1 / 54

Контроль и аудит доступа пользователей в IT-инфраструктуре.

Контроль и аудит доступа пользователей в IT-инфраструктуре. Найдите одно отличие. Самый РАСПОСТРАННЕНЫЙ пароль . qwerty HdyJGy %84^$;-) hjdG &743 kkfT *][_% lbd 629 . Самый ПРАВИЛЬНЫЙ пароль . Кража личности – миф или реальность ?. Доля на “кражу личности” 57%.

imaran
Download Presentation

Контроль и аудит доступа пользователей в IT-инфраструктуре.

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Контроль и аудит доступа пользователей в IT-инфраструктуре.

  2. Найдите одно отличие Самый РАСПОСТРАННЕНЫЙ пароль qwerty HdyJGy%84^$;-)hjdG&743kkfT*][_%lbd629 Самый ПРАВИЛЬНЫЙ пароль

  3. Кража личности – миф или реальность? Доля на “кражу личности” 57%

  4. Burton Group: Аутентификация – основа IAM (Identity and Access Management)

  5. Многофакторная аутентификация Для успешного прохождения процедуры аутентификации пользователь должен #e3Gr3!$FR знать нечто иметь нечто обладать набором индивидуальных черт находиться в определённом месте IP-адрес, данные RFID

  6. Идентификация - процедура присвоения идентификатора объекту КС или установления соответствия между объектом и его идентификатором; узнавание. Аутентификация – Процедура проверки соответствия предявленного идентификатора объекта КС на предмет принадлежности его этому объекту; установление или подтверждение аутентичности. НД ТЗИ 1.1-003-99

  7. x  Authentication User Name: Password: Технология ААА Кто ты?

  8. x  Authentication User Name: Password: X Authorization Технология ААА Кто ты? Что ты можешь?

  9. x  Authentication User Name: Password: X Authorization Administration Технология ААА Кто ты? Что ты можешь? Как всем этим управлять?

  10. x  Authentication User Name: Password: X Authorization Administration Технология ААА+А Кто ты? Что ты можешь? Audit Как всем этим управлять? Эээ…А что это было?!?

  11. Средства строгой аутентификации пользователей Инфраструктура открытых ключей (PKI) Служба каталога Single sign-on (Web, Host) Аутентификация в унаследованных приложениях Управление учетными (аутентификационными) данными пользователя Учет пользовательских данных и мониторинг Компоненты инфраструктуры IAM

  12. Концепция продуктовой линейки • Средства аутентификации • USB-ключи / смарт-карты / OTP • Средства разработки • Решения для управления паролями • eToken SSO / WSO / Windows Logon • eToken для Lotus Notes, SAP R/3 • Решения для PKI-систем (хранение и использование закрытых ключей и цифровых сертификатов) • Microsoft, Linux, Oracle, IBM • Продукты российских разработчиков • Крипто-Про УЦ, Microsoft CA, RSA Keon • Управление учётными данными пользователями • eToken TMS • Защита персональных и корпоративных данных • Персональные данные, конфиденциальная информация • Базы данных, файловые архивы

  13. NEW ! Смарт-карты и USB-ключи для решения задач ИБ 13

  14. eToken Pro • Защищенный микроконтроллер • Аппаратные шифрования DES, 3DES, RSA 1024/2048 • Аппаратные хеш-функций SHA-1, MD5, MD5 HMAC • Четыре уровня полномочий доступа: • Гость • Пользователь (с PIN-кодом) • Администратор • Эмитент • PIN-авторизация со счетчиком набора (запрос-ответ) • Дополнительная аутентификация при работе с RSA-ключами • Защищенная память (16, 32, 64 кб) • Уникальные ID номера eToken и смарт-карты • Генератор закрытых ключей • Длина RSA ключа – от 8 до 2048 бит • Световой индикатор работы • Полупрозрачный защищенный герметичный корпус

