tpam edmz (french)
DESCRIPTION
eDMZ / Adines Seminar in Paris on 4 May 2010 - Presentation in French.TRANSCRIPT
Presentation TPAM
Présentation de la Suite TPAM
• Cette suite est conçue en réponse aux problèmes de sécurité et de conformité associés aux utilisateurs et aux accès privilégiés.
• Composée de 2 solutions logicielles complémentaires :
⁻ La solution PAR (Password Auto Repository™) pour gérer les mots de passe privilégiés,
⁻ La solution eGuardPost™ pour gérer les sessions privilégiées,
• Sa conception est modulaire, ce qui garantit une grande souplesse d’évolutivité.• Démarrez avec les modules de base requis• Ajoutez des modules supplémentaires en fonction de l'évolution de vos besoins
Présentation de la Suite TPAM
• Solution composée de ces 2 modules :
La solution PAR
Gestion de mots de passe privilégiés (PPM)
Gestion des mots de passe d'application (APM)
Présentation de la Suite TPAM
• Solution composée de ces 2 modules :
La solution eGuardPost
Gestion de session privilégiée (PSM)
Gestion de commande privilégiée (PCM) *
* Module optionnel
Suite TPAM
Gestion de mots de passe privilégiés (PPM)
• Les comptes privilégiés sont généralement UNIVERSELS
• Contrairement aux comptes « utilisateur », ils ne font pas l'objet d'une association individuelle
• Les comptes privilégiés existent dans tout système, périphérique réseau, base de données, etc.
• Les comptes privilégiés jouissent d'un ACCÈS et d'un CONTRÔLE étendus– Souvent, ils bénéficient même d'un accès et d'un contrôle total sur le système
• PROBLÈMES DE CONTRÔLE réglementaire et de conformité
– Demande croissante de contrôle de la gestion de compte privilégié/partagé/de service/d'application
– Ce qui était acceptable hier n'est PLUS admis aujourd'hui
Problèmes et défis
Gestion de mots de passe privilégiés (PPM)
John Smith Equipe Support
PAR
Demande demot de passe
Serveur
Récupération dumot de passe
John Smith Equipe Support
Serveur
Connexion avecLe Mot de passe
Administrateur communconnu
Utilisation de mot de passe actuellement Utilisation de mot de passe avec PAR
Connexion avecLe Mot de passe
Administrateur récupéré
https
Gestion de mots de passe privilégiés (PPM)
Demandeur
PARDemande demot de passe
Approbateurs
Demande d’accès au mot de passeApprobation
Serveur
Gestion de mots de passe privilégiés (PPM)
Contrôle basé sur la fonction
Demandeur (Requestor)
Approbateur (Approver)
Approbateur/Demandeur (Approver/Requestor)
Accès privilégié granulaire (Privileged Access)
ISA (Information Security Administrator)
Administrateur d’utilisateur (User Administrator)
Administrateur PAR (PAR Administrator)
Adm
inis
trat
ion
Gestion de mots de passe privilégiés (PPM)
Ressource
Modification des mots de passe
Stockage sécuriséen base de données
Chiffrement AES256
Vérification régulière
Modification des mots de passe:- A une fréquence déterminée. Ex: tous les 30 jours- A chaque demande
Vérification régulière:- Alerte par mail
Chiffrement du disque en AES256
Gestion de mots de passe privilégiés (PPM)
• PAR prend en charge plusieurs méthodes d'authentification forte comprenant : RSA Secure ID, ainsi que Safeword, LDAP, Active Directory et Radius.
• Tous les accès interactifs à PAR se font via HTTPS. Aucun logiciel client n'est
requis pour déployer PAR.
Contrôle d’accès
Demander un mot de passe
Choisissez les comptes auquels vous
souhaitez accéder
Saisissez la Date/Heure/Durée/Raison
De la demande de mot de passe
Optionellement vous pouvez activer la vérification de Ticket.
Récupération du mot de Passe
Gestion de mots de passe privilégiés (PPM)
Gestion de mots de passe privilégiés (PPM)
Demande de mot de passe
Filtre de rechercheou accès aux dernières
demandes
Choisissez les comptes auquels vous souhaitez accéder à l’aide de la
la fonction Quick Request.
Optionellement vous pouvez activer la
vérification de Ticket.
Récupération du mot de Passe
TPAM
Application
Gestion des mots de passe d'application (APM)
Serveur
Application Application
Mot de passe
Mot de passe
Les mots de passe sont connus des développeurs, et peuvent être facilement dérobés par des administrateurs/équipes de support/Infogérants.
La gestion des changements de mot de passe est difficile sinon impossible.
Problèmes et défis
Application
Gestion des mots de passe d'application (APM)
Interface API/CLI complète C/C++Java.NETPerl
API en SSH
Demande de mot de passe
Serveur
Utilisation du mot de passeRécupéré via l’API
PAR
Gestion des mots de passe Applicatifs
Restriction d’utilisation du compte API:- Compte uniquement utilisable via API,- Restriction sur plages horaires prédéfinies,- Restriction sur l’adresse IP source de l’application
PASSWORD ACCESS REPOSITORY
PASSWORD ACCESS REPOSITORY
Serveur Périphériques réseau Bases de données Autres
Unix : AIX, HP-UX, Solaris, Unixware
CISCO : IOS, CatOS Oracle LDAP, LDAPS
Linux Novell NDS MS SQL Windows AD
Windows Pare-feu : PIX, Netscreen, Checkpoint, CyberGuard, Fortinet, Bluecoat, Nokia-IPSO
Sybase NT Domain,Windows Desktop
AS-400 DB2 (v10+) IBM HMC
Mainframe : ACF2, LDAP RACF, LDAP TS, OpenMVS
HP iLO, IBM HMC
Tru64 : Enhanced Security, Untrusted
Plate-formes prises en charge
TPAM
Gestion de session privilégiée (PSM)
• Les exigences de conformité impliquent souvent de savoir ce qui a été fait au cours de certains accès privilégiés ou sensibles. Vous avez besoin de savoir ce qui a été fait par :– les fournisseurs distants ?– les infogérants ?– les développeurs ayant accès aux systèmes de production ?– les activités de support ?– les utilisateurs ou administrateurs ayant accès à des ressources ou des applications
sensibles (serveurs financiers/Sox, RH, etc.) ?
