560 likes | 812 Views
Контроль и аудит доступа пользователей в IT-инфраструктуре. Найдите одно отличие. Самый РАСПОСТРАННЕНЫЙ пароль . qwerty HdyJGy %84^$;-) hjdG &743 kkfT *][_% lbd 629 . Самый ПРАВИЛЬНЫЙ пароль . Кража личности – миф или реальность ?. Доля на “кражу личности” 57%.
E N D
Контроль и аудит доступа пользователей в IT-инфраструктуре.
Найдите одно отличие Самый РАСПОСТРАННЕНЫЙ пароль qwerty HdyJGy%84^$;-)hjdG&743kkfT*][_%lbd629 Самый ПРАВИЛЬНЫЙ пароль
Кража личности – миф или реальность? Доля на “кражу личности” 57%
Burton Group: Аутентификация – основа IAM (Identity and Access Management)
Многофакторная аутентификация Для успешного прохождения процедуры аутентификации пользователь должен #e3Gr3!$FR знать нечто иметь нечто обладать набором индивидуальных черт находиться в определённом месте IP-адрес, данные RFID
Идентификация - процедура присвоения идентификатора объекту КС или установления соответствия между объектом и его идентификатором; узнавание. Аутентификация – Процедура проверки соответствия предявленного идентификатора объекта КС на предмет принадлежности его этому объекту; установление или подтверждение аутентичности. НД ТЗИ 1.1-003-99
x Authentication User Name: Password: Технология ААА Кто ты?
x Authentication User Name: Password: X Authorization Технология ААА Кто ты? Что ты можешь?
x Authentication User Name: Password: X Authorization Administration Технология ААА Кто ты? Что ты можешь? Как всем этим управлять?
x Authentication User Name: Password: X Authorization Administration Технология ААА+А Кто ты? Что ты можешь? Audit Как всем этим управлять? Эээ…А что это было?!?
Средства строгой аутентификации пользователей Инфраструктура открытых ключей (PKI) Служба каталога Single sign-on (Web, Host) Аутентификация в унаследованных приложениях Управление учетными (аутентификационными) данными пользователя Учет пользовательских данных и мониторинг Компоненты инфраструктуры IAM
Концепция продуктовой линейки • Средства аутентификации • USB-ключи / смарт-карты / OTP • Средства разработки • Решения для управления паролями • eToken SSO / WSO / Windows Logon • eToken для Lotus Notes, SAP R/3 • Решения для PKI-систем (хранение и использование закрытых ключей и цифровых сертификатов) • Microsoft, Linux, Oracle, IBM • Продукты российских разработчиков • Крипто-Про УЦ, Microsoft CA, RSA Keon • Управление учётными данными пользователями • eToken TMS • Защита персональных и корпоративных данных • Персональные данные, конфиденциальная информация • Базы данных, файловые архивы
NEW ! Смарт-карты и USB-ключи для решения задач ИБ 13
eToken Pro • Защищенный микроконтроллер • Аппаратные шифрования DES, 3DES, RSA 1024/2048 • Аппаратные хеш-функций SHA-1, MD5, MD5 HMAC • Четыре уровня полномочий доступа: • Гость • Пользователь (с PIN-кодом) • Администратор • Эмитент • PIN-авторизация со счетчиком набора (запрос-ответ) • Дополнительная аутентификация при работе с RSA-ключами • Защищенная память (16, 32, 64 кб) • Уникальные ID номера eToken и смарт-карты • Генератор закрытых ключей • Длина RSA ключа – от 8 до 2048 бит • Световой индикатор работы • Полупрозрачный защищенный герметичный корпус
Чип смарт-карты Фото, логотип RFID-метка Контроль физического доступа • Бесконтактные радиометки RFID • Ангстрем БИМ-002 • HIDISOProxII • Mifare • EM-Marine • Indala • Все форм-факторы • USB-ключ, смарт-карта, комбинированные ключи • Высокочастотные метки • Единая карта • Физический доступ • Логический доступ
eToken Windows Logon • Автоматический вход в корпоративную сеть • Блокирование компьютера • Мобильность • Автоматическая генерация пароля • Использование сложных паролей • Возможность входа в сеть по паролю
eToken Windows Logon • Автоматический вход в корпоративную сеть • Блокирование компьютера • Мобильность • Автоматическая генерация пароля • Использование сложных паролей • Возможность входа в сеть по паролю
eToken Windows Logon • Автоматический вход в корпоративную сеть • Блокирование компьютера • Мобильность • Автоматическая генерация пароля • Использование сложных паролей • Возможность входа в сеть по паролю
Доступ к приложениям • Simple Sign-On • Безопасное хранение регистрационных данных и автоматическое заполнение полей форм Windows-приложений • Web Sign-On • Безопасное хранение регистрационных данных и автоматическое заполнение полей HTML-форм • eToken Windows Logon • Безопасное хранение регистрационных данных и их использование при регистрации на рабочей станции и в сети Windows
