1 / 21

Identity and Access Governance na przyk ł adzie rozwi ą za ń Sail P oint

Identity and Access Governance na przyk ł adzie rozwi ą za ń Sail P oint. Maciej Bukowski, CompFort Meridian. Agenda. Wstęp Identity and Access Governance (IAG) Zarządzanie dostępami w Cloud Rozwój modułów SailPoint. Strategiczne partnerstwo. Innowacja - reakcja na nowe potrzeby klientów.

jenaya
Télécharger la présentation

Identity and Access Governance na przyk ł adzie rozwi ą za ń Sail P oint

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Identity and Access Governancena przykładzie rozwiązań SailPoint Maciej Bukowski, CompFort Meridian

  2. Agenda • Wstęp • Identity and Access Governance (IAG) • Zarządzanie dostępami w Cloud • Rozwój modułów SailPoint

  3. Strategiczne partnerstwo Innowacja - reakcja na nowe potrzeby klientów Najlepszy w swojej klasie dostawca Identity & Access Governance Najlepszy w swojej klasie dostawca BSM i Identity Management Wspólne dostarczanie systemu nowej generacji Identity Management & Access Governance aware BSM

  4. Historia ewolucji IdM i IAG Identity Management i Identity & Access Governance Prywatność i nadzórfinansów • Zarządzanie ryzykiem • i zgodnością z politykami Internet Przetwarzanie rozproszone • Automatyzacja procesów • Administracja kont 1990’s 2000’s 2010’s

  5. Zmiana priorytetów dla IdM • Dzisiaj IdM to nie tylko kwestia technologii – to potrzeba biznesu • Potrzeby napędzane są przez biznes, audyt lub ryzyko • Biznes oczekuje aktywnego udziału w procesach zarządzania cyklem życia tożsamości • Szeroka widoczność systemów jest wymagana do spełnienia wymogów bezpieczeństwa i zgodności z regulacjami • Głębszy wgląd w szerszy zestaw udostępnianych aplikacji • Biznesowa interpretacja uprawnień IT • Ewolucja od ręcznego wykrywania do prewencyjnego zarządzania ryzykiem • Potrzeba zdolności do identyfikacji istniejących problemów jak również zapobieganie powstawaniu nowych

  6. Identity Access Governance As a security and risk leader, if you only have one dollar to spend on identity management, spend it on Identity Access Governance Andras Cser, Forrester August 2011

  7. Idea IAG • Czy wiemy kto i do czego posiada dzisiaj dostępy ? • Czy wiemy kto i do czego powinien posiadać dzisiaj dostępy ? • Jakie metody weryfikacji są wykorzystywane do zapewnienia obu powyższych ? A gdy już posiadamy rozwiązanie IdM … Jaki procent z wykorzystywanych systemów jest aktualnie zintegrowany i podlega automatycznemu monitorowaniu ? IdM 10%-----------------------------90% AIG

  8. Różne rodzaje zagrożeń Brak informacji z biznesu o zmianach dla tożsamości wpływa na powstawanie zagrożeń ! Konta osierocone Gromadzenie uprawnień • Braki lub opóźnienia przy odbieraniu uprawnień • Słaba czytelność uprawnień • Skutki redukcji zatrudnienia • Kumulacja uprawnień • „Toksyczne” uprawnienia • Skutki nadawania uprawnień przez klonowanie ról Zabezpieczaneaktywa $$$$ Konta uprzywilejowane Konta oszustów • Konta do realizacji nadużyć • Nie wykryte dostępy i aktywności • Złodzieje danych, nadużycia • Użytkownicyz “kluczami do raju” • Słaba czytelność uprawnień • Skutki przy współdzieleniu haseł

  9. Potrzeba biznesowego narzędzia • Wiele organizacji dostrzega „chaos” • Osobne silosy danych o tożsamościach • Brak jednoznacznego powiązania kont z tożsamościami • Występowanie kont zduplikowanych i „duchów” • Nieoznaczone konta systemowe i uprzywilejowane • Centralny rejestr danych o wszystkich systemach jest kluczem do właściwej kontroli zgodności

