IT Security Trends 2013

Transkript

1 Integralis Roadshow IT Security Trends 2013 Die wichtigsten Themen auf dem Radar für IT Security Entscheider

2 Fahrscheinkontrolle! Die Tickets bitte! Zentrale Authentifizierungsinstanzen als Allheilmittel für zunehmende dezentrale Dienste? Dr. Ralf Stodt Executive Solution Manager, CISSP Endpoint Security & IAM Business Development

3 Agenda Trends in Bereich IAM IdM in der Idealvorstellung und der Realität Multiplikative Dienste und Dezentralisierung Identity Federation Begriffsdefinition Standards OpenID und SAML Anwendungsszenarien IdF im Unternehmen Authentifizierungssysteme VPN Gateway IdF Systeme Zusammenfassung Ausblick 3

4 Identity and Access Management Definition von IAM: Prozesse und Technologien zur Verwaltung von Benutzeridentitäten Zugriffsberechtigungen Benutzeradministration Authentifizierung Autorisierung Administration Intelligence Methoden Attribute Erstellen Audit Single-Sign-On Rollen Aktualisieren Analyse Federation Regeln Löschen Report Berechtigungen

5 Hypecycle für IAM Technologien Ist IdF ein Trend? 5 Source: Gartner, Juli 2012

6 Identity Management in einer idealisierten Form Geschäftsprozesse IT-Prozesse Einstellung Ausscheiden Versetzung Vertrag Start Neue Anwendung Berechtigungen Kündigung Entlassung Vertrag Ende Passwort-Reset Passwortwechsel Identity Management OS Verzeichnis Anwendung Datenbank ERP Benutzer Passwörter Gruppen Attribute Systeme und Anwendungen 6

7 Identity Management in der Realität Geschäftsprozesse IT-Prozesse Einstellung Ausscheiden Versetzung Vertrag Start Neue Anwendung Berechtigungen Kündigung Entlassung Vertrag Ende Passwort-Reset Passwortwechsel Identity Management Konnektor Social OS Verzeichnis Anwendung Datenbank Mobility Cloud ERP SaaS Networks Benutzer Passwörter Gruppen Attribute Systeme und Anwendungen 7

8 Trends mit Einfluss auf Identity Management Die Verwaltung von Identitäten wird zunehmend schwerer! Schwarmbildung Interdisziplinäre Teams Unternehmensfusion und -trennung Outsourcing SaaS-Nutzung Externe Benutzerkreise (Zulieferer, Partner, Kunden) Sozial Netzwerke Cloud Computing Mobile Dienste 8

9 Multiplikative Dienste und Anmeldungen - Dezentralisierung ebusiness Enterprise Firewall Existing AAA Portal Directory Source: PingIdentity,

10 Risiken bei dezentralen Identitäten Wiederwendung von Passwörtern an unterschiedlichen Diensten (auch externe oder private Identitäten) Weitergabe von Account-Informationen Unzureichende Passwortrichtlinien auf Seiten externer Services Aufwand für den Benutzer, fehlende Nutzbarkeit Aufwand für IT/Helpdesk in der Pflege von externen Identitäten Verwendung unterschiedlicher Identifier (Benutzernamen) IdM Prozesse werden nicht sauber abgebildet Austritt beinhaltet besondere Risiken Veränderung der Position (mehr/weniger Verantwortung) Abbildung von Berechtigungen extern =/= intern 10

11 Hypecycle für IAM Technologien IdF ist ein Trend! 11 Source: Gartner, Juli 2012

12 Grundlagen Identity Federation Definition Federation bezeichnet Standards, Technologien und Vereinbarungen, die notwendig sind, um den Austausch von Personen- und Berechtigungsinformationen zwischen autonomen Bereichen (z.b. Firmen) zu ermöglichen. Anwendungsbeispiele Cross-Domain Verfahren Cross-Domain Provisionierung von Identitäten Cross-Domain Attributsprovisionierung Cross-Domain Berechtigungsmanagement Web-basierte Federation (Web-SSO) 12

