2

Корпорация,предприятие,

рабочая группаFilePrintCollaborationLDAP

Комплексные системы, безопасности управления имониторинга

ERP, CRM, Databases, LDAP

Vmware, XEN

Центры обработкиданных

Рабочие станции

Office Apps EmailLDAPSearch/IndexingWireless

Data Center LinuxVirtualization

SUSE Linux Enterprise Desktop

•Open Workgroup Suite•Open Enterprise Server

GroupWise,Teaming+

SUSE LINUX Enterprise

Identity Mngmnt, SSOZENworks, Sentinel

Novell сегодня

27 Апрель, 2010

Novell Identity ManagerNovell Identity Manager

Эффективное управление доступом к ИТ-ресурсам

4

Автоматизация управления жизненным циклом учётных записей

5

Статистика управления учётными записями у многих компаний

• Введение в ИТ-инфраструктуру нового сотрудника – от момента регистрации в HR до предоставления полного набора необходимых доступов может пройти 2-3 недели.

• Управление пользователями – Служба Help Desk тратит €15-20 на пользователя при обслуживание паролей, 25-35% звонков — сменить пароль.

• Актуальность учётных записей - 30-60% существующих учётных записей – "мёртвые души"

• Использование обслуживающего ИТ-персонала - ~ 30% рабочего времени тратится на контроль доступа к приложениям и данным

• Нормативные акты и корпоративная политика безопасности - многие новые политики и требования к ИТ не возможно воплотить в жизнь в кратчайшие сроки

6

Задачи решаемые Novell Identity Manager

Управлениепаролями

Синхронизацияучётнойинформации

Корпоративный справочник

Ролевое предоставлениедоступа

Единая среда управления

и использования

Мета каталог

LINUX

Approved��

Согласование доступа к ресурсам

7

Использование Ролей

• Роль — элемент группирования доступов к ресурсам.

• Поддерживается многоуровневая иерархия ролей.

• Роли дополнительно объединяются в категории.

• Назначение ролей (доступов) может быть постоянным или временным.

• Активация доступа (роли) может быть с задержкой.

• Отслеживаются конфликтные роли.

8

Почему необходимо использовать Ролевое управление?

● Владелец ресурса участвует в разграничении прав доступа

● Автоматизация создания учётных записей, устраняющая ручное дублирование данных

● Динамическое изменение прав доступа при изменении статуса или роли сотрудника в организации

● Мгновенная ликвидация прав доступа

● Кардинальное уменьшение влияния человеческого фактора на процесс управления доступами.

● Реализация принятых политик безопасности

9

Поддержка огромного количества системDatabase IBM DB2 Informix Microsoft SQL Server MySQL Oracle Sybase JDBC DirectoriesCritical Path InJoin Directory IBM Directory Server (SecureWay) iPlanet Directory Server Microsoft Active Directory Microsoft Windows NT DomainsNetscape Directory Server NIS, NIS + Novell NDS, eDirectory Oracle Internet Directory Sun ONE Directory Server LDAP

E-mail systems Microsoft Exchange 2000, 2003Microsoft Exchange 5.5 Novell GroupWise Lotus Notes

Enterprise applications Baan J.D.Edwards Lawson Oracle Peoplesoft SAP HR SAP R/3 4.6SAP Enterprise Systems SAP Web Application Server (Web AS) 6.20Siebel

Enterprise message bus BEAIBM Websphere MQOpen JMSOracleJBOSSSunTIBCO

Mainframe RACF ACF2 Top Secret

Midrange OS/400 (AS/400)

Operating systems Microsoft Windows NT 4.0 Microsoft Windows 2000/3SUSE LINUX Debian Linux FreeBSD Red Hat AS and ES Red Hat Linux HP-UX IBM AIX Solaris Other Delimited Text Remedy (for Help Desk) SOAPDSML SPML Schools Interoperability Framework (SIF)

PBXAvaya PBX

10

Web-портал конечного пользователя

• Web-интерфейс для просмотра и управления данными в Identity Manager и ресурсами через механизм Provisioning

– Размещение заявок и контроль исполнения– Управление ролями– Организационная структура– Корпоративный справочник– Профиль пользователя

11

Инструменты проектирования и управления

12

● Без изменения существующих приложений возможность централизованного ролевого управления пользователями в реальном времени● Пользователи и группы различных систем будут автоматически синхронизироваться● Процесс заказа ресурсов, режим согласования с делегирование полномочий● Синхронизацию паролей - двунаправленная с AD, DomainNT, eDirectory, NIS+

● Автоматизацию обслуживания пароля● Возможность быстрой разработки и развёртывания● Аудит событий

Что обеспечивает Identity Manager?

