NetIQ Privileged Account Manager

NetIQ Privileged Account Manager

Zarządzanie kontami uprzywilejowanymi w systemach Linux, Unix, Windows i bazach danych

Piotr Szewczuk Konsultant pszewczuk@netiq.com

Zintegrowane rozwiązania NetIQ do zarządzania tożsamością i dostępem

•  NetIQ Identity Manager Family •  NetIQ Access Review •  NetIQ Access Governance Suite •  NetIQ eDirectory™

•  NetIQ Directory and Resource Administrator™

•  NetIQ Group Policy Administrator™

Zarządzenie tożsamością

•  NetIQ Access Manager™ •  NetIQ Secure Login 8 - Enterprise

SSO •  Advanced Authentication

Framework •  NetIQ SocialAccess - Identify Web

Guests •  NetIQ MobileAccess •  NetIQ Cloud Security Service

Zarządzenie dostępem

•  SIEM NetIQ Sentinel™ / Sentinel™ Log Manager

•  NetIQ Sentinel Security Solutions for iSeries Agents

•  NetIQ Privileged Account Manager •  NetIQ Change Guardian™ for MS AD,

MS GPO, MS Windows and Linux Servers

•  Secure Configuration Manager

•  Security Solutions for iSeries

Zarządzenie bezpieczeństwem

Zautomatyzowane i bezpieczne przydzielanie dostępu dla użytkowników biznesowych i administratorów

Egzekwowanie w czasie rzeczywistym praw dostępu dla wszystkich punktów końcowych

Zapewnienie monitorowania, raportowania i przywracania dostępu do zasobów w całym przedsiębiorstwie

serwery fizyczne wirtualne chmura

CZYM JEST ZARZĄDZANIE TOŻSAMOŚCIĄ KONT UPRZYWILEJOWANYCH?

3

NERC CIP

Privacy Mandates HIPAA / HITECH

ISO 27001/2

SOX

Audits

European Data Protection Regulation

PCI DSS

Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością?

“Right to be forgotten”

GLBA

User demands

Governance

NERC CIP

Privacy Mandates HIPAA / HITECH

ISO 27001/2

SOX

Audits

European Data Protection Regulation

PCI DSS

Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością?

“Right to be forgotten”

GLBA

User demands

Governance Gartner Strategic Assumption By 2017, more stringent regulations around control of privileged access will lead to a rise of 40% in fines and penalties imposed by regulatory bodies on organizations with deficient PAM controls that have been breached.

- Market Guide for Privileged Access Management – May 27, 2015

Setting the stage

“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet

“Cost of Target Data Breach Exceeds $200 Million”

– Consumer Banker’s Association

Neiman Marcus Sued Over Customer Credit Card Data Breach

- Bloomberg

“Target says up to 70 million more customers were hit by December data breach”– The Washington Post

“Health care data breaches have hit 30M patients and counting…” – The Washington Post

“Energy company reports $1 billion in charges and a loss” - New York Times

“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek

Setting the stage

“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet

“Cost of Target Data Breach Exceeds $200 Million”

– Consumer Banker’s Association

Neiman Marcus Sued Over Customer Credit Card Data Breach

- Bloomberg

“Target says up to 70 million more customers were hit by December data breach”– The Washington Post

“Health care data breaches have hit 30M patients and counting…” – The Washington Post

“Energy company reports $1 billion in charges and a loss” - New York Times

“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek

Several high-profile breaches and insider attacks have been known to exploit privileged accounts, and this has increased the interest in tools to tighten controls on privileged activity, as well as interest in two-factor authentication for privileged access. While in 2013 the majority of inquiries about PAM tools from Gartner clients were driven by compliance concerns and operational efficiency, a large part is now driven by the desire to mitigate threats of breaches and insider attacks. Gartner expects this trend to continue at least until 2016.

- Market Guide for Privileged Access Management – May 27, 2015

Zarządzanie uprzywilejowaną tożsamością

•  Z jakimi wyzwaniami spotykają się klienci?

‒  Jak monitorować nadużycia uprzywilejowanego dostępu do danych?

‒  Jak administratorzy działów IT wykorzystują uprawnienia kont root lub administrator w systemach Unix, Linux i Windows?

‒ Za dużo osób ma pełne prawa do usług katalogowych np. domeny Active Directory lub eDirectory

‒  Jak monitorować aktywność użytkowników w krytycznych systemach i wykrywać podejrzane zachowania?

