Fabrizio Patriarca. Gestione degli accessi, delle identità e delle politiche di sicurezza: la protezione dei servizi IBM Corporation

Transcript

1 Fabrizio Patriarca Gestione degli accessi, delle identità e delle politiche di sicurezza: la protezione dei servizi 2009 IBM Corporation 0

2 Agenda Sfide e Minacce della Sicurezza Le Soluzioni di Sicurezza Tivoli Preoccupazioni emergenti sulla sicurezza Cloud Security Virtualizzazione Sicurezza come Servizio Sicurezza in ambiente Mobile Perchè Tivoli? 1

3 Le minacce sono in crescita 2

4 IBM H C R U6 IBM Le attuali sfide della Sicurezza Trust delle Identità Gestione degli Accessi Sicurezza dei Servizi Protezione dei Dati Sistema Paghe Clienti o criminali? Dipendenti o hacker? Partners o competitor? Online banking Applicazione Mutui Fatturazione Invetario 3

5 Tivoli Security Solutions Identity, Access & Audit Management Riduce i costi e i rischi mediante la semplificazione della gestione del ciclo di vita degli utenti e il reporting sulle loro attività Data & Application Security Protegge le informazioni di business e la reputazione mediante la salvaguardia dei dati in uso e a riposo Enterprise Security Hub Migliora l amministrazione della sicurezza mainframe, abilita l integrazione dei carichi di sicurezza tra mondo mainframe distribuito 4

6 Perché una Gestione di Identità, Accessi e Audit? Per Migliorare il Servizio Abilita la collaborazione su portale mediante la gestione dei ruoli per l accesso ai servizi e alle applicazioni aziendali Servizi legati all identità erogati attraverso il Portale aziendale Aumenta i canali di mercato attraverso il supporto dei modelli di business federato - servizi di identity trust Per Ridurre i Costi Riduce i costi di help desk (es. password reset) Gestisce in maniera efficiente le ristrutturazioni ERP deployments / upgrades Per Gestire il Rischio Utenze Privilegiate Utenze Condivise Audit non passate Prevenzione delle minacce interne SOA, SharePoint, cloud computing, Portal, DataPower Recertificazione, gestione della titolarità applicativa Trusted ID provisioning di credenziali Identificazione di change non autorizzati 5

7 Capacità di Tivoli Gestione di Identità, Accessi e Audit Provisioning delle utenze & role management Single-sign-on unificato Gestione della titolarità applicativa Audit e reporting sulle attività degli utenti privilegiati Gestione dei Log ServizidiDirectory e Metadirectory Self-service password reset Identity Assurance / Gestiono della Strong authentication Benefici: Riduce le spese operative di help desk Rende i sistemi conformi alle normative Milgiora la produttivià degli utenti Riduce i rischi risk legati agli utenti privilegiati interni Risponde velocemente alle iniziative di business (es. Nuove applicazioni, merge e acquisizioni, ristrutturazioni) 6

8 Panoramica sulla Gestione di Identità, Accessi e Audit Single Sign On & Gestione Password User Provisioning / Role Management Tivoli Identity Manager Accounts on 70 different Accounts on 70 different types of systems managed. types of systems managed. Plus, In-House Systems & Plus, In-House Systems & portals portals Applications Databases Operating Systems HR Systems/ ID stores Networks & Physical Access Certificazione degli Accessi 1 Gestione dei Security log & reporting Authoritative Identity Source (Human Resources, Customer Master, etc.) TIM Trusted Identity Store 2 Accounts jcd0895 jdoe03 Sarah_s4 4 John C. Doe nbody Business Applications Recertification Request Sarah s Manager 3 ackerh05 5 Access Revalidated and Audited Sarah K. Smith doej smiths17 Cisco Secure ACS 7

9 Strategia IBM per la gestione di Identità, Accessi e Audit: Governance in termini di Policy and Compliance Management Tivoli Identity Manager Tivoli zsecure Tivoli Compliance Insight Manager Tivoli Security Policy Manager Role Management User Administration Policy & Compliance Management Directory Services Entitlement Management Access Management Business IT Tivoli Security Policy Manager Tivoli Access Manager family Tivoli Federated Identity Manager Tivoli Directory Server Tivoli Directory Integrator 8

