miten julkaisen sovellukset organisaation...
TRANSCRIPT
Miten julkaisen sovellukset ja palvelut turvallisesti organisaation käyttäjille?
Petri Ala-Annala
CISSP-ISSAP, CISM, CISA, CWNA, CWSP, ITILF, MCITP, MCTS,
MCSE:Security, MCDST, CIW Security Analyst, Security+
Enterprise Architect – Security and Management
Tietoturvan kivijalka
Luottamuksellisuus Eheys
SaatavuusKäytettävyys
Mihin luotan ja kuka minuun luottaa
Subjekti
Käyttäjä,
kone,
ohjelma,
prosessi
Identifiointi
”Kuka sinä olet?”
Autentikointi
Todennus
”Kuinka voit
todistaa sen?”
Auktorisointi
Valtuutus,
oikeutus
”Mitä voin tehdä?”
Pääsynvalvonta
ACL, pääsylista
”Kuka pääsee
tekemään mitä?”
Objekti
Resurssi, tiedosto,
kansio, prosessi
IT –infrastruktuurin kehitys
Client Server Web CloudMainframe
Nykyajan vaatimukset
Ketteryydenkustannus
Säännöstöjennoudattaminen
Joustavattyöskentelytavat
Digitaalinenelämäntapa
Palvelujensaatavuus
Päätelaitteidenkirjo
TietoKäyttäjät Infrastruktuuri
What is UAG?Web
Application Publishing
OWA, Sharepoint
Layer 3 VPNSSL-VPN,
SSL Network Tunneling, Portal SSTP
Terminal
ServicesRemoteApps,
RemoteDesktop, VDI
DirectAccessSupporting both
IPv4 and IPv6 networks
Enhanced Authentication & Identity
Unified Management
Enterprise Readiness
Enhanced Protection – Edge Ready
Interoperability
Enhanced Authentication & Identity
Unified Management
Enterprise Readiness
Enhanced Protection – Edge Ready
Interoperability
Layer 3 VPNSSL-VPN,
SSL Network Tunneling,
Portal SSTP
PreferredUnmanaged Computers
Backup Managed
Computers
DirectAcces
sSupporting both
IPv4 and IPv6
networks
PreferredManaged
Computers
What is DirectAccess?Freedom to Work Everywhere
Infrastruktuurin optimoinnin elementit
Tuottavuus ja
tehokkuus
Joustavat ja
läpinäkyvät
palvelut
Turvallinen ja
monipuolinen
käyttö
Identiteetti
Identiteetinhallinnan haasteet
* Federal Financial Institutions Examination Council
Järjestelmänvalvojilla
keskimäärin 34
jonossa olevaa
uuden käyttäjätilin
luomispyyntöä
Salasanojen
resetointi maksaa
€30-€100 kerralta
Käyttäjillä on keskimäärin 26
kpl
käyttäjätunnusta/salasanaa
eri järjestelmiin
38% käyttäjistä kierrättää
salasanansa; 18% kirjoittaa
salasanansa muistilapulle
Sähköpostien
jatkolähettäminen
top 3
tietoturvariskin
joukossa
1/3 tukihenkilöiden
ajasta kuluu
salasanojen
resetointiin/käsittelyyn
Organisaation toimintaa tukevat tietoturvaratkaisut
Integroitu tietoturva
Tiedon suojaus
Identiteetin- ja pääsynhallinta
Turvallinen viestintä Turvattu päätelaiteSuojatut yhteydet
Organisaation toimintaa tukevat tietoturvaratkaisut
Integroitu tietoturva
Tiedon suojaus
Identiteetin- ja pääsynhallinta
Turvallinen viestintä Turvattu päätelaiteSuojatut yhteydet
Active Directory® Federation Services
Helpompaa hallintaaTOIMINNAN MAHDOLLISTAJA
• Profiilien, oikeuksien ja ryhmien hallinta
itsepalveluna
• Salasanojen ja PIN –koodien vaihto ja nollaus
kirjautumisikkunasta
• Ryhmien hallinta suoraan Office -
käyttöliittymästä
• Yksi identiteetti heterogeenisessä
ympäristössä
IT:n VOIMAVARA
• Työnkulkuihin pohjautuva käyttäjien
provisiointi
• Käytännöillä kontrolloidut
itsepalvelumääritykset
• Automaattiset, tunnistetietoihin perustuvat
valtuutukset ja oikeuksien määrittelyt
HALLITTUA ITSEPALVELUA JA
AUTOMAATIOTA
Federoinnilla yli organisaatiorajojen
TOIMINNAN MAHDOLLISTAJA
• Sovellusten saumaton käyttö samalla
identiteetillä
• Organisaation yli ulottuva yhteistyö
IT:n VOIMAVARA
• Ei tarvetta hallinnoida ulkoisia tunnuksia
• Joustavat tekniikat toimivaan ja turvalliseen
federointiin
• Yhdenmukaiset kontrollit räätälöityjen
