a b s i c h e r n p r i v i l e g i e r t e r a c c o u n t s - n3k...unix / linux windows server /...
TRANSCRIPT
A b s i c h e r n p r i v i l e g i e r t e r A c c o u n t s
( O n - p r e m i s e & C l o u d )
© 2017 n3k Informatik GmbH 2
© 2017 n3k Informatik GmbH 3
© 2017 n3k Informatik GmbH 4
© 2017 n3k Informatik GmbH 5
© 2017 n3k Informatik GmbH 6
96%
© 2017 n3k Informatik GmbH 7
1
96%
© 2017 n3k Informatik GmbH 8
1
96%
AV 75%
AM 10%
PAM 15%
© 2017 n3k Informatik GmbH 9
1
2
96%
AV 75%
AM 10%
PAM 15%
© 2017 n3k Informatik GmbH 10
1
2 3
96%
AV 75%
AM 10%
PAM 15%
© 2017 n3k Informatik GmbH 11
1
2 3
4
4 96%
AV 75%
AM 10%
PAM 15% X
© 2017 n3k Informatik GmbH 12
1
2 3
4
5
4 96%
AV 75%
AM 10%
PAM 15% X
Plattform
© 2017 n3k Informatik GmbH 13
1
2 3
4
5
4 96%
AV 75%
AM 10%
PAM 15% X
Plattform
Tool A
Tool B
Tool C
Tool D
Tool E ?
© 2017 n3k Informatik GmbH 15
1
2 3
4
5
4 96%
AV 75%
AM 10%
PAM 15% X
Plattform
Retina
PBW
PBUL PBPS
PBW
PBUL
BI
© 2017 n3k Informatik GmbH 16
1
2 3
4
5
4 96%
AV 75%
AM 10%
PAM 15% X
Plattform
Retina
PBW
PBUL PBPS
PBW
PBUL
BI
© 2017 n3k Informatik GmbH 17
1
2 3
4
5
4 96%
AV 75%
AM 10%
PAM 15%
80% 15% 5%
X
Plattform
Retina
PBW
PBUL PBPS
PBW
PBUL
BI
© 2017 n3k Informatik GmbH 18
1
2 3
4
5
4 96%
AV 75%
AM 10%
PAM 15% X
Plattform
Retina
PBW
PBUL PBPS
PBW
PBUL
BI + PBIS
+ PBASS
80% 15% 5%
© 2017 n3k Informatik GmbH 19
PowerBroker
Privileged Account Management
Internal Risk Management
Retina
Vulnerability Management
External Risk Management
Network
Infra-
structure
Mobile Servers &
Desktops
Applications
&
Databases
Virtual &
Cloud
Network Security
Scanner
Web Security
Scanner
BeyondSaaS
Cloud-Based
Scanning
Enterprise
Vulnerability
Management
Network
Infra-
structure
Active
Directory/
Exchange/
File Sys
Servers &
Desktops
Applications
&
Databases
Virtual &
Cloud
Privileged
Password
Management
Auditing &
Protection
Active Directory
Bridging
Privilege
Management
Reporting
& Analytics
Central Data
Warehouse
Asset
Discovery
Asset
Profiling
Asset Smart
Groups
User
Management
Workflow &
Notification
Third-Party
Integration
© 2017 n3k Informatik GmbH 20
BeyondInsight Modulübergreifende Monitoring & Reporting-Plattform
UNIX / LINUX WINDOWS Server / Desktop ACTIVE DIRECTORY
PowerBroker
UNIX/
Linux
Least Privilege
Management
für UNIX/Linux
PowerBroker
Identity
Services
Management &
Authentisierung
von Linux/Unix Usern
via Active Directory
PowerBroker
Auditing &
Security
Suite
Active Directory
Auditing, Recovery &
Protection
PowerBroker
Password
Safe
Privileged Accounts
Management
PowerBroker
Windows
Least Privilege
Management für
Windows Server und
Desktops
© 2017 n3k Informatik GmbH 21
Bedarf einer Lösung zum zentralisierten, erweiterten Management von privilegierten Accounts und die Überwachung bei deren Benutzung
Definierter sicherer Speicherort von Passwörtern wichtiger Accounts: Passwörter müssen an einem definierten Ort mit entsprechender Verschlüsselung aufbewahrt werden (FIPS 140-2 compliant)
Automatisiertes Passwort-Change-Management: Flexible Konfigurierbarkeit für Password aging und rotation
Automatische Ausgabe von Passwörtern: Passwörter privilegierter Accounts werden bei Anfrage bestimmter Personen automatisch ausgegeben
