Správa privilegovaných účtů ve fyzickém a virtuálním prostředí

Transkript

1 Správa privilegovaných účtů ve fyzickém a virtuálním prostředí

2 Agenda Úvod Privilegované účty Virtualizace výhody, nevýhody, rizika Produktové portfólio ControlMinder ControlMinder for Virtual Environments Shrnutí 2

3 Privilegované účty představují bezpečnostní rizika v oblasti bezpečnosti dat Problém s privilegovanými účty Neomezený přístup Nedostatek odpovědnosti Riziko Neomezený přístup, učty jako root nebo Administrátor Chybí oddělení odpovědnosti Sdílení administrátorských účtů Žádná evidence používání privilegovaného účtů Virtualizace zvyšuje tyto rizika! 3

4 Jak identifikovat rizika spojených se správou privilegovaných účtů 1. Sdílejí administrátoři privilegované účty do systému i na servery se sensitivními daty? Jak řídíte akce těchto uživatelů? 2. Může kterýkoliv administrátor přistupovat k sensitivním datům na serveru? Jaké jsou zavedené mechanizmy kontroly a audit? 3. Jste schopni zpětně sledovat akce Vašich administrátorů? Je nutné aby jste kvůli incidentu vyhlásili odstávku celého systému? 4. Máte zavedené preventivní mechanizmy kontroly spojené s užíváním privilegovaných účtů? 5. Jaké typy prostředí a operačních systémů máte zavedené? Jak je řízena bezpečnost mezi jednotlivými prostředími? 6. Jak kontrolujete dodržování nastavených pravidel? 4

5 Klíčové oblasti pro zavedení správy privilegovaných účtů Snížení Rizik Zabezpečení Shody Snížení bezpečnostních rizik prostřednictvím monitoringu akcí privilegovaných uživatelů. Dosažení vyšší provozní efektivity automatizací některých procesů, snížení bezpečnostních rizik, poskytnutí vyšší kvality služeb. Základní cíle Zajištění shody s předpisy organizace a prokazatelnost nastavení pro auditory. Poskytování nových řešení a služeb virtualizací stávajících řešení, poskytnutí cloud služeb Zvýšení Efektivity Podpora Business-u Výše uvedené rizika vedou k řešení oblasti správy privilegovaných účtů! 5

6 Benefity a rizika virtualizace Co se stane v případě že organizace začne s virtualizací? Pozitiva Úspora provozních nákladů Vysoká dostupnost služeb Zjednodušení Disaster Recovery plánu Zlepšení kvality služeb Hardwarová nezávislost Negativa/Rizika Nepřehledná topologie Nová vrstva v infrastruktuře kterou je nutné zabezpečit a monitorovat Problémy s konfigurací prostředí Změnou parametrů na hostitelském prostředí může dojít ke ztrátě auditních záznamů apod Synchronizace prostředí Neoprávněné kopírování prostředí 6

8 Do jaké skupiny produktů patří CA ControlMinder? Protect key assets & information Be compliant Improve efficiencies Support new business initiatives Content-Aware IAM from CA Technologies Identities Access Information Role management & provisioning Web access management Advanced Authentication Discovery Identity governance Privileged user management Fraud prevention Classification User activity reporting Virtualization security Federation Information control CA ControlMinder solutions 8

9 CA Control Minder - porovnání produktů Komplexní řešení pro správu privilegovaných účtů jak pro fyzické tak i virtuálním prostředím, včetně správy hostitelského prostředí. CA ControlMinder Oblast: Depth of Control CA ControlMinder for Virtual Environments Oblast: Virtualization Security Fyzický systém Virtuální Prostředí Fyzický systém Virtuální Prostředí App App App App Aplikace Operační systém Operační systém Aplikace Operační systém Operační systém Hypervisor Hypervisor Oblast kontroly Oblast kontroly 9

11 CA ControlMinder - základní charakteristika produktu Správa sdílených účtů Správa hesel administrátorských účtů Autorizační workflow proces, včetně možnosti temporary přístupu prostřednictvím privilegovaného účtu Vyvození odpovědnosti za přístup přes sdílený účet Automatické přihlášení Session recording Správa aplikačních hesel Centrální autentizace UNIX prostředí Centralizovaná administrace UNIX systémů Authentizace vůči AD, nativní integrace s AD UNIX key logger Podpora single-sign-on přes Kerberos Vyšší granularita oprávnění Zvýšení bezpečnosti systému Nastavení různého oprávnění na jeden soubor dvěma různým uživatelům. Sledování aktivit konkrétního uživatele Zavedení Oddělení odpovědnosti (SoD) Audit privilegovaných přístupů Monitoring uživatelských aktivit Centrální správa auditních logů Report privilegovaných účtů Integrace se Session recording Evidence a průkaznost prováděných operací 11