  15. Функциональная модель

  16. Чип смарт-карты Фото, логотип RFID-метка Контроль физического доступа • Бесконтактные радиометки RFID • Ангстрем БИМ-002 • HIDISOProxII • Mifare • EM-Marine • Indala • Все форм-факторы • USB-ключ, смарт-карта, комбинированные ключи • Высокочастотные метки • Единая карта • Физический доступ • Логический доступ

  17. eToken Windows Logon • Автоматический вход в корпоративную сеть • Блокирование компьютера • Мобильность • Автоматическая генерация пароля • Использование сложных паролей • Возможность входа в сеть по паролю

  18. eToken Windows Logon • Автоматический вход в корпоративную сеть • Блокирование компьютера • Мобильность • Автоматическая генерация пароля • Использование сложных паролей • Возможность входа в сеть по паролю

  19. eToken Windows Logon • Автоматический вход в корпоративную сеть • Блокирование компьютера • Мобильность • Автоматическая генерация пароля • Использование сложных паролей • Возможность входа в сеть по паролю

  20. Доступ к приложениям • Simple Sign-On • Безопасное хранение регистрационных данных и автоматическое заполнение полей форм Windows-приложений • Web Sign-On • Безопасное хранение регистрационных данных и автоматическое заполнение полей HTML-форм • eToken Windows Logon • Безопасное хранение регистрационных данных и их использование при регистрации на рабочей станции и в сети Windows

  21. eToken для PKI-решений • Тенденции рынка • Переход от парольной к строгой двухфакторной аутентификации • Всё больше продуктов поддерживают технологии PKI –аутентификация, ЭЦП, шифрование данных • Продукты–«стимуляторы»: системы документооборота • eToken обеспечивает • Безопасное хранение и использование закрытых ключей • Усиление функций безопасности • Приложения, использующие закрытые ключи • ОС: Windows 2000/XP/2003/Embedded/Vista • Службы каталога: Active Directory, Novell eDirectory • Бизнес-приложения: Outlook/Exchange, Microsoft Office, Lotus Notes/Domino, Oracle eBusiness Suite, mySAP Enterprise Portal • Продукты отечественных разработчиков: системы документооборота (ЭОС); КриптоАРМ (Digt); «Клиент-Банк» (Диасофт); системы сдачи налоговой отчётности

  22. eToken в решениях Cisco • Аутентификация по протоколу 802.1x • Аутентификация на уровне сетевого порта • Аутентификация клиентов при VPN-доступе • Клиентский VPN (IPSec) • Бесклиентский VPN (SSL VPN) • Средства: USB-ключи, смарт-карты, комбинированные ключи с генераторами одноразовых паролей • Методы: закрытый ключ + сертификат, одноразовый пароль • Хранение конфигурационных параметров, закрытых ключей и сертификатов сетевого оборудования • Cisco ASA • Cisco VPN Concentrator 300x • Маршрутизаторы серии Cisco 2800 и 3800 ISR • Коннектор eToken TMS

  23. eToken в решениях IBM • Lotus Notes / Domino • Аутентификация пользователей Lotus Notes • Защита ID-файлов серверов Lotus Domino • Безопасное хранение и использование закрытых ключей сертификатов • Защищённый удаленный доступ к веб-сервисам на базе Lotus Domino • Tivoli Access Manager • Обеспечение надёжной однократной регистрации пользователя в информационной системе (Single Sign-On, SSO) с использованием eToken • Реализация мандатного доступа к информационным ресурсам • Поддержка eToken в IBM WebShpere Application Server и BEA WebLogic Server (IBM Tivoli Access Manager выступает как аутенфикационный прокси) • Единая централизованная стратегия управления доступом

  24. Аутентификация на терминальных клиентах • Строгая аутентификация с использованием закрытого ключа и цифрового сертификата Х.509, установленных на eToken • На терминальных клиентах (регистрация в ОС) • В домене Windows • На сервере при терминальном доступе к Windows Server 2003 • Дополнительные возможности • Блокировка терминальной сессии и терминала • Использование eToken в серверных приложениях