27 Апрель, 2010

Novell SecureLoginNovell SecureLogin

Организация защищённого доступа к ИТ-ресурсам

14

До внедрения Novell SecureLoginEnterprise Single Sign-on (SSO)

SAP

Mainframe

Win32

SAP App

Workstation

Network OS

Win32 App

Mainframe

NOS

Username 1 / Password

Username 2 / Password

Username 3 / Password

Username 4 / Password

Password:123456

Password:123456

Password:123456

Password:123456

15

User Workstation

Novell SecureLogin

SAP

Mainframe

Win32

NOS

Password:123456

Password:john077

Password:carpediem09

Password:surferdude85

Gmail

Password:jj2500

Partner App

Password:acme01

После внедрения Novell SecureLoginEnterprise Single Sign-on (SSO)

16

Что обеспечивает Secure Login?

● Автоматическую аутентификацию во всех приложениях одним логином в eDirectory/AD

● Гибкую настройку клиентского ПО без дополнительного программирования

● Единую точку администрирования

● Снижение затрат на обслуживание пользователей и паролей

27 Апрель, 2010

Novell Access ManagerNovell Access Manager

Организация защищённого доступа к ИТ-ресурсам

18

• Необходимость организации VPN

• Необходимость интеграции доступов к различным системам (внутренним и внешним)

• Использование различных хранилищ пользователей

• Возможен прямой доступ к Web серверам

• Нехватка производительности Web-систем

• Необходима поддержка SSL на каждом сервере

• Необходимость замены пароля на сертификат

• Отсутствие единого логина (Web-SSO)

• Невозможен единый подход к безопасности из-за различий в Web-технологиях

• ...

Традиционный проблемы при организации доступа к ресурсам

19

Novell Access ManagerКомпоненты

20

Identity Server

• Управление доступом на основе ролей– Использование атрибутов LDAP

– Источник аутентификации– Использование роли всеми компонентами Access Manager

• Передача идентификационной информации– Identity Injection– SAML / Liberty Alliance Web Service Framework

• Взаимодействие с идентификационными хранилищами– eDirectory– Active Directory– Sun One

21

Access Gateway

• Защита Web-ресурсов– Аутентификация через Identity Server

– Авторизация

– Web Single Sign-On (header & form-fill)

– Identity Injection

– Организация защищённых соединений

• Поддержка нескольких платформ (soft appliance)

– SUSE Linux (SLES)

– NetWare

22

SSLVPN-шлюз ● Предоставляет защищённый доступ к non-HTTP

приложениям

● SSLVPN может размещаться как на Access Gateway, так и на Identity Server

● Active-X и Java Applet клиентское ПО (on-the-fly распространение)

> Поддерживаются Windows, Linux и Mac

● Функция проверка целостности> Проверяет наличие необходимого ПО (брандмауэр, антивирус и др)

● При помощи политик регламентируется набор используемых в корпоративной сети приложений

23

Инструментарий управления

24

Что обеспечивает Access Manager● Единое решение для организации доступа к Web и

корпоративным приложениям ● Управление доступом к Web-ресурсам не требует

разработки защиты для новых или существующих Web-систем

● Поддержка основных промышленных хранилищ учётной информации в любых комбинациях

● Возможность построения решений доступа с высокой доступностью

● Поддержка основных промышленных стандартов (SAML, Liberty Alliance, SSL)

● Простота управления, масштабирования и установки обновлений

27 Апрель, 2010

Novell SentinelNovell Sentinel

Мониторинг и анализ событий ИТ-инфраструктуры

26

Актуальные проблемы мониторингаИТ-инфраструктуры

● Трудность оценки эффективности принятых мер безопасности

● Огромный объем и трудность анализа информации от разнородных систем

● Трудоемкость разрешения инцидентов

● Трудность определения возможных угроз и принятия мер

Противодействие Противодействие внешним и внутреннимвнешним и внутренним

угрозам угрозам

Проверка соответствияПроверка соответствия процессов управления ИСпроцессов управления ИСкорпоративным политикамкорпоративным политикам

● Трудоемкость проведения аудита и составления отчетов. Неизбежные ошибки, возникающие при этом

● Требования к снижению затрат со стороны высшего руководства

● Реактивная, а не проактивная, модель управления ИТ-структурой

27

Функциональность, необходимая для контроля состояния ИТ

Firewalls

AntiVirus

IDS

Webservers

Databases

Identity Mgmt

Routers

Real-time View of Event Logs

Сбор - Нормализация - Корреляция - Реакция - Отчётность

Manage incidents

● Сбор и консолидация данных с различных систем● Нормализация полученных данных● Мониторинг и анализ в реальном времени● Реакция на события, автоматизация разрешения инцидентов● Отчётность о состоянии контролируемых систем

28

Архитектура Novell Sentinel

• Масштабируемая архитектура, оптимизированная для обслуживания распределённой инфраструктуры

