Miten julkaisen sovellukset ja palvelut turvallisesti organisaation käyttäjille?

Petri Ala-Annala

CISSP-ISSAP, CISM, CISA, CWNA, CWSP, ITILF, MCITP, MCTS,

MCSE:Security, MCDST, CIW Security Analyst, Security+

Enterprise Architect – Security and Management

petri.ala-annala@microsoft.com

Tietoturvan kivijalka

Luottamuksellisuus Eheys

SaatavuusKäytettävyys

Mihin luotan ja kuka minuun luottaa

Subjekti

Käyttäjä,

kone,

ohjelma,

prosessi

Identifiointi

”Kuka sinä olet?”

Autentikointi

Todennus

”Kuinka voit

todistaa sen?”

Auktorisointi

Valtuutus,

oikeutus

”Mitä voin tehdä?”

Pääsynvalvonta

ACL, pääsylista

”Kuka pääsee

tekemään mitä?”

Objekti

Resurssi, tiedosto,

kansio, prosessi

IT –infrastruktuurin kehitys

Client Server Web CloudMainframe

Nykyajan vaatimukset

Ketteryydenkustannus

Säännöstöjennoudattaminen

Joustavattyöskentelytavat

Digitaalinenelämäntapa

Palvelujensaatavuus

Päätelaitteidenkirjo

TietoKäyttäjät Infrastruktuuri

What is UAG?Web

Application Publishing

OWA, Sharepoint

Layer 3 VPNSSL-VPN,

SSL Network Tunneling, Portal SSTP

Terminal

ServicesRemoteApps,

RemoteDesktop, VDI

DirectAccessSupporting both

IPv4 and IPv6 networks

Enhanced Authentication & Identity

Unified Management

Enterprise Readiness

Enhanced Protection – Edge Ready

Interoperability

Enhanced Authentication & Identity

Unified Management

Enterprise Readiness

Enhanced Protection – Edge Ready

Interoperability

Layer 3 VPNSSL-VPN,

SSL Network Tunneling,

Portal SSTP

PreferredUnmanaged Computers

Backup Managed

Computers

DirectAcces

sSupporting both

IPv4 and IPv6

networks

PreferredManaged

Computers

What is DirectAccess?Freedom to Work Everywhere

Infrastruktuurin optimoinnin elementit

Tuottavuus ja

tehokkuus

Joustavat ja

läpinäkyvät

palvelut

Turvallinen ja

monipuolinen

käyttö

Identiteetti

Identiteetinhallinnan haasteet

* Federal Financial Institutions Examination Council

Järjestelmänvalvojilla

keskimäärin 34

jonossa olevaa

uuden käyttäjätilin

luomispyyntöä

Salasanojen

resetointi maksaa

€30-€100 kerralta

Käyttäjillä on keskimäärin 26

kpl

käyttäjätunnusta/salasanaa

eri järjestelmiin

38% käyttäjistä kierrättää

salasanansa; 18% kirjoittaa

salasanansa muistilapulle

Sähköpostien

jatkolähettäminen

top 3

tietoturvariskin

joukossa

1/3 tukihenkilöiden

ajasta kuluu

salasanojen

resetointiin/käsittelyyn

Organisaation toimintaa tukevat tietoturvaratkaisut

Integroitu tietoturva

Tiedon suojaus

Identiteetin- ja pääsynhallinta

Turvallinen viestintä Turvattu päätelaiteSuojatut yhteydet

Organisaation toimintaa tukevat tietoturvaratkaisut

Integroitu tietoturva

Tiedon suojaus

Identiteetin- ja pääsynhallinta

Turvallinen viestintä Turvattu päätelaiteSuojatut yhteydet

Active Directory® Federation Services

Helpompaa hallintaaTOIMINNAN MAHDOLLISTAJA

• Profiilien, oikeuksien ja ryhmien hallinta

itsepalveluna

• Salasanojen ja PIN –koodien vaihto ja nollaus

kirjautumisikkunasta

• Ryhmien hallinta suoraan Office -

käyttöliittymästä

• Yksi identiteetti heterogeenisessä

ympäristössä

IT:n VOIMAVARA

• Työnkulkuihin pohjautuva käyttäjien

provisiointi

• Käytännöillä kontrolloidut

itsepalvelumääritykset

• Automaattiset, tunnistetietoihin perustuvat

valtuutukset ja oikeuksien määrittelyt

HALLITTUA ITSEPALVELUA JA

AUTOMAATIOTA

Federoinnilla yli organisaatiorajojen

TOIMINNAN MAHDOLLISTAJA

• Sovellusten saumaton käyttö samalla

identiteetillä

• Organisaation yli ulottuva yhteistyö

IT:n VOIMAVARA

• Ei tarvetta hallinnoida ulkoisia tunnuksia

• Joustavat tekniikat toimivaan ja turvalliseen

federointiin

• Yhdenmukaiset kontrollit räätälöityjen

sovellusten luomiseen

Source: Awards for Outstanding Identity Management Projects. Kuppinger Cole, May 2009. http://www.id-conf.com/blog/2009/05/07/awards-for-outstanding-identity-management-projects/

