logging in or signing up Trends im Bereich Identity Management rbacher Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINT lite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 606 Category: Education License: All Rights Reserved Like it (0) Dislike it (0) Added: July 16, 2008 This Presentation is Public Favorites: 1 Presentation Description Vortrag von Hr. Herbert Beilschmidt bei dem info.break.fast zum Thema "Datensicherheit Anspruch und Realität" Comments Posting comment... Premium member Presentation Transcript Trends im Bereich Identity Management : Trends im Bereich Identity Management Herbert Beilschmidt Principal Sales Consultant Oracle Austria GmbH Themen : Themen Definition Identity Management Motivation Compliance Referenzmodell Lösungsansätze Ausgangspunkt : Directory Server or Database Directory Server or Database Directory Server or Database Ausgangspunkt User Credentials for Authentication and Authorisation Application User Credentials for Authentication and Authorisation Application User Credentials for Authentication and Authorisation Application End Users Administrators Administrators Administrators Redundante, in “Silos” organisierte Applikations- Entwicklung Keine durchgesetzten Zugriffsrichtlinien Waisen-Accounts Audit/Log-Informationen sind verteilt und unstrukturiert Keine durchgängigen Workflows Definition des Identity Management : Definition des Identity Management Zentrales Management und Administration von digitalen Identitäten, dargestellt durch einen kompletten Lebenszyklus. Mitarbeiter einstellen -> Versetzung -> Entlassen Information Assets Zugriffsschutz auf Applikationen und Informationen Authentifizierung : nachweisen dass man der ist, den man vorgibt Autorisierung: worauf hat man Zugriff, wann und von wo Verfügbare Identitätsinformation Profile: Rollen und Attribute Archivierung Auditing and Logging Ist Teil eines kompletten internen Kontrollsystems (IKS) Externe Einflüsse auf IDM : Standards GSHB IT-Sicherheitskriterien/ Grünbuch TCSEC / Orangebook Common Criteria CobiT Normen ISO 17799:2005 (27001) BS 7799 Gesetze DSG/ EU-DSG SOX / 8. EUR SAS 70 Basel II Fernabsatzg. Telekommunikationsg. SigG Kundenverpflichtungen SLA`s Outsourcing Externe Einflüsse auf IDM Reaktion auf Complianceanforderungen : Reaktion auf Complianceanforderungen Keine Anforderungen sind nicht bekannt oder werden ignoriert “Hüftschuss” um ein bevorstehendes Audit zu überstehen. Die Chance Risiken zu minimieren wird nicht wahrgenommen. Die Wahl des Standards ist oft nicht fundiert und erhöht den Aufwand. Fundiert und nachhaltig ausgewählte Standards werden genutzt um gezielt und pragmatisch Risiken zu minimieren. Als Nebeneffekt entsteht eine solide Grundlage, um mit wenig Aufwand auch gegenüber zukünftigen Standards compliant zu sein. Mögliche Fragen eines Auditors : Mögliche Fragen eines Auditors Policies wurden geändert. Wer hat dies veranlasst und wer genehmigt? Wie viele unberechtigte Zugriffsversuche fanden statt und wer verübte sie? Wie wird sichergestellt, dass sensitive Daten von ausgeschiedenen Mitarbeitern nicht mehr gelesen werden können? Wie wird sichergestellt, dass nur autorisierte Personen auf sensitive Daten zugreifen können? Wie wird sichergestellt, dass jeder Benutzer eindeutig identifizierbar ist? Sind die Logfiles in einem einheitlichen, revisionssicheren Format? Trends bei IAM Software : Trends bei IAM Software Compliance Referenzmodell : Compliance Referenzmodell Policies & Processes : Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen Discretionary : Discretionary Systemrechte werden einzelnen Benutzern zugeordnet sehr fein anpassbar schwierig zu verwalten und erhebliche Risiken keine Möglichkeit für zentrale Richtlinien OS Permissions Database Permissions Application Permissions IT Administrators Business Users Permission Assignment New User Requests Roles : Roles Rollen werden nach Funktion vergeben Systemrechte basieren auf Rollen Leichtere Verwaltung und bessere Sicherheit durch Richtlinien Analysen notwendig zur Bestimmung der passenden Rollen Feingranulare Zugriffskontrolle führt zur “Rollenexplosion” OS Permissions Database Permissions Application Permissions IT Administrators Business Users Permission Assignment Role Assignment New User Requests Rules : Rules Systemrechte basieren auf Rollen und automatisierten Regeln Rollen werden dem Nutzer automatisch zugeordnet “Zero Administration” ist möglich Analysen zur Bestimmung der passenden Rollen und Regeln nötig Bessere