IT-Risk Management und die Superuser Vertrauen ist gut, Kontrolle ist Vorschrift! Michaela Weber, CA
Agenda > Aufbau einer klassischen IT Infrastruktur und der Need eines gesamtheitlichen IT Lösungsansatzes > Anforderungen an die IT und was wir von CEOs, CIOs und CSOs hören > Schutz auf Systemebene durch Access Control > Die Superuser-Problematik Ich bin root, ich darf das! > Access Control in der Praxis > Identity- und Access Management - die Integration
Aufbau einer klassischen IT Infrastruktur >Benutzer Mitarbeiter Partner Kunden Händler kompetent ungeschult kopflos Benutzer
Aufbau einer klassischen IT Infrastruktur >Assets (Werte) Desktops / Laptops Server Datenbanken Netzwerke Storage Jegliche Software UND alles über sie Benutzer Assets
Aufbau einer klassischen IT Infrastruktur Anwendungen und Umgebungen Benutzer Assets >Anwendungen und Umgebungen Anwendungen: SAP & Oracle email: Exchange & Notes Middleware: WebSphere, BEA, JBoss, NetWeaver Datenbanken Oracle, DB2, SQL Server Plattformen.NET, J2EE Web Services Nach Verfügbarkeit
IT-Services verbinden Benutzer, Assets und Anwendungen/Umgebungen >IT Services IT Services Anwendungen und Umgebungen Benutzer Assets >Beispiel E-Mail bei CA: Exchange Blackberry Webmail 100+ Servers 15000+ interne Anwender SMTP Gateways VPN Servers und Clients Outlook
Geschäftsprozesse werden von IT- Services unterstützt >Geschäftsprozesse Geschäftsprozesse IT Services Anwendungen und Umgebungen >Beispiele Bestellung zu Umsatz Bestellung zu Abschreibung Rückgabe zu Vergütung Arbeit zu Gehaltsabrechnung Benutzer Assets >Vergleichbar mit ERP >Werkzeuge für Modeling und Intelligenz über alles
Der Need eines gesamtheitlichen IT Lösungsansatzes Anwendungen und Umgebungen Benutzer Geschäftsprozesse IT Services Assets > Speicherung wichtiger Unternehmensdaten > Externalisierung Nutzung der Daten/Dienste für Interne & Externe Personen (inside = outside) > Regulative Vorgaben (Datenschutz, Revision) > Betrieb unternehmenskritischer Geschäftsprozesse Ausfall eines Elements gefährdet gesamten Prozess
Unternehmensweites IT Management Enterprise IT Management (EITM) vereinheitlicht und vereinfacht das Management der unternehmensweiten IT Geschäftsprozesse IT Services Anwendungen und Umgebungen >Bessere Kostenkontrolle >Optimierung der Service Levels >Effizienteres Riskmanagement Benutzer Assets >Ausrichtung der IT- Investitionen an Unternehmenszielen Verwalten und Sichern Vereinheitlichen Vereinfachen
Anforderungen an die IT > Regulatorische Anforderungen und Policy Vollstreckung Interne und externe Revisions-Anforderungen Verantwortlichkeit für kritische Tätigkeiten regeln Revisionssicheres Logging jeglicher Benutzerzugriffe > Schutz von kritischen elektronischen Assets Vertraulichkeit und Integrität von Daten sicherstellen Unnötige Berechtigungen eliminieren Durchsetzung interner Zugriffs-Policies > Operationelle Effizienz Verwaltung heterogener Umgebungen vereinfachen Zentrale Verwaltung und Vollstreckung von Sicherheits-Richtlinien Theft of Proprietary Information and Unauthorized Access to Information ranked in the top 3 most costly security incidents for companies. (Source: CSI/FBI Computer Crime and Security Survey, 2005)
Heutige Herausforderungen Was wir von CEOs, CIOs und CSOs hören Unternehmensweite Zugriffs-Policies Wie kann ich Zugriffs- Richtlinien und Security Levels unternehmensweit durchsetzen unabhängig von der darunter liegenden IT- Platform? Diebstahl von Informationen und Identitäten Wie schütze ich meine kritischen Informationen? Wir haben doch eine Firewall. Sind weitere interne Vorkehrungen nötig? Regulatorische Anforderungen Immer mehr Regulatorien gilt es einzuhalten Wie kann ich durch wenig Aufwand mehrere Regulatorien erfüllen? Was gilt als Best Practice? Was muss ich tun? Zweckmässige Zugriffsrechte Zu viele User haben root Zugriff Wie kann ich den Superuser Zugriff einschränken, ohne die Ausführung der Arbeit zu behindern? Überprivilegierte Accounts löschen? Rollenbasierte Zugriffsrechte? Zuverlässige Audit Informationen Wie beweise ich, was geschehen ist? Wie optimiere ich Audit Logs? Wie adressiere ich das Fehlen von klaren Verantwortlichkeiten?
