KuppingerCole Report EXECUTIVE VIEW von Martin Kuppinger Juli 2014 die von Martin Kuppinger mk@kuppingercole.com Juli 2014
Inhalt 1 Einführung... 3 2 Produktbeschreibung... 4 3 Stärken und Herausforderungen... 5 4 Copyright... 6 Seite 2 von 7
1 Einleitung Centrify ist ein Softwareanbieter für Identitätsmanagement mit Sitz in den USA und wurde im Jahr 2004 ins Leben gerufen. Anerkennung hat Centrify sowohl für seine Identitätsmanagement- und Audit- Lösungen inklusive Services zur Einmalanmeldung (SSO) für mehrere Rechner als auch für seine Cloud- basierten Anwendungen erlangt. Das mit Wagniskapital gegründete Unternehmen hat beträchtliche Mittel von einer Reihe von führenden Investmentgesellschaften erhalten. Nach aktuellem Stand verfügt das Unternehmen über mehr als 5.000 Kunden. Centrify bietet SaaS wie auch mobile Komponenten mit Lizenzschlüssel für die Samsung KNOX Plattform und den Cloud- Service, der diese unterstützt. Bestens bekannt ist Centrify für die Integration der UNIX- und Linux- Nutzerkontenverwaltung in den Microsoft Verzeichnisdienst Active Directory. Auch unterstützt es die Integration von Mac OS X. Dies steht noch immer im Mittelpunkt der. Indessen hat sich das Gesamtportfolio von Centrify vergrößert: Hinzugekommen sind die Centrify User Suite für den Zugriff auf Cloud- Dienste sowie die Erweiterung der Leistungen der und deren verschiedene Ausgaben. Neben seinem Hauptaugenmerk, der Integration von UNIX- und Linux- Konten in Microsoft Active Directory, unterstützt die Fähigkeiten des Privilege Managements, der integrierten, plattformübergreifenden Überwachung, der schnellen Serverisolation sowie der Einmalanmeldung- und On- Premise- Anwendungen. Mit seinen Anwendungen ist Centrify einer der Akteure auf dem Markt für Privilege Management, auch wenn es nicht dem traditionellen Ansatz (der sich auf das Identitätsdepot konzentriert, das heißt ein zentrales, stark gesichertes Repository) folgt, der auf diesem speziellen Markt üblich ist. Privilege Management welches bei KuppingerCole auch PxM for Privileged Access/Account/Identity/User Management genannt wird ist die Bezeichnung für Technologien, welche dabei helfen, erweiterte Berechtigungen zu prüfen und zu beschränken, und zwar von gemeinsamen Konten aus. In den letzten Jahren fand PxM immer mehr Anklang. Der Grund für dieses Wachstum ist die zunehmende Nachfrage auf dem Markt. Bei genauer Betrachtung einiger der großen Informationssicherheitsvorfälle der vergangenen Jahre wird offensichtlich, dass viele davon mit erweiterten Benutzerkonten zusammenhängen. Datendiebstahl in großem Umfang ist höchstwahrscheinlich auf Benutzerkonten mit erweiterten Berechtigungen, typischerweise administrative Benutzer, zurückzuführen. Centrify bewegt sich auf diesem Markt mit vielfältigen Dienstleistungen, zum Beispiel konsolidiert es UNIX- und Linux- Identitäten in Microsoft Active Directory, bietet ein Zentralmanagement für diese Konten sowie eine zentralisierte Überwachung für den Gebrauch der Konten an. Somit können Risiken, die die Identität betreffen, in dieser Umgebung erkannt und verringert werden und müssen nicht eine Vielzahl an lokalen Accounts der UNIX- und Linux- Systeme, die viele Betriebe besitzen, verwalten. Darüber hinaus unterstützt Centrify die auf der primären Microsoft Active Directory- Authentifizierung basierende Einmalanmeldung zu anderen Systemumgebungen wie SAP, Java/J2EE, verschiedenen Webanwendungen und einer Reihe von Datenbanken. Auf dieser Basis kann ein wohldurchdachtes Konzept individueller Active Directory Accounts implementiert werden, um den Zugriff auf andere gut verwaltete sowie geprüfte, auf individuellen Seite 3 von 7
