View
300
Download
1
Category
Preview:
Citation preview
Vahvojen tunnusten hallinta
Pekka Lindqvist
pekka.lindqvist@netiq.com
© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.2
NERC CIP
Privacy Mandates HIPAA / HITECH
ISO 27001/2
SOX
Audits
European Data Protection Regulation
PCI DSS
Miksi miettiä vahvojen tunnusten hallintaa?
“Right to be forgotten”
GLBA
User demands
Governance
© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.3
NERC CIP
Privacy Mandates HIPAA / HITECH
ISO 27001/2
SOX
Audits
European Data Protection Regulation
PCI DSS
Miksi miettiä vahvojen tunnusten hallintaa?
“Right to be forgotten”
GLBA
User demands
GovernanceGartner Strategic AssumptionBy 2017, more stringent regulations around control of privileged access will lead to a rise of 40% infines and penalties imposed by regulatory bodies on organizations with deficient PAM controls thathave been breached.
- Market Guide for Privileged Access Management – May 27, 2015
© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.4
Setting the stage
“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet
“Cost of Target Data Breach Exceeds $200 Million”
– Consumer Banker’s Association
Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg
“Target says up to 70 million more customers were hit by December data breach”– The Washington Post
“Health care data breaches have hit 30M patients and counting…” – The Washington Post
“Energy company reports $1 billion in charges and a loss” - New York Times
“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek
© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.5
Setting the stage
“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet
“Cost of Target Data Breach Exceeds $200 Million”
– Consumer Banker’s Association
Neiman Marcus Sued Over Customer Credit Card Data Breach - Bloomberg
“Target says up to 70 million more customers were hit by December data breach”– The Washington Post
“Health care data breaches have hit 30M patients and counting…” – The Washington Post
“Energy company reports $1 billion in charges and a loss” - New York Times
“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek
Several high-profile breaches and insider attacks have been known to exploit privileged accounts,and this has increased the interest in tools to tighten controls on privileged activity, as well asinterest in two-factor authentication for privileged access.
While in 2013 the majority of inquiriesabout PAM tools from Gartner clients were driven by compliance concerns and operationalefficiency, a large part is now driven by the desire to mitigate threats of breaches and insider attacks. Gartner expects this trend to continue at least until 2016.
- Market Guide for Privileged Access Management – May 27, 2015
© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.6
Vahvojen tunnusten hallinta
Vahvat tunnukset on tunnuksia, joilla on suuret oikeudet:‒ Tiedostoihin‒ Ohjelmien asennukseen ja ajoon‒ Asetusten ja määritysten muutoksiin
– Uusien käyttäjien/profiilien luonti ja käyttäjien oikeuksien muuttaminen
Monet tunnuksista ovat konetilejä
Käyttäjät, joille aseman tai työsuhteen keston perusteella on myönnetty/ kertynyt selkeästi normaalikäyttäjää vahvemmat oikeudet
© 2014 NetIQ Corporation. All rights reserved.7
Vahvoja tunnuksia organisaatioissa
SaaSPaaSIaaS
Tietokannat Sovellukset Virtuaali-palvelimet
Fyysiset palvelimet
Oma konesali
IT-hen-kilöstö
Kehittäjät Liiketoiminta-käyttäjät
Ulkoistettu konesali
Ulkoistettu IT
Liiketoiminta
Verkkolaittet
© 2014 NetIQ Corporation. All rights reserved.8
Vahvojen tunnusten hallinta
Jaettujen tunnusten
salasanojen hallinta
Pääkäyttäjien oikeuksien ja salasanojen hallinta
Monitorointi
Autentikointi
IGA
* IGA – Identiteetin ja pääsyn hallinnnan järjestelmät
Lähde: Gartner
© 2014 NetIQ Corporation. All rights reserved.9
Jaettujen tunnusten salasanojen hallinta
