Security & Identity Round Table - quest-pol.com.pl20-%20Opis%20i%20architektura%20... ·...

1

Quest Software, now a part of DellQuest Software, now a part of Dell

Security & Identity Round Table Warszawa, 24 kwietnia 2014

Bezpieczeństwo i Audyt SystemówWarszawa, 20 maja 2014

Opis i architektura rozwiązań z zakresu audytu, kontroli i

zabezpieczenia systemów

Grzegorz Szafrański, Solutions Architect

• Wyzwania w zarządzaniu logami w środowisku heterogenicznym• Prezentacja systemu InTrust• Architektura systemu• Przykłady raportów• Przykłady powiadomień• InTrust + ChangeAuditor – kompleksowy audyt IT• Dlaczego warto korzystać z rozwiązań InTrust?• Pytania i odpowiedzi

Agenda

Bezpieczeństwo i kontrola dostępu

Zarządzanie dostępemKontroluje dostęp do krytycznej informacji• Wnioskowanie i przydzielanie dostępu• Certyfikacja dostępu• Automatyzacja nadawania uprawnień• Zarządzanie dostępem poprzez interfejs web• Autoryzacja do poszczególnych obiektów systemu• Inteligentne zarządzanie tożsamością i rolami• Bogate możliwości raportowania• Portal samoobsługowy

Zarządzanie uprzywilejowanymi użytkownikami

Zrozumienie i kontrola aktywności administratorów

• Granularne delegacje uprawnień• Wymusza odseparowanie obowiązków

• Zabezpiecza przywileje de dostępu• Zarządzanie sesjami

• Monitorowanie prowadzanych poleceń

Administracja tożsamościąUpraszcza zarzadzanie kontami• Konsolidacja usług katalogowych• Administrowanie kontami• Zarządzanie hasłami• Uproszczenie zarządzanie MS, Unix, Linux, Mac• Zarządzanie grupami• Pojedyncze logowanie (SSO)• Zarządzanie AD , migracje i koegzystencja

środowisk

Monitorowanie aktywnościużytkowników

Audytuje aktywność użytkowników• Granularny audyt kont AD • Raportowanie uprawnień

• Kolekcjonowanie zdarzeń i powiadamianie• Zarządzanie logami

• Rozwiązywanie kryzysów

Portfolio produktów do zarządzania

środowiskiem Windows

Active Directory Exchange Windows Unix/ Linux/ MacOS SharePoint

Administrowanie

Quest ActiveRolesServer

ActiveRolesQuick Connect

ActiveRolesSelf Service

ActiveRoles Exchange Resource Forest Manager

Quest Access Manager

Quest Password Manager

Quest Spotlight on Active Directory

Quest GPOAdmin

Quest Archive Manager

Quest Spotlight on Messaging

Quest Collaboration Services for Exchange

Spotlight on Windows

Quest Storage Manager for Windows

Compliance Portal

Quest vWorkspace

Spotlight on Unix/Linux

Quest Single Sign-onfor

Java

Quest Authentication Services + Group Policy

Site Administrator for

SharePoint

Server Administrator

for SharePoint

Storage Maximizer for

SharePoint

Deployment Manager for SharePoint

WebPartsfor SharePoint

Raportowanie Quest Reporter Quest MessageStats Quest ReporterSite Administrator for SharePoint

