Контроль и аудит доступа пользователей в IT

Контроль и аудит доступа пользователей в
IT-инфраструктуре.
© 2007, Компания Aladdin
Найдите одно отличие
Самый
РАСПОСТРАННЕНЫЙ
пароль
qwerty
HdyJGy%84^$;-)hjdG&743kkfT*][_%lbd629
Самый
ПРАВИЛЬНЫЙ
пароль
Кража личности – миф или
реальность?
Доля на “кражу личности”
57%
Burton Group: Аутентификация – основа IAM
(Identity and Access Management)
Многофакторная аутентификация
Для успешного прохождения процедуры аутентификации
пользователь должен
#e3Gr3!$FR
знать нечто
иметь нечто
обладать набором
индивидуальных черт
IP-адрес, данные
RFID
находиться в
определённом месте
Идентификация - процедура присвоения идентификатора объекту КС
или установления соответствия между объектом и его идентификатором;
узнавание.
Аутентификация – Процедура проверки соответствия предявленного
идентификатора объекта КС на предмет принадлежности его этому объекту;
установление или подтверждение аутентичности.
НД ТЗИ 1.1-003-99
Технология ААА
x
User Name:
Password:
Кто ты?
Технология ААА
x
User Name:
Password:
Кто ты?
X
Что ты можешь?
Технология ААА
x
User Name:
Password:
Кто ты?
Как всем
этим
управлять?
X
Что ты можешь?
Технология ААА+А
x
User Name:
Password:
X
Кто ты?
Что ты можешь?
Audit
Как всем
этим
управлять?
Эээ…А что это
было?!?
Компоненты инфраструктуры IAM
• Средства строгой аутентификации пользователей
• Инфраструктура открытых ключей (PKI)
• Служба каталога
• Single sign-on (Web, Host)
• Аутентификация в унаследованных приложениях
• Управление учетными (аутентификационными)
данными пользователя
• Учет пользовательских данных и мониторинг
Концепция продуктовой линейки
1. Средства аутентификации
– USB-ключи / смарт-карты / OTP
– Средства разработки
2. Решения для управления паролями
– eToken SSO / WSO / Windows Logon
– eToken для Lotus Notes, SAP R/3
3. Решения для PKI-систем (хранение и использование
закрытых ключей и цифровых сертификатов)
– Microsoft, Linux, Oracle, IBM
– Продукты российских разработчиков
– Крипто-Про УЦ, Microsoft CA, RSA Keon
4. Управление учётными данными пользователями
– eToken TMS
5. Защита персональных и корпоративных данных
– Персональные данные, конфиденциальная информация
– Базы данных, файловые архивы
Смарт-карты и USB-ключи
для решения задач ИБ
13
eToken Pro
•
•
•
•
Защищенный микроконтроллер
Аппаратные шифрования DES, 3DES, RSA 1024/2048
Аппаратные хеш-функций SHA-1, MD5, MD5 HMAC
Четыре уровня полномочий доступа:




Гость
Пользователь (с PIN-кодом)
Администратор
Эмитент
•
PIN-авторизация со счетчиком набора (запрос-ответ)
•
Дополнительная аутентификация при работе с RSA-ключами
•
•
•
Защищенная память (16, 32, 64 кб)
Уникальные ID номера eToken и смарт-карты
Генератор закрытых ключей
•
Длина RSA ключа – от 8 до 2048 бит
•
•
Световой индикатор работы
Полупрозрачный защищенный герметичный корпус
Функциональная модель
Контроль физического доступа
•
Бесконтактные радиометки RFID
–
–
–
–
–
•
Все форм-факторы
–
•
•
Ангстрем БИМ-002
HID ISOProxII
Mifare
EM-Marine
Indala
USB-ключ, смарт-карта, комбинированные ключи
Высокочастотные метки
Единая карта
–
–
Физический доступ
Логический доступ
 Чип смарт-карты
 Фото, логотип
 RFID-метка
eToken Windows Logon
•
•
•
•
•
•
Автоматический вход в корпоративную сеть
Блокирование компьютера
Мобильность
Автоматическая генерация пароля
Использование сложных паролей
Возможность входа в сеть по паролю
eToken Windows Logon
•
•
•
•
•
•
Автоматический вход в корпоративную сеть
Блокирование компьютера
Мобильность
Автоматическая генерация пароля
Использование сложных паролей
Возможность входа в сеть по паролю
eToken Windows Logon
•
•
•
•
•
•
Автоматический вход в корпоративную сеть
Блокирование компьютера
Мобильность
Автоматическая генерация пароля
Использование сложных паролей
Возможность входа в сеть по паролю