• Salasanaholvi jaettujen tunnusten salasanoille
• Jaetutu tilit voivat olla käyttöjärjestelmä-, tietokanta- tai sovellustilejä. (root, Järjestelmävalvoja Administrator, SYS,ora_dba, sa)
• Tukee salasanojen ulos- ja sisäänkuittausta
• Automatisoitu kirjautuminen ja session luonti
• Jaettujen salasanojen automaattinen uudelleenasetus
• Auditointi
© 2014 NetIQ Corporation. All rights reserved.10
Pääkäyttäjien oikeuksien ja salasanojen hallinta
• Mahdollistaa kirjautumisen henkilökohtaisella tunnuksella ja myöntää pääsyn vahvoilla oikeuksilla, joita on mahdollisesti rajattu
• Oikeuksien käytön ajankohdan rajoittaminen
• Perustuu agenttiin tai hyppykoneeseen
• Session hallinta
• Hienojakoinen monitorointi ja raportointi
© 2014 NetIQ Corporation. All rights reserved.11
Monitorointi
• Session monitorointi, näppäilyjen monitorointi, näyttöjen nauhoitus
• Hakutoiminto tietueisiin, raportit
• Tietokanta toimien monitorointi
• Tietoturvainformaation hallinta (SIEM)
© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.12
Vahvojen tunnusten hallinta
• Mikä näistä on suurin ongelma?‒ Tiedostojen eheys tai vahvojen oikeuksien luvaton
käyttö tietojen tarkasteluun
‒ Pääkäyttäjien toiminta Root- ja Järjestelmävalvoja-tunnusten kautta UNIX-, Linux- ja/tai Windows-ympäristöissä
‒ Liian monella henkilöllä on Windows-domainin täydet Järjestelmävalvojan oikeudet Active Directoryyn
‒ Kriittisten järjestelmien jatkuva seuranta ja epäilyttävien toimien havaitseminen
© 2015 NetIQ Corporation and its affiliates. All Rights Reserved.13
Vahvojen tunnusten hallinta
• NetIQ/Micro Focus tarjoaa erilaisia vaihtoehtoja vahvojen tunnusten hallintaan.
– Identity Manager
– Privileged Account Manager
– Change Guardian
– Directory Resource Administrator
– Identity Tracking
• Ennen ratkaisumallin valintaa kannattaa selvittää kaikkien osapuolien vaatimukset ratkaisulle
© 2014 NetIQ Corporation. All rights reserved.14
Privileged Account Manager
• Perustuu Privileged User Manager -tuotteen pohjalle
• Unix-, Linux- ja Windows-ympäristöjen sessioiden hallinta
• Sessioiden nauhoitus ja auditoitavuus
• Toimenpiteiden hyväksyntä
• Selainpohjainen konsoli
• Sääntöjen hallinta, käyttäjä, laite, aika …
• Vikasietoinen arkkitehtuuri
• Toiminta agentilla ja hyppykoneella
© 2014 NetIQ Corporation. All rights reserved.15
Privileged Account Manager
• Salasanaholvi, josta salaisuudet voidaan kuitata käyttöön
• Tietokantojen käyttö vahvoilla tunnuksilla (Oracle, MS SQL)
• Hätäpääsy (normaalista poikkeava tilanne)
• Auditointitietojen siirto CSV-muodossa
• REST-rajapinnan tuki ylläpitoon ja tunnusten hallintaan
© 2014 NetIQ Corporation. All rights reserved.16
Salasanaholvi
SaaSPaaSIaaS
DB Sovellukset Virtuaalipalvelimet
Säännöt
Esimies
Käyttäjä
Salasanan uloskuittaus ja session aloitus
Authorization workflow
Auditointilokit ja -raportit
Salasanaholvi
© 2014 NetIQ Corporation. All rights reserved.20
Salasanan uloskuittaus - pyyntö
© 2014 NetIQ Corporation. All rights reserved.21
Salasanan uloskuittaus
© 2014 NetIQ Corporation. All rights reserved.26
Hätäpääsy – Uusi pyyntö
© 2014 NetIQ Corporation. All rights reserved.30
Yhteenveto
• Jaettujen tilien käytössä on riskejä
• Ongelma voidaan ratkaista monella tavalla
• Valitse omaan ympäristöön ja haasteeseen parhaiten sopiva työkalu
© 2014 NetIQ Corporation. All rights reserved.31
Yhteenveto
Toimeenpane pääsyn hallinta
Monitoroi toimintaa
Hallitseoikeuksia
© 2014 NetIQ Corporation. All rights reserved.32
© 2014 NetIQ Corporation. All rights reserved.32
+1 713.548.1700 (Worldwide)888.323.6768 (Toll-free)info@netiq.comNetIQ.com
Worldwide Headquarters1233 West Loop South Suite 810 Houston, TX 77027 USA
http://community.netiq.com
This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time.
Copyright © 2014 NetIQ Corporation. All rights reserved.
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States and other countries.
Recommended