10 Perché la Data & Application Security? Per Migliorare il Servizio Abilita Outsourcing / Condivisione dei dati Supporta la crescita del business, permette la collaborazione / supply chain Per Ridurre i Costi Riduce i costi di compliance Semplice upgrade della soluzione di storage / espansione basata su una gestione centralizzata della sicurezza Per Gestire il Rischio Fuga dati / norme per la tutela della privacy Audit non passate, minacce interne Nastri di backup e laptop perduti SOA, SharePoint, DataPower, Portal 9

11 Capacità di Tivoli Gestione centralizzata delle chiavi di cifratura Scambio dati sicuro tra più organizzazioni Accesso alle informazioni gestita centralmente (fine-grained) Audit e reporting sull utilizzo dei dati Gestione dei log di sicurezza Amministrazione centralizzata dei server Data & Application Security Benefici: Eliminazione fuga dati Tutela della privacy Sicurezza applicativa Agilità nello sviluppo applicativo Collaborazione con la sicurezza ti terze parti Protezione IP / dati-in-uso Secure storage / dati-a-riposo 10

12 Panoramica sulla Data & Application Security Dischi Cifrati & Librerie Nastro con gestione di Key Sicurezza Portale e Federazione User Third Party Access Portal LOB (Apps) Healthcare Partner Services Outsourced Services Competitor (Project Collaboration) SharePoint / DataPower management Security log management & reporting Suppliers XS40/XI50 XML Security Gateway Partners Users Federated Security Identity Policy Manager Data Repository 11

13 H C R U6 IBM Soluzione: Data & Application Protection Users 1 Security Policy Management & Security Services Web 2.0 SaaS XML Composite Apps Business Transaction Layer 2 Application & Data Entitlements Management D A Application Servers Applicazioni T Content Mgmt Databases 3 Encryption Key Management for tape and disk A Piattaforme & Storage 12 12

14 Perché un Hub per la Sicurezza Aziendale? Per Migliorare il servizio Sfrutta la piattaforma più sicura in azienda Per Ridurre i costi Consolidamento del datacenter Consolidation del caricho su zlinux Cloud Riduce i costi di compliance Per Gestire il rischio Fuga dati / norme per la tutela della privacy Audit non passate, minacce interne Nastri di backup perduti 13

15 Realizzare un Hub per la Sicurezza Aziendale Capacità Tivoli Amministrazione RACF e audit Provisioning centralizzato delle utenze e gestione degli accessi Gestione centralizzata delle chiavi di cifratura Infrastruttura di Audit e reporting Benefici: Messa in sicurezza dei dati e delle transazioni su mainframe Conformità rispetto alle norme di sicurezza Migliorare la disponibilità del servizio Miglioramento attraverso il consolidamento del carico su una infrastruttura centralizzata di security management 14

16 Le soluzioni Tivoli Security permettono al mainframe di agire come Enterprise Security Hub Tivoli Identity Manager Tivoli zsecure Family Security Provisioning & Adm inistration Encryption Facility for z/os Tivoli Key Lifecycle Manager In fo rm a tion & Data Security RACF PKI Services Tape-Encrypt. Crypto A ccelerator Id e n tity, A ccess, Authorization, & Single Sign-O n Tivoli Federated Identity Manager Tivoli Identity Manager Tivoli Access Manager Family Tivoli Directory Integrator Tivoli Directory Server Security & Com pliance Reporting Tivoli zsecure Family Tivoli Security Information and Event Manager z/os Comm Server and NetView for z/os 15

17 Panoramica sull Hub per la Sicurezza Aziendale Dischi e Nastri cifrati con servizi di Key Management RACF database cleanup Enterprise Tape 3592 Library Disk Storage Array Identity-aware Mainframe Web Services Mainframe audit reporting 16

18 Preoccupazioni emergenti sulla sicurezza 17

19 Preoccupazioni sulla sicurezza del Cloud Perdita di Controllo Molte compagnie e istituzioni sono preoccuapte all idea che le proprie informazioni risiedano su sistemi fuori dal proprio controllo. Sul tema sicurezza, i fornitori devono essere molto trasparenti in modo da aiutare I propri clienti Normative L essere in regola con ISO27001, SOX e altre normative potrebbe impedire l uso del cloud computing per alcune applicazioni. Le capacità di audit completo sono esenziali Affidabilità L alta affidabilità sarà un argomento chiave. I dipartimenti IT saranno molto preoccupati dalla possibilità di interruzioni del servizio. Applicazioni mission-critical no potrebbero girare senza forti garanzie di alta disponibilità. Sicurezza dei Dati La migrazione dei carichi verso una rete un infrastruttura di calcolo condivise aumenta l esposizione deidatiainon autorizzati. Le tecnologie di autenticazione e accesso divengono estremamente importatni. Gestione della Sicurezza I fornitori devono fornire dei cruscotti semplici per gestire gli apparati e le configurazioni di sicurezza per le applicazioni e gli ambienti runtime nel cloud Learn more: Security in the Cloud session on Wednesday at 8am in Room