Доступ к приложениям
• Simple Sign-On
– Безопасное хранение
регистрационных данных и
автоматическое заполнение полей
форм Windows-приложений
• Web Sign-On
– Безопасное хранение
регистрационных данных и
автоматическое заполнение полей
HTML-форм
• eToken Windows Logon
– Безопасное хранение
регистрационных данных и их
использование при регистрации на
рабочей станции и в сети Windows
eToken для PKI-решений
• Тенденции рынка
– Переход от парольной к строгой двухфакторной
аутентификации
– Всё больше продуктов поддерживают технологии PKI –
аутентификация, ЭЦП, шифрование данных
– Продукты–«стимуляторы»: системы документооборота
• eToken обеспечивает
– Безопасное хранение и использование закрытых ключей
– Усиление функций безопасности
• Приложения, использующие закрытые ключи
– ОС: Windows 2000/XP/2003/Embedded/Vista
– Службы каталога: Active Directory, Novell eDirectory
– Бизнес-приложения: Outlook/Exchange, Microsoft Office, Lotus
Notes/Domino, Oracle eBusiness Suite, mySAP Enterprise Portal
– Продукты отечественных разработчиков: системы
документооборота (ЭОС); КриптоАРМ (Digt); «Клиент-Банк»
(Диасофт); системы сдачи налоговой отчётности
eToken в решениях Cisco
• Аутентификация по протоколу 802.1x
–
Аутентификация на уровне сетевого порта
• Аутентификация клиентов при VPN-доступе
–
–
–
–
Клиентский VPN (IPSec)
Бесклиентский VPN (SSL VPN)
Средства: USB-ключи, смарт-карты, комбинированные
ключи с генераторами одноразовых паролей
Методы: закрытый ключ + сертификат, одноразовый
пароль
• Хранение конфигурационных параметров, закрытых
ключей и сертификатов сетевого оборудования
–
–
–
–
Cisco ASA
Cisco VPN Concentrator 300x
Маршрутизаторы серии Cisco 2800 и 3800 ISR
Коннектор eToken TMS
eToken в решениях IBM
• Lotus Notes / Domino
–
–
–
–
Аутентификация пользователей Lotus Notes
Защита ID-файлов серверов Lotus Domino
Безопасное хранение и использование закрытых
ключей сертификатов
Защищённый удаленный доступ к веб-сервисам на базе
Lotus Domino
• Tivoli Access Manager
–
–
–
–
Обеспечение надёжной однократной регистрации
пользователя в информационной системе (Single SignOn, SSO) с использованием eToken
Реализация мандатного доступа к информационным
ресурсам
Поддержка eToken в IBM WebShpere Application Server и
BEA WebLogic Server (IBM Tivoli Access Manager
выступает как аутенфикационный прокси)
Единая централизованная стратегия
управления доступом
Аутентификация на терминальных
клиентах
•
•
Строгая аутентификация с использованием закрытого
ключа и цифрового сертификата Х.509, установленных
на eToken
•
На терминальных клиентах (регистрация в ОС)
•
В домене Windows
•
На сервере при терминальном доступе к Windows Server
2003
Дополнительные возможности
•
Блокировка терминальной сессии и терминала
•
Использование eToken в серверных приложениях
eToken для Microsoft Windows
• Решение проблемы «слабых» паролей
–
–
Полный отказ от использования паролей
Удобное использование сложных паролей
• Усиление функций безопасности операционных
систем Microsoft Windows
–
Замена однофакторной парольной аутентификации на
двухфакторную аутентификацию
• Безопасное администрирование
–
–
–
Работа с минимальным уровнем привелегий
Простое выполнение операций / запуск приложений,
требующих повышенного уровня полномочий
Отсутствие необходимости ввода паролей с клавиатуры
• Максимальное полное использование потенциала
уже приобретённых продуктов Microsoft
–
–
Использование более защищённых протоколов ИБ
Повышается масштабируемость и управляемость
eToken для SSL / TLS
• SSL и TLS - основные протоколы защиты Web-трафика
• SSL обеспечивает:
– Аутентификацию сервера: цифровой сертификат X.509
– Защиту и целостность данных: данные шифруются с
использованием симметричных алгоритмов; для контроля
целостности используются хэш-фукции
