Post on 05-Apr-2015
Vertrauen in Identitäten und Transaktionen
Ingo Schubert, Security Consultant
ischubert@rsasecurity.com
Agenda
• Vertrauen als Grundlage einer sicheren Transaktion• Authentisierung• Authorisierung• Rechtemanagement• Daten-Sicherheit
Für Ihre Geschäftsprozesse …
Kunden•Online-Anwendungen für Verbraucher• Finanzielle Transaktionen im Internet
Mitarbeiter•Automatisierung und Verwaltung für das Vertriebsteam
• Remote-Zugriff von anderen Standorten
• Netzwerkverwaltung
Geschäftsprozess
Daten
Transaktionen
Menschen
Geräte
Partner•Beschaffung und Auftragsabwicklung•Vertragsverhandlung und -ausführung
• Wer sind Ihre Benutzer?• Welche Daten können diese
einsehen?• Welche Funktionen können sie
ausführen?• Wann haben sie Zugriff?• Wann haben sie Transaktionen
durchgeführt?• Wie werden die Benutzer verwaltet?• Ist bei der Kommunikation
Datenschutz gewährleistet?• Sind die Transaktionen sicher?
…schaffen wir Vertrauen im e-Business
Vertrauenswürdiger e-Business-Prozess
Menschen
Geräte
Daten
Transaktionen
Gute Gründe für vertrauens-würdiges e-Business
Stärkere Konformität
• Definierter Ablauf• Partner• Kunden
Niedrigere Kosten• Kosteneinsparungen
• Kostenvermeidung• Effizienz• Effektivität
Weniger Risiken•Datensicherheit•Transaktionssicherheit
Höhere Umsätze• e-Business-Potenziale• Umsatzsteigerung• Größere Marktabdeckung
• Wettbewerbsvorteile
Vertrauenswürdigere-Business-Prozess
Hoher ROI durch vertrauens-würdige e-Business-Prozesse
Menschen
Geräte
Daten
Transaktionen
RSA Security‘s Know How
Menschen undGeräte
AuthentifizierungZugriffs-
verwaltung VerschlüsselungDigitale
Signaturen
Daten und Transaktionen
Benutzerund Geräte
bestimmen
Zugriffsrechtepersonalisieren
und verwalten
Datenintegritätgewährleisten
Transaktions-integrität
sicherstellen
Menschen und Geräte
Vertrauenswürdige e-Business-Prozesse implementieren
• Führende Produkte
• Garantierte Interoperabilität
Daten und Transaktionen
AuthentifizierungZugriffs-
verwaltung VerschlüsselungDigitale
Signaturen
Vertrauen
• Jede Transaktion im „echten“ Leben basiert auf ein gewisses Vertrauen zwischen den beteiligten Parteien und der Umgebung.
• Im Internet ist Vertrauen schwieriger zu erlangen— Parteien sehen sich nicht— Automatische Systeme— …
• Um hochwertige Transaktionen abzusichern sind drei Schritte notwendig
— Authentisierung— Authorisierung— Absicherung der Daten
Authentisierung
• Authentisierung ist die Grundlage für e-business— Vertrauen in die gegenseitige Identität ist die Vorraussetzung
einer erfolgreichen Transaktion.• Ohne das Wissen wer am Ende der Leitung sitzt ist
— eine Zuteilung von Zugriffs- und Transaktionsrechten nicht möglich
— Vertrauen in eine digitale Signatur nicht möglich• In den meisten Fällen (wenn nicht immer) ist es sinnlos Daten
zu verschlüsseln, falls der Empfänger nicht authentisiert ist.
Passwörter…
Das Problem mit Passwörtern
• Zu kurz, zu einfach, zu alt, zu häufig an verschiedenen Systemen benutzt…
— Passwörter an sich sind angreifbar• Durch den schlechte Qualität eines Passwortes leidet das
Vertrauen in die Identität des Transaktionspartners— Systeme mit sensitiven Daten können nicht online (z.B. zu hohes
Risiko)— Systeme mit sensitiven Daten dürfen nicht online (z.B. wegen
bestimmter Gesetze und Verordnungen)
• Passwort Resets kosten pro Anruf ca. 20 € – 40 €
Die Lösung…
• Anstatt nur eines statischen Passworts wird eine Zwei-Faktoren Authentisierung eingesetzt
— Something you know (die PIN)— Something you have (den Token)
• Nur die Kombination aus dem Token und er dazugehörigen PIN ermöglicht eine erfolgreiche Authentisierung.
• Je nach Umgebung kann dem Benutzer u.a. ein automatischer PIN Reset ermöglicht werden.
Tokens
• Zwei Geschmacksrichtungen— Passcode Generatoren— SmartCards
• RSA SecurID erzeugen alle 60 Sekunden einen neuen Tokencode.
— Der Benutzer gibt diesen zusammen mit seiner PIN als Passcode zur Authorisierung weiter
• SmartCards werden üblicherweise zur Speicherung von Schlüsseln und zugehörigen Zertifikaten verwendet.
