View
18
Download
0
Category
Preview:
Citation preview
Access Governance einfach, flexibel und praxisnah
Jürgen Bähr
j.baehr@daccord.de
Beschreibt die Verfahren zur kontinuierlichen Auswertung, Kontrolle und Darstellung der vorhandenen Identitäten und deren Zugriffsberechtigungen.
Access Governance
„Access Governance ist heutzutage für jedes Unternehmen ein Muss!“
Martin KuppingerFounder & Principal AnalystKuppingerCole Ltd.
Die Identität im Zentrum
• Im Zentrum einer Unternehmung stehen die teilnehmenden Personen
• Zugriff auf Unternehmensinformationen tagtäglich
• Die Kunst! Zugriff der richtigen Personen auf die richtigen Daten
• Das Risiko! Gefährdung der Unternehmung durch Diebstahl, Manipulation, Vernichtung der Daten …
• Das Ergebnis! Vermehrte Kosten durch erhöhte Aufwände, Risikorückstellungen, Versicherungen, Absicherungen …
Lebenszyklus einer Identität
Eintritt
Austritt
Abteilungswechsel
Beförderung
Elternzeit
Namensänderung
LokationswechselÜbergangssituationen
• Unerlaubte Berechtigungskonstellationen
• Verwaiste Benutzerkonten
• Anhäufung von Funktions- und Testbenutzern
• Anhäufung durch Abteilungs- und Funktionswechsel
• Fehlende Prozesse für den Berechtigungsentzug
• Verantwortung alleine in der IT
• Berechtigungsvergabe auf Zuruf
Resultierende Risiken
Fundamentaler Lösungsansatz
• Definition der Identitätstypen
• Optimierung der Identitätsprozesse
• Automatisierung der Kontenanlage und Berechtigungsvergabe
• Unterstützung durch elektr. Anträge
• …
Nachteil: Das dauert … und ist aufwändig!
Pragmatischer Lösungsansatz mit daccord
• Akzeptieren wir die Situation
• Zeigen wir auf, wie es aussieht
• Verbessern wir das was zählt - das Endergebnis
• Teilen wir Verantwortung
• Einhaltung der Gesetzesvorgaben
Vorteil: Das Ergebnis stimmt! Zeit für Verbesserung!
• Fragen wir den, der es weiß!
– Personenverantwortliche (Vorgesetzte, Abteilungsleiter, Betreuer …)
– Systemverantwortliche (Fachanwendungsverantwortliche, System-
Administrator, …)
– Rechteverantwortliche (IT-Leiter, IT-Sicherheits-Verantwortliche, …)
– Rollenverantwortliche (Abteilungsleiter, Fachanwendungs-
verantwortliche, …)
Berechtigungskontrolle – Aber wie?
Verschiedene Sichtweisen für unterschiedliche Verantwortungen
1. Aufbereitung der Informationen nach Bedarf
2. Darstellung und Kontrolle durch Verantwortliche – Einführung von
Rezertifizierungen (Bestätigung der Korrektheit)
Besser machen!
• Definition des korrekten Zustandes -> Soll-Modell
• Betrachtung der Abweichungen vom Soll (hat mehr als …)
• Betrachtung der Veränderungen (dazugekommen seit …)
• Rezertifizierung bei Notwendigkeit (z.B. 4 Wochen nach Abteilungswechsel)
Berechtigungskontrolle – Aber wie?
Berechtigungskontrolle – Aber wie?
• Zyklisch, mit bewährten Mitteln
Berechtigungskontrolle – Aber wie?
