
dro
żen
ia
Ilość zintegrowanych systemów
SailPoint Governance Platform
• Repozytorium Tożsamości– Scentralizowane dane o Tożsamości stanowią
podstawę do kontroli zgodności oraz zarządzania cyklem życia
• Role Management– Identyfikowanie, modelowanie i zarządzanie
rolami w celu powiązania dostępów z pełnionymi funkcjami w organizacji
• Policy Management– Definiowanie, wykrywanie oraz kontrola polityk
bezpieczeństwa przy wnioskowaniu o uprawnienia, recertyfikacji oraz w procesie automatycznego przyznawania uprawnień
• Risk Management– Strategiczne priorytetyzowanie aktywności
pracowników przez modelowanie ryzyk dla użytkowników oraz wykorzystywanych systemów
• Provisioning Broker– Rozbijanie wniosków o zmianę na indywidualne
składniki oraz koordynacja działań w zakresie ręcznej lub automatycznej zmiany na systemach
GovernanceModel
IIQ Projektowany dla biznesu
Interfejs nowej generacji w IdentityIQ przyśpiesza samodzielne poznawanie narzędzia i minimalizuje wymagane szkolenia, maksymalizując przy tym efektywność pracy użytkownika
Indywidualne panele informacyjne oraz układ okien
Biznesowy opis ról i uprawnień nadaje sens technicznym danym o uprawnieniach
Bogata pomoc kontekstowa pomaga w podejmowaniu skutecznych decyzji
Spójny interfejs dla wszystkich procesów biznesowych (wnioski, potwierdzenia, przeglądy uprawnień, raporty/analiza)
IdentityIQ Intelligence
• Przyjazny panel użytkownika– Poprawia przejrzystość krytycznych
danych dla zarządzania Tożsamością– Dostarcza przyjazne wykresy i raporty – Dostarcza dane w przyjaznym dla
biznesu formacie• Gotowe raporty
– Obejmuje obszerną listę predefiniowanych raportów do badania zgodności i zarządzania cyklem życia Tożsamości
– Zapewnia personalizację konfiguracji raportów
• Advanced Analytics– Dostarcza bogate możliwości
samodzielnej analizy danych o Tożsamościach
– Umożliwia zapisywanie zapytań w formie raportów do późniejszego wykorzystania
IdentityIQ Compliance Manager
Access CertificationsPolicy Enforcement
• Przyjazne dla biznesu przeglądy uprawnień i recertyfikacja– Szybka konfiguracja recertyfikacji dostępów
metodą „wyklikania”– Usprawnienie procesów recertyfikacji
dostępów poprzez automatyczne generowanie i dystrybucję raportów
– Elastyczne rodzaje recenzentów (np. kierownik, właściciel aplikacji) oraz cykli (np. okresowe, zdarzeniowe)
– Prezentacja tajemniczych danych IT w czytelny i zrozumiały dla biznesu sposób
• Automatyczne wymuszanie zasad– Aktywne skanowanie, wykrywanie oraz
informowanie użytkowników o naruszeniu biznesowych polityk bezpieczeństwa
– Prezentuje naruszenie polityk w przeglądach uprawnień, portalu i raportach
• Optymalizacja ryzyka– Wykorzystanie punktacji ryzyka do pomiaru i
priorytetyzacji działań kontroli zgodności z politykami bezpieczeństwa
IdentityIQ Lifecycle Manager
• Samodzielne wnioski o dostępy i zarządzanie użytkownikami– Przyjazny dla użytkownika biznesowego portal do wnioskowania o zmianę
dostępów i Zarządzanie Tożsamością– Interfejs typu “Shopping cart” zapewnia wygodny i intuicyjny sposób
wnioskowania o role i uprawnienia– Panel do wnioskowania zapewnia prezentację czytelnego statusu