20 Virtualizzazione Ottima, ma amplifica le già presenti sfide di sicurezza La sicurezza standard di UNIX/Linux presenta delle sfide I task amministrativi richiedono adeguati privilegi di accesso (es. root ) L avere privilegi di Root (in maniera legittima o per altre vie) significa avere pieno accesso al sistema Root può eseguire lo lo switch a qualsiasi ID sul sitema senza la necessità di inserire password Root può modificare i file di log o nascondere errori e attività malevole Root può modificare le politiche di sicurezza lovali, creare nuovi account, etc. Tipicamente amministratori multipli hanno accesso a root = perdita di accountability Risultato: l accesso pieno ed incontrollato a root può compromettere l integrità di applicazioni e dati Ciò apre la strada a possibili attacchi interni e audit failure Difficoltà di gestire e mantenere una sicurezza consistente e politiche di audit attraverso OS multipli di UNIX/Linux La Virtuallizzazione amplifica le sfide sopra elencate in quanto la separazione delle mansioni è predisposta a dissolversi 19

21 Assicurare l Identità sotto forma di servizio Tivoli Access Manager (TAM) Accesso degli Utenti Privilegiati Sommario: Soluzione di access management e single sign-on solution per gestire la difficoltà di applicare politiche di sicurezza su un ampio spettro di applicazioni e risorse Web. Service Requestor Service Systems and Image Management Management Computing Infrastructure Separazione dei ruoli, user/admin, e In ambiente cloud Casa d uso nel Cloud: Validazione ed elaborazione delle informazioni d identità. Indirizza la necessità di autenticare gli utenti sull ambiente cloud. Service Provider TAM Systems Storage Deployment dello Scenario: Posizionato a livello di front-end per authenticate l access al to backend. Network Tivoli Federated Identity Manager (TFIM) Federatione delle Identità nel Cloud Metodo di singolo acesso al cloud per utenti applicazioni tradizionali Sommario: TFIM abilità il trust nelle iniziative SOA connettendo gli utenti ai servizi attraverso domini diversi. Aiuta le aziende a rafforzare e atomatizzare l attribuzione dei diritti di accesso. Caso d uso nel Cloud: Validazione ed elaborazione delle informazioni d identità. Indirizza la necessità di autenticare gli utenti sull ambiente cloud. Deployment dello Scenario: Posizionato a livello di Application Server per validare o emettere le credenziali dell utente. 3 rd Party Cloud Service Requestor Service Provider Service Systems and Image Management Management TFIM Computing Infrastructure Systems Network Storage 20

22 Ambiente Mobile: sicurezza a rischio Consumerization Uso dei propri dispositivi per fare business Data breaches In aumento i casi inerenti la persit di laptop e smartphone Mobile diversity Molte piattaforme con diverse capacità di sicurezza Pervasive wireless connessioni in ufficio che aggirano i controlli di sicurezza Mobile malware Malware e spywares si stanno indirizzando alle piattaforme mobili Misconfiguration Tra le prime 2 cuase di intrusoine Wireless P2P Nuove capacità di connessione pear-to-pear 21

23 IBM Service Management abilita le aziende a gestire l infrastructure in maniera sicura Visibilità L abilità di vedere ciò che è in corso sulla propria infrastruttura Cruscotto per la user compliance, l acceso ai dati e l alerting Reporting all interno dell iniziativa di Compliance Controllo L abilià di mantenere l infrastruttura sulla configurazione predefinito mediente il rafforzamento delle politiche Processi consistenti per l accesso degli utenti alle applicazioni di business Automazione L abilità di gestire infrastrutture complesse e in crescita pur tenendo sotto controllo costi e qualità Processi automatizzati per garantire e rimuovere diritti di accesso agli utenti Funzioni di Self service Governance di tipo Policy driven 22

24 Tivoli Security, Risk and Compliance Management Leader sugli standard di sicurezza Open standards: OpenID, OASIS, XACML OpenSource: Eclipse Project Higgins IBM Delivery of Standards Support: Project Higgins: TSPM, TFIM OpenID exploitation: TFIM Supporto dell iniziativa di compliance ISO PCI HIPAA SOX Basel II And more Parte di una strategia completa di Sicurezza Parte integrante del Service management 23