• Обогащение событий бизнес-информацией

• Высокая производительность при обработке большого потока событий

• Быстрый отклик инструментов мониторинга и обслуживания

29

Существующие коллекторыFirewallsSymantec Enterprise FirewallCheck Point Firewall-1CyberGuardISS BlackICECISCO PIXSunScreenSonic Wall SonicwallSymantec Enterprise FirewallWatchGuard FireboxJuniper Netscreen

Intrusion PreventionSymantec ManHuntMcAfee IntruShieldMcAfee Entercept

Intrusion Detection(network-based)Symantec Decoy ServerCISCO IDSNFR Sentivist IDSEnterasys DragonOpen Source Software SnortIntrusion.com SecureNetISS RealSecureISS SiteProtectorJuniper NetscreenSourcefire Sourcefire

Routers & SwitchesNortel allCisco all

Incident ManagementBMC RemedyHewlett-Packard Service Desk

AuthenticationRSA ACECISCO ACS

Policy MonitoringSymantec Enterprise SecurityManager (ESM)

Intrusion Detection(host-based)Open Source Software COPSISS RealSecureTripwireSymantec Intruder Alert Manager

Patch ManagementBMC MarimbaPatchLinkNetwork ManagementIBM Tivoli Enterprise ConsoleHewlett-Packard OpenViewBMC PatrolMicromuse Netcool

ERPPeopleSoftSAP

Operating SystemsMicrosoft Windows NTMicrosoft Windows 2000/3Sun SolarisSun SunOSHewlett-Packard HP-UXIBM AIXRed Hat EnterpriseSuSE EnterpriseAS/400

Anti-VirusSymantec AntiVirusMcAfee VirusScanMcAfee ePolicy OrchestratorTrend Micro ServerProtectTrend Micro ScanMailTrend Micro InterScan VirusWall

Web ServersApache ApacheMicrosoft IISMicrosoft ProxyNetscape Proxy

Directory Services / IDMLDAP (standard)Novell eDirectoryNovell Identity ManagerNovell Access ManagerActive Directory

MainframeACF2, RACF, Top SecretOS/390Z/OSHP NonStop

DatabasesOracleSybaseMicrosoft SQL ServerMYSQL ABInformixSybaseDB/2

VPNCISCO VPN 3030CISCO PIX Device ManagerNortel VPNCheck Point VPN-1

Vulnerability AssessmentISS Internet ScannerISS Database ScannerMcAfee CyberCop ASaPMcAfee FoundstoneQualys QualysGuardOpen Source Software NessuseEye Retina Network SecurityScanner

30

Настройка существующих и разработка новых коллекторов

● Коллектор отвечает за сбор и нормализацию данных о событиях, связанных с безопасностью

● Поддерживаются различные механизмы сбора данныхLogfile, Socket, Syslog, SSL, SSH, OPSEC, SNMP, ODBC, JDBC, HTTP, WMI и другие

● Поставляемые инструменты позволяют создавать свои агенты (коллекторы) для сбора данных о событиях из любых источников

31

Построение системы контроля событийEvent Source Management

32

● Централизованный анализ событий● Анализ и визуализация в реальном времени● Обнаружение угроз, атак и нетипичного

поведения контролируемых объектов● Анализ исторических данных, связанных с тем

или иным событием

Мониторинг и анализ событий

33

Анализ корреляции между событиями

● Автоматический анализ событий от многочисленных граничных систем

● Гибкий механизм создания правил

● Единый набор правил для распределенных агентов обработки

● Автоматизированное открытие инцидентов

34

● Графическое описание процессов и механизмов разрешения инцидентов

● Отслеживание процессовобработки инцидентов

● Регистрация дополнительной информации в процессеразрешения инцидента

● Интегрируется с HPOV ServiceDesk и Remedy HelpDesk

● Возможность адаптации к принятым корпоративным инструкциям и регламентам

Автоматизация разрешения инцидентов

ОбнаружениеОбнаружение РазрешениеРазрешение

35

● Общая картина ИТ-управления– Анализ тенденций и аномалий– Отчет о деятельности, связанной с

обеспечением безопасности, согласно требованиям Sarbanes-Oxley и прочих законодательных актов

● Построение отчетов для внешнего аудита

– Мониторинг критичных ИТ-ресурсов– Анализ соответствия законодательству– Статистика разрешений инцидентов,

ликвидации угроз и предотвращения нарушения бизнес-правил

● Предопределенные, настраиваемые и произвольные отчеты

Отчётность по оценке безопасностиИТ и соответствия требованиям

36

Novell Sentinel - универсальное, эффективное решение задач мониторинга ИТ-инфраструктуры, реагирования на инциденты и отчётности

● Непрерывный мониторинг всех систем● Актуальная информация о состоянии критичных

ИТ-ресурсов● Упрощение принятия решений и ответных мер при

возникновении угроз, планирование мер по предотвращению потерь

● Минимизация рутинных операций и человеческих ошибок

● Прозрачность деятельности ИТ-службы для руководства, акционеров и внешних аудиторов