BMC Software Confidential Copyright 2002 All rights reserved. Üzleti adatok hozzáférésének szabályozása Lenti József T-Systems Unisoftware Kft.
2 BMC Software Confidential Copyright 2002 Miről lesz szó? Biztonság - Üzleti adatok biztonsága Hogyan lehet rendet tartani? Hogyan lehet hatékony adminisztrációt megvalósítani? Mitől lesz elégedett a felhasználó? (!?) Mikor tudhatjuk biztonságban az adatainkat? (!?) Központi felhasználó adminisztráció
3 BMC Software Confidential Copyright 2002 A biztonság menedzsment területei Access Control Operációs rendszerek Access Control Add-Ons Tűzfalak Alkalmazások Titkosítás Authentication & Identification Single Sign On PKI VPN Enterprise Security Management Felhasználó és erőforrás menedzsment Hozzáférés szabályozó és engedélyező rendszerek Biztonsági policy és audit menedzsment
4 BMC Software Confidential Copyright 2002 Felhasználó adminisztráció - feladat Több egy platformos regisztráció User B Resources adduser danny A Resources C D Security Administrator Tss create(danny) type(u) useradd -g(371) -u(215) danny newusr danny owner(root)
5 BMC Software Confidential Copyright 2002 A feladat hatványozódik FelhasználókRendszerekErőforrásokxx= Hozzáférési lehetőségek száma
6 BMC Software Confidential Copyright 2002 Megoldandó problémák Felhasználó Különböző rendszerek, felhasználói nevek és jelszavak Sok jelszó változtatás Rendszerenként változó szabályok Elfelejtett jelszó Kizárás Lassú adminisztráció Adminisztrátor Sok rendszer, csoport, account Egyszerű jelszavak „Nem tudok bejelentkezni” Áthelyezés esetén változó jogosultságok Kilépő munkatársak Sok manuális munka Hibalehetőség!
7 BMC Software Confidential Copyright 2002 Tények A munkatársaknak átlagosan 8.6 felhasználói azonosítójuk és jelszavuk van A betörések két-harmada a vállalaton belülről ered A Help-desk hívások 40% - 60%-a jelszavakhoz kapcsolódik Egy felhasználó naponta átlagosan 16 percet tölt ki és bejelentkezéssel Az üzemeltetési erőforrások 30%-a kapcsolódik a felhasználó- és jelszóadminisztrációhoz
8 BMC Software Confidential Copyright 2002 Felhasználó adminisztráció – kitűzhető célok Automatizált Operátori tévedések minimalizálása Csökkentett adminisztrátori terhelés Workflow támogatás Változások követése Gyári integrációk Operációs rendszerek Adatbázis kezelők Alkalmazások Integrációs/fejlesztési lehetőség
9 BMC Software Confidential Copyright 2002 A megoldás UID=P456SIY UNIXUNIX UID=ZZPSAB W2KW2K VPNVPN RACFRACF UID=DANNY LDAPLDAP UID= PS12XY NTNT UID=PES USER Központosított regisztráció több platformon
10 BMC Software Confidential Copyright 2002 Felhasználó adminisztráció – Megoldás Control-SA Egységes felület számos különböző biztonsági alrendszer kezelésére Külső adatforrás •Személyzeti adatb. •WorkFlow •PassPort •Saját fejlesztések Mainframe NOS MidrangeSecurity Admin. Admin.Server SA-Agent SA-Agent SA-Agent ACF2RACFTSS W/NTOS/2 NetWare AS/400VMS UNIX Central Security Admin. Database
11 BMC Software Confidential Copyright 2002 Szerepkör alapú működés A biztonsági beállításokat automatikusan be tudja állítani minden rendszerben AIX OS/2 MVS Sun NT Novell Job Code Enterprise user
12 BMC Software Confidential Copyright 2002 Szerepkör alapú jogosultság Alkalmazás 1 Levelezés Nyomtató 1 Alkalmazás 2 Vevők adatbázisa Felhasználó = János Osztály = Investments Szerepkör = Invest-c ( Investment consultant ) SzerepkörAlkalmazások/ Csoportok Rendszerek/ Platformok Erőforrások
13 BMC Software Confidential Copyright 2002 Control-SA alapfunkciók Felhasználók nyilvántartása Integrálható külső rendszerekkel (pl SAP HR) Testreszabható tulajdonságok Szerepkörök (job code) nyilvántartása Több rendszer (akár különböző platformokon) is tartozhat egy szerepkörhöz Felhasználók és szerepkörök összerendelése Több személy rendelkezik hasonló szerepkörrel Egy személy több szerepkört is betölthet A szerepkör meghatározza a szükséges hozzáféréseket Beállítások automatikus érvényesítése On-line szinkronizáció Off-line szinkronizáció