Active Directory Accounts basierende Systeme zu kontrollieren. Angesichts der Tatsache, dass Microsoft Active Directory heutzutage ein Kernbestandteil der meisten IT- Infrastrukturen ist, ist es eine logische Basis für solch eine Integration. Egal ob das Ziel bei der Inanspruchnahme von eine Verbesserung des Privilege Managements ist oder einfach nur die Optimierung der Nutzerverwaltung von UNIX- und Linux- Umgebungen oder die Bereitstellung einer Einmalanmeldung für mehrere Umgebungen: Es gibt eine Reihe von Anwendungsfällen, bei denen die Suite deutlichen Mehrwert bieten kann 2 Produktbeschreibung stellt eine umfassende Lösung mit dem Privilege Management als eigentlichem Clou dar. Seine breite Aufstellung versteht man am besten, vergleicht man die verschiedenen Ausgaben des Produkts. Die Standard Edition besteht aus drei Komponenten. Die DirectManage Komponente wird für das zentralisierte Management sowie für die Nutzerverwaltung von UNIX- und Linux- Konten via Microsoft Active Directory verwendet. Die DirectControl Komponente bietet die Möglichkeit zur Authentifizierung und Zugangskontrolle für den Zugriff auf diese Accounts, eng verbunden mit der Standardausstattung von Microsoft Active Directory. Die DirectAuthorize Komponente fügt rollenbasierte Berechtigungen sowie die Möglichkeit zur Erweiterung der Berechtigungen hinzu. Bei der zweiten Ausgabe handelt es sich um die Enterprise Edition, welche zusätzlich über die DirectAudit Komponente verfügt. Diese Anwendung bietet die Möglichkeit zur detaillierten Prüfung der Nutzeraktivitäten auf allen verwalteten Plattformen. Es bindet außerdem die Aufzeichnung von Sitzungen mit ein, wozu auch die detaillierte Erfassung der Metadaten wie ausgeführte Befehle und abgerufene Dateien gehören. Die DirectAudit Komponente unterstützt sowohl agentenbasierte als auch nichtagentenbasierte Systeme. Die Platinum Edition erweitert die Enterprise Edition dahingehend, dass sie außerdem die DirectSecure Komponente für Serverisolation und - schutz für Data in Motion aufweist. Auf dieser Grundlage lassen sich Server schnell in isolierte und geschützte Umgebungen einteilen. Dahinter steckt der Ipsec Support, welcher zwischen isolierten Zonen übermittelte Informationen schützt. Die Application Edition kann schließlich zu jeder anderen Edition hinzugefügt werden. Die Centrify für Applications Komponente unterstützt die Integration sowie die Einmalanmeldung für SAP- Umgebungen, verschiedene Datenbankserver, Java/J2EE und Webapplikationen. Besonders im Bereich des Privilege Managements verfügt Centrify über ein ausgewachsenes Produktangebot. Abgesehen vom gewöhnlichen Vaulting- Ansatz arbeitet es mit Active Directory als seiner zentralen Komponente, anstatt ein separates Repository zu verwenden. Die Lösung ist also nicht- intrusiv und benötigt keine Schemaerweiterungen, Agenten oder Software auf dem Domänencontroller. Centrify empfiehlt jedoch, auf jeder zu verwaltenden Plattform einen Agenten zu installieren und somit das Risiko zu verringern, dass Nutzer die Sicherheitsrichtlinien umgehen, indem sie direkt auf den Server zugreifen. Gleichzeitig unterstützt Centrify aber auch den Einsatz einer JumpBox zur Überwachung von Sitzungen. Seite 4 von 7