ActiveDirectory

LotusDomino

LDAP

SQLServer

Oracle DB

Henkilöstö/

palkka-järjestelmä

FIM

Työnkulku

Esimies/

nainen

• Käytäntöihin pohjautuva elinkaarenhallinta

• Sisäänrakennettu työnkulku

• Automaattinen synkronointi kohdejärjestelmiin

Käyttäjätilin luonti

Hyväksyntä

Käyttäjä luodaan ja provisioidaan

kohdejärjestelmiin

IdentiteetinhallintaKäyttäjien provisiointi

FIM CMKäyttäjä poistetaan tai tila muutetaan ei-

aktiiviseksi

Varmenteiden ja älykorttien elinkaarenhallinta

• Vahva autentikointi, enemmän kuin pelkkäkäyttäjätunnus ja salasana

• Virtaviivaistaa käyttöönototilman käyttäjien toimenpiteitä

• Elinkaarenhallinta yhdellä jasamalla ratkaisulla

• Mahdollistaa päätelaitteenterveydentilan tarkistuksenesim. Network Access Protection -tekniikalla

• Järjestelmänvalvojille, pääkäyttäjille ja hallintaantarvittavat vahvemmatautentikointimenetelmät

HR System

Active Directory Certificate Services (AD CS)

FIM CM

FIM

Henkilöstöjärjestelmäänluodaan uusi käyttäjä. Toimenpide käynnistääennaltamäärätyn työnkulun.

FIM 2010 käytännöt käynnistääpyynnön luoda varmenne tai älykortti käyttäjälle

FIM 2010 pyytää AD CS:nluomaan varmenteen käyttäjälle

Varmenne julkaistaan käyttäjälleja tallennetaan joko käyttäjänkoneelle tai älykortille

Käyttäjä Älykortti

Salasanan vaihto itsepalveluna

FIM 2010 arkkitehtuuri

Type of System Management Agents

Network operating systems

and directory services

Active Directory Domain Services 2000, 2003, 2003 R2, 2008

Active Directory Lightweight Directory Services (ADLDS) – 2000, 2003, 2003 R2, 2008

Active Directory Global Address List (GAL) – Exchange 2000, 2003, 2007, 2010

IBM Tivoli Directory Server up to version 6.2

Novell eDirectory - v8.7.3, v8.8

Sun ONE and Netscape Directory Servers - v5.1, v5.2

IBM Directory Server - v6.0, v6.2

Certificate and Smart Card

Management

FIM Certificate Management

E-mail and messaging Exchange Server 2007 and 2010 (use AD Management Agent)

Lotus Notes - v6.5, v7.0 (32 bit Lotus Notes Client)

Databases Microsoft SQL Server 2000, 2005, 2008

IBM DB2 Universal Database 9.1 and 9.5 (64-bit client v9.5 FP5 or v9.7 FP1 required)

Oracle Database - 10g (64-bit client)

File-based1 Attribute value Pairs

CSV

Delimited

Fixed Width

Directory Services Markup Language (DSML) 2.0

LDAP Interchange Format (LDIF)

1 These file formats allow for integration with a variety of applications, databases, telephone switches, X.500 systems, Mainframe and metadirectory

products or underlying systems that can produce a file for import and export..

Other SAP - R/3 Enterprise (4.7), mySAP 2004 (ECC 5.0) (32bit client)

XML-based systems

Extensible Management Agent for custom connectivity to other systems

Kohde/lähdejärjestelmät ja hakemistot

Päätelaitteen vaatimuksetFIM Client Components Requirement

- FIM Password Reset Extensions

- FIM Add-ins and Extensions Language Pack

Windows XP Pro SP 2 (32-bit only)

Windows Vista Enterprise SP1 (32 bit or 64)

Windows 7 (32 bit or 64)

Windows Installer 3.1 (if on XP SP2)

.NET 3.5 SP1 Framework

- FIM Outlook Add-in Same as above plus:

Microsoft Office Outlook 2007 SP2

Microsoft Forms 2.0 .NET Programmability Support

Smart Tag .NET Programmability Support

.Net Programmability Support for Microsoft Office Outlook

© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not

be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.

MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.