Présentation de la société• Fondée en 2001
• Solutions de sécurité axées sur la conformité pour...– la gestion de mots de passe de compte partagé/compte de service (SAPM*)– l'accès distant des fournisseurs– l'accès des développeurs aux opérations de production– la gestion des privilèges de superutilisateur (SUPM*)
• Solutions éprouvées déployées dans TOUS les segments du marché– Plus de 350 installations dans le monde comprenant…
• 4 des 10 premières entreprises du classement Forbes• 3 des 5 principaux fournisseurs de services financiers• Des entreprises leader du secteur de la fabrication, des finances, des services, des
télécommunications, de l'industrie pharmaceutique/chimique, du domaine de la santé, et bien d'autres...
• Société non cotée à but lucratif et à croissance interne– Siège social à Delaware– Centre de R&D à Raleigh (Caroline du Nord)– Assistance eDMZ 24h/24 et 7j./7, 365 jours/an– Partenariats à l'échelle mondiale
* Termes et marchés définis par Gartner
REFERENCES
Présentation de TPAM
• Suite TPAM : Total Privileged Access Management– Cette suite produit est conçue en réponse aux problèmes de sécurité et de conformité
associés aux utilisateurs et aux accès privilégiés.– Sa conception modulaire garantit une grande souplesse d'évolutivité
• Démarrez avec les modules de base requis• Ajoutez des modules supplémentaires en fonction de l'évolution de vos besoins
Présentation de TPAM
• TPAM est basé soit sur Password Auto Repository™ (PAR), soit sur eGuardPost™ en guise de module de base.
• Chacune de ces plates-formes vous permet d'activer des modules supplémentaires le cas échéant.– Achetez ce dont vous avez besoin aujourd'hui.– Complétez votre système au fur et à mesure de vos besoins à venir.
Gestion de mots de passe privilégiés
• Les comptes privilégiés sont généralement UNIVERSELS
• Contrairement aux comptes « utilisateur », ils ne font pas l'objet d'une association individuelle – Ils sont fréquemment dotés de mots de passe par défaut connus
• Les comptes privilégiés existent dans tout système, périphérique réseau, base de données, etc.
• Les comptes privilégiés jouissent d'un ACCÈS et d'un CONTRÔLE étendus– Souvent, ils bénéficient même d'un accès et d'un contrôle total sur le système– Commandes d'audit et de configuration
• PROBLÈMES DE CONTRÔLE réglementaire et de conformité– Zone de contrôle croissante de la gestion de compte privilégié/partagé/de
service/d'application– Ce qui était acceptable hier n'est PLUS admis aujourd'hui
Problèmes et défis
Gestion de mots de passe privilégiés (PPM)
Exigence de l'entreprise
• Sécurité
• Double contrôle de version• Contrôle des changements
• Intégration à l'entreprise
Suite TPAM/Module PPM
• Sécurité complète incorporée– Mot de passe crypté via RSA Bsafe– Cryptage de disque complet via Guardian
Edge– Pare-feu matériel incorporé– Module dédié
• Contrôles de version doubles ou plus• Contrôle de changement configurable
complet– Périodique (tous les X jours)– En fonction de la dernière utilisation– Changement forcé
• Intégration approfondie avec– de solides solutions d'authentification – Active Directory– des systèmes de billetterie
Gestion de mots de passe privilégiés (PPM)
Exigence de l'entreprise
• Flux de travail efficace
• Facilité de déploiement et d'intégration
Suite TPAM/Module PPM• Avantages du flux de travail TPAM
– Accès client basé sur le Web– Basé sur la fonction– Double contrôle d'autorisation– Notifications par courrier électronique– Bonne prise en charge des écrans petit
format– Interface CLI/API robuste
• Installation et configuration en un jour– Module ouvert– Déploiement sans client/agent– Intégration étroite avec Active
Directory– Importation au format .csv– Interface API/CLI complète– Audit, SNMP, Syslog
Exemple de prise en charge d'écran petit format
Gestion des mots de passe d'application (APM)
• Les mots de passe incorporés/intégrés dans le code constituent souvent une forme d'exposition « cachée »– Comptes/mots de passe connus des programmeurs– Comptes dérobés
• Les besoins des applications peuvent varier fortement– Connectivité continue entre applications– Connectivité de transaction entre applications
Problèmes et défis
Gestion des mots de passe d'application (APM)
Exigence de l'entreprise
• Remplacement des mots de passe incorporés
• Prise en charge des applications ayant des transactions à « fortes exigences »
Suite TPAM/Module APM
• Interface API/CLI complète – C/C++– Java– .NET– Perl
• Cache PAR– Fonctionnalité additionnelle– Disponible sous forme de module de
cache de mémoire virtuelle– Prise en charge des besoins
centralisés ou distribués– Plus de 1000 requêtes/minute
Gestion de session privilégiée (PSM)
• Les exigences de conformité impliquent souvent de savoir ce qui a été fait au cours de certains accès privilégiés ou sensibles. Vous avez besoin de savoir ce qui a été fait par :– les fournisseurs distants ?– les fournisseurs de services externalisés ?– les développeurs ayant accès aux systèmes de production ?– les activités d'alerte incendie ?– les utilisateurs ou administrateurs ayant accès à des ressources ou des applications
sensibles (serveurs financiers/Sox, RH, etc.) ?