  10. Metodologia IAG oraz IdM IAG Uruchomienie automatycznego Provisioning’u do systemów docelowych Automatyzacja Provisioning Krok 4 Wnioski o dostępy,usługi self-service np.password management i inne procesy biznesowe Wdrożenie procesów biznesowych Krok 3 Czas wdrożenia Definicja i implementacja modelu zgodności oraz kontroli (role, polityki bezpieczeństwa, ryzyko) Budowa podstawy do badania kontroli zgodności Krok 2 Szybka weryfikacja bieżącej zgodności Zrozumienie aktualnego stanu dostępów i określenie linii bazowej Krok 1 IdM Ilość zintegrowanych systemów

  11. SailPoint Governance Platform • Repozytorium Tożsamości • Scentralizowane dane o Tożsamości stanowią podstawę do kontroli zgodności oraz zarządzania cyklem życia • Role Management • Identyfikowanie, modelowanie i zarządzanie rolami w celu powiązania dostępów z pełnionymi funkcjami w organizacji • Policy Management • Definiowanie, wykrywanie oraz kontrola polityk bezpieczeństwa przy wnioskowaniu o uprawnienia, recertyfikacji oraz w procesie automatycznego przyznawania uprawnień • Risk Management • Strategiczne priorytetyzowanie aktywności pracowników przez modelowanie ryzyk dla użytkowników oraz wykorzystywanych systemów • Provisioning Broker • Rozbijanie wniosków o zmianę na indywidualne składniki oraz koordynacja działań w zakresie ręcznej lub automatycznej zmiany na systemach Governance Model

  12. IIQ Projektowany dla biznesu Interfejs nowej generacji w IdentityIQ przyśpiesza samodzielne poznawanie narzędzia i minimalizuje wymagane szkolenia, maksymalizując przy tym efektywność pracy użytkownika Spójny interfejs dla wszystkich procesów biznesowych (wnioski, potwierdzenia, przeglądy uprawnień, raporty/analiza) Indywidualne panele informacyjne oraz układ okien Biznesowy opis ról i uprawnień nadaje sens technicznym danym o uprawnieniach Bogata pomoc kontekstowa pomaga w podejmowaniu skutecznych decyzji

  13. IdentityIQ Intelligence • Przyjazny panel użytkownika • Poprawia przejrzystość krytycznych danych dla zarządzania Tożsamością • Dostarcza przyjazne wykresy i raporty • Dostarcza dane w przyjaznym dla biznesu formacie • Gotowe raporty • Obejmuje obszerną listę predefiniowanych raportów do badania zgodności i zarządzania cyklem życia Tożsamości • Zapewnia personalizację konfiguracji raportów • Advanced Analytics • Dostarcza bogate możliwości samodzielnej analizy danych o Tożsamościach • Umożliwia zapisywanie zapytań w formie raportów do późniejszego wykorzystania

  14. IdentityIQ Compliance Manager • Przyjazne dla biznesu przeglądy uprawnień i recertyfikacja • Szybka konfiguracja recertyfikacji dostępów metodą „wyklikania” • Usprawnienie procesów recertyfikacji dostępów poprzez automatyczne generowanie i dystrybucję raportów • Elastyczne rodzaje recenzentów (np. kierownik, właściciel aplikacji) oraz cykli (np. okresowe, zdarzeniowe) • Prezentacja tajemniczych danych IT w czytelny i zrozumiały dla biznesu sposób • Automatyczne wymuszanie zasad • Aktywne skanowanie, wykrywanie oraz informowanie użytkowników o naruszeniu biznesowych polityk bezpieczeństwa • Prezentuje naruszenie polityk w przeglądach uprawnień, portalu i raportach • Optymalizacja ryzyka • Wykorzystanie punktacji ryzyka do pomiaru i priorytetyzacji działań kontroli zgodności z politykami bezpieczeństwa Access Certifications Policy Enforcement