Granularität ohne Rollenexplosion OS Permissions Database Permissions Application Permissions Business Users New User Requests Permission Assignment Automated Role Assignment Rules Rules Direct Provision Self Service Early Binding Late Binding Context : Context Systemrechte basieren auf Business-Kontext Kontext inkludiert Rechte und andere Attribute Administration und Genehmigung an fachliche Vorgesetzte ausgelagert Reduziert Aufwand für Rollenanalyse Sehr feingranulare Rechtevergabe OS Permissions Database Permissions Application Permissions Permission Assignment Automated Role Assignment Rules Rules Business Approvers Context HR Application New User Self Service Direct Provision Business Users Identity Lifecycle Process : Identity Lifecycle Process HRMS New Employee Reconciliation Engine Access Policy Provisioning Workflow User Group Identity Store Connector Self Request Request Engine Approval Workflow Self Registration Approval New Contractor Request Engine Membership Rules Policies & Processes : Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen Segregation of Duties (SoD) Policies Policies für nicht vereinbare Funktionen Einführung des 4 Augenprinzips SoD EnforcementDeny Policies : SoD EnforcementDeny Policies Rule Based Assignment Manual Assignment Rule Based Assignment Target Resources Policy Definitions Employee Profile Policies & Processes : Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen Segregation of Duties (SoD) Policies Policies für nicht vereinbare Funktionen Einführung des 4 Augenprinzips Workflows & Processes Genehmigungsworkflow & Benachrichtigung Delegated Administration Präventive Kontrollen : Präventive Kontrollen Administrative Kontollen PBAC & SoD Policies durchsetzen bei Einstellungs, Versetzungs & Austrittsprozessen Passwordreset und Synchronisationen Daten Security Datenbankverschlüsselung Zugriffsschutz auch vor Administratoren Schutz unabhängig von Zugriffsart Authentisierung & Autorisierung Starke Autorisierung (Mehrfaktor) Webaccess & Enterprise SSO Zentrale Webaccess Policy Einheitlicher starker Securitylayer Single-Sign-On für Webapplikationen : Single-Sign-On für Webapplikationen Oracle eSSO Suite : Oracle eSSO Suite Detektive & Korrektive Kontrollen : Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows Der Prozess bei Ausreissern : Der Prozess bei Ausreissern Corrective Workflows What You Have HRMS Roles Entitlements Connector Self Request Request Engine Approval Workflow What You Should Have Detektive & Korrektive Kontrollen : Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows Beglaubigung der Berechtigungen Durch Workflow getriebener Beglaubigungsprozess Möglichkeiten der Delegation & Ausnahmen Approval Historische Aufbereitung der Daten für Auditoren Automatisierte Abwicklungen bei Abweisungen Beglaubigungsprozess : Beglaubigungsprozess Delegate Reviewer kontrolliert Berechtigungen und setzt Maßnahmen Geplant oder bei Bedarf Requestgenerierung Daten zur angeforderten Zeit Konfigurierbare Workflows abhängig von der Maßnahme Benachrichtigung des Reviewers Archivierung der Maßnahmen Archivierung der Daten Reject Certify Decline Benachrichtigung Anfragen der Berchtigungsdaten ReviewersMaßnahmen Archivierung des Delegationpfades Delegation Detektive & Korrektive Kontrollen : Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows Beglaubigung der Berechtigungen Durch Workflow getriebener Beglaubigungsprozess Möglichkeiten der Delegation & Ausnahmen Approval Aufbereitung der Daten für Auditoren Automatisierte Abwicklungen bei Abweisungen Audit & Reporting Flexible Auditpolicies Aussagekräftige und vor allem historische Reports Auditieren von Ausnahmen & Verletzungen Kontrollen verbessern : Kontrollen verbessern Kontrollen Monitoring Umgang mit Ausnahmen und deren Genehmigung Fehlgeschlagene Logins & unautorisierte Zugriffsversuche Beglaubigungsreports Policyhistory Nachverfolgung der Policyanpassungen Verbesserung der Policymodelle und Rollen anpassen Prevent Validate Define Detect Oracle Identity & Access Management : Access Control Oracle Identity & Access Management Directory Services Identity Administration Management Audit & Compliance Slide 30: The preceding is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions.The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. You do not have the permission to view this presentation. In order to view it, please contact the author of the presentation.
