Transcript Identity and Access Governance na przykładzie rozwiązań SailPoint Maciej Bukowski, CompFort Meridian.

Identity and Access Governance
na przykładzie rozwiązań SailPoint
Maciej Bukowski, CompFort Meridian
Agenda
1.
2.
3.
4.
Wstęp
Identity and Access Governance (IAG)
Zarządzanie dostępami w Cloud
Rozwój modułów SailPoint
Strategiczne partnerstwo
Innowacja - reakcja na nowe potrzeby klientów
Najlepszy w swojej klasie dostawca
BSM i Identity Management
Najlepszy w swojej klasie dostawca
Identity & Access Governance
Wspólne dostarczanie systemu nowej generacji
Identity Management & Access Governance aware BSM
Historia ewolucji IdM i IAG
Identity Management i Identity & Access Governance
Prywatność
i nadzór finansów
• Zarządzanie ryzykiem
i zgodnością z politykami
Internet
Przetwarzanie
rozproszone
• Automatyzacja
procesów
• Administracja kont
1990’s
2000’s
2010’s
Zmiana priorytetów dla IdM
Dzisiaj IdM to nie tylko kwestia technologii – to potrzeba biznesu
• Potrzeby napędzane są przez biznes, audyt lub ryzyko
• Biznes oczekuje aktywnego udziału w procesach zarządzania
cyklem życia tożsamości
Szeroka widoczność systemów jest wymagana do spełnienia
wymogów bezpieczeństwa i zgodności z regulacjami
• Głębszy wgląd w szerszy zestaw udostępnianych aplikacji
• Biznesowa interpretacja uprawnień IT
Ewolucja od ręcznego wykrywania do prewencyjnego
zarządzania ryzykiem
• Potrzeba zdolności do identyfikacji istniejących problemów
jak również zapobieganie powstawaniu nowych
Identity Access Governance
As a security and risk leader, if you only have
one dollar to spend on identity management,
spend it on Identity Access Governance
Andras Cser, Forrester August 2011
Idea IAG
• Czy wiemy kto i do czego posiada dzisiaj dostępy ?
• Czy wiemy kto i A
dogdy
czego
posiadać
dzisiaj dostępy
jużpowinien
posiadamy
rozwiązanie
IdM …?
Jaki procent z wykorzystywanych systemów jest aktualnie
zintegrowany i podlega automatycznemu monitorowaniu ?
IdM 10%-----------------------------90% AIG
• Jakie metody weryfikacji są wykorzystywane do zapewnienia obu powyższych ?
Różne rodzaje zagrożeń
Brak informacji z biznesu o zmianach dla tożsamości wpływa na powstawanie zagrożeń !
Konta osierocone
Gromadzenie uprawnień
• Braki lub opóźnienia przy
odbieraniu uprawnień
• Słaba czytelność uprawnień
• Skutki redukcji zatrudnienia
Zabezpieczane
aktywa
$$$$
Konta oszustów
• Konta do realizacji nadużyć
• Nie wykryte dostępy i aktywności
• Złodzieje danych, nadużycia
• Kumulacja uprawnień
• „Toksyczne” uprawnienia
• Skutki nadawania uprawnień
przez klonowanie ról
Konta uprzywilejowane
• Użytkownicy z “kluczami do raju”
• Słaba czytelność uprawnień
• Skutki przy współdzieleniu haseł
Potrzeba biznesowego narzędzia
• Wiele organizacji dostrzega
„chaos”
– Osobne silosy danych o tożsamościach
– Brak jednoznacznego powiązania kont
z tożsamościami
– Występowanie kont zduplikowanych i
„duchów”
– Nieoznaczone konta systemowe i
uprzywilejowane
• Centralny rejestr danych o
wszystkich systemach jest
kluczem do właściwej kontroli
zgodności
Multiple
Applications
Heterogeneous
Infrastructure
Multiple Identity
Sources
Isolated Role
Models
Multiple Identity
Name Spaces
Shared
Accounts
Metodologia IAG oraz IdM
IAG
Czas wdrożenia
Krok 4
Krok 3
Krok 2
Automatyzacja
Provisioning
Wdrożenie procesów
biznesowych
Budowa podstawy do badania
kontroli zgodności
Krok 1 Szybka weryfikacja bieżącej zgodności
Uruchomienie automatycznego
Provisioning’u do systemów