RSA SecurID Authentication Devices
• Breites Angebot— Key fob— Card— Pin Pad— PC— Palm— Wireless phones
• Zero-Footprint— Keine Software notwendig (für
Hardware Token)• Leicht zu bedienen• Die am meisten eingesetzte starke
Authentisierungsmethode
SmartCards
• SmartCards als Speicherort für Schlüssel und digitale Zertifikaten können nicht nur zur Authentisierung sondern auch als Basis für Verschlüsselung und digitale Signatur eingesetzt werden.
• RSA Produkte u.a.— RSA SecurID Passage (SmartCard, Reader, Software)— RSA Keon (zur Ausstellung und Verwaltung von Zertifikaten)— RSA eSign (zur unterschreiben von Daten)— RSA SureFile (Verschlüsseln und signieren von Dateien)— RSA BSAFE (Kryptographische Toolkits)
RSA Mobile Authentisierung (I)
RSA Mobile Authentisierung (II)
RSA Mobile Authentisierung (III)
RSA Mobile Authentisierung (III)
RSA Mobile Authentisierung (IV)
RSA Mobile Authentisierung (V)
Authorisierung
• Sobald ein Benutzer authentisiert ist, stellt sich die Frage “Was darf der Benutzer?”
• Jedem richtigen Benutzer seine Ressource— Vergleich von Benutzerprofilen mit definierten Rollen— Zugriff wird gestattet oder verwehren basierend auf
• Statischen Kriterien (z.B. Stellenbeschreibung, Abteilung etc.) • Dynamischen Kriterien (z.B. Kontostand, Tageszeit etc.)
• All diese Informationen müssen, einfach aber flexibel, zentral für die unterschiedlichsten Ressourcen verwaltet werden.
ProblemWie verwaltet man die Identitäten einer wachsenden Benutzerbasis…
Partner
Kunden
Angestellte
Access Channels: Intranet, Extranet, Portal, Wireless
Problem
“Silo”AccessMgmt.
“Silo”AccessMgmt.
“Silo”AccessMgmt.
“Silo”AccessMgmt.
“Silo”AccessMgmt.
EmployeesCustomers Partners
HR, Financial Mgmt.
e-CRM Supply Chain Mgmt.
Industry Specific
e-Commerce
…und deren sicheren Zugriff auf Web Resourcen?
Access Channels: Intranet, Extranet, Portal, Wireless
Lösung
Web Access ManagementSolution
EmployeesCustomers Partners
HR, Financial Mgmt.
e-CRM Supply Chain Mgmt.
Industry Specific
e-Commerce
SSO
Anforderungen
• Je mehr Applikationen Web-enabled werden, desto komplexer wird die Verwaltung von Benutzern und deren Rechten auf Applikationen
— Nicht nur Angestellte sind Benutzer sondern auch Partner, Kunden etc.• Vereinfachung der aufwendingen und teuren Administration von
Authentisierungs- und Authorisierungs-Policies über mehrere Applikationen
— Zentrales Policy Management• Einfachere Benutzung durch Web-SSO beim Zugriff von Enterprise
und Partner Sites für Kunden, Partner und Angestellte — Reduziert auch die Anzahl vorhandenen Passwörter
• Einhaltung neuer Gesetze, Bestimmungen und Verordungen
Passwort
AuthentisierungJe nach Ressource…
Schwach Stark
No PolicyPolicy + + +
+
Web Single Sign On (Web SSO)
• SSO = Einmaliger Login erlaubt Zugriff auf mehrere (oder alle) Applikationen
• Höhere Sicherheit— Keine Passwörter mehr auf PostIt Notes und Keyboards— SSO macht starkes Passwort Management akzeptabler— Starke Authentisierung als “Schlüssel zum Königreich” möglich
• Erlaubt einfacheres, bequemeres Arbeiten • Spart Help Desk Kosten
— Viele Help Desks verbringen 50% ihrer Zeit mit Passwort Resets
Web SSO Standards
• Um ein Web SSO zwischen mehreren Domains, die Produkte verschiedener Hersteller einsetzen, zu ermöglichen wurde SAML (Security Assertion Markup Language) entwickelt.
• SAML ermöglicht es Benutzer Credentials und Attribute von einer Domain zur nächsten zu leiten.
• Die Liberty Alliance, ein Zusammenschluss von Herstellern, setzt auf SAML um Kunden die Bildung von „Circles of Trust“ zu ermöglichen
— z.B. Bank als Identity Provider und Retailers als Service Providers.
Delegated Administration
Intranet Extranet
Super User
Group Administrators
Business Unit Business Unit Customer Partner
Users
VBU VBU VBU VBU
Delegated Administration
• Verhindert die umständliche zentrale Administration grosser Benutzerbestände
• Delegation von Benutzer und Rechteverwaltung
• Eingeteilt in Virtual Business Units (VBUs)
• Abgestufte Zuteilung von Rechten
Absichern von Transaktionen
• SSL alleine genügt oft nicht— Die Daten einer Transaktion sind nur während der Übertragung
geschützt.— Auf dem Server angekommen fehlt die Möglichkeit die Transaktion
später zu verifizieren. • Wird die Transaktion dagegen auf dem Client signiert, kann
jederzeit überprüft werden ob z.B. die Daten verändert wurden.
