ITIL und

Identity & Access Management

Peter HeintzenOracle Security

Herausforderung: Compliance

2

Frameworks geben eine Anleitung

zur Erreichung von Compliance zu

unterschiedlichen Verordnungen

� Frameworks:� COBIT

� ISO 27001 (formerly 17799)

� ITIL

3

� Andere (z.B.. Bundesamt für Sicherheit in der Informationstechnik - IT Sicherheitshandbuch, BSI 7105)

Framework to Control Domain Mapping

4

ITIL(Information Technology Infrastructure Library)

� ITIL ist eine Sammlung von „Best Practices“, die eine mögliche Umsetzung eines IT-Service-Managements beschreiben

� In der aktuellen Version orientieren sich die Inhalte des � In der aktuellen Version orientieren sich die Inhalte des Rahmenwerks am Lebenszyklus des Service: � Strategie (Strategy),

� Entwurf (Design),

� Überleitung in den Betrieb (Transition),

� Betrieb (Operation) und

� Verbesserung (Continual Improvement).

� In dem Regel- und Definitionswerk werden die für den Betrieb

5

� In dem Regel- und Definitionswerk werden die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse, die Aufbauorganisation und die Werkzeuge beschrieben.

Service Operation Prozesse

• Event Management

• Request Fulfilment

• Incident Management

• Problem Management

• Access Management

• Data ManagementAccess Management ist der Prozess, welcher autorisierten

6

• Data Management

Quelle: Wikipedia

Access Management ist der Prozess, welcher autorisierten Benutzern die Rechte für die Nutzung der Services zuweist und damit gleichzeitig den unerlaubten Zugriff verhindert. Dieser Prozess wird oft auch Identity and Access Management (IAM) genannt.

ITIL V3 Access Management

• Richtlinien und Aktionen zur Umsetzung von Security und Availability Managementund Availability Management• Die richtige Information an die richtigen Personen zum richtigen

Zeitpunkt

• Access Management vollstreckt Entscheidungen

• Role basierte Richtlinien (Policies)

• Access Management wird initiert durch Service Request

7

beim Service Desk oder durch Katalogauswahl• Entitlement Management

• Access Monitoring und Kontrolle

Access Management

• Access, das heisst Zugriff und Zutritt auf Services, Daten und Einrichtungen.

• Identity, sprich die Identität der Benutzers oder des technischen Gerätes, welches den Zugriff benötigt. Die Identität muss eineindeutig der wirklichen Person und des Gerätes zuordenbar sein.

• Rights, sind die Rechte oder auch Privilegien, welche der Benutzer ausüben kann. Typische Rechte sind Lesen, Schreiben, Ausführen, Ändern oder Löschen.

• Services oder Service Gruppen, das sind Rollen, welche die Benutzer für ihre Tätigkeiten wahrnehmen. Die Rechte werden üblicherweise solchen Rollen zugewiesen. Der Benutzer kann mehre Rollen einnehmen und erbt

8

bei Zuteilung zu dieser Gruppe automatisch deren Rechte. Dies macht die Administration und Übersicht der verteilten Rechte einfacher und nachvollziehbarer.

• Directory Service, bezeichnet ein spezifisches Werkzeug, welches zur Administration von Identitäten, Rechten und Rollen genutzt werden kann.

Quelle: Wikipedia

Service Lifecycle

9

Mgmt-System für Informationssicherheit Information Security Management System, ISMS

ITIL beschreibt einen Lebenszyklus mit folgenden Schritten:

Control, Plan, Implement, Evaluate and Maintain

PlanImplementCreate awarenessPlan

Service Level AgreementsUnderpinning contractsOperational Level AgreementsPolicy Statements

ImplementCreate awarenessClassification and registrationPersonnel securityPhysical securityNetworks, applications, computersManagement of access rightsSecurity incident proceduresControlControl

OrganiseOrganiseEstablish frameworkEstablish frameworkAllocate responsibilitiesAllocate responsibilities

