Access Governance einfach, flexibel und praxisnah

Jürgen Bähr

j.baehr@daccord.de

Beschreibt die Verfahren zur kontinuierlichen Auswertung, Kontrolle und Darstellung der vorhandenen Identitäten und deren Zugriffsberechtigungen.

Access Governance

„Access Governance ist heutzutage für jedes Unternehmen ein Muss!“

Martin KuppingerFounder & Principal AnalystKuppingerCole Ltd.

Die Identität im Zentrum

• Im Zentrum einer Unternehmung stehen die teilnehmenden Personen

• Zugriff auf Unternehmensinformationen tagtäglich

• Die Kunst! Zugriff der richtigen Personen auf die richtigen Daten

• Das Risiko! Gefährdung der Unternehmung durch Diebstahl, Manipulation, Vernichtung der Daten …

• Das Ergebnis! Vermehrte Kosten durch erhöhte Aufwände, Risikorückstellungen, Versicherungen, Absicherungen …

Lebenszyklus einer Identität

Eintritt

Austritt

Abteilungswechsel

Beförderung

Elternzeit

Namensänderung

LokationswechselÜbergangssituationen

• Unerlaubte Berechtigungskonstellationen

• Verwaiste Benutzerkonten

• Anhäufung von Funktions- und Testbenutzern

• Anhäufung durch Abteilungs- und Funktionswechsel

• Fehlende Prozesse für den Berechtigungsentzug

• Verantwortung alleine in der IT

• Berechtigungsvergabe auf Zuruf

Resultierende Risiken

Fundamentaler Lösungsansatz

• Definition der Identitätstypen

• Optimierung der Identitätsprozesse

• Automatisierung der Kontenanlage und Berechtigungsvergabe

• Unterstützung durch elektr. Anträge

• …

Nachteil: Das dauert … und ist aufwändig!

Pragmatischer Lösungsansatz mit daccord

• Akzeptieren wir die Situation

• Zeigen wir auf, wie es aussieht

• Verbessern wir das was zählt - das Endergebnis

• Teilen wir Verantwortung

• Einhaltung der Gesetzesvorgaben

Vorteil: Das Ergebnis stimmt! Zeit für Verbesserung!

• Fragen wir den, der es weiß!

– Personenverantwortliche (Vorgesetzte, Abteilungsleiter, Betreuer …)

– Systemverantwortliche (Fachanwendungsverantwortliche, System-

Administrator, …)

– Rechteverantwortliche (IT-Leiter, IT-Sicherheits-Verantwortliche, …)

– Rollenverantwortliche (Abteilungsleiter, Fachanwendungs-

verantwortliche, …)

Berechtigungskontrolle – Aber wie?

Verschiedene Sichtweisen für unterschiedliche Verantwortungen

1. Aufbereitung der Informationen nach Bedarf

2. Darstellung und Kontrolle durch Verantwortliche – Einführung von

Rezertifizierungen (Bestätigung der Korrektheit)

Besser machen!

• Definition des korrekten Zustandes -> Soll-Modell

• Betrachtung der Abweichungen vom Soll (hat mehr als …)

• Betrachtung der Veränderungen (dazugekommen seit …)

• Rezertifizierung bei Notwendigkeit (z.B. 4 Wochen nach Abteilungswechsel)

Berechtigungskontrolle – Aber wie?

Berechtigungskontrolle – Aber wie?

• Zyklisch, mit bewährten Mitteln

Berechtigungskontrolle – Aber wie?

