Post on 03-Jul-2015
description
© 2009 Quest Software, Inc. ALL RIGHTS RESERVED
Asegur@IT: ¿Tú identidad está a salvo?
Simplificando la Gestión de Identidades
2
¿Tienes múltiples identidades?
• La mayoría de la gente tiene varias identidades
• No es fácil poder gestionarlas todas sin que alguna se ponga en riesgo
3
El Complicado Mundo de las Identidades
BlackBird
Laptops
Sala X
4
Vulnerabilidades en la Gestión de Identidades• Un exceso de identidades, puede suponer el olvido de usuarios y
contraseñas, o que estén expuestos a descuidos (apuntar la contraseña, etc…)
• Distintos entornos pueden suponer distintas políticas de contraseñas
• La suplantación de la identidad es una tarea más sencilla
5
¿Qué es la gestión de accesos e identidades?
• ¿Se trata de autenticación?
• ¿Se trata de autorización?
• ¿Es un aprovisionamiento?
• ¿Es una gestión de contraseñas?
• ¿Es un single sign-on?
• ¿Es algo relacionado con auditoria y normativas?
• ¿Es una sincronización de contraseñas?
• ¿Es posible lograrlo verdaderamente?
¡Es todo lo anterior!
6
Definición de Gestión de Identidades
• define la gestión de identidades como algo que “te permite integrar, gestionar y controlar la información distribuida de las identidades, para poder otorgar los permisos apropiados a la gente adecuada, en cualquier momento y en cualquier lugar”.
• define la gestión de identidades como: combinación de “procesos, tecnologías y políticas para gestionar las identidades digitales y especificar cómo son usadas para acceder a los recursos.”
7
Definición de Gestión de Identidades
• Administrador: “Además, laorganización es capaz de trabajar deforma efectiva como una solución, porlo que la monitorización, la auditoría yla realización de informes esfácilmente realizable.”
• Usuario Final: “La organización sabequien soy y cual es mi rol, y basándoseen esa información, automatiza miacceso a los recursos. Esto me permiteacceder a todo lo que necesito y asírealizar mi trabajo en muy pocotiempo.”
8
El estado de la Empresa
9
¿Qué podemos hacer para simplificar el entorno?
• ¿De dónde surge esta complejidad?
– Muchos sistemas heterogéneos
– Muchas aplicaciones
– Muchas y diversas:
• Infraestructuras de autenticación
• Infraestructuras de autorización
• Políticas e interfaces de administración
• ¿Cuantos Directorios diferentes existen?
• ¿Cuantos login de inicio de sesión tiene?
• ¿Cuál es el esfuerzo de administrar este escenario?
• ¿Se puede certificar que el entorno es seguro y cumple
con todas las normativas?
10
Solución… Get to One!
• Consolidar todo lo posible en el Directorio Activo
– Eliminando otros directorios
– Unificando la identidad
• Extender lo máximo el Directorio Activo
– Autenticación Kerberos contra Windows
– Enterprise Single Sign-On
– Administración centralizada en un único punto
• Utilizar el Directorio Activo como un repositorio autoritativo para
– Todos los sistemas
– Todas las aplicaciones
– Roles, reglas y políticas
– Aunque no es posible integrar todo en el Directorio Activo…
11
QUEREMOS UNIFICAR LAS IDENTIDADES!!!
RESUMIENDO…
=
12
Los usuarios necesitan tener
acceso a los recursos
Deben poseer los minimos
privilegios posibles
Se debe minimizar la utilización de
cuentas como Admin y Root
Provisión, reprovisión y deprovisión
de usuarios
Creación de reglas y workflows
Definición y aplicación de politicas de
acceso
Control de la actividad
Control de cambios
Notificación en tiempo real de
eventos críticos
Análisis del nivel de cumplimiento
Separación de las funciones de
auditoría
¿Qué problemas podemos solventar?
Cada Sistema y Aplicación requiere un User
ID y una password
Cada acceso debe ser controlado
En algunos entornos puede ser
necesaria una autenticación más
segura
13
Secure. Efficient. Compliant.
Quest One utiliza el Directorio Activopara consolidar la identidad, garantizarla seguridad y simplificar la gestión de
normativas y regulaciones
14
Gestión de Contraseñas
Provisionamiento
Gestión de Accesos UNIX/Linux Integración con Microsoft ILM 2007/FIM 2010
Consolidar la identidad
Tareas de Autogestión Lotus
UNIX/Linux en Active Directory
Group Policy y Microsoft SCCM
Java/J2EE Single Sign-On
Sync con Directorios & Mainframe
Gestión del Lifecycle y
Administración de la actividad operative
Gestión automatizada de accesos y delegación
Provisioning/de-provisioning para AD, AD LDS
Sync bi-direccional con Data Sources
Gestión de la password para AD/AD LDS
Autenticación basada en Q&A
Estensión de la GINA opcional
Autonomía para modificar la propia cuenta
y la password
Auditoría de las operaciones sobre UNIX/Linux
Log de la sesión del usuario
Control de la actividad anómala
Definición de politicas operativas (QuéCosa/Dónde/Cuando)
Meta Directory Services
para Directorios, Applicaciones y Bases
de datos
15
IAM FRAMEWORK / METADIRECTORY
La solución: Quest One
16
El Objetivo Reforzar la autenticación con Kerberos
Reforzar las políticas de password
Definir los accesos basados en roles
Combinar SSO con autenticación fuerte
basada en el standard OATH
Control de accesos eficiente
Definir políticas de gestión de Password y autenticación fuerte
Implementare la “separación de funciones”
Confirmar el cumplimiento de normativas a través de auditorías,
informes y alertas en tiempo real
Eliminar la necesidad de los
usuarios de recordar múltiples
contraseñas
Consolidar directorios e
identidades
Simplificar la administración de
identidades
17
& Privilege Management
Los 7 proyectos en los que Quest puede ayudarte…
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Automated Change6
Robust Auditing7
Secure. Efficient. Compliant.
