Trends im Bereich Identity Management

Views:
 
Category: Education
     
 

Presentation Description

Vortrag von Hr. Herbert Beilschmidt bei dem info.break.fast zum Thema "Datensicherheit Anspruch und Realität"

Comments

Presentation Transcript

Trends im Bereich Identity Management : 

Trends im Bereich Identity Management Herbert Beilschmidt Principal Sales Consultant Oracle Austria GmbH

Themen : 

Themen Definition Identity Management Motivation Compliance Referenzmodell Lösungsansätze

Ausgangspunkt : 

Directory Server or Database Directory Server or Database Directory Server or Database Ausgangspunkt User Credentials for Authentication and Authorisation Application User Credentials for Authentication and Authorisation Application User Credentials for Authentication and Authorisation Application End Users Administrators Administrators Administrators Redundante, in “Silos” organisierte Applikations- Entwicklung Keine durchgesetzten Zugriffsrichtlinien Waisen-Accounts Audit/Log-Informationen sind verteilt und unstrukturiert Keine durchgängigen Workflows

Definition des Identity Management : 

Definition des Identity Management Zentrales Management und Administration von digitalen Identitäten, dargestellt durch einen kompletten Lebenszyklus. Mitarbeiter einstellen -> Versetzung -> Entlassen Information Assets Zugriffsschutz auf Applikationen und Informationen Authentifizierung : nachweisen dass man der ist, den man vorgibt Autorisierung: worauf hat man Zugriff, wann und von wo Verfügbare Identitätsinformation Profile: Rollen und Attribute Archivierung Auditing and Logging Ist Teil eines kompletten internen Kontrollsystems (IKS)

Externe Einflüsse auf IDM : 

Standards GSHB IT-Sicherheitskriterien/ Grünbuch TCSEC / Orangebook Common Criteria CobiT Normen ISO 17799:2005 (27001) BS 7799 Gesetze DSG/ EU-DSG SOX / 8. EUR SAS 70 Basel II Fernabsatzg. Telekommunikationsg. SigG Kundenverpflichtungen SLA`s Outsourcing Externe Einflüsse auf IDM

Reaktion auf Complianceanforderungen : 

Reaktion auf Complianceanforderungen Keine Anforderungen sind nicht bekannt oder werden ignoriert “Hüftschuss” um ein bevorstehendes Audit zu überstehen. Die Chance Risiken zu minimieren wird nicht wahrgenommen. Die Wahl des Standards ist oft nicht fundiert und erhöht den Aufwand. Fundiert und nachhaltig ausgewählte Standards werden genutzt um gezielt und pragmatisch Risiken zu minimieren. Als Nebeneffekt entsteht eine solide Grundlage, um mit wenig Aufwand auch gegenüber zukünftigen Standards compliant zu sein.

Mögliche Fragen eines Auditors : 

Mögliche Fragen eines Auditors Policies wurden geändert. Wer hat dies veranlasst und wer genehmigt? Wie viele unberechtigte Zugriffsversuche fanden statt und wer verübte sie? Wie wird sichergestellt, dass sensitive Daten von ausgeschiedenen Mitarbeitern nicht mehr gelesen werden können? Wie wird sichergestellt, dass nur autorisierte Personen auf sensitive Daten zugreifen können? Wie wird sichergestellt, dass jeder Benutzer eindeutig identifizierbar ist? Sind die Logfiles in einem einheitlichen, revisionssicheren Format?

Trends bei IAM Software : 

Trends bei IAM Software

Compliance Referenzmodell : 

Compliance Referenzmodell

Policies & Processes : 

Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen

Discretionary : 

Discretionary Systemrechte werden einzelnen Benutzern zugeordnet sehr fein anpassbar schwierig zu verwalten und erhebliche Risiken keine Möglichkeit für zentrale Richtlinien OS Permissions Database Permissions Application Permissions IT Administrators Business Users Permission Assignment New User Requests

Roles : 

Roles Rollen werden nach Funktion vergeben Systemrechte basieren auf Rollen Leichtere Verwaltung und bessere Sicherheit durch Richtlinien Analysen notwendig zur Bestimmung der passenden Rollen Feingranulare Zugriffskontrolle führt zur “Rollenexplosion” OS Permissions Database Permissions Application Permissions IT Administrators Business Users Permission Assignment Role Assignment New User Requests

Rules : 