Odzyskiwanie

danych oraz

Backup

Recovery Manager for Active Directory + Forrest

Etition

Recovery Manager for Exchange

NetVault Backup

NetVault BackupQuest MangmentExtension for SCDPM

NetVault Backup

Recovery Manager for SharePoint

Audyt logów i

Bezpieczeństwo

Change Auditor for Active Directory

Change Auditor for Exchange

Change Auditor for Windows File Servers

Quest Priviledge Manager for Unix

Change Auditor for SharePoint

Quest InTrust

Zarządzanie

desktopami

Quest vWorkspace

Desktop Authority

Zarządzanie

tożsamością

QUEST ONE QUICK CONNECT SOLUTIONS

QUEST ONE TOTAL PRIVILEGED ACCESS MANAGEMENT (TPAM) SOLUTIONSQUEST ONE IDENTITY SOLUTIONS

Migracja

Domain Migration Wizard

Migration Manager for AD

NDS Migrator

Exchange Migration Wizard

Migration Manager for Exchange

GroupWise Migrator for Exchange

Notes Migrator for Exchange

Storage Consolidator for Windows NIS/ NIS+ Migrator

Notes Migrator for SharePoint

File Share Migrator for SharePoint

Migration Manager for SharePoint

Public Folder Migrator for SharePoint

Zakres rozwiązańPortfolio produktów do zarządzania infrastrukturą IT

Mo

żli

wo

ści

w z

arz

ąd

za

niu




Administrowanie








Quest GPOAdmin






Compliance Portal

Quest vWorkspace



Java



SharePoint


for SharePoint


SharePoint



Raportowanie Quest Reporter Quest MessageStats Quest Reporter Site Administrator for SharePoint

Odzyskiwanie

danych oraz

Backup


Etition


NetVault Backup


NetVault Backup


Audyt logów i

Bezpieczeństwo






Quest InTrust

Zarządzanie

desktopami

Quest vWorkspace

Desktop Authority

Zarządzanie

tożsamością



Migracja



NDS Migrator










Zakres rozwiązańM

oż

liw

ośc

i w

za

rzą

dz

an

iu

Portfolio produktów do zarządzania infrastrukturą IT

Problemy związane z bezpieczeństwem środowiska

Problemy techniczne

• Sieć nie jest jednorodna, jest heterogeniczna.

• Nie mamy pewności ile danych znajduje się w sieci, gdzie lub jak można je przechowywać. Przechowywanie danych jest kosztowne.

• Nieuczciwi administratorzy lub użytkownicy mogą uzyskać dostęp do logów i je fałszować, co obniża ich integralność konieczną przy badaniach kryminalistycznych.

• Utracenie plików dziennika logów z powodu awarii może zniszczyć dowody nieodpowiedniego zachowania.

• Ręczne metody wykrywania podejrzanych działań są kłopotliwe i podatne na niepowodzenie.

• Elastyczność w raportowaniu jest ważna w celu spełnienia zróżnicowanych potrzeb użytkowników. W jaki sposób dostarczyć ją ludziom, którzy jej potrzebują?

• Niezdolność do podjęcia odpowiednich działań w przypadku wystąpienia naruszeń bezpieczeństwa.

Co byłoby, gdybyśmy mogli….

• Zbierać dane z dziennika zdarzeń z różnych platform i poprawić bezpieczeństwo krytycznych informacji?

• Zaoszczędzić cenne miejsce w magazynie danych poprzez przechowywanie dzienników zdarzeń w skompresowanym formacie?

• Raportować i gromadzić aktywności użytkowników na potrzeby spełniania zgodności, jak również natychmiast przeprowadzać analizę sądową, pomocną w podejmowaniu lepszych decyzji w sprawie bezpieczeństwa informacji?

• Wiedzieć, kiedy występuje naruszenie zasad dostępu do danych i posiadać zdolność do egzekwowania polityki bezpieczeństwa w celu zachowania jej zgodności?

• Wykorzystać istniejące rozwiązania do monitoringu, w celu przyspieszenia zwrotu z inwestycji w to rozwiązanie?

Opis rozwiązania Quest InTrust

Rozwiązanie pozwala na kolekcjonowanie, przechowywanie oraz raportowanie na temat krytycznych zdarzeń pojawiających się w logach systemowych i danych zebranych z infrastruktury IT. Spełnia wymogi zewnętrznych regulacji prawnych oraz wewnętrznych polityk poprzez:• Automatyzację procesu kolekcjonowania danych ze środowisk

heterogenicznych.• Gromadzenie i korelowanie informacji na temat logowań

użytkowników i administratorów od chwili zalogowania do wylogowania.

• Zmniejszenie wymagań potrzebnych na przechowywanie archiwum.• Dostarczanie inteligentnego raportowania, zgodnego z Compliance.• Udostępnienie jednego wspólnego portalu bezpieczeństwa.• Zapewnienie integralności oraz zabezpieczenia przed utratą logów.