14 BMC Software Confidential Copyright 2002 Fontosabb támogatott rendszerek ESS (Password Mgmt) Informix Database RACF CA-Top Secret CA-ACF2 CA-VM/Secure Tandem Safeguard 3270 Applications AIT for Windows VMS OS/400 OS/2 Windows NT Windows 2000 Netware 3 Netware 4 Red Hat Linux Lotus Notes MS Exchange 5.x SAP/R3 Oracle Applications Oracle Database Server Sybase SQL Server Entrust PKI AIT for Unix MS SQL Server Windows 2000 Local MS Exchange 2000 PeopleSoft DB/2 UDB RSA ACE/Server Sun Solaris IBM AIX HP/UX SGI IRIX Compaq Tru 64 NCR NIS SeOS SeOS for Window/NT Proxima SSO Netscape Directory Server LDAP Server Cisco Secure for Solaris
15 BMC Software Confidential Copyright 2002 Felhasználó adminisztráció – Control-SA WorkFlow Job Code Owner End (fail) Request Manager of the requester Admin of Org. Unit Approved Rejected Request is Approved Ship Commands End (OK) AND End (fail)
16 BMC Software Confidential Copyright 2002 Felhasználó adminisztráció – Workflow támogatás Funkció A felhasználók adminisztrációjával kapcsolatos folyamatok automatizálása, támogatása Eszköz Control SA Workflow Előnyök Szabályozott eljárások – és azok betartása Kérelmek gyors átfutása Optimalizálás – minimálisan szükséges emberi beavatkozás
17 BMC Software Confidential Copyright 2002 Felhasználók beléptetése – jelszókezelés - szinkronizáció Funkció A szinkronizációba bevont rendszerek bármelyikében végrehajtott jelszó változtatás a többi rendszerben is érvényre jut Eszköz Control-SA Előnyök Nagyobb biztonság Kevesebb bejelentkezési probléma
18 BMC Software Confidential Copyright 2002 Felhasználók beléptetése – jelszókezelés - szinkronizáció Funkció WEB-es adminisztrációs felület, melyen keresztül a felhasználók a jelszavukat megváltoztathatják. Lehetőség van az elfelejtett jelszó „önkiszolgáló” cseréjére is. Eszköz Control-SA PassPort Előnyök Help Desk tehermentesítése Jelszavak központi változtatása (+ agent oldali kezdeményzés)
19 BMC Software Confidential Copyright 2002 Felhasználók beléptetése – SSO Funkció Felhasználók egypontos beléptetése. Egyetlen bejelentkezés után az SSO alá bevont összes rendszerbe automatikus bejelentkeztetés Előnyök Nagyobb biztonság Különböző jelszavak használata – de nem a felhasználónak kell észben- és karbantartania Központosított szabályozás
20 BMC Software Confidential Copyright 2002 Felhasználók beléptetése – SSO Felhasználói rendszerek, alkalmazások SSO Kliens Authentication Host SSO Szerver és Adatbázis Novel l UNIX AS/400 NT SSO azonosítás SSO Ticket Felhasználó/Jelszó alkalmazásokhoz SSO Ticket
21 BMC Software Confidential Copyright 2002 Biztonságos azonosítás A felhasználó nagy biztonságú azonosítása PKI technológia felhasználásával Smart Card Token Card Biometriai azonosítás Előnyök Biztonságos bejelentkezés
22 BMC Software Confidential Copyright 2002 PKI Tanúsítvány kibocsátás menete Registration Authority Kliens Certificate Authority Alkalmazás LDAP Certificate Directory 6. Alkalmazások használják a tanúsítványokat 5. CA publikálja 1.Felhasználó kérelmezi a tanúsítványt 3. RA kéri a tanúsítvány kiadását 4. CA kibocsátja a tanúsítványt 2. RA ellenőrzi a személyazonosságot
23 BMC Software Confidential Copyright 2002 CONTROL-SA Registration Page Notification Audit Trail & Log End Users Generate Key Pair Certificate DN: Name: Ran Serial: #123 Key: 0E3D CA: ACME ? Verification & Approval CTSA-PKI együttműködés Registration Authority LDAP Certificate Directory Certificate Authority
24 BMC Software Confidential Copyright 2002 Összefoglalás Központi felhasználó adminisztráció Átláthatóság: központi helyen tárolja az adatokat, aktuális beállításokat Biztonság: automatizált jogosultság kiosztás és visszavonás Gyorsaság: beállítások átvezetése Erőforrás megtakarítás: a rendszergazdák tehermentesítése Felhasználó adminisztráció workflow támogatás Jelszókezelés Szinkronizáció Single-Sign-On PKI Integráció CTS A PKI SSO Work -flow
25 BMC Software Confidential Copyright 2002 Köszönöm figyelmüket Lenti József T-Systems Unisoftware Kft.