– Аутентификацию клиента: цифровой сертификат X.509
• Преимущества использования для SSL-аутентификации
цифровых сертификатов X.509, установленных на eToken:
Для пользователя
• Мобильность
• Надёжность
• Безопасность
Для владельца серверного ресурса
• Надёжная аутентификация (напр., для биллинга)
Выбор цифрового сертификата для
входа на защищенный Web-портал
SSL-аутентификация с использованием
закрытого ключа в памяти eToken
Роль eToken в PKI-системах
• Обеспечение безопасности закрытых ключей
пользователя на всeх этапах их жизненного цикла:
-
Генерация
Хранение
Использование
Уничтожение
Проблема управления

Децентрализованное
управление
Централизованное
управление
•
•
•
•
•
•
•
•
Microsoft
IBM
Cisco
Oracle
Novell
RSA
…
унаследованные
приложения

Жизненный цикл токена
Основные задачи
• Выпуск смарт-карты
• Персонализация смарт-карты сотрудником
• Обслуживание карты
– Добавление возможности доступа к новым приложениям
– Отзыв предоставленного ранее доступа
•
•
•
•
Замена / временная выдача новой карты
Разблокирование PIN-кода
Выход смарт-карты из строя
Отзыв карты
Что такое Aladdin Token
Management System (TMS)?
Система, предназначенная для внедрения,
управления и использования средств
аутентификации пользователей в масштабах
организации.
TMS - связующее звено между:
– пользователями;
– политикой безопасности
(организационными правилами);
– средствами аутентификации;
– приложениями ИБ.
eToken TMS 2.0
Система управления жизненным циклом
•
•
•
•
•
Новая архитектура
Ролевое управление
Новый графический интерфейс
Поддержка eToken NG-FLASH
Поддержка «виртуального токена»
Возможности eToken TMS 2.0
•
•
•
Единая система управления жизненным циклом для всех средств
аутентификации - смарт-карт, USB-ключей и устройств с функционалом OTP
Простая установка, основанная на мастерах (wizards)
Веб-интерфейсы:
– TMS Management Center (администрирование)
– TMS Self-Service Center (пользователь в локальной сети)
– TMS Remote Service Center (удалённый пользователь)
•
Открытая архитектура
– Коннекторы для интеграции с разнообразными приложениями безопасности
– Комплект разработчика (eToken TMS Connector SDK) для разработки собственных
коннекторов
•
•
•
•
•
•
•
•
Обработка сценариев «утеря eToken» и «выход eToken из строя»
Обработка ситуации, если пользователь, находясь в командировке, потерял или
забыл eToken
Безопасное резервное копирование и восстановление профилей пользователя
на eToken
Аудит и отчёты
Ролевая модель доступа к eToken TMS
Встроенные механизмы шифрования данных, различные ключи шифрования
для разных поддоменов
Не требует выделенного сервера
Полная интеграция с Microsoft Active Directory
– Прямая связь с данными пользователя – нет необходимости в репликации
– Полная интеграция с правилами и политиками пользователя в AD
Поддерживаемые приложения
• Различные приложения безопасности поддерживаются за
счет использования специальных коннекторов, входящих
в комплект поставки:
– eToken Windows Logon (GINA)
– eToken OTP Authentication, включая eToken PASS
– eToken Single Sign-On (SSO) 3.0
– Microsoft CA – для приложений, использующих
PKI-технологии (VPN, SSL, аутентификация в
сети)
– P12 Importing Tool
– Check Point Internal CA
– eToken Flash Partition Application
Ролевое управление
Редактор Token Policy Object (TPO)
•
•
•
Установка всех политик TMS
Если политика может быть установлена как Not Defined, то
определение берётся из вышестоящей политики
Установки включают:
– General Settings/Mail Server Settings
– Connectors Settings
– eToken Settings (Initialization Settings, Password Settings, eToken
Properties
– Enrollment Settings
– eToken recovery options
– Audit Settings
– Desktop Agent Settings
Конфигурация Token Policy Object
TPO для конекторов
•
В качестве примера – коннектор eToken OTP.