• Jederzeit, mit neuen Mitteln
Spürbare Kosten- und Zeitersparnis
Jederzeit Zugriff auf den aktuellen Berechtigungsstand aller Systeme
Reduzierung der Kosten durch Löschung verwaister Konten
Ermittlung und Bereinigung von unerlaubten Berechtigungen
Verlagerung der Verantwortung an die richtige Stelle
Fachlich fundierte Kontrolle und Bereinigung
Einhaltung gesetzlicher Auflagen und interner Richtlinien
Aktive Kontrolle der Umgebung
Forcierte, garantierte Bereinigung
Entzerrung der arbeitsintensiven Rezertifizierungsprozesse
Konkreter Nutzen
Lernen Sie daccord kennen
• 2010 durch einen int. Finanzdienstleister beauftragt
• Hauptanforderungen der Abteilung Information Security:• Zentrales Reporting von Berechtigungsvergaben aus jedem System
• Implementierung von Rezertifizierungsprozessen
• Entwicklung eines generalisierten Produktes 2011
• Entwicklung neuer Key Features 2012/2013
• Aktuelle Version 1.6
• Version 1.6.5 Q42016 / 2.0 Anfang 2017
Produkthistorie
• Insgesamt 8.000 Mitarbeiter und Externe Personen
• ca. 450 angebundene Systeme jeglicher Art
• Betroffen von gesetzlichen Auflagen (BaFin, CSSF, SEC, etc.)
• Zwei daccord Administratoren (Frankfurt a.M., Luxembourg)
• Produktsupport und initiale Beratung
• Kundenspezifischer Entwicklungsstrang
daccord @ Internationaler Finanzdienstleister
daccord SOLL …
… die Sammlung von Daten aus jedem System vereinfachen!
… die Transparenz von Berechtigungsvergaben erhöhen!
… Unregelmäßigkeiten und Verstöße aufdecken!
… kontinuierliche Prüfungen durchsetzen!
… bestehende Lösungen ergänzen!
Produktstrategie
daccord SOLL NICHT …
… automatisch Berechtigungen provisionieren!
… eine globale Administration für Systeme sein!
… Zugriffe in Echtzeit überwachen!
Produktstrategie
Datenmodell
Architektur
• Modulares Konzept• Durch zusätzliche Connectoren, Notifier, etc. erweiterbar
• Optionale Aktivierung von Basisfunktionen (z.B.: Rollen, Anträge)
• Auf Java und Open Source Technologien basierend
• Datenablage basiert auf MySQL
• Gewährleistung von Mehrsprachigkeit• Flexible und einfache Integration zusätzlicher Sprachen
Technische Fakten
• Verschiedene Engines und/oder Frontends
• Kein zusätzlich DB-Layer zur Optimierung der Performance
• Generierung von PDF-Reports (900 S.) in weniger als 30 Sek.
• Aktuelle Kunden nutzen „Single Instance“-Systeme
Skalierbarkeit
15.000 Personen
87.000 Benutzerkonten
40.000 Berechtigungen
342.000 Zuweisungen
Anwendungsfall - Bilfinger HSG Facility Management
Der Verzeichnisdienst-Collector benötigt 2 Minuten(19.000 Benutzerkonten mit Berechtigungen und Zuweisungen)
Spezial-Connectoren:
Oracle JDBC ConnectorMicrosoft SharePoint ConnectorMicrosoft NTFS ConnectorMicrosoft Exchange / Office 365Novell NSS ConnectorNovell Vibe ConnectorSalesforce Connector
SAP ConnectorSAP User ConnectorTYPO3 ConnectorFLT Connector (Fixed length, Mainframe) XML ConnectorS2S Connector (System to system)
Connectoren
Standard-Connectoren:
LDAP ConnectorMicrosoft Active Directory ConnectorCSV ConnectorJDBC Connector
Verzeichnisdienste:
Microsoft Active DirectoryNetIQ eDirectory
Dateisysteme:
Novell NSSMicrosoft NTFS
Mainframe-Systeme:
IBM RACFIBM AS/400
Betriebssysteme:
Microsoft ServersDebian Linux ServersSUSE Linux ServersUnix Systems
Endpoint Management:
NetIQ Access ManagerSymantec Endpoint Protect.Casper SuiteNovel ZENworks
Storage-Systeme:
NetApp SANNetApp SAN Metro ClusterEMC SANHP StoreFabric SAN
IAM-Systeme:
NetIQ Access ManagerCyberArk - Priviledged IDMNet2Access
Datenbanken:
MySQL DatabasesOracle DatabasesGRID Control (Oracle)
Email-Systeme:
Microsoft ExchangeIBM NotesNovell GroupWise
... Nur ein Auszug ...