sovellusten luomiseen
Source: Awards for Outstanding Identity Management Projects. Kuppinger Cole, May 2009. http://www.id-conf.com/blog/2009/05/07/awards-for-outstanding-identity-management-projects/
ActiveDirectory
LotusDomino
LDAP
SQLServer
Oracle DB
Henkilöstö/
palkka-järjestelmä
FIM
Työnkulku
Esimies/
nainen
• Käytäntöihin pohjautuva elinkaarenhallinta
• Sisäänrakennettu työnkulku
• Automaattinen synkronointi kohdejärjestelmiin
Käyttäjätilin luonti
Hyväksyntä
Käyttäjä luodaan ja provisioidaan
kohdejärjestelmiin
IdentiteetinhallintaKäyttäjien provisiointi
FIM CMKäyttäjä poistetaan tai tila muutetaan ei-
aktiiviseksi
Varmenteiden ja älykorttien elinkaarenhallinta
• Vahva autentikointi, enemmän kuin pelkkäkäyttäjätunnus ja salasana
• Virtaviivaistaa käyttöönototilman käyttäjien toimenpiteitä
• Elinkaarenhallinta yhdellä jasamalla ratkaisulla
• Mahdollistaa päätelaitteenterveydentilan tarkistuksenesim. Network Access Protection -tekniikalla
• Järjestelmänvalvojille, pääkäyttäjille ja hallintaantarvittavat vahvemmatautentikointimenetelmät
HR System
Active Directory Certificate Services (AD CS)
FIM CM
FIM
Henkilöstöjärjestelmäänluodaan uusi käyttäjä. Toimenpide käynnistääennaltamäärätyn työnkulun.
FIM 2010 käytännöt käynnistääpyynnön luoda varmenne tai älykortti käyttäjälle
FIM 2010 pyytää AD CS:nluomaan varmenteen käyttäjälle
Varmenne julkaistaan käyttäjälleja tallennetaan joko käyttäjänkoneelle tai älykortille
Käyttäjä Älykortti
Salasanan vaihto itsepalveluna
FIM 2010 arkkitehtuuri
Type of System Management Agents
Network operating systems
and directory services
Active Directory Domain Services 2000, 2003, 2003 R2, 2008
Active Directory Lightweight Directory Services (ADLDS) – 2000, 2003, 2003 R2, 2008
Active Directory Global Address List (GAL) – Exchange 2000, 2003, 2007, 2010
IBM Tivoli Directory Server up to version 6.2
Novell eDirectory - v8.7.3, v8.8
Sun ONE and Netscape Directory Servers - v5.1, v5.2
IBM Directory Server - v6.0, v6.2
Certificate and Smart Card
Management
FIM Certificate Management
E-mail and messaging Exchange Server 2007 and 2010 (use AD Management Agent)
Lotus Notes - v6.5, v7.0 (32 bit Lotus Notes Client)
Databases Microsoft SQL Server 2000, 2005, 2008
IBM DB2 Universal Database 9.1 and 9.5 (64-bit client v9.5 FP5 or v9.7 FP1 required)
Oracle Database - 10g (64-bit client)
File-based1 Attribute value Pairs
CSV
Delimited
Fixed Width
Directory Services Markup Language (DSML) 2.0
LDAP Interchange Format (LDIF)
1 These file formats allow for integration with a variety of applications, databases, telephone switches, X.500 systems, Mainframe and metadirectory
products or underlying systems that can produce a file for import and export..
Other SAP - R/3 Enterprise (4.7), mySAP 2004 (ECC 5.0) (32bit client)
XML-based systems
Extensible Management Agent for custom connectivity to other systems
Kohde/lähdejärjestelmät ja hakemistot
Päätelaitteen vaatimuksetFIM Client Components Requirement
- FIM Password Reset Extensions
- FIM Add-ins and Extensions Language Pack
Windows XP Pro SP 2 (32-bit only)
Windows Vista Enterprise SP1 (32 bit or 64)
Windows 7 (32 bit or 64)
Windows Installer 3.1 (if on XP SP2)
.NET 3.5 SP1 Framework
- FIM Outlook Add-in Same as above plus:
Microsoft Office Outlook 2007 SP2
Microsoft Forms 2.0 .NET Programmability Support
Smart Tag .NET Programmability Support
.Net Programmability Support for Microsoft Office Outlook
© 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not
be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.