600 likes | 685 Views
Poręcznie Cyfrowej Tożsamości Przegląd rozwiązań. Piotr Kluczwajd. Evolution of the digital identity. Level of legislative compliance. Voluntary and mandatory regulations. The digital divide. Companies’ level of compliance. Time toward binding eCommerce. ... a co z tożsamością ?.
E N D
Poręcznie Cyfrowej TożsamościPrzegląd rozwiązań Piotr Kluczwajd
Evolution of the digital identity Level of legislative compliance Voluntary and mandatory regulations The digital divide Companies’ level of compliance Time toward binding eCommerce
... a co z tożsamością ? Source: New Yorker Magazine, 1993
Typowe bolączki współczesnej Korporacji Zgodność z legislacją Odpowiedzialność prawna HIPAA, SOX, etc. Brak komfortu pracy Silne uwierzytelnienie Redukcja kosztów IT Ekspansja biznesu Bezpieczeństwo / Risk Management
Global Company Over 15 years experience Approaching 20 million users worldwide Over 2,000 customers 200+ patents issued and pending 350 employees worldwide Public company (Nasdaq: ACTI) US$50M total revenues Strong Balance Sheet: $150M+ Worldwide network of Integrators, partners and VARs Major achievements Largest multi-function smart card deployment Largest SSO deployment and eSSO market share leader Largest deployment of tokens for consumer banking ActivIdentity
Vision To enable businesses to leverage a multi-function employee ID smart card as a single digital identity platform with scalable post-issuance credential and application updates Our Vision for the Enterprise Market • What does this mean for our enterprise customers? • ActivIdentity brings strong authentication to any device (smart cards, tokens, password) • ActivIdentity solutions can be introduced into enterprises at any stage of the technology adoption, extending to both Windows as well as Solaris environments • ActivIdentity solution delivers optimum deployment flexibility by integrating with the customers’ existing infrastructure, including: directory, application, provisioning, and authentication method
Agenda • Poręczenie Cyfrowej Tożsamości • Sposób podejścia i waga zagadnienia • Wyzwania • Wsparcie wielu aplikacji i różnych metod indentyfikacji • Jak zarządzać? • Wyzwanie: definicja procesów biznesowych • Kolejne kroki? • Kluczowe zagadnienia
SAP PSOFT Exchange Main Frame Web App Web App Web App Znaczenie Cyfrowej Tożsamości - single „you” many „who are you?” Logowanie Zdalne Typowy Użytkownik Logowanie Lokalne Logowanie w sieci LAN Aplikacje Korporacyjne Dostęp fizyczny
Cyfrowa Tożsamość - Wyzwania Bezpieczeństwo Koszty Standardy Produktywność • Obniżone z powodu nadmiaru haseł statycznych będących w użyciu • Brak egzekucji polityk zmiany haseł • Coraz większa liczba aplikacji wymagających uwierzytelnienia • Obniżenie ufności w tożsamość osób • Zwiększone koszty Helpdesk • Zwiększone koszty utrzymania infrastruktury (wiele uprawnień, credentials, w różnych departamentach) • Brak zgodności z regulacjami prawnymi i ze standardami • Niemożność przeprowadzania prawomocnych audytów • Obniżona ze względu na skalę infrastruktury oraz rosnącą frustrację użytkowników
