View
111
Download
3
Category
Preview:
Citation preview
Novell Privileged User ManagerProduktübersicht
Namen des Vortragenden einfügen (16pt)
Titel des Vortragenden einfügen (14pt)
Unternehmensnamen/eMail-Adresse einfügen (14pt)
© Novell, Inc. Alle Rechte vorbehalten.2
• UNIX- und Linux-Systeme bilden die Grundlage für viele unternehmenskritische Services.
• Systemadministratoren, Datenbankadministratoren (DBA) und Anwendungsentwickler benötigen spezielle Zugriffsrechte zur Durchführung verschiedener Aktionen auf Linux- und UNIX-Servern.
• Diese Benutzer verfügen über gemeinsame Superuser-Anmeldedaten zur Durchführung von Aktivitäten und haben unbeschränkten Zugriff auf die Systeme.
Unternehmen benötigen Superuser-Accounts
DBA
DBAAdministrator
IT-Manager
Anw.-Entwickler
Systemadmin.
© Novell, Inc. Alle Rechte vorbehalten.3
Durchschnittskosten pro Sicherheitsverstoß:
Extern: 50.000 $
Intern: 2.700.000 $
70 % aller Sicherheitsverstöße entstehen intern!
Vertrauenskrise
© Novell, Inc. Alle Rechte vorbehalten.4
Fehlendes Privileged User Management (PUM) kann teuer werden
• Fehlendem Überblick über Compliance-Status des Unternehmens und damit verbundenen Risiken
• Gefahr des unbefugten Zugriffs über Backdoors
• Sicherheitsverletzungen und Verstößen gegen rechtliche Auflagen
• Geldstrafen und finanziellen Verlusten aufgrund von Sicherheitsverstößen
• Schädigung des Markenwerts
• Verlust des Kundenvertrauens
• Bei gemeinsam genutzten Root-Account-Anmeldedaten können einzelne Benutzer nicht zur Rechenschaft gezogen werden
• Die Verwaltung einzelner Accounts auf jedem Server gestaltet sich schwierig
• Mangel an präzisen Kontrollen zur Verwaltung von Root-Privilegien
• Inkonsistenzen aufgrund manueller Aktualisierung von Richtlinien
• Fehlendes Audit-Protokoll für Superuser-Aktivitäten
Führt zu:
Anmeldung als Root
Anmeldung als Root
Anmeldung als Root
Anmeldung als Root
Anmeldung als Root
Anmeldung als Root
© Novell, Inc. Alle Rechte vorbehalten.5
Benötigen Sie PUM?
Compliance:– Wissen Sie, wer Zugriff auf Root-Accounts hat und wann die Root-
Anmeldedaten zuletzt geändert wurden?
– Wissen Sie, wer Superuser-Zugriff hat?
– Wissen Sie, ob diese Benutzer den Superuser-Zugriff korrekt nutzen?
– Können Sie die Superuser-Aktivitäten verfolgen?
– Können Sie nachweisen, dass die Superuser-Aktivitäten in Übereinstimmung mit Ihren Richtlinien erfolgen?
– Wie schnell erkennen Sie einen Sicherheitsverstoß und seine Ursache?
Kosten:– Sind Sie für ein nicht bestandenes Audit persönlich haftbar?
– Was kostet ein nicht bestandenes Audit?
– Wie teuer ist es, UNIX-/Linux-Systeme sowie die zugehörigen Daten und Anwendungen nach einem Missbrauch zu reparieren?
– Was kostet es, den verlorenen Markenwert wiederherzustellen?