Trends im Bereich Identity Management rbacher Download Post to : URL : Related Presentations : Share Add to Flag Embed Email Send to Blogs and Networks Add to Channel Uploaded from authorPOINT lite Insert YouTube videos in PowerPont slides with aS Desktop Copy embed code: (To copy code, click on the text box) Embed: URL: Thumbnail: WordPress Embed Customize Embed The presentation is successfully added In Your Favorites. Views: 606 Category: Education License: All Rights Reserved Like it (0) Dislike it (0) Added: July 16, 2008 This Presentation is Public Favorites: 1 Presentation Description Vortrag von Hr. Herbert Beilschmidt bei dem info.break.fast zum Thema "Datensicherheit Anspruch und Realität" Comments Posting comment... Premium member Presentation Transcript Trends im Bereich Identity Management : Trends im Bereich Identity Management Herbert Beilschmidt Principal Sales Consultant Oracle Austria GmbH Themen : Themen Definition Identity Management Motivation Compliance Referenzmodell Lösungsansätze Ausgangspunkt : Directory Server or Database Directory Server or Database Directory Server or Database Ausgangspunkt User Credentials for Authentication and Authorisation Application User Credentials for Authentication and Authorisation Application User Credentials for Authentication and Authorisation Application End Users Administrators Administrators Administrators Redundante, in “Silos” organisierte Applikations- Entwicklung Keine durchgesetzten Zugriffsrichtlinien Waisen-Accounts Audit/Log-Informationen sind verteilt und unstrukturiert Keine durchgängigen Workflows Definition des Identity Management : Definition des Identity Management Zentrales Management und Administration von digitalen Identitäten, dargestellt durch einen kompletten Lebenszyklus. Mitarbeiter einstellen -> Versetzung -> Entlassen Information Assets Zugriffsschutz auf Applikationen und Informationen Authentifizierung : nachweisen dass man der ist, den man vorgibt Autorisierung: worauf hat man Zugriff, wann und von wo Verfügbare Identitätsinformation Profile: Rollen und Attribute Archivierung Auditing and Logging Ist Teil eines kompletten internen Kontrollsystems (IKS) Externe Einflüsse auf IDM : Standards GSHB IT-Sicherheitskriterien/ Grünbuch TCSEC / Orangebook Common Criteria CobiT Normen ISO 17799:2005 (27001) BS 7799 Gesetze DSG/ EU-DSG SOX / 8. EUR SAS 70 Basel II Fernabsatzg. Telekommunikationsg. SigG Kundenverpflichtungen SLA`s Outsourcing Externe Einflüsse auf IDM Reaktion auf Complianceanforderungen : Reaktion auf Complianceanforderungen Keine Anforderungen sind nicht bekannt oder werden ignoriert “Hüftschuss” um ein bevorstehendes Audit zu überstehen. Die Chance Risiken zu minimieren wird nicht wahrgenommen. Die Wahl des Standards ist oft nicht fundiert und erhöht den Aufwand. Fundiert und nachhaltig ausgewählte Standards werden genutzt um gezielt und pragmatisch Risiken zu minimieren. Als Nebeneffekt entsteht eine solide Grundlage, um mit wenig Aufwand auch gegenüber zukünftigen Standards compliant zu sein. Mögliche Fragen eines Auditors : Mögliche Fragen eines Auditors Policies wurden geändert. Wer hat dies veranlasst und wer genehmigt? Wie viele unberechtigte Zugriffsversuche fanden statt und wer verübte sie? Wie wird sichergestellt, dass sensitive Daten von ausgeschiedenen Mitarbeitern nicht mehr gelesen werden können? Wie wird sichergestellt, dass nur autorisierte Personen auf sensitive Daten zugreifen können? Wie wird sichergestellt, dass jeder Benutzer eindeutig identifizierbar ist? Sind die Logfiles in einem einheitlichen, revisionssicheren Format? Trends bei IAM Software : Trends bei IAM Software Compliance Referenzmodell : Compliance Referenzmodell Policies & Processes : Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen Discretionary : Discretionary Systemrechte werden einzelnen Benutzern zugeordnet sehr fein anpassbar schwierig zu verwalten und erhebliche Risiken keine Möglichkeit für zentrale Richtlinien OS Permissions Database Permissions Application Permissions IT Administrators Business Users Permission Assignment New User Requests Roles : Roles Rollen werden nach Funktion vergeben Systemrechte basieren auf Rollen Leichtere Verwaltung und bessere Sicherheit durch Richtlinien Analysen notwendig zur Bestimmung der passenden Rollen Feingranulare Zugriffskontrolle führt zur “Rollenexplosion” OS Permissions Database Permissions Application Permissions IT Administrators Business Users Permission Assignment Role Assignment New User Requests Rules : Rules Systemrechte basieren auf