ActivIdentity – Rozsądny wybór • Rozumiemy wyzwania • Posiadamy wiedzę oraz doświadczony personel • Proponowane podejście • Jednokrotne logowanie do wielu aplikacji (SSO) z wymuszonym i zautomatyzowanym procesem zmiany haseł • Dwuskładnikowe uwierzytelnienie oparte o silne algorytmy (PKI/SKI) implementowane na bezpiecznych urządzeniach (tamperproof). • Zcentralizowane zarządzanie oparte o usługi katalogowe oraz serwisy samoobsługowe • Integracja z komponentami infrastruktury (LDAP, RDBMS, provisioning, etc) • Szyfrowanie danych oraz podpis cyfrowy • Zgodność z regulacjami prawnymi oraz ze standardami • Ochrona dostępu zdalnego przez VPN / Web / WLAN • Prosta i szybka implementacja • Prostota i wygoda użycia
SAP PSOFT Exchange Main Frame Web App Web App Web App Propozycja: integracja uprawnień (credentials) Logowanie Zdalne Szczęśliwy Użytkownik Logowanie Lokalne Logowanie w sieci LAN Aplikacje Korporacyjne Dostęp fizyczny
SAP PSOFT Exchange Main Frame Web App Web App Web App Połączenie dostępu logicznego i fizycznego Logowanie Zdalne Szczęśliwy Użytkownik Logowanie Lokalne Logowanie w sieci LAN Aplikacje Korporacyjne Dostęp fizyczny
Katalog Korporacyjny System Kadrowy Single Sign-On Provisioning Zarządzanie silnym Uwierzytelnianiem Elastyczne metody uwierzytelniania VPN Dostęp sieciowy Zarządzanie dostępem Web WLAN Bezpieczny Desktop Zarządzanie hasłami Web Kluczowe elementy Zarządzania Tożsamością (Identity Management) Korporacja na zewnątrz Korporacja wewnątrz Budynek Sytem kontroli dostępu Dostęp fizyczny Serwery Plików & Poczty Enterprise Access Card Aplikacje Secure Remote Access Web Servers
Agenda • Poręczenie Cyfrowej Tożsamości • Sposób podejścia i waga zagadnienia • Wyzwania • Wsparcie wielu aplikacji i różnych metod indentyfikacji • Jak zarządzać? • Wyzwanie: definicja procesów biznesowych • Kolejne kroki? • Kluczowe zagadnienia
Logowanie Desktop Logowanie do sieci SecureVPN Secure Web BezpiecznyDial-up RAS BezpiecznyVPN Secure Web Rozwiązania firm trzecich Rozwiązania firm trzecich SecureVPN SecureVPN Secure Web Secure Web Aplikacje Biznesowe Logowanie Web SecureVPN Secure Web Bezpieczny Desktop Bezpieczne LogowanieWindows BezpiecznyWLAN Serwisy PKI Konektor IBM Tivoli ActivIdentity Secure Remote Access Module SecureVPN Secure Web Secure Dial-up RAS ActivIdentity SSO/AA ActivIdentity Secure Remote Access CA PKI ProvisioningSystem ActivIdentity Card Management System ActivIdentity Enterprise Access CardRodzina rozwiązań Zarządzanie / Egzekucja Oprogramowanie stacji roboczej Bez oprogramowania KLIENT
Zbyt wiele żeby zapamiętać! johnnyjjohnson_04 johnnyj294 jjohnson077 johnmeister_192 ******** bigjohn_92 jj122 johnnyjohnjohn st.john_140 johnny_thegolfer413 ******************************************************************************** ************ jjj_021 johnathan_17 jjohnson077 **** john_Johnson_45 **** ****** Problem z zarządzaniem hasłami wiele haseł Jak musisz pamiętać?