Privilegierte Nutzerberechtigungen anhand von Active Directory zu definieren ist eine Technik, die bereits in einer Reihe von in unserem Hause entwickelten Tools eingesetzt wurde, bei vielen davon mit großem Erfolg. Die Kunden von Centrify verwenden ein Netzzugangsmodell mit geringen Berechtigungen innerhalb des Rechenzentrums, der Cloud sowie Mobilfunkgeräten, wodurch der Bedarf eines passwortgeschützten Repositoriums sinkt. Centrify ermöglicht eine gezielte Vergabe von rollenbasierten Benutzerrechten. Somit befähigt es Nutzer dazu, Berechtigungen je nach Bedarf zu erweitern sowie gleichzeitig einen vollständigen Prüfbericht inklusive Videoaufnahmen von privilegierten Sitzungen aufzuzeichnen. Hierbei handelt es sich um einen intelligenten Weg, Privilege Management in ein bereits bestehendes, entscheidendes Element der Infrastruktur zu implementieren und dieses dadurch voll auszunutzen. So muss nicht extra eine neue Software kreiert und implementiert werden. Zusätzlich zur benutzerbasierten Identitätskontrolle unterstützt Centrifys Ansatz des Privilege Managements außerdem das Konzept der Isolierung des Servers und der Domain. Die Kunden von Centrify definieren selbst, welchen Servern/Rechnern sie trauen oder nicht und können den Zugriff von bestimmten Rechnern sperren. Bei ganzheitlicher Betrachtung des Access- Managements zeigt sich, dass die Centrify Server Suite nicht nur Ihre tagtäglichen Anforderungen an das Identitäts- und Access- Management erfüllen, sondern Sie auch mit einem Privilege Management versorgen kann, das Account- Nachahmungen und geringste Berechtigungen anhand der Konfiguration durch Active Directory miteinader verbindet. Dabei ist zu beachten, dass die meisten Funktionen mit der Standard Edition daherkommen, für das privilegierte Benutzer- Auditing jedoch die Nutzung der Enterprise Edition notwendig ist. Alle Ausgaben der Centrify Server Suite beinhalten eine einheitliche Benutzeroberfläche sowie eine Integration, bei der die verschiedenen Komponenten eine grundlegende Architektur aufweisen. 3 Stärken und Herausforderungen Die Centrify Server Suite ist ein interessantes Angebot für Unternehmen, die sowohl Microsoft Active Directory a l s a u c h UNIX- /Linux- Umgebungen verwenden, was auf die meisten Unternehmen zutrifft. Es erlaubt die Integration der Benutzerverwaltung und - authentifizierung von UNIX und Linux zu Microsoft Active Directory sowie eine detailgenaue, rollenbasierte Bevollmächtigung und außerdem die Überwachung von Windows-, Linux- und UNIX- Konten. Somit sind Management- Berechtigungen gegeben. Abhängend vom Konzept für Administration und Benutzerverwaltung innerhalb Microsoft Active Directory können ausgereifte Privilege Management- Konzepte mittels Centrify Server Suite für die Plattformen implementiert werden. In seinem Gebiet weist das Produkt eine umfassende Ausstattung auf, die weit mehr kann, als bloß UNIX- und Linux- Nutzer mit Microsoft Active Directory zu verbinden. Das Produkt kann isolierte Server- Zonen konfigurieren und beinhaltet ein erweitertes Berechtigungsmanagement für Windows, UNIX und Linux sowie Funktionen zur Überwachung und auf der primären Windows- Authentifizierung basierende Funktionen zur Einmalanmeldung. Dadurch stellt das Produkt eine interessante Lösung zum Sichern und Optimieren des Zugriffs auf plattformübergreifende Server und Systeme dar insbesondere für KuppingerCole Executive View Centrify Server Suite Berichtsnr.: 70886 Seite 5 von 7
