Upload
skukraine
View
29
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
2
Корпорация,предприятие,
рабочая группаFilePrintCollaborationLDAP
Комплексные системы, безопасности управления имониторинга
ERP, CRM, Databases, LDAP
Vmware, XEN
Центры обработкиданных
Рабочие станции
Office Apps EmailLDAPSearch/IndexingWireless
Data Center LinuxVirtualization
SUSE Linux Enterprise Desktop
•Open Workgroup Suite•Open Enterprise Server
GroupWise,Teaming+
SUSE LINUX Enterprise
Identity Mngmnt, SSOZENworks, Sentinel
Novell сегодня
27 Апрель, 2010
Novell Identity ManagerNovell Identity Manager
Эффективное управление доступом к ИТ-ресурсам
4
Автоматизация управления жизненным циклом учётных записей
5
Статистика управления учётными записями у многих компаний
• Введение в ИТ-инфраструктуру нового сотрудника – от момента регистрации в HR до предоставления полного набора необходимых доступов может пройти 2-3 недели.
• Управление пользователями – Служба Help Desk тратит €15-20 на пользователя при обслуживание паролей, 25-35% звонков — сменить пароль.
• Актуальность учётных записей - 30-60% существующих учётных записей – "мёртвые души"
• Использование обслуживающего ИТ-персонала - ~ 30% рабочего времени тратится на контроль доступа к приложениям и данным
• Нормативные акты и корпоративная политика безопасности - многие новые политики и требования к ИТ не возможно воплотить в жизнь в кратчайшие сроки
6
Задачи решаемые Novell Identity Manager
Управлениепаролями
Синхронизацияучётнойинформации
Корпоративный справочник
Ролевое предоставлениедоступа
Единая среда управления
и использования
Мета каталог
LINUX
Approved��
Согласование доступа к ресурсам
7
Использование Ролей
• Роль — элемент группирования доступов к ресурсам.
• Поддерживается многоуровневая иерархия ролей.
• Роли дополнительно объединяются в категории.
• Назначение ролей (доступов) может быть постоянным или временным.
• Активация доступа (роли) может быть с задержкой.
• Отслеживаются конфликтные роли.
8
Почему необходимо использовать Ролевое управление?
● Владелец ресурса участвует в разграничении прав доступа
● Автоматизация создания учётных записей, устраняющая ручное дублирование данных
● Динамическое изменение прав доступа при изменении статуса или роли сотрудника в организации
● Мгновенная ликвидация прав доступа
● Кардинальное уменьшение влияния человеческого фактора на процесс управления доступами.
● Реализация принятых политик безопасности
9
Поддержка огромного количества системDatabase IBM DB2 Informix Microsoft SQL Server MySQL Oracle Sybase JDBC DirectoriesCritical Path InJoin Directory IBM Directory Server (SecureWay) iPlanet Directory Server Microsoft Active Directory Microsoft Windows NT DomainsNetscape Directory Server NIS, NIS + Novell NDS, eDirectory Oracle Internet Directory Sun ONE Directory Server LDAP
E-mail systems Microsoft Exchange 2000, 2003Microsoft Exchange 5.5 Novell GroupWise Lotus Notes
Enterprise applications Baan J.D.Edwards Lawson Oracle Peoplesoft SAP HR SAP R/3 4.6SAP Enterprise Systems SAP Web Application Server (Web AS) 6.20Siebel
Enterprise message bus BEAIBM Websphere MQOpen JMSOracleJBOSSSunTIBCO
Mainframe RACF ACF2 Top Secret
Midrange OS/400 (AS/400)
Operating systems Microsoft Windows NT 4.0 Microsoft Windows 2000/3SUSE LINUX Debian Linux FreeBSD Red Hat AS and ES Red Hat Linux HP-UX IBM AIX Solaris Other Delimited Text Remedy (for Help Desk) SOAPDSML SPML Schools Interoperability Framework (SIF)
PBXAvaya PBX
10
Web-портал конечного пользователя
• Web-интерфейс для просмотра и управления данными в Identity Manager и ресурсами через механизм Provisioning
– Размещение заявок и контроль исполнения– Управление ролями– Организационная структура– Корпоративный справочник– Профиль пользователя
11
Инструменты проектирования и управления
12
● Без изменения существующих приложений возможность централизованного ролевого управления пользователями в реальном времени● Пользователи и группы различных систем будут автоматически синхронизироваться● Процесс заказа ресурсов, режим согласования с делегирование полномочий● Синхронизацию паролей - двунаправленная с AD, DomainNT, eDirectory, NIS+
● Автоматизацию обслуживания пароля● Возможность быстрой разработки и развёртывания● Аудит событий
Что обеспечивает Identity Manager?