Problem z zarządzaniem hasłami- Bezpieczeństwo • Użytkownicy będą zawsze: • używać”słabych” haseł • wykorzystywać poprzednie hasła • zapisywaćhasła Bezpieczeństwo jest równe ZERO
Problem z zarządzaniem hasłami - Koszty Produkowanie kosztów Help Desk • Giga Research • $25 to $50 - koszt ponoszony przez organizację na pojedyncze zgłoszenie do helpdeskuzwiązane z uwierzytelnieniem • eWeek(Who’s Who When, Feb 03): • [około]$45 - koszt definicji nowego hasła (reset)
Obniżone bezpieczeństwo aplikacji Manualne zarządzanie kontami Brak wiarygodnego mechanizmu audytu Niska ufność w tożsamość Resetowanie haseł Aplikacje Kadrowe Hacker Haker Systemy Finansowe Systemy Biznesowe Użytkownik Administrator Portale Korporacyjne Sieć nie chroniona Zwielokrotnienie tożsamości Hacker Proste hasło statyczne Haker Zwielokrotnienie tożsamości
Wysoka ufność w identyfikację przy logowaniu Wysoki zwrot kosztów inwestycji (ROI) Wygoda użytkowania Zalegalizowany audyt Redukcja kosztów helpdesk Aplikacje Kadrowe Systemy Finansowe Audyt Skomplikowane Uprawnienia sieciowe Systemy Biznesowe Użytkownik Administrator Portale Korporacyjne Provisioning kont Konsolidacja uprawnień Obszar zaufany Konsolidacja Uprawnień z SecureLogin Single Sign-On
Użytkownik uruchamia aplikację Wprowadzenie uprawnień do okna logowania Uwierzytelnienie użytkownika Sieć zezwala na dostęp (lub nie) Dwuskładnikowe uwierzytelnienie System Finansowy Obszar zaufany Użytkownik Silne uwierzytelnienie na poziomie aplikacji Silne wieloskładnikowe uwierzytelnienie sieciowe Wysoki poziom ufności identyfikacji SecureLogin Single Sign-OnUwierzytelnianie dwuskładnikowe
3)Podaj UID i hasło 2)Uruchomienie Aplikacji 1) Uwierzytelnienie do serwera katalogowego ActivIdentity SecureLogin SSOProces Logowania 5) SecureLogin SSO otrzymuje uprawnienia (ID/pwd) z LDAP, a następnie przekazuje do aplikacji Serwer Aplikacji Serwer Katalogowy 4) SecureLoginpobiera uprawnienia z LDAP Stacja Robocza
ActivIdentity SecureLogin SSOArchitektura Siła rozwiązania:Architektura – wykorzystanie serwera katalogowego Klient SecureLogin Serwer Katalogowy WinSSO TLaunch ADS, LDAP, ADAM Moduł główny JavaSSO WebSSO eDir, inne Script Engine Net Client Lokalny cache (opcjonalnie) Dane SSO Katalog Skrypty Polityki Haseł Właściwości Uprawnienia Użytkowników
ActivIdentity SecureLogin SSOWsparcie Aplikacji Inne aplikacje mogą być obsługiwane przez SSO dzięki wykorzystaniu zautomatyzowanego Wizard’u i języka skryptowego Siła rozwiązania :„naucz się i odtwórz” • ActivIdentity SecureLogin SSO pozwala zarządzać unikalnym zestawem uprawnień (credentials) dla dowolnej aplikacji • Hasła są unikalne i niezsynchronizowane • Brak konieczności modyfikacji w aplikacji • Wsparcie dla wielkiej liczby aplikacji • Windows32 • Web i eBusiness • Citrix/Terminal Server • Host-based/emulator terminali • Java
ActivIdentity SecureLogin SSOBezpieczeństwo Siła rozwiązania :Wyższe Bezpieczeństwo • Użytkownicy nie muszą znać swoich identyfikatorów i haseł do poszczególnych aplikacji • Silne polityki haseł konfigurowalne dla każdej aplikacji oddzielnie Nawet jeśli aplikacja nie posiada własnej polityki! • Zapis haseł na karcie kryptograficznej (4k/50) • Ochrona uprawnień użytkowników w katalogu (LDAP) z wykorzystaniem PKI • Generacja haseł dynamicznych (OTP) z użyciem karty kryptograficznej • Logowanie hasłem statycznym do stacji roboczej z użyciem karty kryptograficznej (non PKI)
ActivIdentity SecureLogin SSOBezpieczeństwo Siła rozwiązania :Wyższe Bezpieczeństwo Ochrona przed ”występnym” administratorem: • Reset hasła użytkownika w LDAP blokuje dostęp do danych SSO • Użytkownik musi podać passphrase żeby uaktywnić SSO • Kopiowanie danych SSO użytkownika na inny obiekt w LDAP powoduje blokadę • Dane SSO są szyfrowanez wykorzystaniem 3DES/AES