InTrust - Zaawansowane rejestrowanie logowań i sesji użytkowników

InTrust loguje specjalne zdarzenia w nowym, własnym logu. Dzięki temu można uzyskać szczegółowe informacje na temat:• Kiedy i jak długo komputer był rzeczywiście używany między

logowaniem i wylogowaniem przez użytkownika.• Co spowodowało okresy nieaktywności użytkownika między jego

logowaniem i wylogowaniem na serwerze/stacji roboczej (przełączanie użytkowników, uruchomienie wygaszacza ekranu, blokada komputera przez użytkownika podczas sesji logowania).

• Równoczesne aktywności użytkownika na komputerze - logowanie się na tego samego użytkownika z różnych miejsc.

InTrust - zaawansowane rejestrowanie zdarzeń:

• Sesji użytkowników wraz z podaniem informacji co było powodem jej zakończenia (np. restart komputera, wyłączenie, wylogowanie, przelogowanie, blokada stacji)

• Logowań interaktywnych (lokalnych).• Logowań przez zdalny pulpit (administratorów i użytkowników).• Logowań do domeny (na kontrolerach domeny).

InTrust – przykład logowań użytkownika 007

CIO

Audytorzy

Oficerowie bezp.

Administratorzy

COSO, HIPAA, PCI, SOX

Informacja o Active

Directory/Exchange/Sharepoint/

Windows

Serwery i

stacje robocze

Bazy danych

• SQL Server

• Oracle

Natychmiastowe

powiadomienia

Pliki i foldery

• Sharepoint

• Exchange

• Microsoft Identity Lifecycle Manager

• Active Directory Lightweight Directory Service

Aplikacje

Regulacje zewnętrzne…

CoBit*, ISO17799*, FFIEC*

ITIL*, BASEL II*, J-SOX*, OMB A-123

Raportowanie zgodne z Compliance

Quest Knowledge Portal – raporty bezp.

Schemat budowy Quest InTrust - diagram

Jak działa InTrust……..

Config DB

Sites

DCs

RHL

Install Agents

Gathering

Import

Automated Workflow

Real Time Alerts

Quest InTrust - Architektura

Systemy wspierane przez InTrust

• Microsoft

• Windows› 2000

› 2003 / 2003 R2

› 2008 / 2008 R2

› XP Professional

› Vista

› Windows 7

› Dzienniki Aplikacji i Usług

• Exchange› 2000

› 2003

› 2007

› 2010

• DNS/DHCP

• MIIS/ILM

• IIS

• ISA/TMG

• Linux• CentOS

• Red Hat Enterprise• AS/ES/WS

• SUSE SLES 9/10/11

• Inne poprzez Syslog

• Unix• Solaris 8/9/10

• Sparc & Intel

• IBM AIX 5L , 6

• HP-UX

• Inne porzez Syslog

• Patformy wirtualne

• VMWare vCenter/ESX(i)

• Hyper-V

• Bazy danych

• Oracle

• MS SQL Server

• ODBC

• Urządzenia sieciowe

• Cisco PIX

• CheckPoint

• Syslog • Pliki tekstowe

• Narzędzia Quest• Apache, Squid

Dostępne moduły Quest InTrust

Dodatkowe moduły InTrust - ChangeAuditor

• Change Auditor for Active Directory• Change Auditor for Exchange• Change Auditor for Windows File Servers• Change Auditor for LDAP• Change Auditor for SQL• Change Auditor for NetAPP• Change Auditor for EMC• Change Auditor for Defender• Change Auditor for VMWare• Change Auditor for SharePoint• InTrust Plug-in Workstations/End Devices