12 Správa sdílených účtů - zvýšení odpovědnosti za správu účtů Shared Account Management Proč to děláme: Centralizovaná správa privilegovaných/sdílených účtů/hesel Zavedení odpovědnost uživatelů za sdílené účty Zrušení všech aplikací s hesly Dodržování bezpečnostních pravidel Řešení: Není potřeba instalace žádných agentů Služba pro vyhledání nově vzniklých uživatelských účtů Kontrola aktivit privilegovaných uživatelů Správa přístupu sdílených hesel Zrušení hard-coded hesel Automatické přihlášení Správa hesel pro nouzový přístup Shared Account Management Reset Validate Check Out Password Check in Password Login Router DB Storage App Switch Windows UNIX/Linux 12

13 Vyšší granularita oprávnění - lepší kontrola nad akcemi uživatelů Fine-Grained Access Controls Proč to děláme: Uživatelé s vysokými oprávnění, které ke své práci nevyužívají. Mnoho způsobů jak se stát SuperUživatelem Nedostatečné nastavení přístupových oprávnění nativními prostředky aplikace/systému, Nepřehlednost Podpora auditu při řešení sporných situací Řešení: Zavedení restrikcí na definované soubory a složky Centralizovaná správa pravidel Oddělení odpovědnosti (SoD) Možnost zavedení tzv. dočasného přístupu Podpora různých OS Contractor/ Partner OUTSIDE ORGANIZATION Auditor Systems Admin Applications Admin Password Admin 13 Audit Logs Auditor OPERATING SYSTEM Systems Admin Applications Admin Password Admin Mission Critical Server Protected Resources System Config Folder CRM/ERP Application Password Reset

14 Centrální autentizace UNIX prostředí - přináší snížení nákladů a eliminuje chyby UNIX Authentication Bridging Proč to děláme: Velké množství UNIXových prostředí, nutnost hromadné správy uživatelských účtů, vysoké náklady na správu. Pomalé a obtížné zavádění bezpečnostních pravidel na jednotlivé prostředí. Velký počet uživatelských účtů, hesel, serverů, různé bezpečnostní pravidla na různých UNIX platformách. Řešení: Migrace UNIX účtů do AD nebo do jiného centrálního LDAP úložiště, centralizovaná správa uživatelů. Konsolidace uživatelů, jednotný autentizační mechanizmus Zavedení automatického přihlášení do Unix/Linux prostředí Integrace s Windows Event log Account Management Active Directory Enterprise LDAP CA ControlMinder Endpoint Management Password Policy Event Log Login CA ControlMinder PAM Module UNIX/LINUX 14

15 Monitoring a reporting uživatelských aktivit - kvalitnější výsledky v rámci auditu User Activity Reporting Veškeré události z připojených systémů je možné monitorovat a reportovat (out-of-box funkcionalita) Centralizovaná správa logů Kategorie dle kterých je možné reportovat akce uživatelů: Podle prováděných akcí Podle přístupu k jednotlivým aplikacím Podle přístupu k jednotlivým serverům Podle uživatelského jména Podle názvu serveru (názvu systému) Podle přístupu (odkud bylo přistupováno k aplikaci/serveru) 15

17 CA ControlMinder for Virtual Environments Požadavky Automatizace Jaké řešení nabízí CA Technologies Rychlé a efektivní nastavení bezpečnostních pravidel napříč organizací. Ochrana Zabezpečení hostitelských i virtuálních prostředí. Audit / Reportování Zabezpečení sdílených prostředí Provozní transparentnost Monitoring operací a akcí uživatelů na hostitelských i virtuálních prostředích. Sdílení prostředků jednoho hostitele mezi více virtuálních prostředí. Zajištění provozní transparentnosti prostřednictvím integrace s VMware vcenter. 17

18 CA ControlMinder for Virtual Environments - základní vlastnosti produktu Oblasti Automatizace bezpečnosti ve Virtuálních prostředích Popis Rychlejší nasazení bezpečnostních pravidel prostřednictvým nastavených příznaků (tagů) sjednodušení deployment procedur Správa sdílených účtů Automatická správa privilegovaných účtů napříč všemy virtualizovaným prostředími, auto-discovery Monitoring uživatelských aktivit Automatický sběr logů, přehled aktivit uživatelů, reporting, pro každý virtualizovaný systém Oddělení odpovědnosti Umožní nastavit uživatelům pouze taková oprávnění, které využíjí ke své práci. Zabezpečení sdílených prostředí Zabezpečení hostitelského prostředí Řízení přístupu k jednotlivým prostředím na základě Business atributů (lokalita uživatele, nákladové středisko ) Řízení přístupových oprávnění k hostitelskému (hypervisor) prostředí, nastavení samostatných bezpečnostních pravidel s využitím dodaných šablon 18

