View
150
Download
1
Category
Preview:
Citation preview
Total Privileged Account Manager
Рудницкий Иван, БАКОТЕК
Инженер по технической поддержке проектов
2
Задача: Управление привилегированными учетными записями • Привилегированные учетные записи существуют везде
Applications
Network Devices
Virtual Platforms
Operating Systems
Databases
3
Задача: Управление привилегированными учетными записями • Привилегированные учетные записи существуют везде
• Службе IT безопасности необходимо вести аудит их использования
ЛогированиеЗапись сессийАудит, контроль
4
Dell TPAM
Privileged Passwords (PPM) Privileged Sessions (PSM)
Privileged Password Management
Privileged SessionManagement
ApplicationPassword
Management
Privileged CommandManagement
5
Total Privilege Access Management (TPAM)
– Комплект продуктов созданный для решения задач по контролю и аудиту привилегированного доступа
– Модульная система дает гибкость в построении решения
– Базовые модули для решения основных задач
– Добавление / изменение дополнительных модулей в будущем
– Поставляется в виде специализированного программно-аппаратного комплекса
6
Privileged Password Manager
Проблемы и задачи
• Супер-пользователи есть в всех IT системах– ОС, сетевые устройства, базы данных,
приложения и пр.
• Они не ассоциируются с определенным пользователем – В отличии от пользовательских учетных
записей
• Супер-пользователи имеют все возможности ДОСТУПА и КОНТРОЛЯ– Полный доступ в систему– Конфигурация внутреннего аудита системы
• Требования по соответствию стандартов– Учетные записи с привилегированными
доступом находятся под пристальным вниманием аудитора
7
Управление привилегированными паролями
Задачи компании TPAM/PPM модуль
Безопасность Встроенная система безопасности • Пароли шифруются • Шифрование диска (AES 256 )• Встроенный аппаратный брандмауэр• ОС урезанная и заточенная под задачу
Контроль изменений Широкие возможности по контролю• По времени (каждые Х дней)• После последнего использования• Форсирование изменений
Интеграция Интеграция с другими системами• Поддержка сильной аутентификации• Active Directory• Ticketing systems
8
Управление привилегированными паролями
Задачи компании TPAM/PPM модуль
Эффективность TPAM Workflow• Веб-консоль• Ролевое управление• Поддержка распределения
полномочий• Уведомления по email• Поддержка мобильных устройств• CLI/API
Простота внедрения и интеграции Установка и настройка за 1 деньГотовое устройствоБезагентная архитектура Интеграция в ADИмпорт данных в CSVВнутренний аудит, SNMP, Syslog
9
Управление привилегированными паролями
Задачи компании TPAM/PPM модуль
Индивидуальная ответственность Реализовано через PPM модуль• Возможность ограничения на
выдачу пароля более чем 1 человеку на 1 момент времени
• Изменение после последнего использования гарантирует уникальный пароль на каждый запрос
• Возможность создания двойной авторизации
10
Workflow – запрос пароля
Отправка запроса
на пароль
Отбор и выбор учетной записи
Enter Date/Time/Duration/Reason Code/Request Reason as
needed
Ticket System
Validation. Mandatory or Optional
Получение пароля
Ввод даты, времени, срока и причины запроса
Опциональное поле для ticketingсистемы.
11
Account Auto Discovery
12
Application Password Management
Проблемы и задачи
• Встроенные пароли в код приложений представляют угрозу безопасности– Учетные данные и пароли известны
программистам
– Back-door учетные записи
• Различные задачи для различных приложений– Постоянное подключение A2A
– Транзакционные подключения А2А
13
Управление паролями приложений
Задачи компании TPAM/PPM модуль
Замена встроенных паролей Поддержка API/CLI C/C++Java.NETPerl
Поддержка “критических” приложений с большим кол-вом транзакций
PAR кэшДополнительный модульКэш-устройство или VMПоддержка централизованной или распределенной архитектурыОбработка более 500 запросов в секунду
14
Privileged Session Manager
Проблемы и задачи
• Соответствие стандартам требует информации о том что было сделано во время сессии:
– Удаленные сессии вендоров
– Аутсорсинговые компании
– Предоставление доступа разработчикам в продуктивную среду
– Доступ пользователей и администраторов к конфиденциальным ресурсам или приложениям
• Доступ к определенным системам требует максимального аудита и контроля
• Необходимость ограничения прямого доступа к определенным ресурсам
15
Управление привилегированными сессиями
Задачи компании TPAM/PPM модуль
Гранулярный контроль доступа Контроль пользователя• Ограничение просмотра ресурсов
в зависимости от роли
Контроль подключений Полный контроль подключений• Двойной контроль на
авторизацию• Ограничение по времени• Уведомление о превышении
времени• Возможности обрыва сессии
Аудит сессии Аудит сессии• Аудит и логирование всех
запросов на соединение• Полный просмотр сессии и ее
видеозапись
16
Как это работает
17
Workflow – запрос сессии
Запрос на соединени
е
Выбор системы и учетной записи
Ввод даты, времени, продолжительности и
причины
Опциональное поле для ticketing
системы.
Как только запрос подтвержден -подключение
18
Workflow – запрос сессии
• Запрос может быть подтвержден вручную или автоматически
• Каждая активность в системе записывается
• Если пользователь превышает лимит времени, система отправляет уведомление
• Активная сессия может быть отключена вручную
Прокси-соединение установлено к подключаемой
системе под выбранной учетной записью
Пользователь подключается и выполняет необходимую работу
19
Workflow – воспроизведение сессий
Записи сессий хранятся локально или могут автоматически
архивироваться. Можно делать поиск по сессиям по дате, системе,
учетной записи, пользователю, номеру запроса и пр.
Выбранная сессия воспроизводится в режиме
видеозаписи.
20
Workflow – воспроизведение сессий
Вся активность в сессии записывается и может быть
воспроизведена. Запись хранится в очень сжатом
формате (не AVI).
Контроль просмотра записи сессии.
21
Типы построения конфигураций
• High Availability
• Распределенный
Вопросы?
Recommended