TPO – параметры PIN-кода eToken
TMS Management Center
Help Desk
Быстрые и эффективные help desk – утилиты и операции
Token Inventory
Онлайновая инвентаризация токенов
User Search
by OU
Отчеты и аудит
TMS предоставляет гибкие и обширные отчеты
Веб-сайт пользователя - MyeToken
Безопасное самообслуживание токена, снятие нагрузки с администратора
Сотрудник в дороге
•
Сотруднику необходимо сделать очень важную презентацию у
заказчика, находящегося за границей и он не может найти
etoken
•
Ему необходимо следующие решения для:
– Входа в свой персональный компьютер
– Проведения операций по расшифрованию файлов
– Получить доступ к электронной почте и другим
приложениям
•
Поддержка - eToken Virtual
– Безопасный ключ в программном хранилище, временно
активируется до возвращения сотрудника в офис
– TMS предлагает несколько методов для использования
eToken Virtual в зависимости от требований безопасности
и схем использования
Восстановление доступа с использованием
виртуального eToken
•
Когда используется виртуальный eToken?
– Решение в случае утери eToken
– Особенно полезно в ситуации, когда сотрудник находится вне
офиса
•
Содержимое виртуального токена определяется через eToken TMS
(коннекторы):
– Например, Windows Logon (профиль или сертификат)
•
Как виртуальный eToken загружается на клиентскую рабочую
станцию?
– Вручную пользователем через веб-сайт TMS
– Автоматически через TMS Client (возможность
устанавливается администратором)
•
Виртуальный eToken создаётся заново каждый раз, как происходят
изменения в оригинальном eToken (выпуск, обновление данных и
др.)
Восстановление доступа с использованием
виртуального eToken
• Срок действия и отзыв виртуального eToken:
– При выпуске виртуального eToken определяется период
времени, в течение которого он будет действовать (до
возвращения пользователя в офис)
– По истечении данного периода виртуальный eToken
отзывается
• По возвращении в офис – выпуск нового аппаратного
eToken для пользователя:
– Выпуск нового eToken приведёт к автоматическому отзыву
виртуального eToken.
Коннекторы TMS
•
TMS управляет приложениями ИБ с использованием
механизма TMS connectors
•
Коннектор отвечает за взаимодействие с определённым
приложением
•
Коннекторы добавляются и конфигурируются отдельно для
каждого ОП
•
Коннекторы конфигурируются через настройки TPO.
Настройки также могут применяться на уровне
пользователя / группы пользователей.
Возможности коннекторов
• Коннекторы TMS обеспечивают:
–
Прямой выпуск или выпуск через веб-интерфейс (т.е.
Веб-сайт самообслуживания пользователя) данных
приложений (профили, ключи и др.) на eToken
–
Конфигурация и настройка параметров приложений
–
Безопасное централизованное хранение
пользовательских данных
–
Отзыв токенов и профилей данных
–
Резервное копирование и восстановление при
отработке сценариев «потерянный eToken» и
«вышедший из строя Token»
–
Предоставление данных для аудита и построения
отчётов
eToken TMS Connector SDK
• Набор APIs и примеров кода для создания новых
коннекторов
• Простейший коннектор может поддерживать только
операцию выпуска
• Более сложный коннектор обеспечивает:
• Конфигурацию и настройку приложения,
предоставление данных для системы построения
отчётов, отзыв, резервное копирование и
восстановление данных
• SDK включает:
•
Пример кода коннектора (с комментариями),
который сохраняет введённый пароль в памяти
eToken
•
Полную документацию
Линейка решений на eToken
Успешный проект от одного вендора
Партнерские решения
Спасибо за
внимание!
Дмитрий Снопченко
D.Snopchenko@yug.com.ua