19 Oblast: Automatizace bezpečnosti ve Virtuálních prostředích Proč to děláme: Obtížná správa a kontrola dodržování definovaných bezpečnostních pravidel ve virtuálních prostředích (např. vytváření, změna konfigurace, přesun do jiného segmentu sítě apod.) Požadavek na nastavení odlišných bezpečnostních pravidel na virtuálním a hostitelském prostředí. Nastavení různých přístupů pro vlastníky VM, Tým bezpečnosti, Administrátor VM prostředí, apod. Řešení: Změna konfigurace na základě příznaku (tagu, např: prostředí, aplikace, OS, apod.) Možnost nastavit pravidla pouze pro virtuálizované prostředí, nastavení restrikce na různé typy operací (např. vypnutí, přesun do jiného prostředí, apod.) V případě chyby v konfiguraci, umožňuje vynucení opravy, dle nastavené šablony. Test/Dev VM Test/Dev Nexus 1000v DMZ DMZ Production VM Production Production Nexus 1000v Production Tagování virtuální prostředí umožňuje automatizaci při nastavování bezpečnostních pravidel. 19

20 Oblast: Správa sdílených účtů Proč to děláme Nedostatek odpovědnosti uživatelů v důsledku používání sdílených účtů a hesel Malá nebo žádná separace pravomocí Nedodržování principu minimálního oprávnění Řešení Restrikce přístupu na privilegované účty jako je např. root nebo Administrator, na základě přirazené role a individuálního účtu. Zavedení automatického přihlášení do systému sníží možnosti pro sdílení hesel Zavedení vyšší granularity oprávnění umožňuje implementaci minimáního oprávnění V případě nutnosti je možné přidělit i dočasný přístup veškeré operace jsou auditované Není potřeba instalace na klientské stanice, vše je Agentless architektura Umožňuje Session recording Integrace s VMware vcenter Shared Account Management 4.Validate 3. Check Out Password 2.Check in Password 1. Login Router DB Storage App Windows UNIX/Linux Switch 20

21 Oblast: Monitoring uživatelských aktivit Proč to děláme Evidovat změny v konfiguraci a zajistit prokazatelnost operací pro audit. Získat přehled a lepší kontrolu nad uživatelskými operacemi Dosažení shody s pravidly organizace Řešení Automatické prohledávání a audit změn konfigurace jak pro virtuální tak hostitelské prostředí. Reportování chyb, nebo neoprávněných operací jak na virtuálním tak i hostitelském prostředí. Podpora pro Session Recording. 21

22 Oblast: Oddělení odpovědnosti (SoD) Proč to děláme: Administrátoři mají ve většině případů plný přístup jak k prostředků virtuálního tak i hostitelského prostředí. Nejsou zavedená žádná pravidla pro Odělení odpovědnosti (SoD) Řešení: Možnost využití příznaků jednotlivých prostředí pro zavedení Oddělení odpovědnosti (SoD) na virtuálních prostředích Prostřednictvím HyTrust je možné omezit i přístupy na hostitelském prostředí, nebo zavést rovněž SoD. 22

23 Oblast: Zabezpečení sdílených prostředí Proč to děláme: Zavedení přístupu k aplikacím prostřednictvím uživatelských atributů - lokalita, nákladové středisko, apod. Izolace prostředí obsahující sensitivní data bez nutnosti změny konfigurace sítě. HOSTED MUTI-TENANT PRIVATE CLOUDS Shared Environment Shared Model among multiple customers and/or departments Tenant A Tenant A Tenant A Snížení restrikcí nastavených na úrovni síťových prvků. Řešení: Izolace virtuálních prostředí Definice spíše business pravidel nežli omezení na úrovni síťové infrastruktury. Integrace s VMware vshield App zrychlí nasazení aplikací na různé typy prostředí. Production Zone Dev/Test Zone DMZ Zone 23

24 Oblast: Zabezpečení hostitelského prostředí Proč to děláme Zabezpečení systémových prostředků Zabezpečení konfigurace virtuálního prostředí Detekce a upozornění na konfigurační změny VIC Start VM Zajištění shody s definovanými pravidly organizace Řešení Kontrola zabezpečení hostitelského prostředí prostřednictvím předdefinovaných šablon třetích stran, např. od: PCI-DSS, VMware Best Practices, a C.I.S. Možnost zavedení konfiguračních změn za běhu - bez nutnosti odstávky hostitelského prostředí. Kontrola HW vrstvy prostřednictvím Intel TXT technology Kompatibilita s VMware ESX a ESXi technologii. WEB SSH Create Switch Disable Switch 24

26 Shrnutí Přidaná hodnota: Umožňuje zavedení shody v oblasti správy privilegovaných účtů jak v oblasti fyzických ale i virtuálních prostředích. Snižuje náklady, zvyšuje efektivitu při vytváření prostředí zavedením automatizace bezpoečnosti ve Virtuálních prostředích Proč produkty od CA Technologies Osvědčená technologie pokrývající jak oblast fyzické tak i virtuální infrastruktury 26

27 Děkuji za pozornost. 27