Безопасное использование мобильных устройств в корпоративной инфраструктуре. Практический опыт
Контроль и аудит доступа пользователей в...
description
Transcript of Контроль и аудит доступа пользователей в...
© 2007, Компания Aladdin
Контроль и аудит доступа пользователей в IT-инфраструктуре.
Найдите одно отличие
qwerty
HdyJGy%84^$;-)hjdG&743kkfT*][_%lbd629
Самый РАСПОСТРАННЕНЫ
Й пароль
Самый ПРАВИЛЬНЫЙ
пароль
Кража личности – миф или реальность?
Доля на “кражу личности”
57%
Burton Group: Аутентификация – основа IAM (Identity and Access Management)
Многофакторная аутентификацияДля успешного прохождения процедуры аутентификации
пользователь должен
знать нечто
иметь нечто
обладать набором индивидуальных черт
#e3Gr3!$FR
находиться в определённом местеIP-адрес, данные
RFID
Идентификация - процедура присвоения идентификатора объекту КС или установления соответствия между объектом и его идентификатором; узнавание.Аутентификация – Процедура проверки соответствия предявленного идентификатора объекта КС на предмет принадлежности его этому объекту; установление или подтверждение аутентичности.
НД ТЗИ 1.1-003-99
Кто ты?
User Name:Password:
x
Технология ААА
XКто ты?
Что ты можешь?
User Name:Password:
x
Технология ААА
XКто ты?
Что ты можешь?
Как всем этим управлять?
User Name:Password:
x
Технология ААА
X
Audit
Кто ты?Что ты можешь?
Как всем этим управлять?
Эээ…А что это было?!?
User Name:Password:
x
Технология ААА+А
Компоненты инфраструктуры IAM
• Средства строгой аутентификации пользователей• Инфраструктура открытых ключей (PKI)• Служба каталога• Single sign-on (Web, Host)• Аутентификация в унаследованных приложениях• Управление учетными (аутентификационными)
данными пользователя• Учет пользовательских данных и мониторинг
Концепция продуктовой линейки1. Средства аутентификации
– USB-ключи / смарт-карты / OTP– Средства разработки
2. Решения для управления паролями– eToken SSO / WSO / Windows Logon– eToken для Lotus Notes, SAP R/3
3. Решения для PKI-систем (хранение и использование закрытых ключей и цифровых сертификатов)– Microsoft, Linux, Oracle, IBM– Продукты российских разработчиков– Крипто-Про УЦ, Microsoft CA, RSA Keon
4. Управление учётными данными пользователями– eToken TMS
5. Защита персональных и корпоративных данных– Персональные данные, конфиденциальная информация– Базы данных, файловые архивы
eToken Pro• Защищенный микроконтроллер• Аппаратные шифрования DES, 3DES, RSA 1024/2048• Аппаратные хеш-функций SHA-1, MD5, MD5 HMAC• Четыре уровня полномочий доступа:
Гость Пользователь (с PIN-кодом) Администратор Эмитент
• PIN-авторизация со счетчиком набора (запрос-ответ)• Дополнительная аутентификация при работе с RSA-ключами• Защищенная память (16, 32, 64 кб)• Уникальные ID номера eToken и смарт-карты• Генератор закрытых ключей• Длина RSA ключа – от 8 до 2048 бит• Световой индикатор работы• Полупрозрачный защищенный герметичный корпус
Функциональная модель
Контроль физического доступа
• Бесконтактные радиометки RFID– Ангстрем БИМ-002– HID ISOProxII– Mifare– EM-Marine– Indala
• Все форм-факторы– USB-ключ, смарт-карта, комбинированные ключи
• Высокочастотные метки• Единая карта
– Физический доступ– Логический доступ
Чип смарт-карты
RFID-метка
Фото, логотип
eToken Windows Logon• Автоматический вход в корпоративную сеть• Блокирование компьютера • Мобильность• Автоматическая генерация пароля• Использование сложных паролей• Возможность входа в сеть по паролю
eToken Windows Logon• Автоматический вход в корпоративную сеть• Блокирование компьютера • Мобильность• Автоматическая генерация пароля• Использование сложных паролей• Возможность входа в сеть по паролю
eToken Windows Logon• Автоматический вход в корпоративную сеть• Блокирование компьютера • Мобильность• Автоматическая генерация пароля• Использование сложных паролей• Возможность входа в сеть по паролю