13 Grundlagen Identity Federation Identity Domain ist ein in sich geschlossenes System zur Verwaltung der Identitätsinformationen seiner Benutzer Identity Federation bezeichnet den Austausch von Informationen zu Identitäten zwischen zwei Identity Domains unter Zuhilfenahme einer Vertrauensbeziehung (Trust) Federation kann unioder bi-direktional erfolgen Domain A Domain B Identitäten Identitäten 13

14 Grundlagen Identity Federation Innerhalb der Federation hat der Trust eine definierte Richtung und bestimmt die Rolle des Identity Providers und Service Providers Es wird der identitätsbestimmenden Domain vertraut IdF kann benutzerkontrolliert oder benutzerzentriert erfolgen Domain A Identitäten Domain B Identity Provider Services Service Provider 14

15 Grundlagen Identity Federation Domain B vertraut A Domain A beinhaltet damit die Identity Provider (IdP) Rolle Domain B ist der Service Provider (SP) 15

16 Standards im Bereich Identity Federation SSO (SLO) Funktionalität Federated IdM Besonderheiten Ursprung SAML Ja (Ja) Ja XML Framework Plattformunabhängig OASIS Shibboleth Ja (Nein) Ja Cross-Domain Authentifizierung mit Zertifikaten WAYF Repository Internet2/MACE (Erweiterung von SAML) ADFS Ja (Nein) Ja Claim-basiertes Verfahren Unterstützt WS Federation Unterstützt SAML v2 Microsoft OAuth Ja (Nein) Eingeschränkt API basiertes Verfahren IETF OAuth WG OpenID Ja (Nein) Eingeschränkt URL basierte Identität Verschiedene Rolle per RP möglich OpenID Foundation 16

17 Funktionsweise SAML im Detail Alle Informationen innerhalb von SAML werden mithilfe von Webservices übertragen Auch OpenID, Shibboleth, WS-* ( ) sind web-basiert SAML SPML DSML XACML Framework für Webservices (WSDL) XML basiertes Messaging (SOAP) Datenbeschreibung (XML) Übertragungsprotokoll (z.b. HTTP oder HTTPS) 17

18 Funktionsweise SAML im Detail Service Provider Anwender Identity Provider Zugriff auf Webservice 1 SP generiert 2 SAML Request 3 Redirect auf SSO URL Browser 3 Redirect auf SSO URL 4 IdP verarbeitet SAML Request, authentifiziert den Anwender SP verifiziert 7 SAML Response SAML Response 6 SAML Response 5 6 IdP erstellt SAML Response 8 Benutzer ist angemeldet 18

19 Funktionsweise SAML im Detail 19

20 Funktionsweise OpenID im Detail OpenID: OpenID Discovery OP Rückgabe Anwender OpenID Provider 20 2 Relying Party RP führt OpenId Discovery aus RP wertet Assertion aus 7 8 Zugriff auf Webservice 1 6 Browser OP authentifiziert Redirect auf Redirect auf den Anwender OP SSO URL OP SSO URL Assertion Response Benutzer ist angemeldet Assertion Response 5 6 OP erstellt Assertion

21 Unterschiede OpenID und SAML SAML OpenID Trust zwischen Service Provider und Identity Provider Ja SLO Ja Nein Nein (White/Blacklist möglich) Identity Federation Ja Eingeschränkt Ausrichtung Enterprise Benutzerzentriert, Consumer Nutzung möglich SAP, Salesforce, Oracle OnDemand, Amazon, Microsoft BPOS, Google Google, Yahoo, Facebook, Verisign, AOL, Microsoft Azure 21

22 Vor- und Nachteile von Identity Federation Verfahren Mehrwerte Flexibilität für verschiedene Anmeldeverfahren Anmeldeinformationen werden nicht zum Dienstanbieter übertragen 22

23 Vor- und Nachteile von Identity Federation Verfahren Mehrwerte Einmalanmeldung (SSO, SLO, vorrangig Web-SSO) Effizientere Verwaltung der eigenen Zugangsdaten Zeitersparnis Anwenderzufriedenheit Sicherheit (stärkere Passwörter, weniger Eingaben) Geringer Verwaltungsaufwand und effizientere Administration Kostenreduktion Flexibilität in der Anbindung neuer Applikationen 23 Risiken SPoA (Single Point of Attack, anfällig gegen DDoS) SPoF (Single Point of Failure) Kompromittierung (vgl. RUB)