• Certains accès exigent un contrôle accru
• Besoin de restriction de l'accès direct aux ressources
Problèmes et défis
• Contrôles d'accès granulaire spécifiques aux ressources
• Contrôles de connexion à double autorisation
• Proxy de session
• Fonctions avancées d'« ouverture de session automatique » pour éviter toute exposition des mots de passe internes vis-à-vis d'administrateurs ou de fournisseurs externes
• Enregistrement et archivage de session, incluant chaque frappe clavier, mouvement de souris, accès à une application, etc.
• Relecture de session complète de type vidéo
Gestion de session privilégiée (PSM)
Gestion de session privilégiée (PSM)
• Contrôle total des connexions– Double contrôle d'autorisation– Limites de durée de session– Alerte de notification de dépassement de session– Options manuelles de clôture de session
Gestion de session privilégiée (PSM)
Gestion de session privilégiée (PSM)
Demande de Session
Selectionnez depuis une liste de systèmes et comptes celui auquel vous souhaitez vous connecter.
Saisissez date/heure/durée de la demande de connexion.
Une fois la demande de connexion approuvée (ou autoapprouvé) cliquez sur
CONNECT!
Gestion de session privilégiée (PSM)• Authentification de sessionAvec les contrôles de session facultatifs d'eGuardPost, trois options de gestion
d'authentification/de mot de passe de session sont configurables sur la base du compte.
Gestion partielle de mot de passe PARPas de gestion de mot de passe PAR
Gestion totale de mot de passe PAR
Gestion de session privilégiée (PSM)
• Audit de session inédit– Audit/consignation de toutes les requêtes de connexion, approbations– Enregistrement vidéo de session COMPLET avec relecture différée
Commande de lecture différée
Enregistrement de session complet etrelecture de TOUTES les activités
TPAM
Gestion de commande privilégiée (PCM)
• Forte exigence de conformité pour restreindre l'accès privilégié de superutilisateur– Besoin d'accorder des droits de superutilisateur sans donner un contrôle total
• Besoin de restreindre les opérations accessibles aux fournisseurs et prestataires de services distants
• Nécessité de déléguer certaines fonctions privilégiées sans accorder un contrôle total privilégié
• Besoin de prise en charge des plates-formes Unix et Windows
Problèmes et défis
Gestion de commande privilégiée (PCM)
• Gestion des privilèges de superutilisateur (SUPM)– Contrôles d'accès au niveau des commandes– Pas de possibilité d'exécution en dehors des limites de la commande– Enregistrement de toutes les activités
• Prise en charge d'environnements multi-plates-formes– Unix– Windows– Autres (dans les versions à venir)
Session restreinte à une commande unique(la Gestion de l'ordinateur dans cet exemple)
Aucune autre fonction Windows n'est disponible
Session restreinte à une commande unique
(la Gestion de l'ordinateur dans cet exemple)
Aucune autre fonction Windows n'est disponible
Présentation de la Suite TPAMLes Appliances composant la suite TPAM
Tolerance Panne
Entreprise
Intel Xeon E5410QC 2.33 Ghz,RAM : 2Go EEC,2 DD 250 Go RAID 1,2 Alimentations: 700Wventilateurs redondants
2 Intel Xeon E5410QC 2.33 Ghz,RAM : 4Go EEC,3 DD 500 Go RAID 5 (1 hot swap),2 Alimentations: 700WVentilateurs redondants
Ges
tion
de m
ot d
e p
ass
e (P
AR
)
Ge
stio
n d
e S
ess
ion
s (e
Gu
ard
Po
st)
Firewall PCI Secure Computing,Microsoft Windows 2003 web Edition,MSDE 2000,Chiffrement des mots de passe: RSA B-Safe,Chiffrement du disque: GuardianEdge
Firewall PCI Secure Computing,Microsoft Windows 2003 Std Ed.,SQL serveur 2000 standard Ed.,Chiffrement Mdp: RSA B-Safe,Chiffrement du DD: GuardianEdge
StandardIntel Core 2 Duo 1.8GhzRAM : 2Go,DD 160 GoAlimentation: 260W,1 ventilateur
Firewall PCI Secure Computing,Microsoft Windows 2003 web Edition,MSDE 2000,Chiffrement des mots de passe: RSA B-Safe AES256,Chiffrement du disque: GuardianEdge
Présentation de la Suite TPAMLes Appliances complémentaires
Ges
tion
de
mot
de
pa
sse
(PA
R)
Ge
stio
n d
e S
ess
ion
s (e
Gu
ard
Po
st) GP-DPA
PAR-Cacheou
Appliance de gestion de session, utilisée si vous avez besoin de:>25 sessions simultanéesouSupporter des protocoles http/https, ICA
Session/Proxy eGuardPost GP-DPANombre de sessions simultanées maximum 25 100SSH RDP Telnet VNC AS400 http https ICA
Best Regulatory Compliance Solution