docelowych
Wnioski o dostępy, usługi selfservice np.password management i
inne procesy biznesowe
Definicja i implementacja modelu
zgodności oraz kontroli (role, polityki
bezpieczeństwa, ryzyko)
Zrozumienie aktualnego stanu
dostępów i określenie linii bazowej
IdM
Ilość zintegrowanych systemów
SailPoint Governance Platform
• Repozytorium Tożsamości
– Scentralizowane dane o Tożsamości stanowią
podstawę do kontroli zgodności oraz zarządzania
cyklem życia
• Role Management
– Identyfikowanie, modelowanie i zarządzanie
rolami w celu powiązania dostępów z
pełnionymi funkcjami w organizacji
• Policy Management
– Definiowanie, wykrywanie oraz kontrola polityk
bezpieczeństwa przy wnioskowaniu o
uprawnienia, recertyfikacji oraz w procesie
automatycznego przyznawania uprawnień
• Risk Management
– Strategiczne priorytetyzowanie aktywności
pracowników przez modelowanie ryzyk dla
użytkowników oraz wykorzystywanych
systemów
• Provisioning Broker
– Rozbijanie wniosków o zmianę na indywidualne
składniki oraz koordynacja działań w zakresie
ręcznej lub automatycznej zmiany na systemach
Governance
Model
IIQ Projektowany dla biznesu
Interfejs nowej generacji w IdentityIQ przyśpiesza samodzielne poznawanie
narzędzia i minimalizuje wymagane szkolenia, maksymalizując przy tym
efektywność pracy użytkownika
Spójny interfejs dla wszystkich
procesów biznesowych (wnioski,
potwierdzenia, przeglądy
uprawnień, raporty/analiza)
Indywidualne panele
informacyjne oraz układ okien
Biznesowy opis ról i uprawnień
nadaje sens technicznym
danym o uprawnieniach
Bogata pomoc kontekstowa
pomaga w podejmowaniu
skutecznych decyzji
IdentityIQ Intelligence
• Przyjazny panel użytkownika
– Poprawia przejrzystość krytycznych
danych dla zarządzania Tożsamością
– Dostarcza przyjazne wykresy i raporty
– Dostarcza dane w przyjaznym dla
biznesu formacie
• Gotowe raporty
– Obejmuje obszerną listę
predefiniowanych raportów do
badania zgodności i zarządzania
cyklem życia Tożsamości
– Zapewnia personalizację konfiguracji
raportów
• Advanced Analytics
– Dostarcza bogate możliwości
samodzielnej analizy danych o
Tożsamościach
– Umożliwia zapisywanie zapytań w
formie raportów do późniejszego
wykorzystania
IdentityIQ Compliance Manager
• Przyjazne dla biznesu przeglądy uprawnień
i recertyfikacja
– Szybka konfiguracja recertyfikacji dostępów
metodą „wyklikania”
– Usprawnienie procesów recertyfikacji
dostępów poprzez automatyczne generowanie
i dystrybucję raportów
– Elastyczne rodzaje recenzentów (np. kierownik,
właściciel aplikacji) oraz cykli (np. okresowe,
zdarzeniowe)
– Prezentacja tajemniczych danych IT w czytelny i
zrozumiały dla biznesu sposób
• Automatyczne wymuszanie zasad
– Aktywne skanowanie, wykrywanie oraz
informowanie użytkowników o naruszeniu
biznesowych polityk bezpieczeństwa
– Prezentuje naruszenie polityk w przeglądach
uprawnień, portalu i raportach
• Optymalizacja ryzyka
– Wykorzystanie punktacji ryzyka do pomiaru i
priorytetyzacji działań kontroli zgodności z
politykami bezpieczeństwa
Access Certifications
Policy Enforcement
IdentityIQ Lifecycle Manager
• Samodzielne wnioski o dostępy i zarządzanie użytkownikami
– Przyjazny dla użytkownika biznesowego portal do wnioskowania o zmianę
dostępów i Zarządzanie Tożsamością
– Interfejs typu “Shopping cart” zapewnia wygodny i intuicyjny sposób
wnioskowania o role i uprawnienia
– Panel do wnioskowania zapewnia prezentację czytelnego statusu
realizowanych i zakończonych wniosków.