© Novell, Inc. Alle Rechte vorbehalten.6
Effizientes PUM
Privileged User Management– Risikominimierung durch Verwaltung des Zugriffs auf
Root-Accounts– Überblick über den Compliance-Status
– Benutzer meldet sich mit eigenen Account-Daten an (nicht als Superuser)
– Befehle werden vor der Remote-Ausführung autorisiert– Wird auch als „Root-Delegation“ bezeichnet
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
Kontrolledurch PUM
Keine Kontrolledurch PUM
Anmeldung mit Root-Passwort
Anmeldung mit Benutzer-ID
Submit-Benutzer: rootRun-Benutzer: root
Datenbank für Befehlsautorisierung
Remote-Client
Remote-Shell
Submit-Benutzer: Benutzer-ID
Run-Benutzer: root
© Novell, Inc. Alle Rechte vorbehalten.7
• Worum genau handelt es sich?– Reaktives Prüfen der Benutzeraktivität
• Die Herausforderung– Erfassung von zu vielen Daten = Verwaltung schwierig– Erfassung von zu wenig Daten = potenzielle forensische
Lücken
• Verkürzung forensischer Zyklen ist kritisch– Dauer der Analyse = Kosten in Millionenhöhe
Ris
iko
stu
fe u
nd
Ko
ste
n
Verstrichene Zeit
Sicherheitsverstöße
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
PUM + Forensik = Compliance
© Novell, Inc. Alle Rechte vorbehalten.8
• Worum genau handelt es sich?– Proaktives Prüfen der Benutzeraktivität
• Wer ist dafür zuständig?– Interne Manager / Auditoren
• Worin besteht ihre Aufgabe?– Genehmigung der von Benutzern durchgeführten Aktivitäten
• Welchen Zweck erfüllt dies?– Nachweis von Compliance gegenüber externen Auditoren
– Risikominimierung/Abschreckung
– Kundenvertrauen
PUM + gebührende Sorgfalt = Noch besser
© Novell, Inc. Alle Rechte vorbehalten.9
Novell Identitäts- und Sicherheitslösungen
Provisioning und Verwaltung von Benutzern
Rollenmanagement
Einfacher und sicherer Zugriff
Compliance-Management
Gewährleistung von Compliance
Automatisierung unternehmensweiter Compliance für SAP
Privileged User Management
Sicherheits-management
Sicherheitsüberwachung und Problembehebung
Protokollmanagement
Sicherheit in der Cloud
Identitäts- und Zugriffs-management
© Novell, Inc. Alle Rechte vorbehalten.10
Novell Privileged User Manager
• Einhaltung von internen Richtlinien und externen Auflagen
• Kontrolle des Benutzerzugriffs auf Root-Privilegien
• Überwachung aller Benutzeraktivitäten dank Aufzeichnung sämtlicher Tastatureingaben
• Analyse potenzieller Bedrohungen auf der Grundlage richtlinienbasierter, intelligenter Risikobewertung
• Vereinfachung der Auditberichterstellung dank relevanter, kontextabhängiger Informationen
• Größere Benutzerfreundlichkeit dank Automatisierung und Remote-Protokollierung
© Novell, Inc. Alle Rechte vorbehalten.11
Novell Privileged User Manager Audit-fähige UNIX-/Linux-Systeme in drei Schritten
• Aufzeichnung aller Superuser-Tastatureingaben
• Intelligente Einstufung des Risikos einer Aktivität2.
Schritt
• Privilegienverwaltung für Superuser
• Skalierbar mit automatisierten, zentralen Richtlinien
1. Schritt
• Proaktives Compliance-Management mit Echtzeit-Kontrollen und -Warnmeldungen
• Prüfung des Auditors
3. Schritt
© Novell, Inc. Alle Rechte vorbehalten.12
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
Keine Kontrolle durch Novell PUMAnmeldung über Root-Account oder individuelle Benutzer-ID an jedem Computer
Anmeldung mit Benutzer-ID
Submit-Benutzer: rootRun-Benutzer: root
Datenbank für Befehls-autorisierung
Submit-Benutzer: Benutzer-ID
Run-Benutzer: root
Audit-Berichte mit intelligenter RisikoanalyseAnmeldung mit
Benutzer-ID
1. Schritt
Skalierbar Automatisierte, zentrale Richtlinie
Kontrolle durch Novell PUM
© Novell, Inc. Alle Rechte vorbehalten.13
Intelligent Aufzeichnung aller Tastatureingaben
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
Audit-Produkt eines Wettbewerbers
Integrierte Engine zur Risikoanalyse: Jeder Ereignisdatensatz ist farblich markiert. Befehle mit geringem Risiko erscheinen grün, Befehle mit hohem Risiko erscheinen rot.
