NetIQ Privileged Account Manager
Transcript of NetIQ Privileged Account Manager
NetIQ Privileged Account Manager
Zarządzanie kontami uprzywilejowanymi w systemach Linux, Unix, Windows i bazach danych
Piotr Szewczuk Konsultant [email protected]
Zintegrowane rozwiązania NetIQ do zarządzania tożsamością i dostępem
• NetIQ Identity Manager Family • NetIQ Access Review • NetIQ Access Governance Suite • NetIQ eDirectory™
• NetIQ Directory and Resource Administrator™
• NetIQ Group Policy Administrator™
Zarządzenie tożsamością
• NetIQ Access Manager™ • NetIQ Secure Login 8 - Enterprise
SSO • Advanced Authentication
Framework • NetIQ SocialAccess - Identify Web
Guests • NetIQ MobileAccess • NetIQ Cloud Security Service
Zarządzenie dostępem
• SIEM NetIQ Sentinel™ / Sentinel™ Log Manager
• NetIQ Sentinel Security Solutions for iSeries Agents
• NetIQ Privileged Account Manager • NetIQ Change Guardian™ for MS AD,
MS GPO, MS Windows and Linux Servers
• Secure Configuration Manager
• Security Solutions for iSeries
Zarządzenie bezpieczeństwem
Zautomatyzowane i bezpieczne przydzielanie dostępu dla użytkowników biznesowych i administratorów
Egzekwowanie w czasie rzeczywistym praw dostępu dla wszystkich punktów końcowych
Zapewnienie monitorowania, raportowania i przywracania dostępu do zasobów w całym przedsiębiorstwie
serwery fizyczne wirtualne chmura
CZYM JEST ZARZĄDZANIE TOŻSAMOŚCIĄ KONT UPRZYWILEJOWANYCH?
3
NERC CIP
Privacy Mandates HIPAA / HITECH
ISO 27001/2
SOX
Audits
European Data Protection Regulation
PCI DSS
Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością?
“Right to be forgotten”
GLBA
User demands
Governance
NERC CIP
Privacy Mandates HIPAA / HITECH
ISO 27001/2
SOX
Audits
European Data Protection Regulation
PCI DSS
Dlaczego trzeba inwestować w zarządzanie uprzywilejowaną tożsamością?
“Right to be forgotten”
GLBA
User demands
Governance Gartner Strategic Assumption By 2017, more stringent regulations around control of privileged access will lead to a rise of 40% in fines and penalties imposed by regulatory bodies on organizations with deficient PAM controls that have been breached.
- Market Guide for Privileged Access Management – May 27, 2015
Setting the stage
“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet
“Cost of Target Data Breach Exceeds $200 Million”
– Consumer Banker’s Association
Neiman Marcus Sued Over Customer Credit Card Data Breach
- Bloomberg
“Target says up to 70 million more customers were hit by December data breach”– The Washington Post
“Health care data breaches have hit 30M patients and counting…” – The Washington Post
“Energy company reports $1 billion in charges and a loss” - New York Times
“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek
Setting the stage
“Home Depot Breach Has Already Cost $43 Million ” – eSecurityPlanet
“Cost of Target Data Breach Exceeds $200 Million”
– Consumer Banker’s Association
Neiman Marcus Sued Over Customer Credit Card Data Breach
- Bloomberg
“Target says up to 70 million more customers were hit by December data breach”– The Washington Post
“Health care data breaches have hit 30M patients and counting…” – The Washington Post
“Energy company reports $1 billion in charges and a loss” - New York Times
“Security Breach Exposes Data on Millions of Payment Cards” - InformationWeek
Several high-profile breaches and insider attacks have been known to exploit privileged accounts, and this has increased the interest in tools to tighten controls on privileged activity, as well as interest in two-factor authentication for privileged access. While in 2013 the majority of inquiries about PAM tools from Gartner clients were driven by compliance concerns and operational efficiency, a large part is now driven by the desire to mitigate threats of breaches and insider attacks. Gartner expects this trend to continue at least until 2016.
- Market Guide for Privileged Access Management – May 27, 2015
Zarządzanie uprzywilejowaną tożsamością
• Z jakimi wyzwaniami spotykają się klienci?
‒ Jak monitorować nadużycia uprzywilejowanego dostępu do danych?
‒ Jak administratorzy działów IT wykorzystują uprawnienia kont root lub administrator w systemach Unix, Linux i Windows?
‒ Za dużo osób ma pełne prawa do usług katalogowych np. domeny Active Directory lub eDirectory
‒ Jak monitorować aktywność użytkowników w krytycznych systemach i wykrywać podejrzane zachowania?