ActivIdentity SecureLogin SSODostęp Zdalny Siła rozwiązania :Użytkownik zdalny • ActivIdentity SecureLogin SSO pozwala uruchomić bezpiecznie zaszyfrowany cache klienta • Wymuszenie podania passphrase (konfigurowalne) • Możliwość zmiany haseł z automatyczną synchronizacją przy kolejnym połączeniu z serwerem katalogowym • Wszystkie opcjeSecureLogin są dostępne przy pracy zdalnej
ActivIdentity SecureLogin SSOZarządzanie Siła rozwiązania :Wysoka skalowalność i zarządzanie • Silna integracja z Active Directory, eDirectory oraz innymi serwerami LDAP pozwala na sprawne zarządzanie SSO (Group and Policy Management) • Wsparcie dla ADAM • Integracja z Microsoft Management Console (MMC) Snap-in oraz narzędziami zarządzania eDirectory
Wsparcie aplikacji Web (Firefox) Elastyczne rozpoznawanie aplikacji Bezwzględne ROI Solidne i wieloletnie doświadczenie Zcentralizowana administracja Zwiększone bezpieczeństwo Integracja z ADAM SecureLogin SSO – Co nas wyróżnia
Standard Life RESULTS • Increased Security - Users are no longer writing passwords down and are able to use stronger, longer network passwords • Increased User Satisfaction - Users more satisfied with login experience, have seen productivity gains as well as dramatic drop in calls to the helpdesk for password resets. • Integrated into directory • Directory and provisioning integration provided substantial gains at the user provisioning level and reduced costs. • Number of password related Help Desk calls reduced from 23% to 6% for 7k users (from 11k entire population) NEEDS Increase Security of applications Many financial applications not being properly protected due to poor password management practices Increase User Satisfaction Include compatibility with existing user provisioning systems
Czynniki warunkujące wymagania • Organizacje muszą realizować bezpieczny zdalny dostęp dla pracowników. • Zmiany w obszarze technologii silnego uwierzytelnienia: • Wygasają patenty firm trzecich • Inicjatywa OATHpojawia się na rynku jako silna alternatywa dla rozwiązań własnych (proprietary). • Poprzez tworzenie otwartych standardów, OATH oferuje: • elastyczniejszy wybór urządzeń uwierzytelniających • niższe koszty utrzymania • możliwość wymiany istniejących zróżnicowanych własnych (proprietary) systemów bezpieczeństwa , których złożoność często prowadzi do podniesienia kosztów.
Ja to działa ? — bez AAA Server • Użytkownicy potrzebują dostępu zdalnego do zasobów korporacyjnych z domu, hotelu, kawiarni internetowych, etc. • Standardowe punkty dostępowe, takie jak firewall, oczekują podania statycznych uprawnień (identyfikator/hasło): • Słabe uwierzytelnienie • Atak typu „replay” • Takie rozwiązania zagrażają bezpieczeństwu korporacji Punkt dostępowy Zasoby Korporacyjne Użytkownik zdalny Obszar chroniony Obszar nie chroniony
Jak to działa? — z AAA Server • Punkty Dostępowe (z interfejsem RADIUS lub TACACS+ interface) mogą kierować uwierzytelnianie zdalnych użytkowników do AAA Server (routing) • Zdalni użytkownicy zamiast haseł statycznych używają haseł jednorazowych (OTP) generowanych w oparciu o opatentowany algorytm ActivIdentity lub OATH • AAA Server „z pudełka” może kontrolować identyfikatory i hasła jednorazowe, aby w ten sposób uwierzytelniać użytkowników • AAA Server pozwala również autoryzować (authorization) i rozliczać (accounting) aktywność użytkowników zdalnych RADIUS lub TACACS+ Punkt dostępowy Zasoby Korporacyjne Użytkownik zdalny Obszar nie chroniony Obszar chroniony