Audit-Produkt von Novell
2. Schritt
© Novell, Inc. Alle Rechte vorbehalten.14
Jeder Ereignisdatensatz ist farblich markiert, um das Risiko anzuzeigen.
BenutzeraktivitätBenutzersitzung validieren und sichern
Audit-Gruppe und Risikobewertung hinzufügen
Protokoll zu Ereignissen und Tastatureingaben
Ereignisse werden anhand automatischer Regeln und vordefinierter Risikofilter in der Compliance-Auditor-Datenbank erfasst.
Manager wird jeden Abend per eMail über Ereignisse informiert, die autorisiert werden müssen.
Manager meldet sich beim Compliance-Auditor an und autorisiert die Ereignisse.
Manager
Befehlssteuerung
1 2
3
5
4
Regeln
Audit-Datenbank
Compliance-Auditor
Proaktiv Echtzeitkontrollen und -Warnmeldungen 3.
Schritt
© Novell, Inc. Alle Rechte vorbehalten.15
Welche Art der Verwaltung bevorzugen Sie?
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
PUM mit Sudo
© Novell, Inc. Alle Rechte vorbehalten.16
Welche Art der Verwaltung bevorzugen Sie?
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
Novell Privileged User Manager
© Novell, Inc. Alle Rechte vorbehalten.17
Welche Vorteile bietet Novell Privileged User Manager?
• Skalierbarkeit (Tausende von Hosts pro Framework)
• Proaktive Compliance (gebührende Sorgfalt)– Risikobehaftete Aktivitäten werden durch Farbcodierung hervorgehoben
• Schnelle Forensik (Durchsuchen von Benutzeraktivitäten, Verwalten von Protokolldateien)
• Benutzerfreundliche Verwaltung (keine herstellerspezifischen Skriptsprachen)
– Weniger Verwaltungsaufwand + schnellerer Audit = ROI
• Einfache Implementierung (schnell, zentral verwaltet, ohne Unterbrechung der Abläufe)
• Technologie (von Grund auf neu entwickelt für Geschwindigkeit und Sicherheit)
• Keine Ausfallzeiten (autom. Failover selbst bei Produkt-Updates)
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
© Novell, Inc. Alle Rechte vorbehalten.18
Vorteile der Novell Architektur
• Zuverlässige, skalierbare Architektur mit integrierter Redundanz gewährleistet 100%ige Service-Verfügbarkeit
• Modulare Komponenten werden über die Verwaltungskonsole bereitgestellt und aktualisiert
• Zentrale Verwaltung mehrerer UNIX-/Linux-Sicherheitsrichtlinien an verschiedenen Standorten
• Umfassende Audit-Funktionen für Compliance-Management und forensische Analysen
• Novell Privileged User Manager bietet Echtzeit-Sicherheit kombiniert mit systematischem Risikomanagement
Anwenderberichte
© Novell, Inc. Alle Rechte vorbehalten.20
Folgende Kunden verwenden
Novell Privileged User Manager:
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
© Novell, Inc. Alle Rechte vorbehalten.21
Anwenderberichte
• Barclays– Große Umgebung, weltweit über 4.500 UNIX-Server– Ersatz von PassGo/Quest PUM– Derzeit weltweites Rollout an alle Unternehmensbereiche– Verwaltungsfenster auf 12 % des ursprüngl. Zeitraums reduziert
• ING (Institutional Plan Services)– Ersatz von Symark PowerBroker– Als so wichtig erachtet, dass es 2008 die einzige größere
Investition war– Erfüllte alle neuen Audit-Anforderungen– Audit-Dauer reduziert von 45 Min. auf unter 5 Min. pro Sitzung
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
© Novell, Inc. Alle Rechte vorbehalten.22
Hilfreiche Informationen:
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
• Novell Privileged User Manager – White Paper: http://www.novell.com/products/privilegedusermanager/productinfo/
• Novell Privileged User Manager – Datenblatt: http://www.novell.com/products/privilegedusermanager/productinfo/
• Novell Privileged User Manager – Einführungsvideo: http://www.novell.com/partners/secure/enablement/media/media.php?media=chalk_talk_privilege_user_management_101
• Novell Privileged User Manager – Website: http://www.novell.com/products/privilegedusermanager/
• Überprüfen Sie Ihre potenziellen Einsparungen mit dem Online-ROI-Rechner für Privileged User Manager: http://www.novell.com/products/privilegedusermanager/roitool.html
Anhang
© Novell, Inc. Alle Rechte vorbehalten.24
PUM Elevator Pitch
Kurz: In UNIX-/Linux-Umgebungen schützt Novell Privileged User Manager Superuser-Privilegien und zeichnet Tastatureingaben als Nachweis über Compliance auf.