Zustimmungspflichtige Ausgabe von Passwörtern: Requestor/Approval Workflow für die Passwortausgabe
Session Monitoring: Überwachung und Aufzeichnung der Session bei der Benutzung privilegierter Accounts
Reporting: Zentralisiertes Reporting aller Aktionen (Anfrage/Genehmigung/Benutzung/Session Monitoring)
© 2017 n3k Informatik GmbH 22
PowerBroker Password Safe Verschlüsselte Ablage von Passwörtern auf gehärteter Appliance
Verschlüsselte Kommunikation über SSL (zertifikatsbasiert)
Automatisierte Umsetzung von definierten Passwortregeln
Identifizierung alter Passwörter und unbenutzter Accounts
Workflow Management mit Requester/Approver Prinzip
SSH/RDP Proxy Funktionalität für Admin Zugriffe ohne Passwortausgabe
Session Monitoring über SSH/RDP Proxy
Retina Discovery Modul für das Auffinden von Netzwerkgeräten und Accounts
Unterstützung vieler Appliance Hersteller (Cisco, DRAC, iLO, Checkpoint, …)
Integration des PowerBroker for Unix/Linux und des PowerBroker for Windows
© 2017 n3k Informatik GmbH 23
USERS ACCESS REQUEST PASSWORD
RETRIEVAL
SESSION PROXY
Record
Sessions
Replay
Sessions
Audit
Logs
Archive
Logs
Servers
Workstations
Devices
Applications
Databases
Social Media
Cloud
APPROVAL RULES
REST API APPLICATION REQUEST
WEB INTERFACE
API INTERFACE
ADVANCED WORKFLOW
CONTROL
© 2017 n3k Informatik GmbH 24
BeyondInsight Modulübergreifende Monitoring & Reporting-Plattform
UNIX / LINUX WINDOWS Server / Desktop ACTIVE DIRECTORY
PowerBroker
UNIX/
Linux
Least Privilege
Management
für UNIX/Linux
PowerBroker
Identity
Services
Management &
Authentisierung
von Linux/Unix Usern
via Active Directory
PowerBroker
Auditing &
Security
Suite
Active Directory
Auditing, Recovery &
Protection
PowerBroker
Password
Safe
Privileged Accounts
Management
PowerBroker
Windows
Least Privilege
Management für
Windows Server und
Desktops
© 2017 n3k Informatik GmbH 25
Bedarf einer Lösung zum zentralisierten erweiterten Management von Benutzerrechten bzw. nutzbaren Applikationen/Tasks auf Windows-Systemen
Least Privileges: Benutzer bekommen nur genau die Rechte auf Applikationen, welche sie auch wirklich benötigen
Application Whitelist: Ermöglichen das Ausführen bestimmter Applikationen
Application Blacklist: Verhindern das Ausführen bestimmter Applikationen
Application Elevation: Zuweisen höheren Berechtigungen für Applikationen und Tasks (Benutzer mit User-Rechten dürfen Tasks ausführen, obwohl diese höhere Rechte [z.B. Admin-Rechte] benötigen); nicht benutzerbezogen
Authorization and Justification: “Erweitertes UAC“ mit Autorisierung und Rechtfertigung, mit der Möglichkeit einer Genehmigung per Code (Optional)
Reporting: Optionales, zentralisiertes Reporting aller Aktionen
© 2017 n3k Informatik GmbH 26
PowerBroker for Windows Rechteerhöhung der Applikationen oder Tasks, nicht des Users Entfernen administrativer Privilegien bei Usern ohne negativen
Auswirkungen Eleminieren der UAC, oder Ersetzen durch User Credentials (nicht mehr
Admins) Desktop und Server Unterstützung Einfaches Management durch Benutzung von GPOs Integriertes Data Warehouse, BeyondInsight Schnelle Identifikation von Applikationen, die Administrator Rechte
