Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale Dr. Elio Molteni, CISSP-BS7799 elio.molteni@ca.com Business Development Owner, Security Computer Associates
Agenda Cosa chiede il mercato ICT business model Identity Management I meccanismi di autenticazione L integrazione globale La soluzione etrust di Computer Associates Conclusioni
ICT Security: cosa chiede il mercato Approccio globale, non single product Integrazione tra sicurezza logica e fisica ICT Security diventa Business security
ICT Business model Gestori Servizi ZZZZZ Utenti YYYYY XXXX SLA
ICT Security: Business model Gestori EROGANO RICHIEDONO Guide line Security Assessment definition Profilazione utenti e SSO Controllo Controllo accessi Auditing Verifica delle policy..... Garanzia transazioni Accesso automatico Self administration..... Utenti
Requisito indispensabile.. il tutto... in modo NON intrusivo, senza impatti sui servizi erogati!
Cos è l Identity Management? Providing the right people with the right access at the right time
Il tipico ciclo di vita dell Identity Management Abbandono dell azienda Livello dei privilegi Assunzione del collaboratore Non tutti i privilegi vengono rimossi! Questo crea dei rischi di sicurezza! Tempo
Il corretto ciclo di vita dell Identity Management Livello dei privilegi Ad ogni cambio di ruolo corrispondono differenti autorizzazioni. Gli accessi non necessari vengono rimossi. Assunzione del collaboratore Abbandono dell azienda Tutti i privilegi vengono rimossi! Tempo
Gli elementi dell Identity Management
L architettura dell Identity Management
Perchè Identity Management La situazione! La risultante! Enterprise IT - systems ebusiness strategy Multiple operating systems Users turnove r Large number of users Remote access B2B / B2E portal...... Exposure to security breaches via unauthorized access IT administration challenges User / enterprise administration and single sign-on La soluzione!
Non solo sicurezza ma anche benefici economici User / enterprise administration and single sign-on Costs SSO, administration, PKI Integration Staff training...... Consolidated user administration Benefits Enhanced security Stronger authentication PKI (optional) Token-based access One time password, ticket..... Easy of use PKI Integration Token based authentication Redu ced Help Desk call Redu ced Trial & errors Redu ced Help Desk costs Centralized pass word management Redu ced need for separate d logins Centralized account management
Meccanismi di autenticazione User/Password voice recognition finger iris hand recognition token Smart Card Face recognition
Qualche dato (Base: 102 interviste) 100% 89% 85% 81% 80% 60% 49% 47% 40% 33% 28% 20% 12% 11% 0% Controllo Pass word Firewalls email sic ure Intrus ion Detection 3A Certificati Digitali Firm a Digitale Token Smart Card Fonte IDC
Events Users Antivirus Events Users User Access Systems Events Users Firewall Monitoring Events Users Vulnerability Assessment Mgt User Provisioning Event Consolidation Events Users Network IDS Events Users Audit Logs Events Users Building Access Events Users Host IDS
etrust : la soluzione C.A. Security Command Center etrust portal etrust Audit etrust 20/20 Access Management etrust Access Control etrust CA-ACF2 etrust CA-Top Secret etrust Firewall etrust VPN etrust Web Access Control Identity Management etrust Adm in etrust Directory etrust OCSPro etrust PKI etrust Single Sign-On Threat Management etrust Anti virus etrust Content Inspection etrust Intrusion Detection etrust Compliance
etrust Identity Management User Provisioning Strong Authentication Single Sign-On Identity Directory etrust Admin etrust SSO etrust Directory etrust PKI etrust OCSPro
Un approccio basato su policy e ruoli Gestore Gli account Ghost sono rimossi! Carlo Carlo Il gestore ha tutto sotto controllo! Role A System X System Y Anna System X Anna Least Privilege: l utente ha il Marco proprio account con il giusto livello di privilegi! Role B Carlo System X Marco System Z System Y DB yyyy Anna account e relativi privilegi, sono System Y immediatamente rimossi dal Role C BS7799 & DPR 318/99: gli System Z sistema non appena l utente lascia Appl xxx l organizzazione!
Una gestione completa, semplice e sicura ACF2 RACF Top Secret End User Self-Service Profile Administration Self- Service Password Reset End User Unix NT VMS Internet Delegated Administration Oracle Applicazioni etrust Workflow Directory etrust Admin Posta Fully Functional GUI Autom ated Input Web Farm Gestore etrust product Gestore / HR Representative HR System
Un accesso automatico e sicuro alle applicazioni Client Server Client USER/Password- Certificate-Biometric- Token Identification Data SSO Ticket Smart Card NT Automated LogIn Oracle ApplY UNIX ApplX SSO Ticket Certificate - Authentication Host Target application User ID & pwd Target application systems etrust SSO Server and Database
Un accesso automatico e sicuro alle applicazioni WEB Personalized Portal Sites e.g. My.yahoo.com Portal, Web, Application Server Business Logic Servers RDBMS Internet, Extranet Service Security Manager Security Server Repositor y (Directory, LDAP) Employees Collegati a Yahoo ebusiness Services e.g. Reservation agencies etrust SSO Web
L integrazione! etrust PKI etrust AC ACF2/Top Secret RACF etrust SSO etrust Admin etrust WAC CP Portal others etrust Audit
L integrazione globale!
Conclusioni Dall home user alla grande organizzazione, è necessario analizzare i rischi e definire le opportune contromisure di sicurezza: organizzative, logiche e fisiche. Il tema dell Identity Management è fondamentale per un azienda che vuole trarre vantaggio dalla sicurezza con un approccio orientato al ROI. Computer Associates, attraverso la soluzione etrust, può essere il Vostro partner ideale: veniteci a trovare al nostro stand!
Identity Management: dalla gestione degli utenti all'autenticazione in un contesto di integrazione globale Dr. Elio Molteni, CISSP-BS7799 elio.molteni@ca.com Business Development Owner, Security Computer Associates