dell software idm и change auditor

Dell Software – Security

Константин Шурунов - Emerging Markets

ConfidentialFRS FY14

PCI Data Security Standard

• Применим ко всем компаниям, которые обрабатывают транзакции покредитным картам

• Содержит набор минимальных требований к безопасности

• Цель: защита персональных данных покупателей

• Сейчас вышла версия 3.0


PCI DSS


Dell OneIdentity Manager (D1IM)

4


Privileged Management

What Dell One Identity delivers

Access Management

Identity Governance

Предоставление всем пользователям доступа, необходимого для выполненияработы в любой локации и с любого устройства с сохранением удобства, безопасности и соответствия стандартам.

Достижение полного, определяемого бизнесом управления обычным ипривилегированным доступом путем скрещения прозрачности и контроля садминистрированием.

Централизованное управление привилегированными учетными записями споддержкой индивидуальной ответственности благодаря гранулярномуконтролю и мониторингу действий администраторов.


Certification

В чем разница между «management» и «governance»?

Access

Access

Management Governance


Provision

Role

Policy

Identity Manager


Почему Dell One Identity?

Путь к«governance»

• Ролевойконтроль доступа

• «Governance»для учетныхзаписей, доступа, данных, ролей, привилегий

• Ужесточениепривилегирован-ного доступа

Требованиябизнеса

• Само-обслуживаниепользователей именеджеров

• Единыеполитики ипроцессы

• Полнаяпрозрачность иконтроль

Простотарешения

• Используетсуществующиеинвестиции

• Единыеаутентификация, авторизация иадминистрация

• Автоматизация иуправлениепроцессами

Модульность иинтеграция

• Не требуетотдельнойплатформы

• Можно начатьгде угодно истроить оттуда

• Интегрируется ссуществующимиинструментами

Быстрыерезультаты

• Внедрение занедели, а не загоды

• Автоматизациязадач

• Вполне доступнокоммерчески

• Облегчениежизни IT


Identity & access governance for the real world

Privileged ManagementUnderstand and control administrator activity

• Enterprise privilege safe• Least-privilege access• Session management and keystroke logging• Active Directory bridge• Enforce separation of duties (SoD)

Access ManagementConvenient, secure and compliant access• Web access management• Single sign-on and federation• Directory and identity consolidation, migration and

management• Strong authentication• Password management

Identity GovernanceComplete, business-driven governance• Access governance• Data governance• Privileged account governance• Business-enabled access request

and fulfillment

• Attestation and recertification• Role engineering• Automated enterprise provisioning• Identity unification and process

orchestration

Dell One Identity


ChangeAuditors+InTrust

10


Недостатки стандартных средствдля аудита AD

• Аудит MS Directory Services сложен вконфигурировании и управлении

• Стандартные средства аудита неполны– Отчет по событиям изменений прав доступа (Delegate

Control) не включает важные детали.

– Не выполняется аудит изменений схемы AD.

– Не отслеживаются изменения групповых политик(GPO).

– Не хранится предыдущие значения измененных полей.

– Не хранятся IP адреса, с которых производилисьизменения.


ChangeAuditor Architecture

Exchange

Windows

File Server

Active

Directory

ChangeAuditor

Real TimeChangeAuditor

Client)

Reports

(Knowledge

Portal)SQL

Server


Dell ChangeAuditor for AD.

• Практически не требует настройки.

• Аудит всех изменений Active Directory, Group Policy, ADAM.– Детальный отчет о нарушениях прав доступа.– Полный аудит изменения групповых политик (изменения, ссылки, изменения сделанные прямо через SYSVOL).

– Устранение избыточной информации, вызванной применениемнаследования.

– Аудит изменений конфигурации и Схемы AD.– Сохранение предыдущих и вновь установленных значений для всехизменений.

– IP адрес и имя компьютера, с которого проводились изменения.

• Дополнительная защита критически важных объектов - групповыеполитики, корневой уровень OU, учетные записи служб, группы и всепрочие объекты AD!


Недостатки стандартных средствдля аудита файл-серверов Windows.

• Стандартный аудит крайне сложно настроить

• Стандартные средства аудита часто неполны, избыточны или некорректны– Все объекты представляются как файлы.

– Не пишутся длинные имена файлов.

– Наследование свойств приводит к переизбыткузаписываемой информации.

– События изменений прав доступа не включают важныепараметры.

– Нет отдельных событий о перемещениях объектов.


Dell ChangeAuditor for File Services.

• Централизованная настройка аудита всех файл-серверов.

• Полная и корректная информация – «что», «кто», «где», «когда».– Разделение файлов и каталогов.

– Поддержка длинных имен.

– Устранение избыточных данных (дублирующихся событий, системныхсобытий).

– Полные данные об изменениях прав доступа – чьи права изменены, чтобыло заменено на что.

– Полные данные по операциям перемещения.

• Дополнительная защита – блокирование доступа пользователей квыбранным объектам.


ChangeAuditor Long Term Storage & InTrust Architecture

InTrust

(Short Term

Storage)

Reports

(Knowledge

Portal)

InTrust -

Scheduled

(Long Term

Storage)

Exchange

Active

Directory

Windows

File ServerChangeAuditor

Real TimeChangeAuditor

Client)

SQL

Server


ChangeAuditors+InTrust: аудит доступаи защита данных

• Решение Quest: ChangeAuditor+InTrust

• Основные возможности:– Аудит доступа в реальном времени.

– Дополнительный уровень безопасности.

– Защита критических данных от нежелательных изменений.

– Применение защиты на основе членства в группах AD.

• Области контроля– ChangeAuditor - Active Directory, Microsoft Apps (Exchange,

SQL, Sharepoint…), Microsoft Windows File Servers, Network Storage (EMC, NetApp).

– InTrust – всё, т.е. серверы (Windows, Unix, AIX, Linux, …), сетевые устройства, приложения и т.д.

dell software idm и change auditor

Data & Analytics