25 Punti di forza delle soluzioni di sicurezza IBM Tivoli IBM è l unico vendor che può abilitare il mainframe ad agire come Enterprise Security Hub Strategia ad ampio respiro che porta ad unificare i processi della sicurezza dal mainframe agli ambienti distribuiti Processi di sicurezza, Amministrazione avanzata, Audit, Compliance, end-to-end Identity Management ( zsecure, RACF, TFIM, TIM) IBM integra la sicurezza con il porcesso di Service Request Management Esempio: scarica il Service Desk dalla gestione del self-service password management (gestito via TIM workflow) pur mantenendo l incident tracking a livello di Service Desk. L integrazione tra SIEM & IAM offre una soluzione end-to-end di Gestione delle Identità lungo l intero ciclo vita delle utenze Ciò include processi quali la certificazine degli utenti prima di fornire ad essi delle credenziali Include anche il monitoraggio continuo dei privilegi degli utenti e di come questi ultimi vengono utilizzati IBM offre un portafolgio di prodotti e processi di sicurezza in grado di abbracciare in modo flessibile un ampio spettro di applicazioni e piattaforme Soluzione a ciclo chiuso di Identity Management e Compliance (anche gli utenti privilegiati) Integrazione con applicazione di controllo di vendor (es. Approva, SAP-GRC) SOA Security Soluzione a ciclo chiuso di App Security con TAMeb e Rational AppScan Integrazione dei sistemi di Strong Authentication 24

26 grazie, domande? 25

27 Trademarks and disclaimers Intel, Intel logo, Intel Inside, Intel Inside logo, Intel Centrino, Intel Centrino logo, Celeron, Intel Xeon, Intel SpeedStep, Itanium, and Pentium are trademarks or registered trademarks of Intel Corporation or its subsidiaries in the United States and other countries./ Linux is a registered trademark of Linus Torvalds in the United States, other countries, or both. Microsoft, Windows, Windows NT, and the Windows logo are trademarks of Microsoft Corporation in the United States, other countries, or both. IT Infrastructure Library is a registered trademark of the Central Computer and Telecommunications Agency which is now part of the Office of Government Commerce. ITIL is a registered trademark, and a registered community trademark of the Office of Government Commerce, and is registered in the U.S. Patent and Trademark Office. UNIX is a registered trademark of The Open Group in the United States and other countries. Java and all Java-based trademarks are trademarks of Sun Microsystems, Inc. in the United States, other countries, or both. Other company, product, or service names may be trademarks or service marks of others. Information is provided "AS IS" without warranty of any kind. The customer examples described are presented as illustrations of how those customers have used IBM products and the results they may have achieved. Actual environmental costs and performance characteristics may vary by customer. Information concerning non-ibm products was obtained from a supplier of these products, published announcement material, or other publicly available sources and does not constitute an endorsement of such products by IBM. Sources for non-ibm list prices and performance numbers are taken from publicly available information, including vendor announcements and vendor worldwide homepages. IBM has not tested these products and cannot confirm the accuracy of performance, capability, or any other claims related to non-ibm products. Questions on the capability of non-ibm products should be addressed to the supplier of those products. All statements regarding IBM future direction and intent are subject to change or withdrawal without notice, and represent goals and objectives only. Some information addresses anticipated future capabilities. Such information is not intended as a definitive statement of a commitment to specific levels of performance, function or delivery schedules with respect to any future products. Such commitments are only made in IBM product announcements. The information is presented here to communicate IBM's current investment and development activities as a good faith effort to help with our customers' future planning. Performance is based on measurements and projections using standard IBM benchmarks in a controlled environment. The actual throughput or performance that any user will experience will vary depending upon considerations such as the amount of multiprogramming in the user's job stream, the I/O configuration, the storage configuration, and the workload processed. Therefore, no assurance can be given that an individual user will achieve throughput or performance improvements equivalent to the ratios stated here. Prices are suggested U.S. list prices and are subject to change without notice. Starting price may not include a hard drive, operating system or other features. Contact your IBM representative or Business Partner for the most current pricing in your geography. Photographs shown may be engineering prototypes. Changes may be incorporated in production models. IBM Corporation All rights reserved. References in this document to IBM products or services do not imply that IBM intends to make them available in every country. Trademarks of International Business Machines Corporation in the United States, other countries, or both can be found on the World Wide Web at 26