Systeme
Arbeiten mit daccord
Systemadministration
Datenadministration
Systeme
• Gesammelte Daten werden automatisiert analysiert
• Benachrichtigungen jeglicher Art können initiiert werden
• Beispiele:• Versendung einer Email-Benachrichtigung, falls für externe Personen
kein Ablaufdatum definiert ist
• Erstellung eines Eintrags in einem Helpdesk-System wenn inaktive Personen noch Berechtigungen in risikoreichen Systemen besitzen
• Kontinuierliches Informieren der Right Manager oder Data Owner über die Personen, die Berechtigungen in ihrem Verantwortungsbereich besitzen
• Hinweis an CISOs über Personen, die zwei bestimmte Berechtigungen besitzen
Regelwerke & Benachrichtigungen
• Vordefinierte Reports können auf Klick über die Web-Frontends generiert werden
• Individuelle Reports können mit einem Report Design Tool erstellt werden (BIRT Report Designer)
• Verschiedene vordefinierte oder individuelle Reports können mithilfe des daccord Email Notifiers versendet werden
Reporting
Reports
• Die Kontrolle von Berechtigungsvergaben durch RightManager kann durchgesetzt werden
• Externe Rezertifizierungsprozesse können unter Berücksichtigung der gesammelten Daten und der gesetzten Verantwortlichkeiten ausgelöst werden
• Rezertifizierungsreports können an Verantwortliche versendet werden
• Anträge jeglicher Art könne in externen Systemen angestoßen werden
Rezertifizierung & Anträge
User Frontend - Rezertifizierung
User Frontend - Rezertifizierung
Rund um daccord
Consulting Services• daccord Consulting durch G+H
• daccord Systemintegratoren
• daccord Legal Advisors
Support Services (G+H Support Center) • Produktsupport
• Support-Pakete für individuelle daccord Projekte
• Fallbasierter oder vertragsbasierter Support
Enablement Services• Webinare
• Onsite Workshops
• Experten-Trainings
daccord Ecosystem
Pakete• daccord System (inklusive der 4 Standard-Connectoren)
• daccord Spezial-Connectoren
Personenbasierte Zählung• Aktive natürliche Personen zählen
• Inaktive natürliche Personen zählen nicht
Upgrade Protection• Upgrades und Patches sind inklusive
Lizenzmodell
Kunden mit 5.000 aktive Mitarbeiter
Benutzer über Standard-Connectoren• 10.000 über daccord LDAP Connector
• 40.000 über daccord CSV Connector
Benutzer über Spezial-Connectoren• 4.500 über daccord NTFS Filesystem Connector
• 1.000 über daccord FLT Connector
Benötigte Lizenzen• 5.000 daccord System Lizenzen
• 4.500 daccord NTFS Filesystem Connector Lizenzen
• 1.000 daccord FLT Connector Lizenzen
Lizenzierungsbeispiel
Soft Appliance• Basierend auf openSUSE Linux
• Update Channels für das Betriebssystem und daccord
Installierbare Pakete• SUSE Linux Enterprise Server
• Red Hat Enterprise Linux Server
• openSUSE Linux
Software-Bereitstellung
Möglichkeiten• daccord Best Practice mit einem Kunden
• Technischer Webcast
• daccord Schnellanalyse
• POC
Ihr Kontakt
Nächste Schritte
Jürgen BährGeschäftsführereMail: j.baehr@daccord.deTel.: +49 69 85 00 02 – 42
•••
Vielen Dank für Ihre Aufmerksamkeit!
•••
Recommended