24 Anwendungsfälle für Identity Federation Transistente Identifikation Account Linking Rollenzuordnung Dieter Demo Identity Provider Service Provider Attribut Wert Attribut Wert User ID Vorname Dieter Account Linking User ID Vorname ddemo Dieter Nachname Demo Nachname Demo 24

25 Einsatzgebiete von Identity Federation Identity Federation Systeme (Cloud Security Services) Identity Management Systeme mit IdF Erweiterung Weitere Systeme mit integrierten IdF Funktionen (Profilen) Web Access Management Authentifizierungssysteme VPN-Gateways (Reverse) Proxies Lösungsauswahl abhängig von Anforderungen (Autorisierung, Authentifizierungsmethoden, Rollenmodelle, Regeladministration, Protokolle, Provisionierung, Audit- und Reporting Anforderungen, ) 25

26 Einsatzgebiete von Identity Federation Anwendungsszenario: Web-SSO mit internen und externen Diensten Authentication Authentifizierungssysteme (AAA) Federation Authorization Identity Federation (IdF) Identity Management (IdM) Rule Administration Identity Administration Web Access Management (WAM) VPN Gateways Intelligence Auditing 26

27 SAML Support in AAA Lösungen 27 AAA-System IdP SLO Methoden Anmerkung ActivIdentity 4TRESS Authentication Server SecureAuthenticate V2 Authentication Manager 7.x Anwendungsszenarien Ja Nein OOB OTP Password PKI Ja Ja OOB OTP Password Softgrid Anm. Anm. OOB OTP Password Adaptiv Interne und externe Webservices mit SAML Support SAML v2 (Web SSO Profile only) SAML v2 (Web SSO Profile only) RSA SecurID Support in gängigen IdF Systemen immer gegeben AM8 evtl. mit SAML Support

28 SAML Support in VPN Lösungen VPN Gateway IdP SP SLO Methoden Anmerkung Junos Pulse Gateway (SA/MAG) Ja Ja Ja PKI OTP OOB Password Softgrid Adaptiv (abhängig von IAM Lösung) SAML v2 (Web SSO Profile only) Gateway- oder Peer-Betriebsmodus Anwendungsszenarien Externe Webservices mit SAML Support (IdP Rolle, Peer Modus) Externer Zugriff auf interne Ressourcen mit zusätzlicher Authentifizierung oder Autorisierung (IdP Rolle, Gateway Modus) Authentifizierung gegenüber dem Secure Access Service (SP Rolle) 28

29 SAML Support in WAM oder IdF Lösungen Access Manager PingFederate Komponenten Clientless (Anwender) Access Gateway (WAM) Identity Server Ja (optional esso Integration) Identity Bridge (WAM kann durch Integration von beispielsweise F5 APM integriert werden) Ja (optional CIC) Clientless (Server) Ja Ja (wenn Service Federation unterstützt, alternativ Integration Kits verfügbar) Unterstütze Authentifizierungen IdP/SP/IdP Discover Rolle (SAML v2) Weitere Standards Password, PKI, OTP, OOB Ja/Ja/Ja WS-Federation, OpenID, ADFS Password, PKI, OTP, OOB, weitere Tokentranslator Ja/Ja/Ja WS-Federation, WS-Trust, OpenID, Oauth, ADFS 29

30 Lösungsfindung Web-SSO Anwendungsfall 30

31 Support von Identity Federation in mobilen Systemen SAML wird auch in mobilen Anwendungen genutzt Verwendung von Zertifikaten möglich - aber aus Sicherheitsaspekten nicht empfehlenswert Mehrwert von Web-SSO wird hier durch Risiken aufgehoben 31

32 Zusammenfassung Identity Federation ist eine etablierte Technologie für: Ticketbasierte Anmeldung an Diensten Übertragung von Identitätsinformationen über Unternehmensgrenzen hinweg Konsistenz von Anmeldeinformationen und Berechtigungen Erhalt der Autonomie von Teilsystemen Effiziente und einheitliche Prozesse im IdM SAML ist der Standard im Unternehmenskontext 32

33 Unterstützung für Ihre Fragen Beratungskompetenz Solution Workshops Integration 33