IT Security Europe 2003 München 06.10.03 Enterprise User Administration (EUA) Kurzübersicht von Rolf Negri 1
Der Referent Rolf Negri Dipl. Informatikingenieur ETH Consultant esecurity rolf.negri@trivadis.com Tel. +41 1 808 70 20 www.trivadis.com 2
Was verstehen wir unter EUA? DBs Applikationen Systeme Directories Mitarbeiter EUA System Weitere Objekte Human Ressource Mitarbeiter Human Ressource Systeme DBs Applikationen Directories Weitere Objekte 3
Wofür soll EUA verwendet werden? Berechtigen von IT Ressourcen: Applikationen Netzwerk-Komponenten Systeme, Domains VPN-Zugang Speziallösungen, spezielle HW, SW Durch verwalten von: User Accounts Rollen, Gruppen Organisations-Strukturen Parameter (Shell, Homeverzeichnis,...) Ev. Passwörter Policies Mittels Abbildung von Prozessen: Einstellen, Kündigung von Mitarbeitern Berechtigungen neu vergeben und löschen Abteilungswechsel, Wechsel von Aufgabengebiet Zielsysteme entfernen oder zufügen Passwort vergessen oder kompromittiert 4
Zielsetzung von EUA Zentrale Administration von User Accounts und Berechtigungen für alle Zielsysteme - Server, Applikationen, Datenbanken, Netzwerkkomponenten Unternehmensweites Rollenmodell Enterprise User (=Mitarbeiter) und nicht Accounts bewirtschaften Automatische Umsetzung von lokalen Rechten gemäss Rollenmodell Berechtigungs-Anfragen standardisieren und automatisieren (Prozesse, Workflow) Security Policy Enforcement (Passwörter, Accounts, etc.) 5
Enterprise User Management is isthe thecollection of of technologies and and processes that that enable enable appropriate user user access access to to resources across across the the enterprise, technologies with with which which organizations may may authenticate, authorize, provision and and store store user user access access rights rights in in a secure secure and and scalable manner, based based on on business roles. roles. (SANS (SANS Institute 2003) 2003) Synonym verwendete Begriffe Identity Management (IM, IdM, IDM) Identity & Access Management (IAM) Secure Identity Management (SIM) Digital Identity (DI, DID) Identity & Security Management (ISM) 6
Propagation an Zielsysteme DBs Applikationen Alle Accounts im EUA System verwaltet Master Systeme EUA System Directories Weitere Objekte Problem Verhindern lokaler User Sammelaccounts Enduser Human Ressource 7
Bidirektionale Kommunikation DBs Applikationen Alle Accounts im EUA System verwaltet Enduser Systeme EUA System Directories Weitere Objekte Human Ressource Änderungen am Zielsystem (lokal) werden automatisch ins EUA System übertragen Notifikation an User Manager 8
Aufbau einer EUA-Umgebung Anwender Browser Administrator Browser Supervisor Browser Web / GUI EUA Applikation Service Enterprise Repository Betriebssystem WinNT RACF UNIX Datenbanken Directories W2K NetWare LDAP Applikationen VPN SAP PKI 9
Enduser-orientiert 1 000 Enduser Human Ressource Enduser Rahmenbedingungen Viele Benutzer Gleichartige Berechtigungen User haben wenig Knowhow User benutzen definierte User-Interfaces Definierte Betriebszeiten Notfall-Situationen selten Systeme DBs Applikationen Directories Weitere Objekte 20 Zielsysteme 10
Administratoren-orientiert 200 User 100 Admin/ Spezialisten Human Ressource Systeme 1 000 Zielsysteme DBs User Applikationen Weitere Objekte Directories Rahmenbedingungen Wenige Benutzer Viele, meist spezifische Berechtigungen Sammel-Accounts sind üblich und nicht überall eliminierbar User haben fundiertes IT-Knowhow Arbeiten sind oft nicht über GUI und sehr individuell Notfälle kommen vor und sind unbedingt zu berücksichtigen 11
Entwicklungsgeschichte NIS, NIS+ DCE Anfänge eprovisioning Single Sign-On Meta-Directory Passwort Management X.500 / LDAP Technologie-Entwicklung Eine Lösung für: Provisioning Identity Management Single Sign-On Extranet Access Management Meta-Directory Next Step 1980 1990 2000 2005 12
(e)provisioning supplying everything that that users users need need to to do do their their jobs jobs on on their their first first day day of of employment --that that is, is, IT Ressourcen: Accounts für Netzwerk, E-Mail Zugriffsrechte Notebook Digitale Zertifikate Homeverzeichnis VPN-Zugang Verzeichnis-Eintrag Nicht IT Ressourcen: Büroschlüssel Arbeitsplatz Telefon Firmenkreditkarte Visitenkarten Dienstwagen Spesenkonto 13