KONTA UPRZYWILEJOWANE

9

Tożsamość uprzywilejowana

Tożsamość uprzywilejowana to konta, które pozwalają na: ‒  Dostęp do plików, w tym systemowych ‒  Instalacje i uruchamiane programów ‒  Zmianę konfiguracji i ustawień

systemowych •  Tworzenie / modyfikacje kont

użytkowników lub ich profili Wiele kont w systemach typu „konto usługowe”

Użytkownicy, którym z racji stażu lub funkcji zostały przydzielone uprawnienia znacznie większe niż w przypadku większości użytkowników

Konto uprzywilejowane

Proces uzyskania uprzywilejowanych uprawnień

12

NETIQ PRIVILEGED ACCOUNT MANAGER

13

Czym jest NetIQ PAM

•  Centralne narzędzie do kontrolowanego udostępniania i monitorowania kont uprzywilejowanych

•  Umożliwia nagrywanie sesji, tworzenie reguł, określanie, jakie polecenia można uruchamiać

•  Zarządzanie poprzez reguły i audyt działań

•  Kontrola ryzyka

•  Elementy składowe NetIQ PAM: Framework Manager, Framework Console, Framework Agent, Enterprise Credential Vault

•  Obsługa następujących systemów operacyjnych: Unix, Linux i Windows, baz danych i aplikacji

•  W Linuksie PAM (Pluggable Authentication Modules) to nie to samo co NetIQ PAM (Privileged User Manager)

Magazyn danych uwierzytelniających Enterprise Credential Vault

•  Bezpieczny zaszyfrowany „sejf” do przechowywania poświadczeń (login i hasło), kluczy itp.

•  Zamawianie danych uwierzytelniających dla niestandardowych przedziałów czasu

•  Gotowe „tuż po instalacji” przepływy akceptacyjne i powiadomienia

•  Obsługa uprzywilejowanych uprawnień: –  Aplikacji (np. SAP System)

–  Baz danych (np. Oracle DBMS)

–  Usług typu Cloud (np. Salesforce.com)

16

Modularna architektura

Przepływ informacji w NetIQ PAM

17

Monitorowanie baz danych Oracle

•  NetIQ PAM został przetestowany do współpracy z bazami danych Oracle 11.x i Oracle 12.x

•  Wspierani klienci: SQL Developer, SQL Plus, DbVisualizer i Toad

Monitorowanie baz danych Oracle

19

Portal Użytkownika

•  Widok katalogu z autoryzowanymi kontami uprzywilejowanymi •  Zarządzanie swoimi żądaniami i potwierdzeniami

Panel administracyjny

•  Zarządzanie żądaniami dostępu i autoryzacji •  Kontrola wymagań dostępu, czasu ich trwania i rodzaju •  Odnajdywanie: kto miał dostęp, gdzie, kiedy i dlaczego

Dostęp „na żądanie”

Zapewnia bezpieczny dostęp do zarządzania systemem w sytuacji „losowej”

Szybkie wdrażanie

•  Duży katalog szablonów, zasad i skryptów •  Centralny katalog zasad, brak konieczności

modyfikacji podłączonych systemów •  Umożliwia szybkie wdrożenie nowych zasad

i powrót do stanu przed ich wdrożeniem

Współpraca NetIQ IDM z NetIQ Privileged Account Manager

Sterownik, który pozwala na szybki przydział zasobów

Automatyzacja przypisywania profili w PAM

Dostarcza przepływy pracy do kontroli, kto ma dostęp, do czego i kiedy dostęp został przyznany

Zarządzanie hasłami i ich synchronizacja pomiędzy systemami

Wspólny interfejs dla żądań dostępu, zatwierdzeń i zarządzania przepływem pracy

Konkurencja - CyberArk

S.NO Features CyberArk NetIQ PAM 1. Digital Vault 2. Shared policy management 3. Complete solution for

1.  Operating Systems 2.  Network Devices 3.  Databases 4.  Applications

4. Integration with IDM Partner with IDM vendors

NetIQ IDM

5. Integration with SIEM tool Partner with SIEM Vendors

NetIQ Sentinel

6. Emergency Access 7. Multifactor Authentication Partners NetIQ NAAF 8 Searchable Windows

session logs, recording

Konkurencja - Dell

S.NO Features Dell NetIQ PAM 1. Privilege Password Safe 2. Privileged Elevation in

Windows and Unix

Partial 3. Privileged Session

Management 4. Privileged Session

Recording 5. Shared policy management

Wdrożenie NetIQ PAM - wymagania

•  Konsola administracyjna wymaga przeglądarki internetowej z obsługą Adobe Flash

•  Otwarte porty sieciowe: 443 (manager) i 29120 (agenci i manager)

•  Serwer musi być „widoczny” dla klientów (DNS/hosts)

•  Czas musi być zsynchronizowany (ntp)