ݺߣ

ݺߣShare a Scribd company logo

Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)

Download as PPTX, PDF
BAKOTECH
BAKOTECH

Управление и контроль привилегированным доступом с помощью решения Dell TPAM

1 of 22
Downloaded 21 times
Total Privileged Account Manager Рудницкий Иван, БАКОТЕК Инженер по технической поддержке проектов
Задача: Управление привилегированными учетными записями • Привилегированные учетные записи существуют везде 2 Applications Network Devices Virtual Platforms Operating Systems Databases
Задача: Управление привилегированными учетными записями • Привилегированные учетные записи существуют везде • Службе IT безопасности необходимо вести аудит их 3 использования Аудит, контроль Запись сессий Логирование
Dell TPAM 4 Privileged Passwords (PPM) Privileged Sessions (PSM) Privileged Password Management Privileged Session Management Application Password Management Privileged Command Management
Total Privilege Access Management (TPAM) 5 – Комплект продуктов созданный для решения задач по контролю и аудиту привилегированного доступа – Модульная система дает гибкость в построении решения – Базовые модули для решения основных задач – Добавление / изменение дополнительных модулей в будущем – Поставляется в виде специализированного программно-аппаратного комплекса
6 Privileged Password Manager Проблемы и задачи • Супер-пользователи есть в всех IT системах – ОС, сетевые устройства, базы данных, приложения и пр. • Они не ассоциируются с определенным пользователем – В отличии от пользовательских учетных записей • Супер-пользователи имеют все возможности ДОСТУПА и КОНТРОЛЯ – Полный доступ в систему – Конфигурация внутреннего аудита системы • Требования по соответствию стандартов – Учетные записи с привилегированными доступом находятся под пристальным вниманием аудитора
Управление привилегированными паролями 7 Задачи компании TPAM/PPM модуль Безопасность Встроенная система безопасности • Пароли шифруются • Шифрование диска (AES 256 ) • Встроенный аппаратный брандмауэр • ОС урезанная и заточенная под задачу Контроль изменений Широкие возможности по контролю • По времени (каждые Х дней) • После последнего использования • Форсирование изменений Интеграция Интеграция с другими системами • Поддержка сильной аутентификации • Active Directory • Ticketing systems
Управление привилегированными паролями 8 Задачи компании TPAM/PPM модуль Эффективность TPAM Workflow • Веб-консоль • Ролевое управление • Поддержка распределения полномочий • Уведомления по email • Поддержка мобильных устройств • CLI/API Простота внедрения и интеграции Установка и настройка за 1 день Готовое устройство Безагентная архитектура Интеграция в AD Импорт данных в CSV Внутренний аудит, SNMP, Syslog
Управление привилегированными паролями 9 Задачи компании TPAM/PPM модуль Индивидуальная ответственность Реализовано через PPM модуль • Возможность ограничения на выдачу пароля более чем 1 человеку на 1 момент времени • Изменение после последнего использования гарантирует уникальный пароль на каждый запрос • Возможность создания двойной авторизации
Workflow – запрос пароля 10 Отправка запроса на пароль Отбор и выбор учетной записи Ввод даты, времени, срока и Enter Date/Time/Duration/Reaso n Code/Request Reason as needed Ticket System Validation. Mandatory or Optional Получение пароля причины запроса Опциональное поле для ticketing системы.
11 Account Auto Discovery
12 Application Password Management Проблемы и задачи • Встроенные пароли в код приложений представляют угрозу безопасности – Учетные данные и пароли известны программистам – Back-door учетные записи • Различные задачи для различных приложений – Постоянное подключение A2A – Транзакционные подключения А2А
Управление паролями приложений 13 Задачи компании TPAM/PPM модуль Замена встроенных паролей Поддержка API/CLI C/C++ Java .NET Perl Поддержка “критических” приложений с большим кол-вом транзакций PAR кэш Дополнительный модуль Кэш-устройство или VM Поддержка централизованной или распределенной архитектуры Обработка более 500 запросов в секунду
14 Privileged Session Manager Проблемы и задачи • Соответствие стандартам требует информации о том что было сделано во время сессии: – Удаленные сессии вендоров – Аутсорсинговые компании – Предоставление доступа разработчикам в продуктивную среду – Доступ пользователей и администраторов к конфиденциальным ресурсам или приложениям • Доступ к определенным системам требует максимального аудита и контроля • Необходимость ограничения прямого доступа к определенным ресурсам
Управление привилегированными сессиями 15 Задачи компании TPAM/PPM модуль Гранулярный контроль доступа Контроль пользователя • Ограничение просмотра ресурсов в зависимости от роли Контроль подключений Полный контроль подключений • Двойной контроль на авторизацию • Ограничение по времени • Уведомление о превышении времени • Возможности обрыва сессии Аудит сессии Аудит сессии • Аудит и логирование всех запросов на соединение • Полный просмотр сессии и ее видеозапись
Как это работает 16
Workflow – запрос сессии 17 Запрос на соединени е Выбор системы и учетной записи Ввод даты, времени, продолжительности и причины Опциональное поле для ticketing системы. Как только запрос подтвержден - подключение
Workflow – запрос сессии • Запрос может быть 18 подтвержден вручную или автоматически • Каждая активность в системе записывается • Если пользователь превышает лимит времени, система отправляет уведомление • Активная сессия может быть отключена вручную Пользователь подключается и выполняет необходимую работу Прокси-соединение установлено к подключаемой системе под выбранной учетной записью
Workflow – воспроизведение сессий 19 Записи сессий хранятся локально или могут автоматически архивироваться. Можно делать поиск по сессиям по дате, системе, учетной записи, пользователю, номеру запроса и пр. Выбранная сессия воспроизводится в режиме видеозаписи.
Workflow – воспроизведение сессий 20 Вся активность в сессии записывается и может быть воспроизведена. Запись хранится в очень сжатом формате (не AVI). Контроль просмотра записи сессии.
Типы построения конфигураций • High Availability • Распределенный 21
Вопросы?

