Управление доступом контрольно-информационных потоков и аудит изменения. Продукты Dell Software:
Решения семейства One Identity Manager, оптимизирующие процесс управления доступом учетных записей, привилегий и безопасности всего предприятия.
И Change Auditor –программное обеспечение в области аудита изменений AD, Exchange, File servers, позволяющее построить систему комплексного сбора и обработки журналов в гетерогенной среде
1. Dell Software – Security
Константин Шурунов - Emerging Markets
2. PCI Data Security Standard
• Применим ко всем компаниям, которые обрабатывают транзакции по
кредитным картам
• Содержит набор минимальных требований к безопасности
• Цель: защита персональных данных покупателей
• Сейчас вышла версия 3.0
FRS FY14 Confidential
5. What Dell One Identity delivers
Identity Governance
Достижение полного, определяемого бизнесом управления обычным и
привилегированным доступом путем скрещения прозрачности и контроля с
администрированием.
Access Management
Предоставление всем пользователям доступа, необходимого для выполнения
работы в любой локации и с любого устройства с сохранением удобства,
безопасности и соответствия стандартам.
Privileged Management
Централизованное управление привилегированными учетными записями с
поддержкой индивидуальной ответственности благодаря гранулярному
контролю и мониторингу действий администраторов.
FRS FY14 Confidential
6. В чем разница между «management» и «governance»?
Management Governance
FRS FY14 Confidential
Certification
Access
Access
8. Почему Dell One Identity?
Путь к
«governance»
• Ролевой
контроль доступа
• «Governance»
для учетных
записей, доступа,
данных, ролей,
привилегий
• Ужесточение
привилегирован-
ного доступа
Требования
бизнеса
• Само-
обслуживание
пользователей и
менеджеров
• Единые
политики и
процессы
• Полная
прозрачность и
контроль
Простота
решения
• Использует
существующие
инвестиции
• Единые
аутентификация,
авторизация и
администрация
• Автоматизация и
управление
процессами
FRS FY14 Confidential
Модульность и
интеграция
• Не требует
отдельной
платформы
• Можно начать
где угодно и
строить оттуда
• Интегрируется с
существующими
инструментами
Быстрые
результаты
• Внедрение за
недели, а не за
годы
• Автоматизация
задач
• Вполне доступно
коммерчески
• Облегчение
жизни IT
9. Identity & access governance for the real world
Identity Governance
Complete, business-driven governance
• Access governance
• Data governance
• Privileged account governance
• Business-enabled access request
and fulfillment
FRS FY14 Confidential
Privileged Management
Understand and control administrator activity
• Enterprise privilege safe
• Least-privilege access
• Session management and keystroke logging
• Active Directory bridge
• Enforce separation of duties (SoD)
Access Management
Convenient, secure and compliant access
• Web access management
• Single sign-on and federation
• Directory and identity consolidation, migration and
management
• Strong authentication
• Password management
• Attestation and recertification
• Role engineering
• Automated enterprise provisioning
• Identity unification and process
orchestration Dell
One Identity
11. Недостатки стандартных средств
для аудита AD
• Аудит MS Directory Services сложен в
конфигурировании и управлении
• Стандартные средства аудита неполны
– Отчет по событиям изменений прав доступа (Delegate
Control) не включает важные детали.
– Не выполняется аудит изменений схемы AD.
– Не отслеживаются изменения групповых политик
(GPO).
– Не хранится предыдущие значения измененных полей.
– Не хранятся IP адреса, с которых производились
изменения.
FRS FY14 Confidential
12. ChangeAuditor Architecture
Exchange
Windows
File Server
Active
Directory
ChangeAuditor
Real Time
FRS FY14 Confidential
ChangeAuditor
Client)
Reports
(Knowledge
Portal)
SQL
Server
13. Dell ChangeAuditor for AD.
• Практически не требует настройки.
• Аудит всех изменений Active Directory, Group Policy, ADAM.
– Детальный отчет о нарушениях прав доступа.
– Полный аудит изменения групповых политик (изменения, ссылки,
изменения сделанные прямо через SYSVOL).
– Устранение избыточной информации, вызванной применением
наследования.
– Аудит изменений конфигурации и Схемы AD.
– Сохранение предыдущих и вновь установленных значений для всех
изменений.
– IP адрес и имя компьютера, с которого проводились изменения.
• Дополнительная защита критически важных объектов - групповые
политики, корневой уровень OU, учетные записи служб, группы и все
прочие объекты AD!
FRS FY14 Confidential
14. Недостатки стандартных средств
для аудита файл-серверов Windows.
• Стандартный аудит крайне сложно настроить
• Стандартные средства аудита часто неполны,
избыточны или некорректны
– Все объекты представляются как файлы.
– Не пишутся длинные имена файлов.
– Наследование свойств приводит к переизбытку
записываемой информации.
– События изменений прав доступа не включают важные
параметры.
– Нет отдельных событий о перемещениях объектов.
FRS FY14 Confidential
15. Dell ChangeAuditor for File Services.
• Централизованная настройка аудита всех файл-серверов.
• Полная и корректная информация – «что», «кто», «где», «когда».
– Разделение файлов и каталогов.
– Поддержка длинных имен.
– Устранение избыточных данных (дублирующихся событий, системных
событий).
– Полные данные об изменениях прав доступа – чьи права изменены, что
было заменено на что.
– Полные данные по операциям перемещения.
• Дополнительная защита – блокирование доступа пользователей к
выбранным объектам.
FRS FY14 Confidential
16. ChangeAuditor Long Term Storage & InTrust
Architecture
FRS FY14 Confidential
InTrust
(Short Term
Storage)
Reports
(Knowledge
Portal)
InTrust -
Scheduled
(Long Term
Storage)
Exchange
Active
Directory
Windows
File Server
ChangeAuditor
Real Time
ChangeAuditor
Client)
SQL
Server
17. ChangeAuditors+InTrust: аудит доступа
и защита данных
• Решение Quest: ChangeAuditor+InTrust
• Основные возможности:
– Аудит доступа в реальном времени.
– Дополнительный уровень безопасности.
– Защита критических данных от нежелательных изменений.
– Применение защиты на основе членства в группах AD.
• Области контроля
– ChangeAuditor - Active Directory, Microsoft Apps (Exchange,
SQL, Sharepoint…), Microsoft Windows File Servers, Network
Storage (EMC, NetApp).
– InTrust – всё, т.е. серверы (Windows, Unix, AIX, Linux, …),
сетевые устройства, приложения и т.д.
FRS FY14 Confidential
Management – Making sure people can get the access they need through policies and workflows
Governance – Continually ensuring that the access is right and can proved
We do this today
IM – applications
DGE – data
PGE – privileged accounts
Unified roles and policies
Business-driven approvals
provisioning / access
Business-driven attestation
So, let’s hop right on in and talk about Exadata
Collect, store, report and alert on event data to meet the needs of external regulations, internal policies, and security best practices.
Collect, store, report and alert on heterogeneous event data to meet the needs of external regulations, internal policies, and security best practices.