tpam edmz (french)

Presentation TPAM

Présentation de la Suite TPAM

• Cette suite est conçue en réponse aux problèmes de sécurité et de conformité associés aux utilisateurs et aux accès privilégiés.

• Composée de 2 solutions logicielles complémentaires :

⁻ La solution PAR (Password Auto Repository™) pour gérer les mots de passe privilégiés,

⁻ La solution eGuardPost™ pour gérer les sessions privilégiées,

• Sa conception est modulaire, ce qui garantit une grande souplesse d’évolutivité.• Démarrez avec les modules de base requis• Ajoutez des modules supplémentaires en fonction de l'évolution de vos besoins


• Solution composée de ces 2 modules :

La solution PAR

Gestion de mots de passe privilégiés (PPM)

Gestion des mots de passe d'application (APM)


• Solution composée de ces 2 modules :

La solution eGuardPost

Gestion de session privilégiée (PSM)

Gestion de commande privilégiée (PCM) *

* Module optionnel

Suite TPAM


• Les comptes privilégiés sont généralement UNIVERSELS

• Contrairement aux comptes « utilisateur », ils ne font pas l'objet d'une association individuelle

• Les comptes privilégiés existent dans tout système, périphérique réseau, base de données, etc.

• Les comptes privilégiés jouissent d'un ACCÈS et d'un CONTRÔLE étendus– Souvent, ils bénéficient même d'un accès et d'un contrôle total sur le système

• PROBLÈMES DE CONTRÔLE réglementaire et de conformité

– Demande croissante de contrôle de la gestion de compte privilégié/partagé/de service/d'application

– Ce qui était acceptable hier n'est PLUS admis aujourd'hui

Problèmes et défis


John Smith Equipe Support

PAR

Demande demot de passe

Serveur

Récupération dumot de passe

John Smith Equipe Support

Serveur

Connexion avecLe Mot de passe

Administrateur communconnu

Utilisation de mot de passe actuellement Utilisation de mot de passe avec PAR

Connexion avecLe Mot de passe

Administrateur récupéré

https


Demandeur

PARDemande demot de passe

Approbateurs

Demande d’accès au mot de passeApprobation

Serveur


Contrôle basé sur la fonction

Demandeur (Requestor)

Approbateur (Approver)

Approbateur/Demandeur (Approver/Requestor)

Accès privilégié granulaire (Privileged Access)

ISA (Information Security Administrator)

Administrateur d’utilisateur (User Administrator)

Administrateur PAR (PAR Administrator)

Adm

inis

trat

ion


Ressource

Modification des mots de passe

Stockage sécuriséen base de données

Chiffrement AES256

Vérification régulière

Modification des mots de passe:- A une fréquence déterminée. Ex: tous les 30 jours- A chaque demande

Vérification régulière:- Alerte par mail

Chiffrement du disque en AES256


• PAR prend en charge plusieurs méthodes d'authentification forte comprenant : RSA Secure ID, ainsi que Safeword, LDAP, Active Directory et Radius.

• Tous les accès interactifs à PAR se font via HTTPS. Aucun logiciel client n'est

requis pour déployer PAR.

Contrôle d’accès

Demander un mot de passe

Choisissez les comptes auquels vous

souhaitez accéder

Saisissez la Date/Heure/Durée/Raison

De la demande de mot de passe

Optionellement vous pouvez activer la vérification de Ticket.

Récupération du mot de Passe



Demande de mot de passe

Filtre de rechercheou accès aux dernières

demandes

Choisissez les comptes auquels vous souhaitez accéder à l’aide de la

la fonction Quick Request.

Optionellement vous pouvez activer la

vérification de Ticket.

Récupération du mot de Passe

Application


Serveur

Application Application

Mot de passe

Mot de passe

Les mots de passe sont connus des développeurs, et peuvent être facilement dérobés par des administrateurs/équipes de support/Infogérants.

La gestion des changements de mot de passe est difficile sinon impossible.


Application


Interface API/CLI complète C/C++Java.NETPerl

API en SSH

Demande de mot de passe

Serveur

Utilisation du mot de passeRécupéré via l’API

PAR

Gestion des mots de passe Applicatifs

Restriction d’utilisation du compte API:- Compte uniquement utilisable via API,- Restriction sur plages horaires prédéfinies,- Restriction sur l’adresse IP source de l’application

PASSWORD ACCESS REPOSITORY

PASSWORD ACCESS REPOSITORY

Serveur Périphériques réseau Bases de données Autres

Unix : AIX, HP-UX, Solaris, Unixware

CISCO : IOS, CatOS Oracle LDAP, LDAPS

Linux Novell NDS MS SQL Windows AD

Windows Pare-feu : PIX, Netscreen, Checkpoint, CyberGuard, Fortinet, Bluecoat, Nokia-IPSO

Sybase NT Domain,Windows Desktop

AS-400 DB2 (v10+) IBM HMC

Mainframe : ACF2, LDAP RACF, LDAP TS, OpenMVS

HP iLO, IBM HMC

Tru64 : Enhanced Security, Untrusted

Plate-formes prises en charge


• Les exigences de conformité impliquent souvent de savoir ce qui a été fait au cours de certains accès privilégiés ou sensibles. Vous avez besoin de savoir ce qui a été fait par :– les fournisseurs distants ?– les infogérants ?– les développeurs ayant accès aux systèmes de production ?– les activités de support ?– les utilisateurs ou administrateurs ayant accès à des ressources ou des applications

sensibles (serveurs financiers/Sox, RH, etc.) ?