• Jederzeit, mit neuen Mitteln

Spürbare Kosten- und Zeitersparnis

Jederzeit Zugriff auf den aktuellen Berechtigungsstand aller Systeme

Reduzierung der Kosten durch Löschung verwaister Konten

Ermittlung und Bereinigung von unerlaubten Berechtigungen

Verlagerung der Verantwortung an die richtige Stelle

Fachlich fundierte Kontrolle und Bereinigung

Einhaltung gesetzlicher Auflagen und interner Richtlinien

Aktive Kontrolle der Umgebung

Forcierte, garantierte Bereinigung

Entzerrung der arbeitsintensiven Rezertifizierungsprozesse

Konkreter Nutzen

Lernen Sie daccord kennen

• 2010 durch einen int. Finanzdienstleister beauftragt

• Hauptanforderungen der Abteilung Information Security:• Zentrales Reporting von Berechtigungsvergaben aus jedem System

• Implementierung von Rezertifizierungsprozessen

• Entwicklung eines generalisierten Produktes 2011

• Entwicklung neuer Key Features 2012/2013

• Aktuelle Version 1.6

• Version 1.6.5 Q42016 / 2.0 Anfang 2017

Produkthistorie

• Insgesamt 8.000 Mitarbeiter und Externe Personen

• ca. 450 angebundene Systeme jeglicher Art

• Betroffen von gesetzlichen Auflagen (BaFin, CSSF, SEC, etc.)

• Zwei daccord Administratoren (Frankfurt a.M., Luxembourg)

• Produktsupport und initiale Beratung

• Kundenspezifischer Entwicklungsstrang

daccord @ Internationaler Finanzdienstleister

daccord SOLL …

… die Sammlung von Daten aus jedem System vereinfachen!

… die Transparenz von Berechtigungsvergaben erhöhen!

… Unregelmäßigkeiten und Verstöße aufdecken!

… kontinuierliche Prüfungen durchsetzen!

… bestehende Lösungen ergänzen!

Produktstrategie

daccord SOLL NICHT …

… automatisch Berechtigungen provisionieren!

… eine globale Administration für Systeme sein!

… Zugriffe in Echtzeit überwachen!

Produktstrategie

Datenmodell

Architektur

• Modulares Konzept• Durch zusätzliche Connectoren, Notifier, etc. erweiterbar

• Optionale Aktivierung von Basisfunktionen (z.B.: Rollen, Anträge)

• Auf Java und Open Source Technologien basierend

• Datenablage basiert auf MySQL

• Gewährleistung von Mehrsprachigkeit• Flexible und einfache Integration zusätzlicher Sprachen

Technische Fakten

• Verschiedene Engines und/oder Frontends

• Kein zusätzlich DB-Layer zur Optimierung der Performance

• Generierung von PDF-Reports (900 S.) in weniger als 30 Sek.

• Aktuelle Kunden nutzen „Single Instance“-Systeme

Skalierbarkeit

15.000 Personen

87.000 Benutzerkonten

40.000 Berechtigungen

342.000 Zuweisungen

Anwendungsfall - Bilfinger HSG Facility Management

Der Verzeichnisdienst-Collector benötigt 2 Minuten(19.000 Benutzerkonten mit Berechtigungen und Zuweisungen)

Spezial-Connectoren:

Oracle JDBC ConnectorMicrosoft SharePoint ConnectorMicrosoft NTFS ConnectorMicrosoft Exchange / Office 365Novell NSS ConnectorNovell Vibe ConnectorSalesforce Connector

SAP ConnectorSAP User ConnectorTYPO3 ConnectorFLT Connector (Fixed length, Mainframe) XML ConnectorS2S Connector (System to system)

Connectoren

Standard-Connectoren:

LDAP ConnectorMicrosoft Active Directory ConnectorCSV ConnectorJDBC Connector

Verzeichnisdienste:

Microsoft Active DirectoryNetIQ eDirectory

Dateisysteme:

Novell NSSMicrosoft NTFS

Mainframe-Systeme:

IBM RACFIBM AS/400

Betriebssysteme:

Microsoft ServersDebian Linux ServersSUSE Linux ServersUnix Systems

Endpoint Management:

NetIQ Access ManagerSymantec Endpoint Protect.Casper SuiteNovel ZENworks

Storage-Systeme:

NetApp SANNetApp SAN Metro ClusterEMC SANHP StoreFabric SAN

IAM-Systeme:

NetIQ Access ManagerCyberArk - Priviledged IDMNet2Access

Datenbanken:

MySQL DatabasesOracle DatabasesGRID Control (Oracle)

Email-Systeme:

Microsoft ExchangeIBM NotesNovell GroupWise

... Nur ein Auszug ...