Aktuelle Marktsituation Systor 13% Other/Custom 16% Access360 13% Business Layers 4% BMC 54% Giga, October 22, 2001 BMC ist Marktführer IBM hat Access360 aufgekauft: Wird nun unter dem Produktnamen Tivoli Identity Manager vertrieben 14
Produkteübersicht Weitere Anbieter Waveset Technologies: Microsoft: Oracle: Systor: Evidian: PassGo Technologies: Thor Technologies: Novell: Courion: Netegrity: LightHouse Windows Plattformen (Domain, AD) Enterprise Users Security Administration Manager (SAM) AccessMaster PassGo UPM, URM XELLERATE Novell Nsure AccountCourier, PasswordCourier IdentityMinder 15
Inhalt eines EUA-Projektes Projekt-Controlling IST/Soll Konzeption Realisierung Int. Test Rollout Abschluss Pilot Ausbau 16 IST-Analyse Anforderungsanalyse Planung der internen Ressourcen Lösungsarchitektur Prototyping Integrationskonzept Process Design, Rollenkonzept Org.-, Rollout-, Security Konzept Design Reporting, Statistik, Alerting Realisierung, Integration Dokumentation Komponententest Test der Gesamtlösung Rollout für auserwählte Objekte Hochfahren der Organisation&Prozesse Stabilisierung des EUA-Services Rollout für weitere Objekte in Wellen Prüfen der Service-Qualität Marketing Kampagne, interne Information Wrap Up des Projektes Planung der Folgeprojekte
Projektvorgehen bei größeren Umgebungen Vorstudie Hauptprojekt IST/Soll Prototyping Projektantrag Entscheid IST/Soll Konzeption Interviews mit Protokollierung & Abstimmung Grobe IST-Analyse Grobe Anforderungsanalyse Prüfen der heiklen Herausforderungen Grundsätzliche Architektur und Lösungs- Skizze Aufzeigen der Ziele Machbarkeit Kosten Nutzen Termine notwendigen, internen Ressourcen Budget freigeben Ressourcen garantieren Sicherstellen, dass das Projekt vom Management getragen wird IST-Analyse Anforderungsanalyse Planung der internen Ressourcen... 17
Strategie als Ausgangslage Business Strategie IT Strategie IT Operation Strategie 18
EUA eingebettet in die Gesamtstrategie System Management Enterprise User Administration Security Policies & Guidelines IT Operation Strategie Monitoring Single Sign-On Availability 19
Was ist an EUA Projekten speziell? Ganze IT betroffen Viele MA involviert Infrastruktur-Projekt Nutzen sind indirekt Langwierig, Aufwand/interne Kosten nicht zu unterschätzen Verschiebung von internen Zuständigkeiten Deshalb... Budget und Management Attention sicherstellen Klare Ziele definieren! Nicht zuviel auf einmal, in Phasen realisieren! Jeder Phase max. 1 Jahr lang, muss Mehrwert schaffen 20
Grenzen von EUA Nicht zuviel mit EUA lösen wollen EUA löst die Autorisierung User Management Berechtigungsvergabe ev. teilweise das Passwort-Handling EUA löst nicht Authentisierung - SSO, PKI, Secure Communication and Storage Systems-Management - Überwachung und Auswertung von Anmeldungen - Steuerung von zeit-bezogenener Anmeldungsberechtigung - Verwaltung und Zuteilung von Ressourcen (Rechner, Umgebungen) 21
Kosten/Nutzen Es gibt nicht einen festen Preis für EUA Der Preis ist abhängig von der bestehenden Infrastruktur der geforderten Funktionalität den bestehenden Prozessen und Vorarbeiten der Verfügbarkeit und Qualifikation der internen Mitarbeiter der gewählten Lösung (Produkt) Der Preis und die direkten Kosteneinsparungen ist nur ein Aspekt in der Entscheidungsfindung Weitere Themen sind Sicherheitsbetrachtung Flexibilität, Innovationsfähigkeit Aufgaben und Einsatzgebiete von Spezialisten 22
Key Benefits Steigerung der Sicherheit durch Zentrale Durchsetzung von Security Policies Überwachung der vergebenen Berechtigungen Zentrale Durchführung und Kontrolle von Prozessen und Genehmigungsverfahren Kosteneinsparung durch Entlastung von Fach-Spezialisten durch einfaches Service-Personal Effizienzsteigerung dank Zentralisierung und Standardisierung Einfaches und standardisiertes Antragswesen für Mitarbeiter und Vorgesetzte Zentral gelöste Notfallszenarien Steigerung der Flexibilität durch Vereinfachung von Reorganisationen Einführung neuer Applikationen ohne sich um das User Management kümmern zu müssen Zentral änderbare Rahmenbedingungen (Security Policy-Umsetzung, Genehmigungsverfahren, Prozesse, Rollenmodelle) 23
Vielen Dank für Ihre Aufmerksamkeit. Fragen? 24