10

MaintainLearnImprovePlanImplement

EvaluateInternal auditsExternal auditsSelf asessmentsSecurity incidents

Allocate responsibilitiesAllocate responsibilities

… dies entspricht dem Konzept von Identity Management

SimplifySimplify

Prepare To Prepare To

Do ItDo It

FacilliateFacilliate

Know What Know What

To DoTo Do

AnalyseAnalyse

SimplifySimplify

Know What Know What

You Do You Do

DocumentDocument

Say What Say What

You DoYou Do

ReportReport

Do What Do What

You Should You Should

EnforceEnforce

11

ProtectProtectMonitorMonitor

Abgestuftes Konzept für die Umsetzung von

Compliance Anforderungen

5. Policy Compliance Mgmt. (Phase 5)

4. Audit Log Konsolidierung(Phase 4)

3. Security Management Prozeduren (Phase 3)

2. Identity Management

12

2. Identity Management(Phase 2)

1. Authentifizierungs- & Zugriffskontrolle System/Datenbank Security (Phase 1)

Datenbank Security Levels

Securitylevel Standard:

Advanced Security Option

Central User Administration 4 DB

Audit Vault

Protocolserver, stores

Preventive / Corrective Controls Detective Controls Prev. /Corrective Controls

Securitylevel Standard Plus:

Advanced Security Option

Database Vault

Central Management for high privileged user

stores definined Audit Trails

Securitylevel High:

Advanced Security OptionDatabase Vault

Who is able to access and why ?

Who did what and when ?

LimitAccessTo System and Data

LimitAccessTo System and Data

13

Database Vault

Label Security

Securitylevel Test- and Development:

Data Masking Pack

High-Level Id&AM Architektur

Benutzer

Zert. validierung

3rd Parties

Dienste Anbieter

Zertifikat oder Passwd

Mitarbeiter oder Externer

VPN, Terminal server (z.B. Citrix)

Federation Access Manager Single Sign-On (SSO)Authentication & Authorization & Audit

Virtual Directory

Applic

atio

n 1

Oth

er

LD

AP

DB ..

LD

AP

Anbieter

Oth

er (tru

ste

d)

identity

sourc

es

HR

Applic

atio

n 2

Applic

atio

n 3

Applic

atio

n 4

Applic

atio

n 5

Applic

atio

n 6

Applic

atio

n 7

Applic

atio

n 8

Applic

atio

n 9

oder Passwd Externer server (z.B. Citrix) Terminal Server

14

Applic

atio

n 1

Oth

er

LD

AP

DB ..

Identity Manager und Role ManagerProfile Management - Provisioning - Reconciliation - Attestation - Compliance - Workflow Automation

LD

AP

Oth

er (tru

ste

d)

identity

sourc

es

Applic

atio

n 2

Applic

atio

n 3

Applic

atio

n 4

Applic

atio

n 5

Applic

atio

n 6

Applic

atio

n 7

Applic

atio

n 8

Applic

atio

n 9

Profiles, roles, policies, entitlements/responsabilities

= user store (provisioning required)

Identity Management ist ein fortlaufender ProzessIdM durchläuft wesentliche Phasen in einem 8-Stufenplan

1. Datenlieferant HR• Stammdaten, Organisationsdaten, Kostenstellen kommen aus der Personalabteilungen

• Quality-Check ist sinnvoll; Schlechte Daten sind für IdM ein Hindernis• Minimal: Wer ist wessen Vorgesetzter und wie sieht die Kostenstellenstruktur aus (Workflows)

2. Integration von IT-

Systemen

• Die IT-Abteilung ist für die Integration der verschiedenen IT-Systeme verantwortlich

• Insbesondere sind das Directory (wie MS AD), Mailsysteme und ERP-Systeme

• Die Integration der Hauptsysteme reicht für eine Quick-Win Lösung vollkommen aus

3. Zugriffskontrolle• Es muß sichergestellt werden, dass kein unerlaubter Zugriff auf Informationen und Services besteht

• Einbindung der Fachabteilungen in den Entscheidungsprozess• Reporting: Wer hatte wann Zugriff und war dieser Zugriff berechtigt?

