210 likes | 469 Views
Identity and Access Governance na przyk ł adzie rozwi ą za ń Sail P oint. Maciej Bukowski, CompFort Meridian. Agenda. Wstęp Identity and Access Governance (IAG) Zarządzanie dostępami w Cloud Rozwój modułów SailPoint. Strategiczne partnerstwo. Innowacja - reakcja na nowe potrzeby klientów.
E N D
Identity and Access Governancena przykładzie rozwiązań SailPoint Maciej Bukowski, CompFort Meridian
Agenda • Wstęp • Identity and Access Governance (IAG) • Zarządzanie dostępami w Cloud • Rozwój modułów SailPoint
Strategiczne partnerstwo Innowacja - reakcja na nowe potrzeby klientów Najlepszy w swojej klasie dostawca Identity & Access Governance Najlepszy w swojej klasie dostawca BSM i Identity Management Wspólne dostarczanie systemu nowej generacji Identity Management & Access Governance aware BSM
Historia ewolucji IdM i IAG Identity Management i Identity & Access Governance Prywatność i nadzórfinansów • Zarządzanie ryzykiem • i zgodnością z politykami Internet Przetwarzanie rozproszone • Automatyzacja procesów • Administracja kont 1990’s 2000’s 2010’s
Zmiana priorytetów dla IdM • Dzisiaj IdM to nie tylko kwestia technologii – to potrzeba biznesu • Potrzeby napędzane są przez biznes, audyt lub ryzyko • Biznes oczekuje aktywnego udziału w procesach zarządzania cyklem życia tożsamości • Szeroka widoczność systemów jest wymagana do spełnienia wymogów bezpieczeństwa i zgodności z regulacjami • Głębszy wgląd w szerszy zestaw udostępnianych aplikacji • Biznesowa interpretacja uprawnień IT • Ewolucja od ręcznego wykrywania do prewencyjnego zarządzania ryzykiem • Potrzeba zdolności do identyfikacji istniejących problemów jak również zapobieganie powstawaniu nowych
Identity Access Governance As a security and risk leader, if you only have one dollar to spend on identity management, spend it on Identity Access Governance Andras Cser, Forrester August 2011
Idea IAG • Czy wiemy kto i do czego posiada dzisiaj dostępy ? • Czy wiemy kto i do czego powinien posiadać dzisiaj dostępy ? • Jakie metody weryfikacji są wykorzystywane do zapewnienia obu powyższych ? A gdy już posiadamy rozwiązanie IdM … Jaki procent z wykorzystywanych systemów jest aktualnie zintegrowany i podlega automatycznemu monitorowaniu ? IdM 10%-----------------------------90% AIG
Różne rodzaje zagrożeń Brak informacji z biznesu o zmianach dla tożsamości wpływa na powstawanie zagrożeń ! Konta osierocone Gromadzenie uprawnień • Braki lub opóźnienia przy odbieraniu uprawnień • Słaba czytelność uprawnień • Skutki redukcji zatrudnienia • Kumulacja uprawnień • „Toksyczne” uprawnienia • Skutki nadawania uprawnień przez klonowanie ról Zabezpieczaneaktywa $$$$ Konta uprzywilejowane Konta oszustów • Konta do realizacji nadużyć • Nie wykryte dostępy i aktywności • Złodzieje danych, nadużycia • Użytkownicyz “kluczami do raju” • Słaba czytelność uprawnień • Skutki przy współdzieleniu haseł
Potrzeba biznesowego narzędzia • Wiele organizacji dostrzega „chaos” • Osobne silosy danych o tożsamościach • Brak jednoznacznego powiązania kont z tożsamościami • Występowanie kont zduplikowanych i „duchów” • Nieoznaczone konta systemowe i uprzywilejowane • Centralny rejestr danych o wszystkich systemach jest kluczem do właściwej kontroli zgodności