Nigdy nie tracimy danych …

Co się stanie gdy …

Nie ma połączenia z agentem

Agent InTrust Server DBServer

Secure Cache Event Log

Event A

Event B

Event C

Event D

Event E

Event F

Event A

Event B

Event C

Event D

Event E

Event F

Event G

Event G

30 day Max

10MB Max

InTrust Server 2 DBServer 2

X

Wyłączymy serwer InTrust



Event A

Event B

Event C

Event D

Event E

Event F

Event A

Event B

Event C

Event D

Event E

Event F

Event F

Event F

30 day Max

10MB Max


X

Wyłączymy bazę danych



Event A

Event B

Event C

Event D

Event E

Event F

Event A

Event B

Event C

Event D

Event E

Event F

Event F

Event F

30 day Max

10MB Max


X

Wyłączymy agenta InTrust’a



Event A

Event B

Event C

Event A

Event B

Event C

30 day Max

10MB Max


X Automatic

ShutdownSHUTDOWN

Dlaczego bezpieczniej i lepiej jest używać agentów Quest InTrust do monitorowania bezpieczeństwa?

• Nigdy nie tracimy danych (agent-side caching).• Szyfrowane połączenie agent-serwer (3DES, 128bit)• Konfigurowanie obciążenia procesora maszyny podczas zbierania

logów• Łatwa instalacja poprzez sieć• Kompresja informacji przesyłanych przez sieć (40-90:1)• Alarmowanie online o krytycznych incydentach bezpieczeństwa• Podejmowanie akcji po wykryciu incydentu• Możliwość dystrybucji plików

Jak Quest InTrust może wykrywać problemy z autentykacją i autoryzacją?

Poprzez kolekcjonowanie i powiadamianie o…• Próbach zmiany haseł • Poprawnych logowaniach

poprzedzonych kilkoma niepoprawnymi logowaniami

• Nieudanymi logowaniamiwykonanymi po normalnych godzinach pracy

• I wiele innych

Przykłady powiadomień

Typ raportu Użytkownicy Produkt

Authentication Failures Próbujesz być kimś kim nie jesteś InTrust

Authorization Failures Próbujesz zrobić coś, do czego nie jesteś uprawniony InTrust

Abnormal Usage Próbujesz zrobić coś w inny sposób niż to robisz

normalnie; może to nie być problem, ale także może to być

podejrzane zachowanie

InTrust

Use of Prohibited

Software

Używasz oprogramowania, które nie jest dozwolone w

twoim środowisku

InTrust

Admin Rights/ Privileged

Rights

Jako administrator możesz mieć dostęp do wszystkiego i

twoje zachowanie powinno być monitorowane

InTrust

Forensic & Compliance

Analysis

Upewniasz się, że wiesz, którzy z uprawnionych

użytkowników pracowali po godzinach

InTrust

Przykłady reguł

Unikalność rozwiązania InTust

• Duża kompresja logów od 40 do 90% w repozytorium.• Zabezpieczenie przed stratą informacji.• Redundancja.• Analiza anomalii.• Podejmowanie akcji po wykryciu incydentu.• Generowanie logów z sesji użytkownika i administratora (od

zalogowania do wylogowania).• Raportowanie równoczesnych logowań z wielu miejsc.• Korelacja logów następujących po sobie.

InTrust + ChangeAuditor

Ulepszone rejestrowanie logowań użytkowników oraz wydajne przechowywanie tych informacji

ChangeAuditor – szczegółowy audyt • Szczegółowa, własna inspekcja zdarzeń i ich rejestrowanie dla:

• Active Directory & AD LDS (ADAM)

• Exchange

• SharePoint

• Serwery plików Windows

• VMware vCenter / hostów ESX

• Macierze NetApp oraz EMC

• Microsoft SQL Server

• Zapytań LDAP kierowanych do Active Directory (przez aplikacje i skrypty)

• Rejestrów, Lokalnych użytkowników i grup oraz Usług

• Szczegółowe rejestrowanie Kto, Co, Kiedy, Gdzie, Dlaczego oraz Źródło pochodzenia plus oryginalną i aktualną wartość wszystkich zmian–prezentowanych w prostych zdarzeniach

• Rejestruje zdarzenia w dzienniku zdarzeń Windows, które zbiera, monitoruje i długoterminowo przechowuje InTrust