ActivIdentityAAA ServerOpis Produktu • Bezpieczny dostęp zdalny • Dial-up i VPN • Aplikacje Web • Kluczowe cechy produktu • Silne uwierzytelnianie hasłami jednorazowymi • Serwer aaa kompatybilny z RADIUS i TACACS+ • Autoryzacja (authorization) i rozliczanie (accounting) • Wsparcie kart kryptograficznych i tokenów • Koegzystencja kart PKI oraz kart non-PKI • Punkty integracji w przedsiębiorstwie • Połączenie z Sieciowymi Serwerami Dostępowymi (NAS: dial-up/VPN) • Wykorzystanie korporacyjnego katalogu LDAP • Praca jako Proxy to serwerów firm trzecich (migracja od tokenów do kart kryptograficznych)
ActivIdentityMini Token Prosty, łatwy w użyciu, przeznaczony dla klientów serwisów detalicznych przy ochronie dostępu i zatwierdzaniu transakcji • One Token, KeyChain Token, Pocket Token • Przede wszystkim używany w środowiskach korporacji/przedsiębiorstwa do ochrony dostępu do sieci, aplikacji oraz zasobów informacyjnych. • ActivIdentity DesktopToken • Używany przez osoby niedowidzące; pozwala organizacjom spełniać wymagania legislacyjne i przemysłowe. Tokeny ActivIdentity
ActivIdentity AAA ServerCharakterystyka • Pojedynczy punkt zarządzania • Praca w konfiguracji Fail Over / High Availability • UwierzytelnianieServer Pool / Load Balancing • Wsparcie WiFi • Help Desk i Self Desk Web • Przekierowanie uwierzytelnienia • RADIUS, LDAP • Tryb uwierzytelniania • OTP, Challange/Response, statyczny, LDAP • Zapasowe tryby uwierzytelniania • Statyczny, LDAP, SMS
AAA Server - Co nas wyróżnia • Tokeny nie tracą ważności • Eliminacja podwójnej administracji • Znaczne obniżenie kosztów helpdesk • Konsolidacja uprawnień (credentials) • Prostota użycia • Pomost i migracja do zaawansowanych rozwiązań • Szybka integracja z istniejącą infrastrukturą • Łatwa implementacja i administracja
British Telecom NEEDS: RESULTS: Cost Control Significantly reduce user authentication costs “We were impressed by the richness of function, the simplicity of architecture and the total cost of ownership of the overall solution” “This will provide our users with greater functionality and ease of use while allowing BT Exact, … , to leverage BT’s directory and RADIUS infrastructure, thus making significant cost savings on user account management.” Ashok Patel, Strategy Manager, Internet and Distributed Technology Risk Management Secure access to critical corporate information by mobile workforce DTG
HP RESULTS NEEDS • Token Problems Solved by ActivIdentity • Costs – Less than previous vendor with more functionality • Scalability – Over 20 times more authentications per second • Ergonomics – Superior • Allows legacy RADIUS based apps to adopt PKI at their own rate, or not at all PKI Problems Solved Using ActivIdentity • Shared or multiple systems – PKI credentials are on a secure, portable Smart Card • Certificates issued onto the Smart Card meet HP’s two-factor requirements. • — Alan Dundas, IT Security Architect Cost Control Significantly reduce existing expensive 2-factor authentication costs Bridge and Migrate One infrastructure to handle both RADIUS authentication and PKI authentication DTG DTG
Case Study : Alstom RESULTS: "We replaced our legacy leased token deployment with ActivCard's secure remote access system… quickly reduced our administration costs by 75 percent.” "ActivCard AAA Server quickly reduced our security infrastructure costs. It is the only system we found that plugs directly into our enterprise LDAP directory, which strengthens and centralizes the administration of identity credentials” — Vincent Cremin, Deputy CIO and IT Risk Manager NEEDS: Reduce Costs Significantly reduce existing token authentication costs Integrate with Identity Management Fully integrate with new enterprise directory project Expand over time Start with remote access move to local login and PKI over time