• Certains accès exigent un contrôle accru
• Besoin de restriction de l'accès direct aux ressources
Problèmes et défis
Gestion de session privilégiée (PSM)
Exigence de l'entreprise
• Contrôle d'accès de niveau fin
• Contrôles de connexion
• Audit de session
Suite TPAM/Module PSM
• Point de contrôle utilisateur– Limite l'affichage des ressources en se
basant sur la fonction
• Contrôle total des connexions– Double contrôle d'autorisation– Limites de durée de session– Alerte de notification de
dépassement de session– Options manuelles de clôture de
session• Audit de session inédit
– Audit/consignation de toutes les requêtes de connexion, approbations
– Enregistrement de session COMPLET avec relecture différée DVR
Gestion de session privilégiée (PSM)
Exigence de l'entreprise
• Audit approfondi
Suite TPAM/Module PSM
• Audit de session inédit– Audit/consignation de toutes les
requêtes de connexion, approbations– Enregistrement de session COMPLET
avec relecture différée DVR
Commande de lecture différée type DVR
Enregistrement de session complet etrelecture de TOUTES les activités
Gestion de commande privilégiée (PCM)
• Forte exigence de conformité pour restreindre l'accès privilégié de superutilisateur– Besoin d'accorder des droits de superutilisateur sans donner un contrôle total
• Besoin de restreindre les opérations accessibles aux fournisseurs et prestataires de services distants
• Réduction de personnel générant un besoin de « faire plus avec moins »– Nécessité de déléguer certaines fonctions privilégiées sans accorder un contrôle total
privilégié
• Besoin de prise en charge croisée des plates-formes Unix et Windows
Problèmes et défis
Gestion de commande privilégiée (PCM)
Exigence de l'entreprise
• Gestion des privilèges de superutilisateur (SUPM)
• Prise en charge d'environnements multi-plates-formes
Suite TPAM/Module PCM
• Avantages de SUPM– Contrôles d'accès au niveau des
commandes– Pas de possibilité d'exécution en
dehors des limites de la commande– Enregistrement de toutes les activités
• TPAM prend en charge PCM pour :– Unix– Windows– Autres (dans les versions à venir)
Session restreinte à une commande unique(la Gestion de l'ordinateur dans cet exemple)
Aucune autre fonction Windows n'est disponible
Récapitulatif de TPAM
Exemples de flux de travail
• Les diapositives suivantes donnent des exemples de flux de travail pour les différents modules de TPAM.
• E-DMZ Security peut également organiser une démonstration webex afin de fournir des informations plus détaillées et de répondre plus précisément à vos questions spécifiques.
• Bien que chaque module TPAM prenne en charge des fonctions spécifiques, ils peuvent être étroitement associés pour répondre au mieux aux exigences de flux de travail d'une entreprise.
Flux de travail – Requête de mot de passe
Lancez la requêtede mot de passe
Filtrage et sélection de compte(s)
Saisissez la date, l'heure, la durée et la raison pour laquelle un mot
de passe est requis
Champ de billet facultatif. Peut être activé (vérification du
billet) ou non.
Récupération du mot de passe
Flux de travail – Écran petit format
Initiation de requête au format hypertexte
Filtrer les requêtes ou afficher les plus récentes
Sélectionner un mot de passe.. La requête rapide est soumise automatiquement
avec la raison par défaut « Requête de périphérique
mobile »
Saisissez le numéro de billet (le cas échéant) et cliquez sur Submit pour obtenir le mot de passe
Mot de passe récupéré sur le terminal mobile.
* Prise en charge des écrans petit format configurée au niveau de l'utilisateur
Flux de travail – Requête de session
Demandez une connexion de session.
Sélectionnez parmi la liste des système et comptes auxquels l'utilisateur est autorisé à demander la connexion.
Saisissez la date/l'heure/la durée de la requête de connexion. Possibilité de requête pour une date/heure à venir afin de permettre une approbation avancée, en cas de double contrôle
d'autorisation.
Une fois la connexion approuvée (ou auto-approuvée)
cliquez simplement sur Connect !
Flux de travail – Requête de session
Proxy de connexion créé vers le système et le compte sélectionnés
L'utilisateur est connecté et effectue les travaux requis.
La session peut être configurée pour une ouverture de session interactive ou automatique
CHAQUE action effectuée sur le système cible est enregistrée (frappes clavier, clics de souris, liens, etc.)
Si la session utilisateur se prolonge au-delà de la durée demandée, des alertes de notification configurables peuvent être envoyées pour signaler le dépassement de session
Les administrateurs autorisés ont la possibilité de mettre fin manuellement aux sessions actives
Flux de travail – Relecture de sessionLes enregistrements de sessions peuvent être stockés
localement ou faire l'objet d'un archivage automatique. Les sessions mémorisées peuvent être retrouvées d'après
la date, le système, le compte, l'utilisateur et/ou le numéro de billet
Une fois la sélection effectuée, le bouton Replay
Session permet de récupérer et de relire la session.
Flux de travail - Relecture de session
Des commandes de type DVR permettent de contrôler la relecture des sessions
enregistrées.
Toutes les activités d'une session sont enregistrées et consultables par
l'intermédiaire de la fonction de relecture de session. L'enregistrement n'est PAS
effectué dans des fichiers de type AVI, mais dans un format compressé et TRÈS
maniable.
Flux de travail – Gestion de commandes
Des commandes sont ajoutées par l'intermédiaire de l'outil de gestion de commande privilégiée (PCM)
Flux de travail – Session limitée par commande
Même flux de travail qu'une requête de session normale.
Même flux de travail qu'une requête de session normale.
La session est restreinte à une cible/un compte principal (Windows A3/e22egp) via PCM, une
session utilisateur est établie et l'utilisateur est placé dans la « commande » en question. Dans
notre exemple, la Gestion de l'ordinateur.
Aucun accès à d'autres commandes cibles, menus, etc. n'est permis. La session existe uniquement dans le
contexte d'une commande spécifique (p.ex. la Gestion de l'ordinateur). Dès que l'utilisateur quitte la commande, la
session est immédiatement clôturée.
Flux de travail – Session limitée par commande