• Chroni przed niechcianymi zmianami na obiektach AD, skrzynkach pocztowych oraz plikach i folderach Windows

Uproszczona architektura InTrust + ChangeAuditor

ChangeAuditor oraz InTrust – przepływ danych

Workstation

Active

Directory/

LDAP

Windows File

Server

ChangeAuditor

Real Time

ChangeAuditor Client

SQL Server

InTrust & Repository API

Exchange

W6: Who, What, When, Where, Why & Workstation (Origin)

Ulepszone rejestrowanie logowań użytkowników i sesji za pomocą InTrust 10.5

InTrust

(Short Term Storage)

Reports

(Knowledge Portal)

InTrust - zaplanowane

zbieranie

(Long Term Storage)

Exchange

Active

Directory/

LDAP

Windows

File Server

ChangeAuditor

Real Time ChangeAuditor

(Client)

SQL Server

EMC

NetApp

Architektura ChangeAuditor’a i InTrust’a do długoterminowego składowanie danych

40X współczynnikkompresji logów

Zdarzenia logowania z InTrust trafiają do konsoli ChangeAuditor’a

Śledzenie różnych typów logowań użytkowników

zebranych z logów przez InTrust

Zdarzenia sesji logowań użytkowników dostępne w konsoli ChangeAuditor

Jak długo zalogowany był użytkownik?Jakie zmiany wykonał on podczas sesji?

W jaki sposób Quest pomaga osiągnąć zgodność z polityką bezpieczeństwa?

Przejrzystość Szczegółowa analiza

Prewencyjne kontrole

Audyty bezpieczeństwa najważniejszych systemów informatycznych.

• Przejrzystość na konfigurację

środowiska serwerowego jak i

użytkowników

• Przejrzystość na procesy

przydzielania dostępów

użytkownikom (provisioning)

• Przejrzystość dostępów

użytkowników (uprawnienia)

•Szczegółowa analiza

pozwalająca określić

kto, kiedy, gdzie i w

jaki sposób naruszył

dostęp na podstawie

posiadanych

uprawnień

•Powiadomienia o

każdej podejrzanej

aktywności

• Prewencyjne kontrole pozwalające wskazywać

odstępstwa od pojawiających się zdarzeń

• Natychmiastowe adresowanie problemów

• Dokumentowanie odstępstw od wyjątków, które są

autoryzowane

Quest Reporter

• Narzędzie do raportowania i analizy– Dostarcza mechanizm do zaawansowanego zbierania informacji z sieci.

Quest ChangeAuditor

Monitoruje „kto co zrobił”. Audytuje aktywności użytkowników w środowisku oraz dostarcza natychmiastowe powiadomienia o ważnych zmianach.

Quest InTrust

• Zmniejsza złożoność i koszty zarządzania dziennikiem zdarzeń– Śledzi dostęp użytkowników od chwili zalogowania do wylogowania i

wszystko pomiędzy tymi zdarzeniami

Quest Knowledge Portal

• Dostarcza jeden panel dla wszystkich rozwiązań bezp.

Cechy ChangeAuditor’a i InTrust - porównanie

ChangeAuditor InTrust

Zmniejsza złożoność i koszty zarządzania dziennikiem zdarzeń.Szczegółowy audyt dla Active Directory, Exchange, serwerów plików Windows, SharePoint, VMware i innych.

Gromadzenie, przechowywanie, raportowanie i powiadamianie z natywnych logów Windows wraz z rejestrowaniem logowań i wylogowań użytkowników na serwerach Windows i stacjach roboczych.

Ochrona przed niechcianymi lub nieplanowanymi zmianami w Active Directory, Exchange oraz systemie plików Windows

Długoterminowe archiwizowanie logów dla zdarzeń Windows oraz ChangeAuditor ‘a (wartościowe dane z kilku lat)

Natychmiastowy wgląd do wszystkich zmian zachodzących w środowisku IT.

Szczegółowa analiza aktywności użytkowników w całej sieci przedsiębiorstwa.

Interaktywna analiza zmian wraz z ich wbudowanym grupowaniem, sortowaniem, filtrowaniem i możliwościami tworzenia wykresów.