benötigen Einfache automatische Policy Generierung basierend auf Audit Daten Optionales Session Monitoring beim Start von elevated Applications/Tasks Optionale File Integrity Funktionalitäten
© 2017 n3k Informatik GmbH 27
© 2017 n3k Informatik GmbH 28
BeyondInsight Modulübergreifende Monitoring & Reporting-Plattform
UNIX / LINUX WINDOWS Server / Desktop ACTIVE DIRECTORY
PowerBroker
UNIX/
Linux
Least Privilege
Management
für UNIX/Linux
PowerBroker
Identity
Services
Management &
Authentisierung
von Linux/Unix Usern
via Active Directory
PowerBroker
Auditing &
Security
Suite
Active Directory
Auditing, Recovery &
Protection
PowerBroker
Password
Safe
Privileged Accounts
Management
PowerBroker
Windows
Least Privilege
Management für
Windows Server und
Desktops
© 2017 n3k Informatik GmbH 29
Bedarf einer Lösung zum zentralisierten, erweiterten Management von Benutzerrechten bzw. nutzbaren Applikationen/Tasks auf Unix- und Linux-Systemen
Least Privileges: Benutzer bekommen nur genau die Rechte auf Applikationen, welche sie auch wirklich benötigen
Application Whitelist: Ermöglichen das Ausführen bestimmter Applikationen oder Befehlen
Application Blacklist: Verhindern das Ausführen bestimmter Applikationen oder Befehlen
Application Elevation: Zuweisen höheren Berechtigungen für Applikationen oder Befehle (Benutzer dürfen Tasks ausführen, obwohl diese höhere Rechte [z.B. root-Rechte] benötigen)
Authorization: Flexible und granulare Rechteverwaltung über Policy Definition(en)
Reporting: Optionales, zentralisiertes Reporting aller Aktionen bis hin zum Session Monitoring
© 2017 n3k Informatik GmbH 30
PowerBroker for Unix / Linux Zentralisierte Rechteverwaltung und zentralisierte Rechteüberprüfung
Rechteverwaltung für Desktop und Server (physikalisch und virtuell)
Erweiterte Rechte für kritische Tasks pro Benutzer bzw. Gruppen
Verweigerung von kritischen Tasks für bestimmte Benutzer bzw. Gruppen
Ausführung bestimmter Tasks ohne Zugriff auf kritische Systeme
Ausführliche Protokollierung mit optionaler Anbindung an BeyondInsight
BeyondInsight als zentrale Reporting Engine für produktübergreifende Reports
Ausführliches Session Monitoring über IO Stream Logging
Indizierung der IO Logs ermöglicht einfaches Finden relevanter Informationen
Ablösung bestehender „sudo“-Lösungen durch kompatible Syntax
© 2017 n3k Informatik GmbH 31
Submit Host Run Host
Policy Server Host
Policy Files Event Logs
I/O Logs
Log Host
1. User setzt Task ab
2. Task wird geloggt (ggf. IO Logging)
3a. Task wird ausgeführt (falls erlaubt)
3b. Fehlermeldung (falls nicht erlaubt)
© 2017 n3k Informatik GmbH 32
BeyondInsight Modulübergreifende Monitoring & Reporting-Plattform
UNIX / LINUX WINDOWS Server / Desktop ACTIVE DIRECTORY
PowerBroker
UNIX/
Linux
Least Privilege
Management
für UNIX/Linux
PowerBroker
Identity
Services
Management &
Authentisierung
von Linux/Unix Usern
via Active Directory
PowerBroker
Auditing &
Security
Suite
Active Directory
Auditing, Recovery &
Protection
PowerBroker
Password
Safe
Privileged Accounts
Management
PowerBroker
Windows
Least Privilege
Management für
Windows Server und
Desktops
© 2017 n3k Informatik GmbH 33
75% der großen und mittelständischen Unternehmen stehen vor der Herausforderungen eine Userverwaltung in heterogenen Betriebssystem-Umgebungen zu organisieren.