Mittel: Novell Privileged User Manager ermöglicht die detaillierte Verwaltung von Superuser-Privilegien, sichert die UNIX-/Linux-Serverinfrastruktur und bietet vorkonfigurierte Audit-Funktionen zur Erzielung von Compliance. Dank zentraler Richtlinienverwaltung lassen sich Richtlinien innerhalb von Minuten, nicht Tagen aktualisieren. Mit Privileged User Manager ist stets Compliance gewährleistet.
Lang: Mit Novell Privileged User Manager wird der Zugriff auf UNIX-/Linux-Root-Verzeichnisse zentral gesteuert – anhand der Identität und Rolle des jeweiligen Administrators. Durch den delegierten Zugang wird die Offenlegung der Anmeldedaten für Root-Accounts verhindert. Mit Privileged User Manager lässt sich präzise steuern, welche Befehle Benutzer wann und auf welchem Gerät ausführen dürfen. Alle Aktivitäten werden aufgezeichnet, und Aktivitäten, die mit einem hohen Risiko behaftet sind, werden zur Nachverfolgung markiert. Dank zentraler Richtlinienverwaltung lassen sich Richtlinien innerhalb von Minuten, nicht Tagen aktualisieren. Mit Privileged User Manager ist stets Compliance gewährleistet.
© Novell, Inc. Alle Rechte vorbehalten.25
Der ideale Kunde
• Ungünstige Voraussetzungen:– Windows-basierte Umgebung (nur kurzfristig gesehen ein
Problem)– weniger als 50 Server– keine Sicherheitsbedenken
• Optimale Voraussetzungen:– Compliance-Auflagen (PCI, HIPAA, SOX)– erwähnt kostspielige/aufwendige Audits– Sicherheitsbedenken– mehr als 200 Server– setzt derzeit UNIX/Linux ein– verwendet Sudo oder Symark für PUM (schwache Lösungen)
© Novell, Inc. Alle Rechte vorbehalten.26
Wichtige Punkte für Kunden
• Erfüllt alle SOX-Anforderungen
• Sechs Validierungen pro Sekunde statt eine Validierung alle sechs Sekunden
• Phasenweise Migration auf Novell Privileged User Manager ist möglich (kann neben anderen Lösungen eingesetzt werden)
• Belegt wenig Serverplatz
• Erstklassige Verschlüsselung
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
Architektur
© Novell, Inc. Alle Rechte vorbehalten.28
Zugrunde liegende modulare Architektur
Agents können gruppenweise logischen Domänen hinzugefügt werden, um Lastausgleich, Redundanz und Datenverkehrstrennung zu ermöglichen.
Audit-Datenbanken können zur Gewährleistung von Redundanz und Sicherheit an verschiedenen Standorten platziert werden.
Verschiedene Manager sorgen für Failover und Lastausgleich.
Internet
Manager
Verwalt.-Oberfl.
Audit-DB
Port 443
Webbrowser(Verwaltungszugriff)
Port 80 (optional)
Agent
Port 29120
Port 29120
Port 29120
Port 29120
Port 29120
ManagerAudit-DB
Agent Agent Agent Agent
Kommunikation zwischen Hosts
Agent
Port 29120
Port 29120
Port 29120
Port 29120
Port 29120
Manager
Agent Agent Agent Agent
Kommunikation zwischen Hosts
© Novell, Inc. Alle Rechte vorbehalten.29
Warum sind einfache Implementierungen und Upgrades so wichtig?