Administratoren und Bediener, aber auch für Endverbraucher, die direkt auf solche Plattformen zugreifen möchten. Zweifellos hängt die Sicherheit dieser Umgebungen auch von der Ausgeklügeltheit der Sicherheitskonfiguration sowie der Verwaltung der Active Directory ab. Zu den Herausforderungen des Privilege Managements gehört die fehlende Unterstützung für andere Umgebungen wie auch für Netzwerkgeräte. Als eine in Microsoft Active Directory integrierte Lösung für das Identitätsmanagement überzeugt die auf ganzer Linie. Insgesamt lohnt es sich, die sowohl für die Benutzerverwaltung in heterogenen Umgebungen als auch als Alternative zu den herkömmlichen Ansätzen zum Privilege Management in Betracht zu ziehen. Stärken Ausgereifte Integration von UNIX- und Linux- Kontoverwaltung in Microsoft Active Directory Rollenbezogene Zugriffskontrolle von Ansprüchen für Windows-, Linux- und UNIX- Umgebungen Verwaltung und Einschränkung von erweiterten Benutzerrechten Unterstützung bei der Isolierung von Netzwerkzonen Enge Integration mit Anwendungsumgebungen, Unterstützung bei Einmalanmeldung Herausforderungen Es folgt nicht dem weitverbreiteten Vault- Ansatz der Passwortverwaltung für Privilege Management; kommt vielleicht nicht allen üblichen Anforderungen der Kunden nach (erfüllt jedoch in jedem Fall ihre Bedürfnisse) Hervorragendes Zielsystem mit Support für das Privilege Management bei Windows, Linux und UNIX, jedoch nicht für andere Zielsysteme wie Netzwerkgeräte 4 Copyright 2014 Kuppinger Cole Ltd. Alle Rechte vorbehalten. Die Vervielfältigung und Verbreitung dieser Veröffentlichung ist ohne vorherige schriftliche Zustimmung in jeder Form untersagt. Sämtliche Schlussfolgerungen, Empfehlungen und Prognosen repräsentieren die ursprüngliche Auffassung von KuppingerCole. Sobald weitere Informationen gesammelt und detailliertere Analysen durchgeführt werden, können die in diesem Dokument vorgestellten Standpunkte Verbesserungen oder größeren Veränderungen unterliegen. KuppingerCole übernimmt keinerlei Haftung für die Vollständigkeit, Richtigkeit und/oder Angemessenheit dieser Informationen. Auch wenn die Forschungsdokumente von KupplingerCole juristische Belange im Zusammenhang mit Sicherheit und Technologie enthalten, bietet KupplingerCole keine juristischen Dienste oder Beratungen. Die Veröffentlichungen des Unternehmens dürfen dementsprechend nicht als solche verwendet werden. KupplingerCole trägt keine Haftpflicht für Fehler oder Unvollkommenheit der in diesem Dokument enthaltenen Angaben. Sämtliche preisgegebenen Meinungen können ohne vorherige Mitteilung geändert werden. Seite 6 von 7
Die Zukunft der Informationssicherheit Heute KuppingerCole versorgt IT- Profis mit herausragendem Know- how in Bezug auf die Definition von IT- Strategien und bei wichtigen Entscheidungsprozessen. Als führendes Analystenunternehmen bietet KuppingerCole anbieterneutrale Informationen aus erster Hand an. Unsere Dienstleistungen ermöglichen es Ihnen, ruhigen Gewissens die für ihr Unternehmen notwendigen Entscheidungen zu treffen. KuppingerCole, gegründet im Jahr 2004, ist ein führendes Analystenunternehmen für identitätsbezogene Informationssicherheit in klassischen Umgebungen und im Cloud- Computing mit Sitz in Europa. KuppingerCole steht für seine Fachkenntnis, seine Vordenkerrolle sowie einen anbieterneutralen Blick auf die Segmente des Informationssicherheitsmarktes, wozu sowohl Identitäts- und Access- Management (IAM), Governance, Risikomanagement und Compliance (GRC), IT- Risikomanagement, Authentifizierung und Autorisierung wie auch Einmalanmeldung, Föderation, nutzerzentriertes Identitätsmanagement, eid- Karten, Cloud- Sicherheit und Verwaltung sowie Virtualisierung gehören. Für weitere Informationen stehen wir Ihnen unter clients@kuppingercole.com gern zur Verfügung.