¿Tu identidad está a salvo?

© 2009 Quest Software, Inc. ALL RIGHTS RESERVED

Asegur@IT: ¿Tú identidad está a salvo?

Simplificando la Gestión de Identidades

2

¿Tienes múltiples identidades?

• La mayoría de la gente tiene varias identidades

• No es fácil poder gestionarlas todas sin que alguna se ponga en riesgo

3

El Complicado Mundo de las Identidades

BlackBird

Laptops

Sala X

4

Vulnerabilidades en la Gestión de Identidades• Un exceso de identidades, puede suponer el olvido de usuarios y

contraseñas, o que estén expuestos a descuidos (apuntar la contraseña, etc…)

• Distintos entornos pueden suponer distintas políticas de contraseñas

• La suplantación de la identidad es una tarea más sencilla

5

¿Qué es la gestión de accesos e identidades?

• ¿Se trata de autenticación?

• ¿Se trata de autorización?

• ¿Es un aprovisionamiento?

• ¿Es una gestión de contraseñas?

• ¿Es un single sign-on?

• ¿Es algo relacionado con auditoria y normativas?

• ¿Es una sincronización de contraseñas?

• ¿Es posible lograrlo verdaderamente?

¡Es todo lo anterior!

6

Definición de Gestión de Identidades

• define la gestión de identidades como algo que “te permite integrar, gestionar y controlar la información distribuida de las identidades, para poder otorgar los permisos apropiados a la gente adecuada, en cualquier momento y en cualquier lugar”.

• define la gestión de identidades como: combinación de “procesos, tecnologías y políticas para gestionar las identidades digitales y especificar cómo son usadas para acceder a los recursos.”

7

Definición de Gestión de Identidades

• Administrador: “Además, laorganización es capaz de trabajar deforma efectiva como una solución, porlo que la monitorización, la auditoría yla realización de informes esfácilmente realizable.”

• Usuario Final: “La organización sabequien soy y cual es mi rol, y basándoseen esa información, automatiza miacceso a los recursos. Esto me permiteacceder a todo lo que necesito y asírealizar mi trabajo en muy pocotiempo.”

8

El estado de la Empresa

9

¿Qué podemos hacer para simplificar el entorno?

• ¿De dónde surge esta complejidad?

– Muchos sistemas heterogéneos

– Muchas aplicaciones

– Muchas y diversas:

• Infraestructuras de autenticación

• Infraestructuras de autorización

• Políticas e interfaces de administración

• ¿Cuantos Directorios diferentes existen?

• ¿Cuantos login de inicio de sesión tiene?

• ¿Cuál es el esfuerzo de administrar este escenario?

• ¿Se puede certificar que el entorno es seguro y cumple

con todas las normativas?

10

Solución… Get to One!

• Consolidar todo lo posible en el Directorio Activo

– Eliminando otros directorios

– Unificando la identidad

• Extender lo máximo el Directorio Activo

– Autenticación Kerberos contra Windows

– Enterprise Single Sign-On

– Administración centralizada en un único punto

• Utilizar el Directorio Activo como un repositorio autoritativo para

– Todos los sistemas

– Todas las aplicaciones

– Roles, reglas y políticas

– Aunque no es posible integrar todo en el Directorio Activo…

11

QUEREMOS UNIFICAR LAS IDENTIDADES!!!

RESUMIENDO…

=

12

Los usuarios necesitan tener

acceso a los recursos

Deben poseer los minimos

privilegios posibles

Se debe minimizar la utilización de

cuentas como Admin y Root

Provisión, reprovisión y deprovisión

de usuarios

Creación de reglas y workflows

Definición y aplicación de politicas de

acceso

Control de la actividad

Control de cambios

Notificación en tiempo real de

eventos críticos

Análisis del nivel de cumplimiento

Separación de las funciones de

auditoría

¿Qué problemas podemos solventar?

Cada Sistema y Aplicación requiere un User

ID y una password

Cada acceso debe ser controlado

En algunos entornos puede ser

necesaria una autenticación más

segura

13

Secure. Efficient. Compliant.

Quest One utiliza el Directorio Activopara consolidar la identidad, garantizarla seguridad y simplificar la gestión de

normativas y regulaciones

14

Gestión de Contraseñas

Provisionamiento

Gestión de Accesos UNIX/Linux Integración con Microsoft ILM 2007/FIM 2010

Consolidar la identidad

Tareas de Autogestión Lotus

UNIX/Linux en Active Directory

Group Policy y Microsoft SCCM

Java/J2EE Single Sign-On

Sync con Directorios & Mainframe

Gestión del Lifecycle y

Administración de la actividad operative

Gestión automatizada de accesos y delegación

Provisioning/de-provisioning para AD, AD LDS

Sync bi-direccional con Data Sources

Gestión de la password para AD/AD LDS

Autenticación basada en Q&A

Estensión de la GINA opcional

Autonomía para modificar la propia cuenta

y la password

Auditoría de las operaciones sobre UNIX/Linux

Log de la sesión del usuario

Control de la actividad anómala

Definición de politicas operativas (QuéCosa/Dónde/Cuando)