Höchstmöglicher Schutz der Systeme > Compliance erfordert den Schutz vertraulicher Daten > Jedes System ist standardmäßig non-compliant: System Accounts werden gemeinsam benutzt (keine Aufgabentrennung) Auditing ist manipulierbar (Verlust der Glaubwürdigkeit) > Access Control bietet Kontrolle auf System Level: Kontrolle über jegliche Benutzerzugriffe Bietet klare Aufgabentrennung Geschützte und erweiterte Auditierung
Aufgaben einer Access Control Lösung > Hostbasierte Zugriffskontrolle ( Intrusion Prevention ) > Erweiterung der Betriebssystem-Sicherheit > Umfassender Zugriffsschutz: Wer: Wer kann auf die Information zugreifen? Was: Auf welche Information darf zugegriffen werden? Wann: Wann darf ein Zugriff erfolgen? Wo: Von welchem Systems aus? Wie: Mit welchem Programm? > Schutz heterogener Umgebungen (Windows, Unix, )
Was Access Control ermöglicht > Access Control bietet Volle Kontrolle und Eingrenzung von Superusern Privilegien anhand von Rollen delegieren Einheitliche Verwaltung verschiedener Plattformen Tracing ALLER Aktivitäten anhand der originären User ID
Der Kern des Problems: Superuser > Jedes Betriebssystem hat einen Superuser UNIX/Linux = root Windows = Administrator => Unbegrenzte Macht => Nutzung der Accounts durch mehrere Administratoren => Vollzugriff auf Audit-Logs
Behandlung des Superuser-Problems > Limitierung des Handlungsspielraumes der Superuser: Einheitliche Autorisierungsprüfungen für alle Benutzer Admin-Login mit eigener ID kann erzwungen werden Durchgehender Audit Trail (auch nach su root ) Rechtevergabe basierend auf echter ID Task Delegation (sudo) su ohne Root Passwort > Root / Administrator hat keine besondere Bedeutung mehr innerhalb Access Control
Wie kann Access Control funktionieren? Users Access Control Resources Super Users Employees Business Partners Internet Hackers Security Policies
Funktionsweise im Detail > Native Rechtezuweisung UNIX file permission -rw-r--r-- 1 root sys 661 Feb 26 00:18 /finance/data > Access Control-Erweiterung
Hierarchische Verteilung von Richtlinien > Cross Plattform Management > Zentrale & dezentrale Administration > Replikationsmechanismus Generic Security Policy Windows Solaris AIX HP/UX etc. Linux
Rollenbasierte Zuweisung von Rechten > Rollenbasierte Verwaltung und Vergabe von Zugriffsrechten Enablement der einfachen Anwender Gesamtheitliche Administration und Auditierbarkeit der Superuser
Zugriffskontrolle ergänzt Identity Management > Rollenbasierter Zugriffsschutz > DAC kombiniert mit RBAC
Identity & Access Management (IAM) > Rollenbasierte Provisionierung und Management der Identitäten Automatisierte Rollenzuweisung durch Attribute Gewaltentrennung: Abgleich durch Business Rules -> Reporting Delegation der User Administration an Manager Einzelrechte durch Selbstmanagement -> weniger Rollen Änderung der Funktion (Attribut) -> Änderung der Rolle
IAM = Compliance Monitoring > Durchgängiges Monitoring von Benutzerrechten und Zugriffen
Kontrollen müssen wirksam sein Und auditierbar!
Fazit: Umfassende IAM Lösung > Einbindung jede Identität > Anbindung aller Zielsyteme > Integrierte Lösung > Standard-basiert > Nutzung von Best Practices
Vielen Dank für Ihre Aufmerksamkeit! Michaela Weber, CA