Agenda • Poręczenie Cyfrowej Tożsamości • Sposób podejścia i waga zagadnienia • Wyzwania • Wsparcie wielu aplikacji i różnych metod indentyfikacji • Jak zarządzać? • Wyzwanie: definicja procesów biznesowych • Kolejne kroki? • Kluczowe zagadnienia
ActivIdentityEnterpise Access Card (EAC)Card Management System + ActivClient
Karty zastępcze Uaktualnianie kart Rejestracja (enrollment) Wydawanie (issuance) Usługi po wydaniu (post-issuance) Administracja • Konfiguracja i wsparcie • Audyt i raportowanie • Zarządzanie rolami • Wprowadzanie danych • Zapis biometryki • Zatwierdzanie • Personalizacja kart • Dystrybucja • Lokalnie / Delegowanie • Aplety i uprawnienia • Odblokowywanie Kart • Dane demograficzne ActivIdentity Card Managment SystemOpis produktu • Połączenie Katalogu / CA / Dostępu fizycznego / Provisioning’u / Kart w pojedynczym interfejsie Web • Kompletna i elastyczna platforma służąca do wydawania (issuance) i zarządzania kartami - niezbędna do pomyślnego wprowadzenia identyfikatora cyfrowego • Zarządzanie cyklem życia kart, danych, apletów, cyfrowych uprawnień (credentials) • Zarządzanie administracją, konfiguracją, audytem, raportowaniem • Platforma narzędziowa (framework API) pozwalająca na integrację z systemami zewnętrznymi
ActivIdentity CMSCechy kluczowe • Ujednolicone personalizacja i zarządzanie cyklem życia • Wydawanie / Odwoływanie / Zawieszanie kart i uprawnień (PKI, SKI, statyczne) • Wsparcie kilku CA równocześnie • Wysokie bezpieczeństwo i audyt • Ciągłość zaufania (chain of trust) dla serwisów personalizacyjnych • Różnorodność wariantów wydawania kart • Lokalnie (face-to-face) • Z potwierdzeniem (validated issuance) • Zintegrowana stacja personalizująca kartę elektrycznie i graficznie • Zapewnienie serwisów po wydaniu (post-issuance) oraz operacji samoobsługowych (self-services) • Odblokowanie karty w trybie Online lub Offline • Dodawanie/ uaktualnianie uprawnień, aplikacji i danych na karcie • Elastyczność ról i trybów pracy • Niezależność od producentów repozytoriów zewnętrznych (karty, LDAP, CA) • Narzędzia integracyjne (API)
ActivClientCharakterystyka produktu • Bezpieczeństwo • Wykorzystanie karty kryptograficznej do: • Silne uwierzytelnienie • Niezaprzeczalność (non-repudiation) • Integralność i Poufność • Metody uwierzytelniania • Hasła dynamiczne • Hasła statyczne • Biometryka • PKI • Certyfikacje FIPS 140-2 Level 2 / 3 • Wsparcie RSA 2048-bit • Redukcja TCO • Konfiguracja i Customizacja • Serwisy dystrybucyjne • Auto-konfiguracja & Troubleshooting • Serwisy samoobsługowe i Centralne zarządzanie (wymaga CMS) • Niezależność od producenta karty • Maksymalna zdolność do współpracy w infrastrukturze • Logowanie i blokowanie stacji roboczej • Serwisy PKI (bezpieczny email i Web, podpis cyfrowy) • Single Sign-On • Bezpieczny Zdalny Dostęp (Secure Remote Access) • Dostęp terminalowy • Narzędzia programistyczne (SDK) • Niezależność od pojedynczego dostawcy karty
ActivClientŚrodowisko pracy • Karty kryptograficzne / klucze USB • ActivIdentity Smart Card 64K v1/v2 • ActivIdentity ActivKey v2 / SIM • Card Manufacturers: • Atmel (FIPS) • Axalto (FIPS) • Giesecke & Devrient (FIPS) • Gemplus (FIPS, Common Criteria) • Oberthur (FIPS 140-2 Level 3) • Systemy Operacyjne • Windows 2000 / XP / Server 2003 / Linux / Solaris • Czytniki Smart Card • Choice of USB, PCMCIA and serial readers