Доступ к приложениям
• Simple Sign-On– Безопасное хранение
регистрационных данных и автоматическое заполнение полей форм Windows-приложений
• Web Sign-On– Безопасное хранение
регистрационных данных и автоматическое заполнение полей HTML-форм
• eToken Windows Logon– Безопасное хранение
регистрационных данных и их использование при регистрации на рабочей станции и в сети Windows
eToken для PKI-решений
• Тенденции рынка– Переход от парольной к строгой двухфакторной
аутентификации– Всё больше продуктов поддерживают технологии PKI –
аутентификация, ЭЦП, шифрование данных– Продукты–«стимуляторы»: системы документооборота
• eToken обеспечивает– Безопасное хранение и использование закрытых ключей– Усиление функций безопасности
• Приложения, использующие закрытые ключи– ОС: Windows 2000/XP/2003/Embedded/Vista – Службы каталога: Active Directory, Novell eDirectory– Бизнес-приложения: Outlook/Exchange, Microsoft Office, Lotus
Notes/Domino, Oracle eBusiness Suite, mySAP Enterprise Portal– Продукты отечественных разработчиков: системы
документооборота (ЭОС); КриптоАРМ (Digt); «Клиент-Банк» (Диасофт); системы сдачи налоговой отчётности
eToken в решениях Cisco
• Аутентификация по протоколу 802.1x– Аутентификация на уровне сетевого порта
• Аутентификация клиентов при VPN-доступе– Клиентский VPN (IPSec)– Бесклиентский VPN (SSL VPN)– Средства: USB-ключи, смарт-карты, комбинированные
ключи с генераторами одноразовых паролей– Методы: закрытый ключ + сертификат, одноразовый
пароль• Хранение конфигурационных параметров, закрытых
ключей и сертификатов сетевого оборудования– Cisco ASA – Cisco VPN Concentrator 300x– Маршрутизаторы серии Cisco 2800 и 3800 ISR– Коннектор eToken TMS
eToken в решениях IBM
• Lotus Notes / Domino– Аутентификация пользователей Lotus Notes– Защита ID-файлов серверов Lotus Domino– Безопасное хранение и использование закрытых
ключей сертификатов – Защищённый удаленный доступ к веб-сервисам на базе
Lotus Domino
• Tivoli Access Manager– Обеспечение надёжной однократной регистрации
пользователя в информационной системе (Single Sign-On, SSO) с использованием eToken
– Реализация мандатного доступа к информационным ресурсам
– Поддержка eToken в IBM WebShpere Application Server и BEA WebLogic Server (IBM Tivoli Access Manager выступает как аутенфикационный прокси)
– Единая централизованная стратегия управления доступом
Аутентификация на терминальных клиентах • Строгая аутентификация с использованием закрытого
ключа и цифрового сертификата Х.509, установленных на eToken• На терминальных клиентах (регистрация в ОС)
• В домене Windows
• На сервере при терминальном доступе к Windows Server 2003
• Дополнительные возможности• Блокировка терминальной сессии и терминала
• Использование eToken в серверных приложениях
eToken для Microsoft Windows
• Решение проблемы «слабых» паролей– Полный отказ от использования паролей– Удобное использование сложных паролей
• Усиление функций безопасности операционных систем Microsoft Windows
– Замена однофакторной парольной аутентификации на двухфакторную аутентификацию
• Безопасное администрирование– Работа с минимальным уровнем привелегий– Простое выполнение операций / запуск приложений,
требующих повышенного уровня полномочий– Отсутствие необходимости ввода паролей с клавиатуры
• Максимальное полное использование потенциала уже приобретённых продуктов Microsoft
– Использование более защищённых протоколов ИБ– Повышается масштабируемость и управляемость
eToken для SSL / TLS
• SSL и TLS - основные протоколы защиты Web-трафика• SSL обеспечивает:
– Аутентификацию сервера: цифровой сертификат X.509– Защиту и целостность данных: данные шифруются с