18
Membership Security
Access Groups
AuthoritativeData Source
(HR/ERP System, Meta-Directory)Creación cuenta Exchange
Creación MailboxAdjuntar Listas de Distribución
AD LDS/
ADAM
MidrangeAS/400 (iSeries)
Mainframez/OS (zSeries)
DB2
Linux
IAM Framework
Creación de la cuenta de AD
Nombre único
Password única
Pertenencia a GruposWorkflow de aprobación
19
Cre
ate
Config
ure
Info
rm
65 minutes
Add user to groupsSecurity and Distribution Groups
10 minutes
Assign administrative permissions 10 minutes
Create user accounts connected systemsSend to metadirectory, Unix/Linux, etc. 10 minutes
Inform the BusinessE-mail to IT, Service Desk, Management Facilities, etc.
10 minutes
Automatic
Automatic
Automatic
5 minutes
Automatic
Automatic
Automatic
Automatic
Effort:
Elapse Time:
5 minutes
Hours / Days 5 minutes
Add employee to HR system 5 minutesHR
Create user account in Active DirectoryLocation, Unique Name, Strong Password Generation
10 minutes
Create Exchange mailboxControlled Store Selection, Alias Generation
5 minutes
Create home directoryLocation, NTFS permissions, Share permissions
5 minutes
Step Without Rules With Rules
20
Provisiong, re-provisiong y de-provisioning
21
HR System
22
23
24
25
26
27
28
29
30
31
32
33
34
Los 7 proyectos…. paso a paso…
ID Provisioning1
User Self Service2
Secure. Efficient. Compliant.
35
?
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
ID Provisioning1
User Self Service2
Single Sign-On3
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.
60
• Consolidar y utilizar el Directorio Activo para:
– Windows
– UNIX
– Linux
– Mac OS
– Java
– Aplicacones Kerberos-aware (ex. SAP, Oracle paraUNIX)
– Aplicaciones LDAP-enabled (ex. Siebel)
– Aplicaciones API-enabled (ex. GSSAPI)
– sistemasPAM-aware (ex. DB2)
Single Sign-On en Directorio Activo
61
Esfuerzo para Administradores y Usuarios
• Single Sign-On
– Un ID
– Un Directory
– Un Login
– Una Password
– Gestión simplificada
• Centralizada• Escalable• Controlada• Reportable
62
• Enterprise Single Sign-On para
– Otras aplicaciones (ex. Oracle para Windows)
– Aplicaciones con sistema de autenticación propietario
– Sistemas Legacy (ex. AS/400, RACF)
– Logon de sistemas de terceros (ex. web-based login)
– Client Based
– …
¿y que hacemos con el resto?
63
• Single Sign-On– Un ID
– Un Directory
– Un Login
– Una Password
– Gestión simplificada• Centralizada• Escalable• Controlada• Reportable
• ESSO (Logon Automation)– Múltiples ID´s– Múltiples Directorios
– Un Login
– Una password
– Gestión compleja
Esfuerzo para Administradores y Usuarios
64
65
66
67
68
GENERAR ZOOM
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
& Privilege Management
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.
84
HR System
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
HR System
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
& Privilege Management
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Automated Change6
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.
122
HR System
123
124
125
126
127
128
129
& Privilege Management
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Automated Change6
Robust Auditing7
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.
130130
HR System
?
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
& Privilege Management
ID Provisioning1
User Self Service2
Single Sign-On3
Strong Authentication4/5
Automated Change6
Robust Auditing7
Los 7 proyectos…. paso a paso…
Secure. Efficient. Compliant.
150
Quest One Identity Solution permite a las compañías simplificar la gestión del acceso y las identidades por medio de
• Mejorar la Eficiencia a través de una administración automatizada de identidades y la consolidación de una infraestructura de identidades basada en un despliegue existente de Active Directory
• Aumentar la Seguridad implementando una autenticación más fuerte para múltiples sistemas, incluyendo smart cards y tokens así como habilitando el control de cuentas con privilegios
• Cumplimiento de Normativas con una auditoría más fuerte e integrada, informes, herramientas para forzar el cumplimiento, consolidación de identidades y dominios para el control de acceso y segregación de obligaciones
151
Más información sobre Quest One Identity Solution y Quest Software en las siguientes direcciones:
• Quest One Identity Solution: http://www.quest.com/identity-management/
• Blog Quest Spain: https://questsoftware.wordpress.com/
152
Muchas Gracias!!
Dudas o consultas a: cesar.moro@quest.com