Metodologia IAG oraz IdM IAG Uruchomienie automatycznego Provisioning’u do systemów docelowych Automatyzacja Provisioning Krok 4 Wnioski o dostępy,usługi self-service np.password management i inne procesy biznesowe Wdrożenie procesów biznesowych Krok 3 Czas wdrożenia Definicja i implementacja modelu zgodności oraz kontroli (role, polityki bezpieczeństwa, ryzyko) Budowa podstawy do badania kontroli zgodności Krok 2 Szybka weryfikacja bieżącej zgodności Zrozumienie aktualnego stanu dostępów i określenie linii bazowej Krok 1 IdM Ilość zintegrowanych systemów
SailPoint Governance Platform • Repozytorium Tożsamości • Scentralizowane dane o Tożsamości stanowią podstawę do kontroli zgodności oraz zarządzania cyklem życia • Role Management • Identyfikowanie, modelowanie i zarządzanie rolami w celu powiązania dostępów z pełnionymi funkcjami w organizacji • Policy Management • Definiowanie, wykrywanie oraz kontrola polityk bezpieczeństwa przy wnioskowaniu o uprawnienia, recertyfikacji oraz w procesie automatycznego przyznawania uprawnień • Risk Management • Strategiczne priorytetyzowanie aktywności pracowników przez modelowanie ryzyk dla użytkowników oraz wykorzystywanych systemów • Provisioning Broker • Rozbijanie wniosków o zmianę na indywidualne składniki oraz koordynacja działań w zakresie ręcznej lub automatycznej zmiany na systemach Governance Model
IIQ Projektowany dla biznesu Interfejs nowej generacji w IdentityIQ przyśpiesza samodzielne poznawanie narzędzia i minimalizuje wymagane szkolenia, maksymalizując przy tym efektywność pracy użytkownika Spójny interfejs dla wszystkich procesów biznesowych (wnioski, potwierdzenia, przeglądy uprawnień, raporty/analiza) Indywidualne panele informacyjne oraz układ okien Biznesowy opis ról i uprawnień nadaje sens technicznym danym o uprawnieniach Bogata pomoc kontekstowa pomaga w podejmowaniu skutecznych decyzji
IdentityIQ Intelligence • Przyjazny panel użytkownika • Poprawia przejrzystość krytycznych danych dla zarządzania Tożsamością • Dostarcza przyjazne wykresy i raporty • Dostarcza dane w przyjaznym dla biznesu formacie • Gotowe raporty • Obejmuje obszerną listę predefiniowanych raportów do badania zgodności i zarządzania cyklem życia Tożsamości • Zapewnia personalizację konfiguracji raportów • Advanced Analytics • Dostarcza bogate możliwości samodzielnej analizy danych o Tożsamościach • Umożliwia zapisywanie zapytań w formie raportów do późniejszego wykorzystania
IdentityIQ Compliance Manager • Przyjazne dla biznesu przeglądy uprawnień i recertyfikacja • Szybka konfiguracja recertyfikacji dostępów metodą „wyklikania” • Usprawnienie procesów recertyfikacji dostępów poprzez automatyczne generowanie i dystrybucję raportów • Elastyczne rodzaje recenzentów (np. kierownik, właściciel aplikacji) oraz cykli (np. okresowe, zdarzeniowe) • Prezentacja tajemniczych danych IT w czytelny i zrozumiały dla biznesu sposób • Automatyczne wymuszanie zasad • Aktywne skanowanie, wykrywanie oraz informowanie użytkowników o naruszeniu biznesowych polityk bezpieczeństwa • Prezentuje naruszenie polityk w przeglądach uprawnień, portalu i raportach • Optymalizacja ryzyka • Wykorzystanie punktacji ryzyka do pomiaru i priorytetyzacji działań kontroli zgodności z politykami bezpieczeństwa Access Certifications Policy Enforcement