eToken для PKI-решений • Тенденции рынка • Переход от парольной к строгой двухфакторной аутентификации • Всё больше продуктов поддерживают технологии PKI –аутентификация, ЭЦП, шифрование данных • Продукты–«стимуляторы»: системы документооборота • eToken обеспечивает • Безопасное хранение и использование закрытых ключей • Усиление функций безопасности • Приложения, использующие закрытые ключи • ОС: Windows 2000/XP/2003/Embedded/Vista • Службы каталога: Active Directory, Novell eDirectory • Бизнес-приложения: Outlook/Exchange, Microsoft Office, Lotus Notes/Domino, Oracle eBusiness Suite, mySAP Enterprise Portal • Продукты отечественных разработчиков: системы документооборота (ЭОС); КриптоАРМ (Digt); «Клиент-Банк» (Диасофт); системы сдачи налоговой отчётности
eToken в решениях Cisco • Аутентификация по протоколу 802.1x • Аутентификация на уровне сетевого порта • Аутентификация клиентов при VPN-доступе • Клиентский VPN (IPSec) • Бесклиентский VPN (SSL VPN) • Средства: USB-ключи, смарт-карты, комбинированные ключи с генераторами одноразовых паролей • Методы: закрытый ключ + сертификат, одноразовый пароль • Хранение конфигурационных параметров, закрытых ключей и сертификатов сетевого оборудования • Cisco ASA • Cisco VPN Concentrator 300x • Маршрутизаторы серии Cisco 2800 и 3800 ISR • Коннектор eToken TMS
eToken в решениях IBM • Lotus Notes / Domino • Аутентификация пользователей Lotus Notes • Защита ID-файлов серверов Lotus Domino • Безопасное хранение и использование закрытых ключей сертификатов • Защищённый удаленный доступ к веб-сервисам на базе Lotus Domino • Tivoli Access Manager • Обеспечение надёжной однократной регистрации пользователя в информационной системе (Single Sign-On, SSO) с использованием eToken • Реализация мандатного доступа к информационным ресурсам • Поддержка eToken в IBM WebShpere Application Server и BEA WebLogic Server (IBM Tivoli Access Manager выступает как аутенфикационный прокси) • Единая централизованная стратегия управления доступом
Аутентификация на терминальных клиентах • Строгая аутентификация с использованием закрытого ключа и цифрового сертификата Х.509, установленных на eToken • На терминальных клиентах (регистрация в ОС) • В домене Windows • На сервере при терминальном доступе к Windows Server 2003 • Дополнительные возможности • Блокировка терминальной сессии и терминала • Использование eToken в серверных приложениях
eToken для Microsoft Windows • Решение проблемы «слабых» паролей • Полный отказ от использования паролей • Удобное использование сложных паролей • Усиление функций безопасности операционных систем Microsoft Windows • Замена однофакторной парольной аутентификации на двухфакторную аутентификацию • Безопасное администрирование • Работа с минимальным уровнем привелегий • Простое выполнение операций / запуск приложений, требующих повышенного уровня полномочий • Отсутствие необходимости ввода паролей с клавиатуры • Максимальное полное использование потенциала уже приобретённых продуктов Microsoft • Использование более защищённых протоколов ИБ • Повышается масштабируемость и управляемость
eToken для SSL / TLS • SSL и TLS- основные протоколы защиты Web-трафика • SSL обеспечивает: • Аутентификацию сервера: цифровой сертификат X.509 • Защиту и целостность данных: данные шифруются с использованием симметричных алгоритмов; для контроля целостности используются хэш-фукции • Аутентификацию клиента: цифровой сертификат X.509 • Преимущества использования для SSL-аутентификации цифровых сертификатов X.509, установленных на eToken: Для пользователя • Мобильность • Надёжность • Безопасность Для владельца серверного ресурса • Надёжная аутентификация (напр., для биллинга)
Выбор цифрового сертификата для входа на защищенный Web-портал
SSL-аутентификация с использованием закрытого ключа в памяти eToken
Роль eToken в PKI-системах • Обеспечение безопасности закрытых ключей пользователя на всeх этапах их жизненного цикла: • Генерация • Хранение • Использование • Уничтожение
Проблема управления Децентрализованное управление • Microsoft • IBM • Cisco • Oracle • Novell • RSA • … • унаследованные приложения Централизованное управление
Основные задачи • Выпуск смарт-карты • Персонализация смарт-карты сотрудником • Обслуживание карты • Добавление возможности доступа к новым приложениям • Отзыв предоставленного ранее доступа • Замена / временная выдача новой карты • Разблокирование PIN-кода • Выход смарт-карты из строя • Отзыв карты
Что такое Aladdin TokenManagement System (TMS)? Система, предназначенная для внедрения, управления и использования средств аутентификации пользователей в масштабах организации. TMS - связующее звено между: – пользователями; – политикой безопасности (организационными правилами); – средствами аутентификации; – приложениями ИБ.