realizowanych i zakończonych wniosków.• Automatyczne zarządzanie cyklem życia Tożsamości
– Centralna definicja i zarządzanie cyklicznymi zdarzeniami (np. zatrudnienie, zmiana departamentu, zwolnienie)
– Automatyczne wyzwalacze inicjują zmiany dostępów i przywilejów• Zintegrowane polityki i procesy Workflow
– Centralne administrowanie politykami konsekwentnie egzekwują biznesowe polityki w całym cyklu życia Tożsamości w organizacji
– Konfigurowalny Workflow zapewnia zmianę dostępów i prawidłową realizację procesu zmiany
IdentityIQ Provisioning Broker
• Elastyczne formy realizacji zmiany dostępów– Zapewnia zmianę różnymi
metodami– Dekomponuje zmianę na
indywidualne komponenty– Konsekwentnie wymusza
przestrzeganie polityki bezpieczeństwa
• Wbudowany mechanizm integracji– Dostarcza uniwersalną
warstwę dla różnych metod zmiany dostępów
– Śledzi zmiany od momentu ich rozpoczęcia do zakończenia
Governance Platform
ComplianceManager
Provisioning Broker
BMCRemedy
Service Desk
LifecycleManager
Collector Integration
Manual / IT Admins
BMCESS
Modelowanie ról1) Top Down - Analiza populacji i automatyczne wykrywanie
− Groupy Robocze / Reguły przypisywania / Role Biznesowe
2) Bottom Up - Wzorce uprawnień, Grupowanie i Analiza, Korelacja− Definiowanie uprawnień, Profilowanie Technicznych Ról IT
Modelowanie ryzyka
• Nowatorska technologia pomiaru ryzyka– Podobna do pomiaru ryzyka kredytowego– Definiowalne parametry oraz wagi
• Składniki ryzyka dla tożsamości– Role i uprawnienia o wysokim ryzyku– Złamanie polityk bezpieczeństwa– Pominięta recertyfikacja– Nieodebrane uprawnienia– Dozwolone wyjątki
• Składniki ryzyka dla systemów i aplikacji– Osierocone konta– Uprzywilejowane konta– Zdublowane konta– Złamanie polityki bezpieczeństwa
Obszary ryzyka tożsamości w organizacji w podziale na departamenty, lokalizację, itp.
Zarządzanie ryzykiem
• Uprawnienia tylko do odczytu• Brak zmian od ostatniego przeglądu• Brak wyjątków w politykach• Brak dostępu do krytycznych aplikacji• Poziom ryzyka <300
• Zmiany lub nowe konta• Łagodne wyjątki w
politykach• Zatwierdzone dostępy do
aplikacji o wysokim ryzyku• 300< poziom ryzyka <600
Profil o niskim ryzyku Profil o średnim ryzyku Profil o wysokim ryzyku
Uwzględnienie ryzyka pozwala organizacji skoncentrowanie na istotnej grupie pracowników
• Osierocone konta• Uprzywilejowane konta• Złamane polityki• Brak ostatniej recertyfikacji• Trwające procesy odbioru uprawnień• Niezatwierdzone dostępy do aplikacji
o wysokim ryzyku• Poziom ryzyka >=600
Standardowy okres
recertyfikacji
Rzadki okres recertyfikacji
Krótki okres recertyfikacji
Procesy IAG w Cloud
• Konektor SaaS dla IAG– Wykorzystanie SCIM API (Simple Cloud Identity
Management)– Powiązanie kont i tożsamości– Skatalogowanie uprawnień– Modelowanie – Widok - Kontrola
• Proxy Agent dla IaaS– Agent w środowisku Cloud– Bezpieczne połączenie z IAG– Wykrywanie repozytorium użytkowników– Powiązanie kont i tożsamości– Skatalogowanie uprawnień– Modelowanie – Widok - Kontrola
• Self-Service– Wnioski– Zmiana haseł– Kontrola kont
• Audyt i kontrola zmian– Odbiory uprawnień– Naruszenia polityki– Zarządzanie zmianą
• Zmiany danych tożsamości– System HR– Katalogi LDAP– Baza kontraktorów
Dziękujemy za uwagę