Die einheitliche Userverwaltung der folgenden Systeme wird in einer schnell wachsenden IT Umgebung schnell komplex:
• Linux, Unix und Max OS X Desktops und Server
• Virtuelle Rechner
• Netzwerk Server
• Appliances
• Mobile Endgeräte
• Drucker und andere Hardware
Es besteht Bedarf nach einer zentralen Userverwaltung, die Plattform-übergreifend administriert wird.
© 2017 n3k Informatik GmbH 34
PowerBroker Identity Services Nahtlose Authentisierung des selben Users auf unterschiedlichen Systemen
Single Sign On (SSO) Unterstützung
„Two-Factor“-Authentifizierung durch SmartCard Support
Zentrales User-Management für Unix, Linux und MAC Desktops
Zentrales User-Management für Unix, Linux und MAC Server
Unterstützung auch für virtuelle Desktops bzw. Server
Alle Daten sind im Microsoft Active Directory ausfallsicher gespeichert
Zentrale Reporting Schnittstelle mit künftiger Anbindung an BeyondInsight
BeyondInsight als zentrale Reporting Engine für produktübergreifende Reports
Unterstützung von Group Policies für Unix, Linux und MAC OS X
© 2017 n3k Informatik GmbH 35
Virtuelle Systeme Drucker
Web Anwendungen Netzwerk
Infrastruktur
ZENTRALER MICROSOFT ACTIVE DIRECTORY SERVICE
Desktops und
Server
Mobile Endgeräte Andere Endgeräte
© 2017 n3k Informatik GmbH 36
BeyondInsight Modulübergreifende Monitoring & Reporting-Plattform
UNIX / LINUX WINDOWS Server / Desktop ACTIVE DIRECTORY
PowerBroker
UNIX/
Linux
Least Privilege
Management
für UNIX/Linux
PowerBroker
Identity
Services
Management &
Authentisierung
von Linux/Unix Usern
via Active Directory
PowerBroker
Auditing &
Security
Suite
Active Directory
Auditing, Recovery &
Protection
PowerBroker
Password
Safe
Privileged Accounts
Management
PowerBroker
Windows
Least Privilege
Management für
Windows Server und
Desktops
© 2017 n3k Informatik GmbH 37
Integriertes vereinfachtes Management der Active Directory Umgebung und der Windows Komponenten
Auditing: Durch wen wurde was, wann und wo verändert?
Reporting: Wer hatte wann welche Rechte und wie wurden diese Rechte erlangt? Welche Eventlog Ereignisse traten auf?
Protection: Verhindern von Veränderungen!
Recovery: Wiederherstellen von Veränderungen!
Management: Anwenden von Workflows
© 2017 n3k Informatik GmbH 38
Auditing und
Compliance Reporting
Reporting von
Berechtigungen
Alarming, Protection
und Recovery
Workflow
Management und Event Reporting
Auditor AD
Privilege Explorer AD
Recovery AD
Change Manager AD
Auditor File
Privilege Explorer File
Protector AD
EventVault forWindows
Auditor Exchange
Auditor SQL Server
PowerBroker Auditing & Security Suite