4. Workflows• Aufbau von Antrags- und Genehmigungsworkflows, um den Verwaltungsaufwand zu senken

• Rollenbasierte Berechtigungsvergabe ist sehr komplex• Besser mit Einzelberechtigung ergänzen

5. Provisioning• Das Provisioning, d.h. Das Schreiben der Identitäten in die Zielsysteme findet automatisiert statt

• Wichtig: Automatische Sperrung, Reaktivierung und endgültige Löschen von Account miteinbeziehen• Stichwort: Vermeidung verwaister Benutzerkonten

6. Compliance• Gesetzliche Vorgaben in Regeln für die Vergabe von Benutzer- und Zugriffsrechten übersetzen

• Regeln können dann im Workflow abgebildet und ausgewertet werden• Für bereits bestehende Accounts zusätzliche detektives Reporting implementieren

15

IdM ist kein einmaliges Ereignis, sondern ein fortlaufender Prozess

• Für bereits bestehende Accounts zusätzliche detektives Reporting implementieren

7. Re-Zertifizierung von

Accounts

• Regelmäßige Verifizierung und Prüfung von Accounts ist notwendig

• Vorgänge und geschäftsabläufe werden transprent gemacht und unbefugte Tätigkeiten erkannt

8. Unternehmensrollen• Gesetzliche Vorgaben rücken die firmenweite Verwaltung von IT-Berechtigungen auf Basis von

Rollen der Mitarbeiter in der Fokus der Unternehmen.

• Mit Role-Mining wird eine Optimierung und Bereinigung von Unternehmensrollen durchgeführt

Quelle: Identity Management nach Plan, Silicon.de

Präventive Controls

GRCIDENTITY MANAGEMENT

��������

Set Up User Profile

Determine User Role

Validate withSOD Policies

ViolationsFound

!!

16

��������New Hire or

Transfer ProvisionApplication Access

Remediate: •Seek Approval•Apply Mitigating Control•Deny Access

No Violations

Präventive Controls

GRCIDENTITY MANAGEMENT

��������

Set Up User Profile

Determine User Role

Validate withSOD Policies

ViolationsFound

!!

Identity Event

ID Recon

Oracle Identity Manager

Role Assignment

Oracle Role Manager

Account

Enforce SoD Policy

Oracle Access Controls Governor

17

��������New Hire or

Transfer ProvisionApplication Access

Remediate: •Seek Approval•Apply Mitigating Control•Deny Access

No Violations

Event

HRMS

Account Provisioning

Oracle Identity Manager

Ausnahme Erkennung & Behandlung

!!Entitlements Out-of-bounds

��������

GRC IDENTITY MANAGEMENT

!!EntitlementsAdded out-of-

bounds

Out-of-bounds EntitlementsRemoved

��������

18

Deprovision Entitlements in Violation

Event Analysis

ViolationDetectionand Alert

Assign Remediation

Task

Ausnahme Erkennung & Behandlung

!!Entitlements Out-of-bounds

��������

GRC IDENTITY MANAGEMENT

Oracle E-Business Suite

Oracle E-Business Suite!!

EntitlementsAdded out-of-

bounds

Out-of-bounds EntitlementsRemoved

��������Business Suite Business Suite

Account Provisioning

Enforce SoD Policy

19

Deprovision Entitlements in Violation

Event Analysis

ViolationDetectionand Alert

Assign Remediation

Task

Oracle Identity Manager

Enforce SoD Policy

Oracle Access Controls Governor

OIM, ORM & SoD Architektur

Oracle Identity Manager

Oracle Role Manager Oracle Application

Access Control

Governor

Run time SOD check

IDENTITY MANAGEMENT GRC

Oracle Identity ManagerGovernor

Identity WarehouseRole

Membership Data

User and Entitlement

ORM Integration Library

Run time SOD check

20

Entitlement Data

Data Export to OAACG

Oracle’s Security Strategie bzgl. ITIL

• Security als Service implementieren

• kann durch ITIL mit verwaltet werden• kann durch ITIL mit verwaltet werden

• Infrastruktur und Anwendungen können zentral verwaltete

Security Services konsumieren

• Access Management sowohl für Anwendungen,

Middleware als auch Datenbanken

21

• zentrale Berechtigungs- und Zugriffskontrolle

• Einheitliche Durchsetzung von Richtlinien

• Compliance Reporting

22