IdentityIQ Lifecycle Manager • Samodzielne wnioski o dostępy i zarządzanie użytkownikami • Przyjazny dla użytkownika biznesowego portal do wnioskowania o zmianę dostępów i Zarządzanie Tożsamością • Interfejs typu “Shopping cart” zapewnia wygodny i intuicyjny sposób wnioskowania o role i uprawnienia • Panel do wnioskowania zapewnia prezentację czytelnego statusu realizowanych i zakończonych wniosków. • Automatyczne zarządzanie cyklem życia Tożsamości • Centralna definicja i zarządzanie cyklicznymi zdarzeniami (np. zatrudnienie, zmiana departamentu, zwolnienie) • Automatyczne wyzwalacze inicjują zmiany dostępów i przywilejów • Zintegrowane polityki i procesy Workflow • Centralne administrowanie politykami konsekwentnie egzekwują biznesowe polityki w całym cyklu życia Tożsamości w organizacji • Konfigurowalny Workflow zapewnia zmianę dostępów i prawidłową realizację procesu zmiany
IdentityIQ Provisioning Broker Compliance Manager LifecycleManager Governance Platform Provisioning Broker BMC Remedy Service Desk BMC ESS • Elastyczne formy realizacji zmiany dostępów • Zapewnia zmianę różnymi metodami • Dekomponuje zmianę na indywidualne komponenty • Konsekwentnie wymusza przestrzeganie polityki bezpieczeństwa • Wbudowany mechanizm integracji • Dostarcza uniwersalną warstwę dla różnych metod zmiany dostępów • Śledzi zmiany od momentu ich rozpoczęcia do zakończenia Collector Integration Manual / IT Admins
Modelowanie ról • TopDown - Analiza populacji i automatyczne wykrywanie • Groupy Robocze/Reguły przypisywania/Role Biznesowe • Bottom Up - Wzorce uprawnień, Grupowanie i Analiza, Korelacja • Definiowanie uprawnień, Profilowanie Technicznych Ról IT
Modelowanie ryzyka • Nowatorska technologia pomiaru ryzyka • Podobna do pomiaru ryzyka kredytowego • Definiowalne parametry oraz wagi • Składniki ryzyka dla tożsamości • Role i uprawnienia o wysokim ryzyku • Złamanie polityk bezpieczeństwa • Pominięta recertyfikacja • Nieodebrane uprawnienia • Dozwolone wyjątki • Składniki ryzyka dla systemów i aplikacji • Osierocone konta • Uprzywilejowane konta • Zdublowane konta • Złamanie polityki bezpieczeństwa Obszary ryzyka tożsamości w organizacji w podziale na departamenty, lokalizację, itp.
Zarządzanie ryzykiem Uwzględnienie ryzyka pozwala organizacji skoncentrowanie na istotnej grupie pracowników Profil o niskim ryzyku Profil o średnim ryzyku Profil o wysokim ryzyku • Uprawnienia tylko do odczytu • Brak zmian od ostatniego przeglądu • Brak wyjątków w politykach • Brak dostępu do krytycznych aplikacji • Poziom ryzyka <300 • Zmiany lub nowe konta • Łagodne wyjątki w politykach • Zatwierdzone dostępy do aplikacji o wysokim ryzyku • 300< poziom ryzyka <600 • Osierocone konta • Uprzywilejowane konta • Złamane polityki • Brak ostatniej recertyfikacji • Trwające procesy odbioru uprawnień • Niezatwierdzone dostępy do aplikacji o wysokim ryzyku • Poziom ryzyka>=600 Krótki okres recertyfikacji Standardowy okres recertyfikacji Rzadki okres recertyfikacji
Procesy IAG w Cloud • Self-Service • Wnioski • Zmiana haseł • Kontrola kont • Audyt i kontrola zmian • Odbiory uprawnień • Naruszenia polityki • Zarządzanie zmianą • Zmiany danych tożsamości • System HR • Katalogi LDAP • Baza kontraktorów • Konektor SaaS dla IAG • Wykorzystanie SCIM API (Simple Cloud Identity Management) • Powiązanie kont i tożsamości • Skatalogowanie uprawnień • Modelowanie – Widok - Kontrola • Proxy Agent dla IaaS • Agent w środowisku Cloud • Bezpieczne połączenie z IAG • Wykrywanie repozytorium użytkowników • Powiązanie kont i tożsamości • Skatalogowanie uprawnień • Modelowanie – Widok - Kontrola