27 Апрель, 2010
Novell SecureLoginNovell SecureLogin
Организация защищённого доступа к ИТ-ресурсам
14
До внедрения Novell SecureLoginEnterprise Single Sign-on (SSO)
SAP
Mainframe
Win32
SAP App
Workstation
Network OS
Win32 App
Mainframe
NOS
Username 1 / Password
Username 2 / Password
Username 3 / Password
Username 4 / Password
Password:123456
Password:123456
Password:123456
Password:123456
15
User Workstation
Novell SecureLogin
SAP
Mainframe
Win32
NOS
Password:123456
Password:john077
Password:carpediem09
Password:surferdude85
Gmail
Password:jj2500
Partner App
Password:acme01
После внедрения Novell SecureLoginEnterprise Single Sign-on (SSO)
16
Что обеспечивает Secure Login?
● Автоматическую аутентификацию во всех приложениях одним логином в eDirectory/AD
● Гибкую настройку клиентского ПО без дополнительного программирования
● Единую точку администрирования
● Снижение затрат на обслуживание пользователей и паролей
27 Апрель, 2010
Novell Access ManagerNovell Access Manager
Организация защищённого доступа к ИТ-ресурсам
18
• Необходимость организации VPN
• Необходимость интеграции доступов к различным системам (внутренним и внешним)
• Использование различных хранилищ пользователей
• Возможен прямой доступ к Web серверам
• Нехватка производительности Web-систем
• Необходима поддержка SSL на каждом сервере
• Необходимость замены пароля на сертификат
• Отсутствие единого логина (Web-SSO)
• Невозможен единый подход к безопасности из-за различий в Web-технологиях
• ...
Традиционный проблемы при организации доступа к ресурсам
19
Novell Access ManagerКомпоненты
20
Identity Server
• Управление доступом на основе ролей– Использование атрибутов LDAP
– Источник аутентификации– Использование роли всеми компонентами Access Manager
• Передача идентификационной информации– Identity Injection– SAML / Liberty Alliance Web Service Framework
• Взаимодействие с идентификационными хранилищами– eDirectory– Active Directory– Sun One
21
Access Gateway
• Защита Web-ресурсов– Аутентификация через Identity Server
– Авторизация
– Web Single Sign-On (header & form-fill)
– Identity Injection
– Организация защищённых соединений
• Поддержка нескольких платформ (soft appliance)
– SUSE Linux (SLES)
– NetWare
22
SSLVPN-шлюз ● Предоставляет защищённый доступ к non-HTTP
приложениям
● SSLVPN может размещаться как на Access Gateway, так и на Identity Server
● Active-X и Java Applet клиентское ПО (on-the-fly распространение)
> Поддерживаются Windows, Linux и Mac
● Функция проверка целостности> Проверяет наличие необходимого ПО (брандмауэр, антивирус и др)
● При помощи политик регламентируется набор используемых в корпоративной сети приложений
23
Инструментарий управления
24
Что обеспечивает Access Manager● Единое решение для организации доступа к Web и
корпоративным приложениям ● Управление доступом к Web-ресурсам не требует
разработки защиты для новых или существующих Web-систем
● Поддержка основных промышленных хранилищ учётной информации в любых комбинациях
● Возможность построения решений доступа с высокой доступностью
● Поддержка основных промышленных стандартов (SAML, Liberty Alliance, SSL)
● Простота управления, масштабирования и установки обновлений
27 Апрель, 2010
Novell SentinelNovell Sentinel
Мониторинг и анализ событий ИТ-инфраструктуры
26
Актуальные проблемы мониторингаИТ-инфраструктуры
● Трудность оценки эффективности принятых мер безопасности
● Огромный объем и трудность анализа информации от разнородных систем
● Трудоемкость разрешения инцидентов
● Трудность определения возможных угроз и принятия мер
Противодействие Противодействие внешним и внутреннимвнешним и внутренним
угрозам угрозам
Проверка соответствияПроверка соответствия процессов управления ИСпроцессов управления ИСкорпоративным политикамкорпоративным политикам
● Трудоемкость проведения аудита и составления отчетов. Неизбежные ошибки, возникающие при этом
● Требования к снижению затрат со стороны высшего руководства
● Реактивная, а не проактивная, модель управления ИТ-структурой
27
Функциональность, необходимая для контроля состояния ИТ
Firewalls
AntiVirus
IDS
Webservers
Databases
Identity Mgmt
Routers
Real-time View of Event Logs
Сбор - Нормализация - Корреляция - Реакция - Отчётность
Manage incidents
● Сбор и консолидация данных с различных систем● Нормализация полученных данных● Мониторинг и анализ в реальном времени● Реакция на события, автоматизация разрешения инцидентов● Отчётность о состоянии контролируемых систем