использованием симметричных алгоритмов; для контроля целостности используются хэш-фукции
– Аутентификацию клиента: цифровой сертификат X.509
• Преимущества использования для SSL-аутентификации цифровых сертификатов X.509, установленных на eToken:Для пользователя• Мобильность• Надёжность• БезопасностьДля владельца серверного ресурса• Надёжная аутентификация (напр., для биллинга)
Выбор цифрового сертификата для входа на защищенный Web-портал
SSL-аутентификация с использованием закрытого ключа в памяти eToken
Роль eToken в PKI-системах
• Обеспечение безопасности закрытых ключей пользователя на всeх этапах их жизненного цикла:- Генерация- Хранение- Использование- Уничтожение
Проблема управления
• Microsoft• IBM• Cisco• Oracle• Novell• RSA• …• унаследованные
приложения
Централизованное управление
Децентрализованное управление
Жизненный цикл токена
Основные задачи
• Выпуск смарт-карты• Персонализация смарт-карты сотрудником• Обслуживание карты
– Добавление возможности доступа к новым приложениям– Отзыв предоставленного ранее доступа
• Замена / временная выдача новой карты• Разблокирование PIN-кода• Выход смарт-карты из строя• Отзыв карты
Что такое Aladdin TokenManagement System (TMS)?Система, предназначенная для внедрения,управления и использования средстваутентификации пользователей в масштабахорганизации.
TMS - связующее звено между:– пользователями;– политикой безопасности (организационными правилами);– средствами аутентификации;– приложениями ИБ.
eToken TMS 2.0Система управления жизненным циклом
• Новая архитектура• Ролевое управление• Новый графический интерфейс• Поддержка eToken NG-FLASH• Поддержка «виртуального токена»
• Единая система управления жизненным циклом для всех средств аутентификации - смарт-карт, USB-ключей и устройств с функционалом OTP
• Простая установка, основанная на мастерах (wizards)• Веб-интерфейсы:
– TMS Management Center (администрирование)– TMS Self-Service Center (пользователь в локальной сети)– TMS Remote Service Center (удалённый пользователь)
• Открытая архитектура– Коннекторы для интеграции с разнообразными приложениями безопасности– Комплект разработчика (eToken TMS Connector SDK) для разработки собственных
коннекторов• Обработка сценариев «утеря eToken» и «выход eToken из строя»• Обработка ситуации, если пользователь, находясь в командировке, потерял или
забыл eToken• Безопасное резервное копирование и восстановление профилей пользователя на
eToken• Аудит и отчёты• Ролевая модель доступа к eToken TMS• Встроенные механизмы шифрования данных, различные ключи шифрования для
разных поддоменов• Не требует выделенного сервера• Полная интеграция с Microsoft Active Directory
– Прямая связь с данными пользователя – нет необходимости в репликации– Полная интеграция с правилами и политиками пользователя в AD
Возможности eToken TMS 2.0
Поддерживаемые приложения
• Различные приложения безопасности поддерживаются за счет использования специальных коннекторов, входящих в комплект поставки:
– eToken Windows Logon (GINA) – eToken OTP Authentication, включая eToken PASS– eToken Single Sign-On (SSO) 3.0– Microsoft CA – для приложений, использующих
PKI-технологии (VPN, SSL, аутентификация в сети)
– P12 Importing Tool– Check Point Internal CA – eToken Flash Partition Application
Ролевое управление
Редактор Token Policy Object (TPO)
• Установка всех политик TMS • Если политика может быть установлена как Not Defined, то
определение берётся из вышестоящей политики• Установки включают:
– General Settings/Mail Server Settings– Connectors Settings– eToken Settings (Initialization Settings, Password Settings, eToken
Properties – Enrollment Settings – eToken recovery options– Audit Settings– Desktop Agent Settings
Конфигурация Token Policy Object
TPO для конекторов
• В качестве примера – коннектор eToken OTP.