  25. eToken для Microsoft Windows • Решение проблемы «слабых» паролей • Полный отказ от использования паролей • Удобное использование сложных паролей • Усиление функций безопасности операционных систем Microsoft Windows • Замена однофакторной парольной аутентификации на двухфакторную аутентификацию • Безопасное администрирование • Работа с минимальным уровнем привелегий • Простое выполнение операций / запуск приложений, требующих повышенного уровня полномочий • Отсутствие необходимости ввода паролей с клавиатуры • Максимальное полное использование потенциала уже приобретённых продуктов Microsoft • Использование более защищённых протоколов ИБ • Повышается масштабируемость и управляемость

  26. eToken для SSL / TLS • SSL и TLS- основные протоколы защиты Web-трафика • SSL обеспечивает: • Аутентификацию сервера: цифровой сертификат X.509 • Защиту и целостность данных: данные шифруются с использованием симметричных алгоритмов; для контроля целостности используются хэш-фукции • Аутентификацию клиента: цифровой сертификат X.509 • Преимущества использования для SSL-аутентификации цифровых сертификатов X.509, установленных на eToken: Для пользователя • Мобильность • Надёжность • Безопасность Для владельца серверного ресурса • Надёжная аутентификация (напр., для биллинга)

  27. Выбор цифрового сертификата для входа на защищенный Web-портал

  28. SSL-аутентификация с использованием закрытого ключа в памяти eToken

  29. Роль eToken в PKI-системах • Обеспечение безопасности закрытых ключей пользователя на всeх этапах их жизненного цикла: • Генерация • Хранение • Использование • Уничтожение

  30. Проблема управления  Децентрализованное управление • Microsoft • IBM • Cisco • Oracle • Novell • RSA • … • унаследованные приложения Централизованное управление 

  31. Жизненный цикл токена

  32. Основные задачи • Выпуск смарт-карты • Персонализация смарт-карты сотрудником • Обслуживание карты • Добавление возможности доступа к новым приложениям • Отзыв предоставленного ранее доступа • Замена / временная выдача новой карты • Разблокирование PIN-кода • Выход смарт-карты из строя • Отзыв карты

  33. Что такое Aladdin TokenManagement System (TMS)? Система, предназначенная для внедрения, управления и использования средств аутентификации пользователей в масштабах организации. TMS - связующее звено между: – пользователями; – политикой безопасности (организационными правилами); – средствами аутентификации; – приложениями ИБ.

  34. eToken TMS2.0Система управления жизненным циклом • Новая архитектура • Ролевое управление • Новый графический интерфейс • Поддержка eToken NG-FLASH • Поддержка «виртуального токена»

  35. Возможности eToken TMS 2.0 • Единая система управления жизненным циклом для всех средств аутентификации - смарт-карт, USB-ключейи устройств с функционалом OTP • Простая установка, основанная на мастерах (wizards) • Веб-интерфейсы: • TMS Management Center (администрирование) • TMS Self-Service Center (пользователь в локальной сети) • TMS Remote Service Center (удалённый пользователь) • Открытая архитектура • Коннекторыдля интеграции с разнообразными приложениями безопасности • Комплект разработчика (eToken TMS Connector SDK) для разработки собственных коннекторов • Обработка сценариев «утеря eToken» и «выход eToken из строя» • Обработка ситуации, если пользователь, находясь в командировке, потерял или забыл eToken • Безопасное резервное копирование и восстановлениепрофилей пользователя на eToken • Аудит и отчёты • Ролевая модель доступа к eToken TMS • Встроенные механизмы шифрования данных, различные ключи шифрования для разных поддоменов • Не требует выделенного сервера • Полная интеграция с Microsoft Active Directory • Прямая связь с данными пользователя – нет необходимости в репликации • Полная интеграция с правилами и политиками пользователя в AD