KONTA UPRZYWILEJOWANE
9
Tożsamość uprzywilejowana
Tożsamość uprzywilejowana to konta, które pozwalają na: ‒ Dostęp do plików, w tym systemowych ‒ Instalacje i uruchamiane programów ‒ Zmianę konfiguracji i ustawień
systemowych • Tworzenie / modyfikacje kont
użytkowników lub ich profili Wiele kont w systemach typu „konto usługowe”
Użytkownicy, którym z racji stażu lub funkcji zostały przydzielone uprawnienia znacznie większe niż w przypadku większości użytkowników
Konto uprzywilejowane
Proces uzyskania uprzywilejowanych uprawnień
12
NETIQ PRIVILEGED ACCOUNT MANAGER
13
Czym jest NetIQ PAM
• Centralne narzędzie do kontrolowanego udostępniania i monitorowania kont uprzywilejowanych
• Umożliwia nagrywanie sesji, tworzenie reguł, określanie, jakie polecenia można uruchamiać
• Zarządzanie poprzez reguły i audyt działań
• Kontrola ryzyka
• Elementy składowe NetIQ PAM: Framework Manager, Framework Console, Framework Agent, Enterprise Credential Vault
• Obsługa następujących systemów operacyjnych: Unix, Linux i Windows, baz danych i aplikacji
• W Linuksie PAM (Pluggable Authentication Modules) to nie to samo co NetIQ PAM (Privileged User Manager)
Magazyn danych uwierzytelniających Enterprise Credential Vault
• Bezpieczny zaszyfrowany „sejf” do przechowywania poświadczeń (login i hasło), kluczy itp.
• Zamawianie danych uwierzytelniających dla niestandardowych przedziałów czasu
• Gotowe „tuż po instalacji” przepływy akceptacyjne i powiadomienia
• Obsługa uprzywilejowanych uprawnień: – Aplikacji (np. SAP System)
– Baz danych (np. Oracle DBMS)
– Usług typu Cloud (np. Salesforce.com)
16
Modularna architektura
Przepływ informacji w NetIQ PAM
17
Monitorowanie baz danych Oracle
• NetIQ PAM został przetestowany do współpracy z bazami danych Oracle 11.x i Oracle 12.x
• Wspierani klienci: SQL Developer, SQL Plus, DbVisualizer i Toad
Monitorowanie baz danych Oracle
19
Portal Użytkownika
• Widok katalogu z autoryzowanymi kontami uprzywilejowanymi • Zarządzanie swoimi żądaniami i potwierdzeniami
Panel administracyjny
• Zarządzanie żądaniami dostępu i autoryzacji • Kontrola wymagań dostępu, czasu ich trwania i rodzaju • Odnajdywanie: kto miał dostęp, gdzie, kiedy i dlaczego
Dostęp „na żądanie”
Zapewnia bezpieczny dostęp do zarządzania systemem w sytuacji „losowej”
Szybkie wdrażanie
• Duży katalog szablonów, zasad i skryptów • Centralny katalog zasad, brak konieczności
modyfikacji podłączonych systemów • Umożliwia szybkie wdrożenie nowych zasad
i powrót do stanu przed ich wdrożeniem
Współpraca NetIQ IDM z NetIQ Privileged Account Manager
Sterownik, który pozwala na szybki przydział zasobów
Automatyzacja przypisywania profili w PAM
Dostarcza przepływy pracy do kontroli, kto ma dostęp, do czego i kiedy dostęp został przyznany
Zarządzanie hasłami i ich synchronizacja pomiędzy systemami
Wspólny interfejs dla żądań dostępu, zatwierdzeń i zarządzania przepływem pracy
Konkurencja - CyberArk
S.NO Features CyberArk NetIQ PAM 1. Digital Vault 2. Shared policy management 3. Complete solution for
1. Operating Systems 2. Network Devices 3. Databases 4. Applications
4. Integration with IDM Partner with IDM vendors
NetIQ IDM
5. Integration with SIEM tool Partner with SIEM Vendors
NetIQ Sentinel
6. Emergency Access 7. Multifactor Authentication Partners NetIQ NAAF 8 Searchable Windows
session logs, recording
Konkurencja - Dell
S.NO Features Dell NetIQ PAM 1. Privilege Password Safe 2. Privileged Elevation in
Windows and Unix
Partial 3. Privileged Session
Management 4. Privileged Session
Recording 5. Shared policy management
Wdrożenie NetIQ PAM - wymagania
• Konsola administracyjna wymaga przeglądarki internetowej z obsługą Adobe Flash
• Otwarte porty sieciowe: 443 (manager) i 29120 (agenci i manager)
• Serwer musi być „widoczny” dla klientów (DNS/hosts)
• Czas musi być zsynchronizowany (ntp)