TPO – параметры PIN-кода eToken
TMS Management Center Help Desk
Быстрые и эффективные help desk – утилиты и операции
Token InventoryОнлайновая инвентаризация токенов
User Search by OU
Отчеты и аудитTMS предоставляет гибкие и обширные отчеты
Веб-сайт пользователя - MyeTokenБезопасное самообслуживание токена, снятие нагрузки с администратора
Сотрудник в дороге
• Сотруднику необходимо сделать очень важную презентацию у заказчика, находящегося за границей и он не может найти etoken
• Ему необходимо следующие решения для:– Входа в свой персональный компьютер – Проведения операций по расшифрованию файлов– Получить доступ к электронной почте и другим
приложениям
• Поддержка - eToken Virtual– Безопасный ключ в программном хранилище, временно
активируется до возвращения сотрудника в офис– TMS предлагает несколько методов для использования
eToken Virtual в зависимости от требований безопасности и схем использования
Восстановление доступа с использованием виртуального eToken • Когда используется виртуальный eToken?
– Решение в случае утери eToken– Особенно полезно в ситуации, когда сотрудник находится вне
офиса
• Содержимое виртуального токена определяется через eToken TMS (коннекторы):– Например, Windows Logon (профиль или сертификат)
• Как виртуальный eToken загружается на клиентскую рабочую станцию?– Вручную пользователем через веб-сайт TMS – Автоматически через TMS Client (возможность
устанавливается администратором)
• Виртуальный eToken создаётся заново каждый раз, как происходят изменения в оригинальном eToken (выпуск, обновление данных и др.)
Восстановление доступа с использованием виртуального eToken
• Срок действия и отзыв виртуального eToken:– При выпуске виртуального eToken определяется период
времени, в течение которого он будет действовать (до возвращения пользователя в офис)
– По истечении данного периода виртуальный eToken отзывается
• По возвращении в офис – выпуск нового аппаратного eToken для пользователя:– Выпуск нового eToken приведёт к автоматическому отзыву
виртуального eToken.
Коннекторы TMS
• TMS управляет приложениями ИБ с использованием механизма TMS connectors
• Коннектор отвечает за взаимодействие с определённым приложением
• Коннекторы добавляются и конфигурируются отдельно для каждого ОП
• Коннекторы конфигурируются через настройки TPO. Настройки также могут применяться на уровне пользователя / группы пользователей.
Возможности коннекторов
• Коннекторы TMS обеспечивают:– Прямой выпуск или выпуск через веб-интерфейс (т.е.
Веб-сайт самообслуживания пользователя) данных приложений (профили, ключи и др.) на eToken
– Конфигурация и настройка параметров приложений
– Безопасное централизованное хранение пользовательских данных
– Отзыв токенов и профилей данных
– Резервное копирование и восстановление при отработке сценариев «потерянный eToken» и «вышедший из строя Token»
– Предоставление данных для аудита и построения отчётов
eToken TMS Connector SDK
• Набор APIs и примеров кода для создания новых коннекторов
• Простейший коннектор может поддерживать только операцию выпуска
• Более сложный коннектор обеспечивает:• Конфигурацию и настройку приложения,
предоставление данных для системы построения отчётов, отзыв, резервное копирование и восстановление данных
• SDK включает:
• Пример кода коннектора (с комментариями), который сохраняет введённый пароль в памяти eToken
• Полную документацию
Линейка решений на eToken
Успешный проект от одного вендора
Партнерские решения
Спасибо за внимание!
Дмитрий Снопченко[email protected]