Meta Directory Services

para Directorios, Applicaciones y Bases

de datos

http://www.microsoft.com/windows

http://www.microsoft.com/windows

http://www.sap.com/index.epx

http://www.sap.com/index.epx

http://www.oracle.com/index.html

http://www.oracle.com/index.html

15

IAM FRAMEWORK / METADIRECTORY

La solución: Quest One

16

El Objetivo Reforzar la autenticación con Kerberos

Reforzar las políticas de password

Definir los accesos basados en roles

Combinar SSO con autenticación fuerte

basada en el standard OATH

Control de accesos eficiente

Definir políticas de gestión de Password y autenticación fuerte

Implementare la “separación de funciones”

Confirmar el cumplimiento de normativas a través de auditorías,

informes y alertas en tiempo real

Eliminar la necesidad de los

usuarios de recordar múltiples

contraseñas

Consolidar directorios e

identidades

Simplificar la administración de

identidades

17

& Privilege Management

Los 7 proyectos en los que Quest puede ayudarte…

ID Provisioning1

User Self Service2

Single Sign-On3

Strong Authentication4/5

Automated Change6

Robust Auditing7


18

Membership Security

Access Groups

AuthoritativeData Source

(HR/ERP System, Meta-Directory)Creación cuenta Exchange

Creación MailboxAdjuntar Listas de Distribución

AD LDS/

ADAM

MidrangeAS/400 (iSeries)

Mainframez/OS (zSeries)

DB2

Linux

IAM Framework

Creación de la cuenta de AD

Nombre único

Password única

Pertenencia a GruposWorkflow de aprobación

19

Cre

ate

Config

ure

Info

rm

65 minutes

Add user to groupsSecurity and Distribution Groups

10 minutes

Assign administrative permissions 10 minutes

Create user accounts connected systemsSend to metadirectory, Unix/Linux, etc. 10 minutes

Inform the BusinessE-mail to IT, Service Desk, Management Facilities, etc.

10 minutes

Automatic

Automatic

Automatic

5 minutes

Automatic

Automatic

Automatic

Automatic

Effort:

Elapse Time:

5 minutes

Hours / Days 5 minutes

Add employee to HR system 5 minutesHR

Create user account in Active DirectoryLocation, Unique Name, Strong Password Generation

10 minutes

Create Exchange mailboxControlled Store Selection, Alias Generation

5 minutes

Create home directoryLocation, NTFS permissions, Share permissions

5 minutes

Step Without Rules With Rules

20

Provisiong, re-provisiong y de-provisioning

21

HR System

34

Los 7 proyectos…. paso a paso…

ID Provisioning1

User Self Service2


59

ID Provisioning1

User Self Service2

Single Sign-On3



60

• Consolidar y utilizar el Directorio Activo para:

– Windows

– UNIX

– Linux

– Mac OS

– Java

– Aplicacones Kerberos-aware (ex. SAP, Oracle paraUNIX)

– Aplicaciones LDAP-enabled (ex. Siebel)

– Aplicaciones API-enabled (ex. GSSAPI)

– sistemasPAM-aware (ex. DB2)

Single Sign-On en Directorio Activo

61

Esfuerzo para Administradores y Usuarios

• Single Sign-On

– Un ID

– Un Directory

– Un Login

– Una Password

– Gestión simplificada

• Centralizada• Escalable• Controlada• Reportable

62

• Enterprise Single Sign-On para

– Otras aplicaciones (ex. Oracle para Windows)

– Aplicaciones con sistema de autenticación propietario

– Sistemas Legacy (ex. AS/400, RACF)

– Logon de sistemas de terceros (ex. web-based login)

– Client Based

– …

¿y que hacemos con el resto?

63

• Single Sign-On– Un ID

– Un Directory

– Un Login

– Una Password

– Gestión simplificada• Centralizada• Escalable• Controlada• Reportable

• ESSO (Logon Automation)– Múltiples ID´s– Múltiples Directorios

– Un Login

– Una password

– Gestión compleja

Esfuerzo para Administradores y Usuarios

68

GENERAR ZOOM

83


ID Provisioning1

User Self Service2

Single Sign-On3




84

HR System

106

HR System

121


ID Provisioning1

User Self Service2

Single Sign-On3


Automated Change6



122

HR System

129


ID Provisioning1

User Self Service2

Single Sign-On3


Automated Change6

Robust Auditing7



130130

HR System

?

149


ID Provisioning1

User Self Service2

Single Sign-On3


Automated Change6

Robust Auditing7



150

Quest One Identity Solution permite a las compañías simplificar la gestión del acceso y las identidades por medio de

• Mejorar la Eficiencia a través de una administración automatizada de identidades y la consolidación de una infraestructura de identidades basada en un despliegue existente de Active Directory

• Aumentar la Seguridad implementando una autenticación más fuerte para múltiples sistemas, incluyendo smart cards y tokens así como habilitando el control de cuentas con privilegios

• Cumplimiento de Normativas con una auditoría más fuerte e integrada, informes, herramientas para forzar el cumplimiento, consolidación de identidades y dominios para el control de acceso y segregación de obligaciones

151

Más información sobre Quest One Identity Solution y Quest Software en las siguientes direcciones:

• Quest One Identity Solution: http://www.quest.com/identity-management/

• Blog Quest Spain: https://questsoftware.wordpress.com/

http://www.quest.com/identity-management/

https://questsoftware.wordpress.com/



152

Muchas Gracias!!

Dudas o consultas a: [email protected]

¿Tu identidad está a salvo?

Technology

Transcript of ¿Tu identidad está a salvo?