Eine einfache Wartung ist von entscheidender Bedeutung, wenn es darum geht, den Update-Plan eines Unternehmens zu bestimmen.
Mit Novell Privileged User Manager können Unternehmen schneller auf veränderte Compliance- und Sicherheitsanforderungen reagieren.
Siehe auch „Urheberrechtliche Hinweise“ auf dem Deckblatt dieses Dokuments.
© Novell, Inc. Alle Rechte vorbehalten.30
Sicherheitsverstöße aufgrund des Missbrauchs von Superuser-Accounts
„Die britische Steuerbehörde hat bestätigt, dass sie einen Informanten bezahlt hat, um an die Daten von britischen Staatsbürgern zu gelangen, die über Konten in der Steueroase Liechtenstein verfügen.“
– Die Bundesregierung zahlte angeblich über sechs Millionen US-Dollar für die gleichen Daten.
– InfoWorld, 21. Juli 2008
Die Behörde fand heraus, dass der Angeklagteanscheinend „nicht autorisierten Zugang zu den Netzwerkpasswörtern hatte und dadurch autorisierten Benutzern den Zugriff auf das Netzwerk entziehen konnte“, so Vinson. „San Francisco Admin. Charged WithHijacking City's Network“, www.wired.com.
Durchschnittskosten
50.000 $ – externer Verstoß2,7 Mio. $ – interner Verstoß
70 % aller Sicherheitsverstöße entstehen intern!
Sicherheitsverstöße
* 80 % sind unbeabsichtigt* 20 % sind vorsätzlich
Was ihre Behebung anbelangt, gibt es keinen Unterschied. Sie müssen das Problem lösen und sicherstellen, dass es nicht noch einmal vorkommt.
* FBI und Price Waterhouse
Unveröffentlichtes Werk von Novell, Inc. Alle Rechte vorbehalten.Dieses Dokument ist ein unveröffentlichtes Werk, das vertrauliche, geschützte und geheime Informationen von Novell Inc. enthält. Der Zugriff auf dieses Werk ist nur Novell Mitarbeitern gestattet, die den Dokumentinhalt kennen müssen, um Aufgaben innerhalb ihres Zuständigkeitsbereichs erfüllen zu können. Kein Teil dieses Werks darf ohne ausdrückliche schriftliche Einwilligung von Novell, Inc. aus- oder vorgeführt, kopiert, verteilt, überarbeitet, geändert, übersetzt, gekürzt, zusammengefasst, erweitert, gesammelt oder anderweitig abgeändert werden. Jegliche unbefugte Nutzung oder Verwendung dieses Werks kann straf- und zivilrechtlich verfolgt werden.
Allgemeiner HaftungsausschlussDieses Dokument ist nicht als Versprechen eines beteiligten Unternehmens zur Entwicklung, Bereitstellung oder Vermarktung eines Produkts auszulegen. Novell ist nicht verpflichtet, Material, Code oder Funktionalität bereitzustellen, und dieses Dokument sollte nicht als alleinige Grundlage für Kaufentscheidungen herangezogen werden. Novell, Inc. gibt keine Erklärungen oder Garantien in Bezug auf den Inhalt oder die Verwendung dieses Dokuments und schließt insbesondere alle ausdrücklichen oder stillschweigenden Garantien zur Marktgängigkeit oder Eignung für einen bestimmten Zweck aus. Die Beschreibung der Entwicklung, Veröffentlichung und zeitlichen Koordinierung von Funktionen und Funktionalität für Novell Produkte liegt im Ermessen von Novell. Des Weiteren behält sich Novell, Inc. das Recht vor, dieses Dokument jederzeit zu überarbeiten und seinen Inhalt zu verändern, ohne natürliche oder juristische Personen von solchen Überarbeitungen oder Veränderungen in Kenntnis setzen zu müssen. Alle Marken von Novell, auf die in dieser Präsentation Bezug genommen wird, sind Marken oder eingetragene Marken der Novell, Inc. in den USA und anderen Ländern. Alle anderen Produkt- und Firmennamen sind Marken der entsprechenden Eigentümer.
Recommended