More Related Content

Total Privileged Account Manager (Иван Рудницкий, БАКОТЕК)

  • 1. Total Privileged Account Manager Рудницкий Иван, БАКОТЕК Инженер по технической поддержке проектов
  • 2. Задача: Управление привилегированными учетными записями • Привилегированные учетные записи существуют везде 2 Applications Network Devices Virtual Platforms Operating Systems Databases
  • 3. Задача: Управление привилегированными учетными записями • Привилегированные учетные записи существуют везде • Службе IT безопасности необходимо вести аудит их 3 использования Аудит, контроль Запись сессий Логирование
  • 4. Dell TPAM 4 Privileged Passwords (PPM) Privileged Sessions (PSM) Privileged Password Management Privileged Session Management Application Password Management Privileged Command Management
  • 5. Total Privilege Access Management (TPAM) 5 – Комплект продуктов созданный для решения задач по контролю и аудиту привилегированного доступа – Модульная система дает гибкость в построении решения – Базовые модули для решения основных задач – Добавление / изменение дополнительных модулей в будущем – Поставляется в виде специализированного программно-аппаратного комплекса
  • 6. 6 Privileged Password Manager Проблемы и задачи • Супер-пользователи есть в всех IT системах – ОС, сетевые устройства, базы данных, приложения и пр. • Они не ассоциируются с определенным пользователем – В отличии от пользовательских учетных записей • Супер-пользователи имеют все возможности ДОСТУПА и КОНТРОЛЯ – Полный доступ в систему – Конфигурация внутреннего аудита системы • Требования по соответствию стандартов – Учетные записи с привилегированными доступом находятся под пристальным вниманием аудитора
  • 7. Управление привилегированными паролями 7 Задачи компании TPAM/PPM модуль Безопасность Встроенная система безопасности • Пароли шифруются • Шифрование диска (AES 256 ) • Встроенный аппаратный брандмауэр • ОС урезанная и заточенная под задачу Контроль изменений Широкие возможности по контролю • По времени (каждые Х дней) • После последнего использования • Форсирование изменений Интеграция Интеграция с другими системами • Поддержка сильной аутентификации • Active Directory • Ticketing systems
  • 8. Управление привилегированными паролями 8 Задачи компании TPAM/PPM модуль Эффективность TPAM Workflow • Веб-консоль • Ролевое управление • Поддержка распределения полномочий • Уведомления по email • Поддержка мобильных устройств • CLI/API Простота внедрения и интеграции Установка и настройка за 1 день Готовое устройство Безагентная архитектура Интеграция в AD Импорт данных в CSV Внутренний аудит, SNMP, Syslog
  • 9. Управление привилегированными паролями 9 Задачи компании TPAM/PPM модуль Индивидуальная ответственность Реализовано через PPM модуль • Возможность ограничения на выдачу пароля более чем 1 человеку на 1 момент времени • Изменение после последнего использования гарантирует уникальный пароль на каждый запрос • Возможность создания двойной авторизации
  • 10. Workflow – запрос пароля 10 Отправка запроса на пароль Отбор и выбор учетной записи Ввод даты, времени, срока и Enter Date/Time/Duration/Reaso n Code/Request Reason as needed Ticket System Validation. Mandatory or Optional Получение пароля причины запроса Опциональное поле для ticketing системы.