• eSign ermöglicht es HTML Forms auf dem Client zu signieren, verifizieren und optional zu verschlüsseln.
— Der Server überprüft vor dem wieteren Verarbeiten die Signatur • S/MIME ist der Standard für sicheres eMail.
RSA Keon e-Sign in Action
RSA Keon e-Sign in Action
RSA Keon e-Sign in Action
Weitere Anwendungsfälle
• Mehrstufiges Unterschreiben— Urlaubsantrag von Angestellen— Genemigung vom Vorgesetzten
• Elektronische Rechungsstellung— Ab 1.1.2002 Vorsteuerabzug auch bei elektronische
Rechnungstellung möglich – allerdings nur bei Rechnungen die digital unterschrieben wurden
— Ab 1.1.2004 EU weit gültig
RSA Secure e-Mail
• Sicherheitsmängel bei der e-Mail-Kommunikation sind für viele Unternehmen äußerst problematisch.
• Mit RSA Secure eMail können Benutzer ihre e-Mails signieren und verschlüsseln, so dass nur die gewünschten Empfänger die Nachricht lesen können.
• Nahtlose Integration in MS Exchange und MS Outlook• Geschäftsvorteile:
— e-Mail wird zum geeigneten Medium für den Austausch vertraulicher Nachrichten
— Schnell implementierbare und benutzerfreundliche sichere e-Mail-Lösung für Unternehmen, die auf dem Client nur ein gängiges MS e-Mail-Programm erfordert
RSA Smart Badging-Lösungen
• RSA Smart Badging Lösungen verbinden den Zugangsschutz bei IT-Ressourcen mit herkömmlicher, physischer Zugangssicherheit bei Gebäuden & Anlagen.
• Eine integrierte Lösung für Zugangsmanagement kombiniert SmartCard-Technologie mit den Funktionen von physischen Mitarbeiterausweisen.
• Vorteile:—Integrierte Lösung für die Sicherung von PC’s, Netzwerken,
Einrichtungen & Gebäuden erhöht den ROI—Vereinfachter Zugang zu wichtigen Ressourcen bei verbesserter
Sicherheit—Höhere Benutzerfreundlichkeit, verringerter, adminstrativer
Aufwand
Ausstellung von Zertifikaten
• Digitale Zertifikate sind das Äquivalent zu traditionellen Personalausweisen.
• Um sinnvoll Daten digital zu unterschreiben, müssen die Benutzer Schlüssel und digitale Zertifikate besitzen
• Die Ausstellung und Verwaltung der Zertifikate ist Aufgabe einer Certificate Authority
RSA Keon Certificate Authority (CA)
• Zentrale Zertifizierungsstelle stellt digitale Identitäten zur Verfügung:
— Ausgabe, Verwaltung und Überprüfung digitaler Zertifikate• Erfolgreiche Skalierung auf 8 Millionen Zertifikate pro
Server in unabhängigen Tests• Common Criteria Evaluation Assurance Level 4+• Branchenführende Komponenten:
— Keon OneStep— Integriertes Echtzeit-OCSP
RSA BSAFE Entwicklertools Einfachere Bereitstellung sicherer Lösungen
Broadband
SSL-JSSL-C
WTLS-CIPSec-C
SSL Micro Edition
Algorithms,Math Libraries
Crypto-C Crypto-J
Crypto-C Micro Edition
Cert-C
Cert-J
Cert Micro Edition
Algorithms,Math Libraries
Crypto-C Crypto-J
Crypto-C Micro Edition
Cert-C
Cert-J
Cert Micro Edition
Algorithms,Math Libraries
Crypto-C Crypto-J
Crypto-C Micro Edition
Algorithms,Math Libraries
RSA BSAFE Anwendungsbeispiele
• integriert in Internet Explorer, Siemens Handy, etc.
• RSA Enterprise Produkte
• RSA Sure File— Verschlüsselung— Signierung— Komprimierung (PKZIP)
Absicherung von Daten
• Um allgemein die Sicherheit von Daten (z.B. in Datenbanken) zu gewährleisten, ist eine Verschlüsselung und/oder digitale Signatur der Daten notwendig
• Administratoren von Servern sollen nicht Zugriff auf Datenbanken bekommen
— Unberechtigtes Auslesen von Daten— Unberechtigtes Abändern von Daten
• EU Datenschutzrichtlinie für elektronische Kommunikation
Partnerschaften mit Spitzenunternehmen
Telekommunikation Banken und Finanzwesen
Technologieinfrastruktur Petrochemische Industrie
Einige unserer über 8.000 Kunden
Transport und Verkehr
Online-Business
Behörden
82 % der Fortune 10088 % der Fortune e-50
88 % der 200 weltweit führenden Finanzunternehmen 92 % aller Pharmaunternehmen der Fortune 500
Elektrische Energieversorgung
Einige unserer über 8.000 Kunden