28
Архитектура Novell Sentinel
• Масштабируемая архитектура, оптимизированная для обслуживания распределённой инфраструктуры
• Обогащение событий бизнес-информацией
• Высокая производительность при обработке большого потока событий
• Быстрый отклик инструментов мониторинга и обслуживания
29
Существующие коллекторыFirewallsSymantec Enterprise FirewallCheck Point Firewall-1CyberGuardISS BlackICECISCO PIXSunScreenSonic Wall SonicwallSymantec Enterprise FirewallWatchGuard FireboxJuniper Netscreen
Intrusion PreventionSymantec ManHuntMcAfee IntruShieldMcAfee Entercept
Intrusion Detection(network-based)Symantec Decoy ServerCISCO IDSNFR Sentivist IDSEnterasys DragonOpen Source Software SnortIntrusion.com SecureNetISS RealSecureISS SiteProtectorJuniper NetscreenSourcefire Sourcefire
Routers & SwitchesNortel allCisco all
Incident ManagementBMC RemedyHewlett-Packard Service Desk
AuthenticationRSA ACECISCO ACS
Policy MonitoringSymantec Enterprise SecurityManager (ESM)
Intrusion Detection(host-based)Open Source Software COPSISS RealSecureTripwireSymantec Intruder Alert Manager
Patch ManagementBMC MarimbaPatchLinkNetwork ManagementIBM Tivoli Enterprise ConsoleHewlett-Packard OpenViewBMC PatrolMicromuse Netcool
ERPPeopleSoftSAP
Operating SystemsMicrosoft Windows NTMicrosoft Windows 2000/3Sun SolarisSun SunOSHewlett-Packard HP-UXIBM AIXRed Hat EnterpriseSuSE EnterpriseAS/400
Anti-VirusSymantec AntiVirusMcAfee VirusScanMcAfee ePolicy OrchestratorTrend Micro ServerProtectTrend Micro ScanMailTrend Micro InterScan VirusWall
Web ServersApache ApacheMicrosoft IISMicrosoft ProxyNetscape Proxy
Directory Services / IDMLDAP (standard)Novell eDirectoryNovell Identity ManagerNovell Access ManagerActive Directory
MainframeACF2, RACF, Top SecretOS/390Z/OSHP NonStop
DatabasesOracleSybaseMicrosoft SQL ServerMYSQL ABInformixSybaseDB/2
VPNCISCO VPN 3030CISCO PIX Device ManagerNortel VPNCheck Point VPN-1
Vulnerability AssessmentISS Internet ScannerISS Database ScannerMcAfee CyberCop ASaPMcAfee FoundstoneQualys QualysGuardOpen Source Software NessuseEye Retina Network SecurityScanner
30
Настройка существующих и разработка новых коллекторов
● Коллектор отвечает за сбор и нормализацию данных о событиях, связанных с безопасностью
● Поддерживаются различные механизмы сбора данныхLogfile, Socket, Syslog, SSL, SSH, OPSEC, SNMP, ODBC, JDBC, HTTP, WMI и другие
● Поставляемые инструменты позволяют создавать свои агенты (коллекторы) для сбора данных о событиях из любых источников
31
Построение системы контроля событийEvent Source Management
32
● Централизованный анализ событий● Анализ и визуализация в реальном времени● Обнаружение угроз, атак и нетипичного
поведения контролируемых объектов● Анализ исторических данных, связанных с тем
или иным событием
Мониторинг и анализ событий
33
Анализ корреляции между событиями
● Автоматический анализ событий от многочисленных граничных систем
● Гибкий механизм создания правил
● Единый набор правил для распределенных агентов обработки
● Автоматизированное открытие инцидентов
34
● Графическое описание процессов и механизмов разрешения инцидентов
● Отслеживание процессовобработки инцидентов
● Регистрация дополнительной информации в процессеразрешения инцидента
● Интегрируется с HPOV ServiceDesk и Remedy HelpDesk
● Возможность адаптации к принятым корпоративным инструкциям и регламентам
Автоматизация разрешения инцидентов
ОбнаружениеОбнаружение РазрешениеРазрешение
35
● Общая картина ИТ-управления– Анализ тенденций и аномалий– Отчет о деятельности, связанной с
обеспечением безопасности, согласно требованиям Sarbanes-Oxley и прочих законодательных актов
● Построение отчетов для внешнего аудита
– Мониторинг критичных ИТ-ресурсов– Анализ соответствия законодательству– Статистика разрешений инцидентов,
ликвидации угроз и предотвращения нарушения бизнес-правил
● Предопределенные, настраиваемые и произвольные отчеты
Отчётность по оценке безопасностиИТ и соответствия требованиям
36
Novell Sentinel - универсальное, эффективное решение задач мониторинга ИТ-инфраструктуры, реагирования на инциденты и отчётности
● Непрерывный мониторинг всех систем● Актуальная информация о состоянии критичных
ИТ-ресурсов● Упрощение принятия решений и ответных мер при
возникновении угроз, планирование мер по предотвращению потерь
● Минимизация рутинных операций и человеческих ошибок
● Прозрачность деятельности ИТ-службы для руководства, акционеров и внешних аудиторов