  • 11. 11 Account Auto Discovery
  • 12. 12 Application Password Management Проблемы и задачи • Встроенные пароли в код приложений представляют угрозу безопасности – Учетные данные и пароли известны программистам – Back-door учетные записи • Различные задачи для различных приложений – Постоянное подключение A2A – Транзакционные подключения А2А
  • 13. Управление паролями приложений 13 Задачи компании TPAM/PPM модуль Замена встроенных паролей Поддержка API/CLI C/C++ Java .NET Perl Поддержка “критических” приложений с большим кол-вом транзакций PAR кэш Дополнительный модуль Кэш-устройство или VM Поддержка централизованной или распределенной архитектуры Обработка более 500 запросов в секунду
  • 14. 14 Privileged Session Manager Проблемы и задачи • Соответствие стандартам требует информации о том что было сделано во время сессии: – Удаленные сессии вендоров – Аутсорсинговые компании – Предоставление доступа разработчикам в продуктивную среду – Доступ пользователей и администраторов к конфиденциальным ресурсам или приложениям • Доступ к определенным системам требует максимального аудита и контроля • Необходимость ограничения прямого доступа к определенным ресурсам
  • 15. Управление привилегированными сессиями 15 Задачи компании TPAM/PPM модуль Гранулярный контроль доступа Контроль пользователя • Ограничение просмотра ресурсов в зависимости от роли Контроль подключений Полный контроль подключений • Двойной контроль на авторизацию • Ограничение по времени • Уведомление о превышении времени • Возможности обрыва сессии Аудит сессии Аудит сессии • Аудит и логирование всех запросов на соединение • Полный просмотр сессии и ее видеозапись
  • 17. Workflow – запрос сессии 17 Запрос на соединени е Выбор системы и учетной записи Ввод даты, времени, продолжительности и причины Опциональное поле для ticketing системы. Как только запрос подтвержден - подключение
  • 18. Workflow – запрос сессии • Запрос может быть 18 подтвержден вручную или автоматически • Каждая активность в системе записывается • Если пользователь превышает лимит времени, система отправляет уведомление • Активная сессия может быть отключена вручную Пользователь подключается и выполняет необходимую работу Прокси-соединение установлено к подключаемой системе под выбранной учетной записью
  • 19. Workflow – воспроизведение сессий 19 Записи сессий хранятся локально или могут автоматически архивироваться. Можно делать поиск по сессиям по дате, системе, учетной записи, пользователю, номеру запроса и пр. Выбранная сессия воспроизводится в режиме видеозаписи.
  • 20. Workflow – воспроизведение сессий 20 Вся активность в сессии записывается и может быть воспроизведена. Запись хранится в очень сжатом формате (не AVI). Контроль просмотра записи сессии.
  • 21. Типы построения конфигураций • High Availability • Распределенный 21

Editor's Notes

  1. Simplifies the process of finding existing accounts and then automatically triggers actions on found accounts (e.g., notify someone, start to manage them, etc.)