Systeme

Arbeiten mit daccord

Systemadministration

Datenadministration

Systeme

• Gesammelte Daten werden automatisiert analysiert

• Benachrichtigungen jeglicher Art können initiiert werden

• Beispiele:• Versendung einer Email-Benachrichtigung, falls für externe Personen

kein Ablaufdatum definiert ist

• Erstellung eines Eintrags in einem Helpdesk-System wenn inaktive Personen noch Berechtigungen in risikoreichen Systemen besitzen

• Kontinuierliches Informieren der Right Manager oder Data Owner über die Personen, die Berechtigungen in ihrem Verantwortungsbereich besitzen

• Hinweis an CISOs über Personen, die zwei bestimmte Berechtigungen besitzen

Regelwerke & Benachrichtigungen

• Vordefinierte Reports können auf Klick über die Web-Frontends generiert werden

• Individuelle Reports können mit einem Report Design Tool erstellt werden (BIRT Report Designer)

• Verschiedene vordefinierte oder individuelle Reports können mithilfe des daccord Email Notifiers versendet werden

Reporting

Reports

• Die Kontrolle von Berechtigungsvergaben durch RightManager kann durchgesetzt werden

• Externe Rezertifizierungsprozesse können unter Berücksichtigung der gesammelten Daten und der gesetzten Verantwortlichkeiten ausgelöst werden

• Rezertifizierungsreports können an Verantwortliche versendet werden

• Anträge jeglicher Art könne in externen Systemen angestoßen werden

Rezertifizierung & Anträge

User Frontend - Rezertifizierung

User Frontend - Rezertifizierung

Rund um daccord

Consulting Services• daccord Consulting durch G+H

• daccord Systemintegratoren

• daccord Legal Advisors

Support Services (G+H Support Center) • Produktsupport

• Support-Pakete für individuelle daccord Projekte

• Fallbasierter oder vertragsbasierter Support

Enablement Services• Webinare

• Onsite Workshops

• Experten-Trainings

daccord Ecosystem

Pakete• daccord System (inklusive der 4 Standard-Connectoren)

• daccord Spezial-Connectoren

Personenbasierte Zählung• Aktive natürliche Personen zählen

• Inaktive natürliche Personen zählen nicht

Upgrade Protection• Upgrades und Patches sind inklusive

Lizenzmodell

Kunden mit 5.000 aktive Mitarbeiter

Benutzer über Standard-Connectoren• 10.000 über daccord LDAP Connector

• 40.000 über daccord CSV Connector

Benutzer über Spezial-Connectoren• 4.500 über daccord NTFS Filesystem Connector

• 1.000 über daccord FLT Connector

Benötigte Lizenzen• 5.000 daccord System Lizenzen

• 4.500 daccord NTFS Filesystem Connector Lizenzen

• 1.000 daccord FLT Connector Lizenzen

Lizenzierungsbeispiel

Soft Appliance• Basierend auf openSUSE Linux

• Update Channels für das Betriebssystem und daccord

Installierbare Pakete• SUSE Linux Enterprise Server

• Red Hat Enterprise Linux Server

• openSUSE Linux

Software-Bereitstellung

Möglichkeiten• daccord Best Practice mit einem Kunden

• Technischer Webcast

• daccord Schnellanalyse

• POC

Ihr Kontakt

Nächste Schritte

Jürgen BährGeschäftsführereMail: j.baehr@daccord.deTel.: +49 69 85 00 02 – 42

•••

Vielen Dank für Ihre Aufmerksamkeit!

•••