• Automatyczne zarządzanie cyklem życia Tożsamości
– Centralna definicja i zarządzanie cyklicznymi zdarzeniami (np. zatrudnienie,
zmiana departamentu, zwolnienie)
– Automatyczne wyzwalacze inicjują zmiany dostępów i przywilejów
• Zintegrowane polityki i procesy Workflow
– Centralne administrowanie politykami konsekwentnie egzekwują biznesowe
polityki w całym cyklu życia Tożsamości w organizacji
– Konfigurowalny Workflow zapewnia zmianę dostępów i prawidłową realizację
procesu zmiany
IdentityIQ Provisioning Broker
• Elastyczne formy realizacji
zmiany dostępów
– Zapewnia zmianę różnymi
metodami
– Dekomponuje zmianę na
indywidualne komponenty
– Konsekwentnie wymusza
przestrzeganie polityki
bezpieczeństwa
Compliance
Manager
Governance Platform
Provisioning Broker
• Wbudowany mechanizm
integracji
– Dostarcza uniwersalną
warstwę dla różnych metod
zmiany dostępów
– Śledzi zmiany od momentu
ich rozpoczęcia do
zakończenia
Lifecycle
Manager
BMC
Remedy
Collector
Integration
BMC
ESS
Service
Desk
Manual / IT
Admins
Modelowanie ról
1) Top Down - Analiza populacji i automatyczne wykrywanie
− Groupy Robocze / Reguły przypisywania / Role Biznesowe
2) Bottom Up - Wzorce uprawnień, Grupowanie i Analiza, Korelacja
−
Definiowanie uprawnień, Profilowanie Technicznych Ról IT
Modelowanie ryzyka
• Nowatorska technologia pomiaru ryzyka
– Podobna do pomiaru ryzyka kredytowego
– Definiowalne parametry oraz wagi
• Składniki ryzyka dla tożsamości
–
–
–
–
–
Role i uprawnienia o wysokim ryzyku
Złamanie polityk bezpieczeństwa
Pominięta recertyfikacja
Nieodebrane uprawnienia
Dozwolone wyjątki
• Składniki ryzyka dla systemów i aplikacji
–
–
–
–
Osierocone konta
Uprzywilejowane konta
Zdublowane konta
Złamanie polityki bezpieczeństwa
Obszary ryzyka tożsamości w organizacji
w podziale na departamenty, lokalizację, itp.
Zarządzanie ryzykiem
Uwzględnienie ryzyka pozwala organizacji skoncentrowanie na istotnej grupie pracowników
Profil o niskim ryzyku
•
•
•
•
•
Uprawnienia tylko do odczytu
Brak zmian od ostatniego przeglądu
Brak wyjątków w politykach
Brak dostępu do krytycznych aplikacji
Poziom ryzyka <300
Profil o średnim ryzyku
Profil o wysokim ryzyku
• Zmiany lub nowe konta
• Łagodne wyjątki w
politykach
• Zatwierdzone dostępy do
aplikacji o wysokim ryzyku
• 300< poziom ryzyka <600
•
•
•
•
•
•
Osierocone konta
Uprzywilejowane konta
Złamane polityki
Brak ostatniej recertyfikacji
Trwające procesy odbioru uprawnień
Niezatwierdzone dostępy do aplikacji
o wysokim ryzyku
• Poziom ryzyka >=600
Krótki okres
recertyfikacji
Standardowy
okres
recertyfikacji
Rzadki okres
recertyfikacji
Procesy IAG w Cloud
•
Self-Service
–
–
–
•
Audyt i kontrola zmian
–
–
–
•
Konektor SaaS dla IAG
–
–
–
–
•
Wykorzystanie SCIM API (Simple Cloud Identity
Management)
Powiązanie kont i tożsamości
Skatalogowanie uprawnień
Modelowanie – Widok - Kontrola
Proxy Agent dla IaaS
–
–
–
–
–
–
Agent w środowisku Cloud
Bezpieczne połączenie z IAG
Wykrywanie repozytorium użytkowników
Powiązanie kont i tożsamości
Skatalogowanie uprawnień
Modelowanie – Widok - Kontrola
Odbiory uprawnień
Naruszenia polityki
Zarządzanie zmianą
Zmiany danych tożsamości
–
–
–
•
Wnioski
Zmiana haseł
Kontrola kont
System HR
Katalogi LDAP
Baza kontraktorów
Dziękujemy za uwagę