  15. IdentityIQ Lifecycle Manager • Samodzielne wnioski o dostępy i zarządzanie użytkownikami • Przyjazny dla użytkownika biznesowego portal do wnioskowania o zmianę dostępów i Zarządzanie Tożsamością • Interfejs typu “Shopping cart” zapewnia wygodny i intuicyjny sposób wnioskowania o role i uprawnienia • Panel do wnioskowania zapewnia prezentację czytelnego statusu realizowanych i zakończonych wniosków. • Automatyczne zarządzanie cyklem życia Tożsamości • Centralna definicja i zarządzanie cyklicznymi zdarzeniami (np. zatrudnienie, zmiana departamentu, zwolnienie) • Automatyczne wyzwalacze inicjują zmiany dostępów i przywilejów • Zintegrowane polityki i procesy Workflow • Centralne administrowanie politykami konsekwentnie egzekwują biznesowe polityki w całym cyklu życia Tożsamości w organizacji • Konfigurowalny Workflow zapewnia zmianę dostępów i prawidłową realizację procesu zmiany

  16. IdentityIQ Provisioning Broker Compliance Manager LifecycleManager Governance Platform Provisioning Broker BMC Remedy Service Desk BMC ESS • Elastyczne formy realizacji zmiany dostępów • Zapewnia zmianę różnymi metodami • Dekomponuje zmianę na indywidualne komponenty • Konsekwentnie wymusza przestrzeganie polityki bezpieczeństwa • Wbudowany mechanizm integracji • Dostarcza uniwersalną warstwę dla różnych metod zmiany dostępów • Śledzi zmiany od momentu ich rozpoczęcia do zakończenia Collector Integration Manual / IT Admins

  17. Modelowanie ról • TopDown - Analiza populacji i automatyczne wykrywanie • Groupy Robocze/Reguły przypisywania/Role Biznesowe • Bottom Up - Wzorce uprawnień, Grupowanie i Analiza, Korelacja • Definiowanie uprawnień, Profilowanie Technicznych Ról IT

  18. Modelowanie ryzyka • Nowatorska technologia pomiaru ryzyka • Podobna do pomiaru ryzyka kredytowego • Definiowalne parametry oraz wagi • Składniki ryzyka dla tożsamości • Role i uprawnienia o wysokim ryzyku • Złamanie polityk bezpieczeństwa • Pominięta recertyfikacja • Nieodebrane uprawnienia • Dozwolone wyjątki • Składniki ryzyka dla systemów i aplikacji • Osierocone konta • Uprzywilejowane konta • Zdublowane konta • Złamanie polityki bezpieczeństwa Obszary ryzyka tożsamości w organizacji w podziale na departamenty, lokalizację, itp.

  19. Zarządzanie ryzykiem Uwzględnienie ryzyka pozwala organizacji skoncentrowanie na istotnej grupie pracowników Profil o niskim ryzyku Profil o średnim ryzyku Profil o wysokim ryzyku • Uprawnienia tylko do odczytu • Brak zmian od ostatniego przeglądu • Brak wyjątków w politykach • Brak dostępu do krytycznych aplikacji • Poziom ryzyka <300 • Zmiany lub nowe konta • Łagodne wyjątki w politykach • Zatwierdzone dostępy do aplikacji o wysokim ryzyku • 300< poziom ryzyka <600 • Osierocone konta • Uprzywilejowane konta • Złamane polityki • Brak ostatniej recertyfikacji • Trwające procesy odbioru uprawnień • Niezatwierdzone dostępy do aplikacji o wysokim ryzyku • Poziom ryzyka>=600 Krótki okres recertyfikacji Standardowy okres recertyfikacji Rzadki okres recertyfikacji

  20. Procesy IAG w Cloud • Self-Service • Wnioski • Zmiana haseł • Kontrola kont • Audyt i kontrola zmian • Odbiory uprawnień • Naruszenia polityki • Zarządzanie zmianą • Zmiany danych tożsamości • System HR • Katalogi LDAP • Baza kontraktorów • Konektor SaaS dla IAG • Wykorzystanie SCIM API (Simple Cloud Identity Management) • Powiązanie kont i tożsamości • Skatalogowanie uprawnień • Modelowanie – Widok - Kontrola • Proxy Agent dla IaaS • Agent w środowisku Cloud • Bezpieczne połączenie z IAG • Wykrywanie repozytorium użytkowników • Powiązanie kont i tożsamości • Skatalogowanie uprawnień • Modelowanie – Widok - Kontrola

  21. Dziękujemy za uwagę

More Related