• Certains accès exigent un contrôle accru

• Besoin de restriction de l'accès direct aux ressources


• Contrôles d'accès granulaire spécifiques aux ressources

• Contrôles de connexion à double autorisation

• Proxy de session

• Fonctions avancées d'« ouverture de session automatique » pour éviter toute exposition des mots de passe internes vis-à-vis d'administrateurs ou de fournisseurs externes

• Enregistrement et archivage de session, incluant chaque frappe clavier, mouvement de souris, accès à une application, etc.

• Relecture de session complète de type vidéo



• Contrôle total des connexions– Double contrôle d'autorisation– Limites de durée de session– Alerte de notification de dépassement de session– Options manuelles de clôture de session


Demande de Session

Selectionnez depuis une liste de systèmes et comptes celui auquel vous souhaitez vous connecter.

Saisissez date/heure/durée de la demande de connexion.

Une fois la demande de connexion approuvée (ou autoapprouvé) cliquez sur

CONNECT!

Gestion de session privilégiée (PSM)• Authentification de sessionAvec les contrôles de session facultatifs d'eGuardPost, trois options de gestion

d'authentification/de mot de passe de session sont configurables sur la base du compte.

Gestion partielle de mot de passe PARPas de gestion de mot de passe PAR

Gestion totale de mot de passe PAR


• Audit de session inédit– Audit/consignation de toutes les requêtes de connexion, approbations– Enregistrement vidéo de session COMPLET avec relecture différée

Commande de lecture différée

Enregistrement de session complet etrelecture de TOUTES les activités

Gestion de commande privilégiée (PCM)

• Forte exigence de conformité pour restreindre l'accès privilégié de superutilisateur– Besoin d'accorder des droits de superutilisateur sans donner un contrôle total

• Besoin de restreindre les opérations accessibles aux fournisseurs et prestataires de services distants

• Nécessité de déléguer certaines fonctions privilégiées sans accorder un contrôle total privilégié

• Besoin de prise en charge des plates-formes Unix et Windows


Gestion de commande privilégiée (PCM)

• Gestion des privilèges de superutilisateur (SUPM)– Contrôles d'accès au niveau des commandes– Pas de possibilité d'exécution en dehors des limites de la commande– Enregistrement de toutes les activités

• Prise en charge d'environnements multi-plates-formes– Unix– Windows– Autres (dans les versions à venir)

Session restreinte à une commande unique(la Gestion de l'ordinateur dans cet exemple)

Aucune autre fonction Windows n'est disponible

Session restreinte à une commande unique

(la Gestion de l'ordinateur dans cet exemple)

Aucune autre fonction Windows n'est disponible

Présentation de la Suite TPAMLes Appliances composant la suite TPAM

Tolerance Panne

Entreprise

Intel Xeon E5410QC 2.33 Ghz,RAM : 2Go EEC,2 DD 250 Go RAID 1,2 Alimentations: 700Wventilateurs redondants

2 Intel Xeon E5410QC 2.33 Ghz,RAM : 4Go EEC,3 DD 500 Go RAID 5 (1 hot swap),2 Alimentations: 700WVentilateurs redondants

Ges

tion

de m

ot d

e p

ass

e (P

AR

)

Ge

stio

n d

e S

ess

ion

s (e

Gu

ard

Po

st)

Firewall PCI Secure Computing,Microsoft Windows 2003 web Edition,MSDE 2000,Chiffrement des mots de passe: RSA B-Safe,Chiffrement du disque: GuardianEdge

Firewall PCI Secure Computing,Microsoft Windows 2003 Std Ed.,SQL serveur 2000 standard Ed.,Chiffrement Mdp: RSA B-Safe,Chiffrement du DD: GuardianEdge

StandardIntel Core 2 Duo 1.8GhzRAM : 2Go,DD 160 GoAlimentation: 260W,1 ventilateur

Firewall PCI Secure Computing,Microsoft Windows 2003 web Edition,MSDE 2000,Chiffrement des mots de passe: RSA B-Safe AES256,Chiffrement du disque: GuardianEdge

Présentation de la Suite TPAMLes Appliances complémentaires

Ges

tion

de

mot

de

pa

sse

(PA

R)

Ge

stio

n d

e S

ess

ion

s (e

Gu

ard

Po

st) GP-DPA

PAR-Cacheou

Appliance de gestion de session, utilisée si vous avez besoin de:>25 sessions simultanéesouSupporter des protocoles http/https, ICA

Session/Proxy eGuardPost GP-DPANombre de sessions simultanées maximum 25 100SSH RDP Telnet VNC AS400 http https ICA

Best Regulatory Compliance Solution

tpam edmz (french)

Business