eToken TMS2.0Система управления жизненным циклом • Новая архитектура • Ролевое управление • Новый графический интерфейс • Поддержка eToken NG-FLASH • Поддержка «виртуального токена»
Возможности eToken TMS 2.0 • Единая система управления жизненным циклом для всех средств аутентификации - смарт-карт, USB-ключейи устройств с функционалом OTP • Простая установка, основанная на мастерах (wizards) • Веб-интерфейсы: • TMS Management Center (администрирование) • TMS Self-Service Center (пользователь в локальной сети) • TMS Remote Service Center (удалённый пользователь) • Открытая архитектура • Коннекторыдля интеграции с разнообразными приложениями безопасности • Комплект разработчика (eToken TMS Connector SDK) для разработки собственных коннекторов • Обработка сценариев «утеря eToken» и «выход eToken из строя» • Обработка ситуации, если пользователь, находясь в командировке, потерял или забыл eToken • Безопасное резервное копирование и восстановлениепрофилей пользователя на eToken • Аудит и отчёты • Ролевая модель доступа к eToken TMS • Встроенные механизмы шифрования данных, различные ключи шифрования для разных поддоменов • Не требует выделенного сервера • Полная интеграция с Microsoft Active Directory • Прямая связь с данными пользователя – нет необходимости в репликации • Полная интеграция с правилами и политиками пользователя в AD
Поддерживаемые приложения • Различные приложения безопасности поддерживаются за счет использования специальных коннекторов, входящих в комплект поставки: • eToken Windows Logon (GINA) • eToken OTP Authentication,включая eToken PASS • eToken Single Sign-On (SSO) 3.0 • Microsoft CA – для приложений, использующих PKI-технологии (VPN, SSL, аутентификация в сети) • P12 Importing Tool • Check Point Internal CA • eToken Flash Partition Application
Редактор Token Policy Object (TPO) • Установка всех политик TMS • Если политика может быть установлена как Not Defined, то определение берётся из вышестоящей политики • Установки включают: • General Settings/Mail Server Settings • Connectors Settings • eToken Settings (Initialization Settings, Password Settings, eToken Properties • Enrollment Settings • eToken recovery options • Audit Settings • Desktop Agent Settings
TPO для конекторов • В качестве примера – коннектор eToken OTP.
TMS Management Center Help Desk Быстрые и эффективные help desk – утилиты и операции
Token Inventory Онлайновая инвентаризация токенов User Search by OU
Отчеты и аудит TMS предоставляет гибкие и обширные отчеты
Веб-сайт пользователя - MyeToken Безопасное самообслуживание токена, снятие нагрузки с администратора
Сотрудник в дороге • Сотруднику необходимо сделать очень важную презентацию у заказчика, находящегося за границейи он не может найти etoken • Ему необходимо следующие решения для: • Входа в свой персональный компьютер • Проведения операций по расшифрованию файлов • Получить доступ к электронной почте и другим приложениям • Поддержка - eToken Virtual • Безопасный ключ в программном хранилище, временно активируется до возвращения сотрудника в офис • TMS предлагает несколько методов для использования eToken Virtual в зависимости от требований безопасности и схем использования
Восстановление доступа с использованием виртуального eToken • Когда используется виртуальный eToken? • Решение в случае утери eToken • Особенно полезно в ситуации, когда сотрудник находится вне офиса • Содержимое виртуального токена определяется через eToken TMS (коннекторы): • Например, Windows Logon (профиль или сертификат) • Как виртуальный eToken загружается на клиентскую рабочую станцию? • Вручную пользователем через веб-сайт TMS • Автоматически через TMS Client (возможность устанавливается администратором) • Виртуальный eToken создаётся заново каждый раз, как происходят изменения в оригинальном eToken (выпуск, обновление данных и др.)
Восстановление доступа с использованием виртуального eToken • Срок действия и отзыв виртуального eToken: • При выпуске виртуального eToken определяется период времени, в течение которого он будет действовать (до возвращения пользователя в офис) • По истечении данного периода виртуальный eToken отзывается • По возвращении в офис – выпуск нового аппаратного eToken для пользователя: • Выпуск нового eToken приведёт к автоматическому отзыву виртуального eToken.
Коннекторы TMS • TMS управляет приложениями ИБ с использованием механизмаTMS connectors • Коннектор отвечает за взаимодействие с определённым приложением • Коннекторы добавляются и конфигурируются отдельно для каждого ОП • Коннекторы конфигурируются через настройки TPO. Настройки также могут применяться на уровне пользователя / группы пользователей.
Возможности коннекторов • Коннекторы TMS обеспечивают: • Прямой выпуск или выпуск через веб-интерфейс (т.е. Веб-сайт самообслуживания пользователя)данных приложений (профили, ключи и др.)на eToken • Конфигурация и настройка параметров приложений • Безопасное централизованное хранение пользовательских данных • Отзыв токенов и профилей данных • Резервное копирование и восстановление при отработке сценариев «потерянный eToken»и «вышедший из строя Token» • Предоставление данных для аудита и построения отчётов