  36. Поддерживаемые приложения • Различные приложения безопасности поддерживаются за счет использования специальных коннекторов, входящих в комплект поставки: • eToken Windows Logon (GINA) • eToken OTP Authentication,включая eToken PASS • eToken Single Sign-On (SSO) 3.0 • Microsoft CA – для приложений, использующих PKI-технологии (VPN, SSL, аутентификация в сети) • P12 Importing Tool • Check Point Internal CA • eToken Flash Partition Application

  37. Ролевое управление

  38. Редактор Token Policy Object (TPO) • Установка всех политик TMS • Если политика может быть установлена как Not Defined, то определение берётся из вышестоящей политики • Установки включают: • General Settings/Mail Server Settings • Connectors Settings • eToken Settings (Initialization Settings, Password Settings, eToken Properties • Enrollment Settings • eToken recovery options • Audit Settings • Desktop Agent Settings

  39. Конфигурация Token Policy Object

  40. TPO для конекторов • В качестве примера – коннектор eToken OTP.

  41. TPO – параметры PIN-кода eToken

  42. TMS Management Center Help Desk Быстрые и эффективные help desk – утилиты и операции

  43. Token Inventory Онлайновая инвентаризация токенов User Search by OU

  44. Отчеты и аудит TMS предоставляет гибкие и обширные отчеты

  45. Веб-сайт пользователя - MyeToken Безопасное самообслуживание токена, снятие нагрузки с администратора

  46. Сотрудник в дороге • Сотруднику необходимо сделать очень важную презентацию у заказчика, находящегося за границейи он не может найти etoken • Ему необходимо следующие решения для: • Входа в свой персональный компьютер • Проведения операций по расшифрованию файлов • Получить доступ к электронной почте и другим приложениям • Поддержка - eToken Virtual • Безопасный ключ в программном хранилище, временно активируется до возвращения сотрудника в офис • TMS предлагает несколько методов для использования eToken Virtual в зависимости от требований безопасности и схем использования

  47. Восстановление доступа с использованием виртуального eToken • Когда используется виртуальный eToken? • Решение в случае утери eToken • Особенно полезно в ситуации, когда сотрудник находится вне офиса • Содержимое виртуального токена определяется через eToken TMS (коннекторы): • Например, Windows Logon (профиль или сертификат) • Как виртуальный eToken загружается на клиентскую рабочую станцию? • Вручную пользователем через веб-сайт TMS • Автоматически через TMS Client (возможность устанавливается администратором) • Виртуальный eToken создаётся заново каждый раз, как происходят изменения в оригинальном eToken (выпуск, обновление данных и др.)

  48. Восстановление доступа с использованием виртуального eToken • Срок действия и отзыв виртуального eToken: • При выпуске виртуального eToken определяется период времени, в течение которого он будет действовать (до возвращения пользователя в офис) • По истечении данного периода виртуальный eToken отзывается • По возвращении в офис – выпуск нового аппаратного eToken для пользователя: • Выпуск нового eToken приведёт к автоматическому отзыву виртуального eToken.

  49. Коннекторы TMS • TMS управляет приложениями ИБ с использованием механизмаTMS connectors • Коннектор отвечает за взаимодействие с определённым приложением • Коннекторы добавляются и конфигурируются отдельно для каждого ОП • Коннекторы конфигурируются через настройки TPO. Настройки также могут применяться на уровне пользователя / группы пользователей.

  50. Возможности коннекторов • Коннекторы TMS обеспечивают: • Прямой выпуск или выпуск через веб-интерфейс (т.е. Веб-сайт самообслуживания пользователя)данных приложений (профили, ключи и др.)на eToken • Конфигурация и настройка параметров приложений • Безопасное централизованное хранение пользовательских данных • Отзыв токенов и профилей данных • Резервное копирование и восстановление при отработке сценариев «потерянный eToken»и «вышедший из строя Token» • Предоставление данных для аудита и построения отчётов

More Related