Rollen und automatisierten Regeln Rollen werden dem Nutzer automatisch zugeordnet “Zero Administration” ist möglich Analysen zur Bestimmung der passenden Rollen und Regeln nötig Bessere Granularität ohne Rollenexplosion OS Permissions Database Permissions Application Permissions Business Users New User Requests Permission Assignment Automated Role Assignment Rules Rules Direct Provision Self Service Early Binding Late Binding Context : Context Systemrechte basieren auf Business-Kontext Kontext inkludiert Rechte und andere Attribute Administration und Genehmigung an fachliche Vorgesetzte ausgelagert Reduziert Aufwand für Rollenanalyse Sehr feingranulare Rechtevergabe OS Permissions Database Permissions Application Permissions Permission Assignment Automated Role Assignment Rules Rules Business Approvers Context HR Application New User Self Service Direct Provision Business Users Identity Lifecycle Process : Identity Lifecycle Process HRMS New Employee Reconciliation Engine Access Policy Provisioning Workflow User Group Identity Store Connector Self Request Request Engine Approval Workflow Self Registration Approval New Contractor Request Engine Membership Rules Policies & Processes : Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen Segregation of Duties (SoD) Policies Policies für nicht vereinbare Funktionen Einführung des 4 Augenprinzips SoD EnforcementDeny Policies : SoD EnforcementDeny Policies Rule Based Assignment Manual Assignment Rule Based Assignment Target Resources Policy Definitions Employee Profile Policies & Processes : Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen Segregation of Duties (SoD) Policies Policies für nicht vereinbare Funktionen Einführung des 4 Augenprinzips Workflows & Processes Genehmigungsworkflow & Benachrichtigung Delegated Administration Präventive Kontrollen : Präventive Kontrollen Administrative Kontollen PBAC & SoD Policies durchsetzen bei Einstellungs, Versetzungs & Austrittsprozessen Passwordreset und Synchronisationen Daten Security Datenbankverschlüsselung Zugriffsschutz auch vor Administratoren Schutz unabhängig von Zugriffsart Authentisierung & Autorisierung Starke Autorisierung (Mehrfaktor) Webaccess & Enterprise SSO Zentrale Webaccess Policy Einheitlicher starker Securitylayer Single-Sign-On für Webapplikationen : Single-Sign-On für Webapplikationen Oracle eSSO Suite : Oracle eSSO Suite Detektive & Korrektive Kontrollen : Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows Der Prozess bei Ausreissern : Der Prozess bei Ausreissern Corrective Workflows What You Have HRMS Roles Entitlements Connector Self Request Request Engine Approval Workflow What You Should Have Detektive & Korrektive Kontrollen : Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows Beglaubigung der Berechtigungen Durch Workflow getriebener Beglaubigungsprozess Möglichkeiten der Delegation & Ausnahmen Approval Historische Aufbereitung der Daten für Auditoren Automatisierte Abwicklungen bei Abweisungen Beglaubigungsprozess : Beglaubigungsprozess Delegate Reviewer kontrolliert Berechtigungen und setzt Maßnahmen Geplant oder bei Bedarf Requestgenerierung Daten zur angeforderten Zeit Konfigurierbare Workflows abhängig von der Maßnahme Benachrichtigung des Reviewers Archivierung der Maßnahmen Archivierung der Daten Reject Certify Decline Benachrichtigung Anfragen der Berchtigungsdaten ReviewersMaßnahmen Archivierung des Delegationpfades Delegation Detektive & Korrektive Kontrollen : Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows Beglaubigung der Berechtigungen Durch Workflow getriebener Beglaubigungsprozess Möglichkeiten der Delegation & Ausnahmen Approval Aufbereitung der Daten für Auditoren Automatisierte Abwicklungen bei Abweisungen Audit & Reporting Flexible Auditpolicies Aussagekräftige und vor allem historische Reports Auditieren von Ausnahmen & Verletzungen Kontrollen verbessern : Kontrollen verbessern Kontrollen Monitoring Umgang mit Ausnahmen und deren Genehmigung Fehlgeschlagene Logins & unautorisierte Zugriffsversuche Beglaubigungsreports Policyhistory Nachverfolgung der Policyanpassungen Verbesserung der Policymodelle und Rollen anpassen Prevent Validate Define Detect Oracle Identity & Access Management : Access Control Oracle Identity & Access Management Directory Services Identity Administration Management Audit & Compliance Slide 30: The preceding is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions.The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.