Szerokie wsparcie dla systemów heterogenicznych, aplikacji i urządzeń.

Oferuje panele dostępne przez WWW prezentujące statystyki zmian dla kadry zarządzającej i audytorów.

Zaplanowane w czasie wykonywanie raportówze strony WWW wraz z elastycznymi możliwościami ich dostarczania.

Inteligentne powiadamianie dla poszczególnych zdarzeń na podstawie wzorców.

Natychmiastowa korelacja zdarzeń i wykonywanie automatycznych akcji.

• Zaawansowany audyt aktywności i zmian w środowiskach– Active Directory/Windows– Exchange– Unix/Linux– Urządzenia sieciowe– Bazy danych

• Audyt logowań i sesji użytkowników• Raportowanie

– Predefiniowane oraz elastyczne raporty– Raporty pomagające raportować dla regulacji SOX, HIPAA, PCI oraz COSO

• Zwiększenie bezpieczeństwa– Powiadomienia i korelacje w „Real time” minimalizujące ryzyko niebezpieczeństwa– Wywoływane automatycznie akcje– Zabezpieczanie krytycznych obiektów przed niechcianą aktywnością użytkowników

• Przechowywanie więcej danych– Repozytorium InTrust - kompresja

Korzyści ze stosowania rozwiązania InTrust




Administrowanie








Quest GPOAdmin






Compliance Portal

Quest vWorkspace



Java



SharePoint


for SharePoint


SharePoint



Raportowanie Quest Reporter Quest MessageStats Quest ReporterSite Administrator for SharePoint

Odzyskiwanie

danych oraz

Backup


Etition


NetVault Backup


NetVault Backup


Audyt logów i

Bezpieczeństwo






Quest InTrust

Zarządzanie

desktopami

Quest vWorkspace

Desktop Authority

Zarządzanie

tożsamością



Migracja



NDS Migrator










Zakres rozwiązańPortfolio produktów do zarządzania infrastrukturą IT

Mo

żli

wo

ści

w z

arz

ąd

za

niu

Bezpieczeństwo i kontrola dostępu

Zarządzanie dostępemKontroluje dostęp do krytycznej informacji• Wnioskowanie i przydzielanie dostępu• Certyfikacja dostępu• Automatyzacja nadawania uprawnień• Zarządzanie dostępem poprzez interfejs web• Autoryzacja do poszczególnych obiektów systemu• Inteligentne zarządzanie tożsamością i rolami• Bogate możliwości raportowania• Portal samoobsługowy

Zarządzanie uprzywilejowanymi użytkownikami

Zrozumienie i kontrola aktywności administratorów

• Granularne delegacje uprawnień• Wymusza odseparowanie obowiązków

• Zabezpiecza przywileje de dostępu• Zarządzanie sesjami

• Monitorowanie prowadzanych poleceń

Administracja tożsamościąUpraszcza zarzadzanie kontami• Konsolidacja usług katalogowych• Administrowanie kontami• Zarządzanie hasłami• Uproszczenie zarządzanie MS, Unix, Linux, Mac• Zarządzanie grupami• Pojedyncze logowanie (SSO)• Zarządzanie AD , migracje i koegzystencja

środowisk

Monitorowanie aktywnościużytkowników

Audytuje aktywność użytkowników• Granularny audyt kont AD • Raportowanie uprawnień

• Kolekcjonowanie zdarzeń i powiadamianie• Zarządzanie logami

• Rozwiązywanie kryzysów

Pytania?

Grzegorz Szafrańskitel: +48 601 427 533e-mail: [email protected]

Quest-Dystrybucja Sp. z o.o. Oddział: ul. Nabielaka 6, 00-743 WarszawaCentrala: ul. Podwale 62, 50-010 Wrocław www.quest-pol.com.pl

Dziękuję za uwagę

Security & Identity Round Table - quest-pol.com.pl20-%20Opis%20i%20architektura%20... ·...

Documents

Transcript of Security & Identity Round Table - quest-pol.com.pl20-%20Opis%20i%20architektura%20... ·...