Rules Systemrechte basieren auf Rollen und automatisierten Regeln Rollen werden dem Nutzer automatisch zugeordnet “Zero Administration” ist möglich Analysen zur Bestimmung der passenden Rollen und Regeln nötig Bessere Granularität ohne Rollenexplosion OS Permissions Database Permissions Application Permissions Business Users New User Requests Permission Assignment Automated Role Assignment Rules Rules Direct Provision Self Service Early Binding Late Binding

Context : 

Context Systemrechte basieren auf Business-Kontext Kontext inkludiert Rechte und andere Attribute Administration und Genehmigung an fachliche Vorgesetzte ausgelagert Reduziert Aufwand für Rollenanalyse Sehr feingranulare Rechtevergabe OS Permissions Database Permissions Application Permissions Permission Assignment Automated Role Assignment Rules Rules Business Approvers Context HR Application New User Self Service Direct Provision Business Users

Identity Lifecycle Process : 

Identity Lifecycle Process HRMS New Employee Reconciliation Engine Access Policy Provisioning Workflow User Group Identity Store Connector Self Request Request Engine Approval Workflow Self Registration Approval New Contractor Request Engine Membership Rules

Policies & Processes : 

Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen Segregation of Duties (SoD) Policies Policies für nicht vereinbare Funktionen Einführung des 4 Augenprinzips

SoD EnforcementDeny Policies : 

SoD EnforcementDeny Policies Rule Based Assignment Manual Assignment Rule Based Assignment Target Resources Policy Definitions Employee Profile

Policies & Processes : 

Policies & Processes Policy Based Access Control (PBAC) Role Based Access Control (RBAC) & Attribute Based Access Control (ABAC) Granulare Berechtigungen Policies für nicht vereinbare Funktionen Segregation of Duties (SoD) Policies Policies für nicht vereinbare Funktionen Einführung des 4 Augenprinzips Workflows & Processes Genehmigungsworkflow & Benachrichtigung Delegated Administration

Präventive Kontrollen : 

Präventive Kontrollen Administrative Kontollen PBAC & SoD Policies durchsetzen bei Einstellungs, Versetzungs & Austrittsprozessen Passwordreset und Synchronisationen Daten Security Datenbankverschlüsselung Zugriffsschutz auch vor Administratoren Schutz unabhängig von Zugriffsart Authentisierung & Autorisierung Starke Autorisierung (Mehrfaktor) Webaccess & Enterprise SSO Zentrale Webaccess Policy Einheitlicher starker Securitylayer

Single-Sign-On für Webapplikationen : 

Single-Sign-On für Webapplikationen

Oracle eSSO Suite : 

Oracle eSSO Suite

Detektive & Korrektive Kontrollen : 

Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows

Der Prozess bei Ausreissern : 

Der Prozess bei Ausreissern Corrective Workflows What You Have HRMS Roles Entitlements Connector Self Request Request Engine Approval Workflow What You Should Have

Detektive & Korrektive Kontrollen : 

Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows Beglaubigung der Berechtigungen Durch Workflow getriebener Beglaubigungsprozess Möglichkeiten der Delegation & Ausnahmen Approval Historische Aufbereitung der Daten für Auditoren Automatisierte Abwicklungen bei Abweisungen

Beglaubigungsprozess : 

Beglaubigungsprozess Delegate Reviewer kontrolliert Berechtigungen und setzt Maßnahmen Geplant oder bei Bedarf Requestgenerierung Daten zur angeforderten Zeit Konfigurierbare Workflows abhängig von der Maßnahme Benachrichtigung des Reviewers Archivierung der Maßnahmen Archivierung der Daten Reject Certify Decline Benachrichtigung Anfragen der Berchtigungsdaten ReviewersMaßnahmen Archivierung des Delegationpfades Delegation

Detektive & Korrektive Kontrollen : 

Detektive & Korrektive Kontrollen Prozesse zur Behandlung von Ausnahmen Waisen Accounts erkennen Policyverletzungen erkennen Automatisierte Abwicklung durch Workflows Beglaubigung der Berechtigungen Durch Workflow getriebener Beglaubigungsprozess Möglichkeiten der Delegation & Ausnahmen Approval Aufbereitung der Daten für Auditoren Automatisierte Abwicklungen bei Abweisungen Audit & Reporting Flexible Auditpolicies Aussagekräftige und vor allem historische Reports Auditieren von Ausnahmen & Verletzungen

Kontrollen verbessern : 

Kontrollen verbessern Kontrollen Monitoring Umgang mit Ausnahmen und deren Genehmigung Fehlgeschlagene Logins & unautorisierte Zugriffsversuche Beglaubigungsreports Policyhistory Nachverfolgung der Policyanpassungen Verbesserung der Policymodelle und Rollen anpassen Prevent Validate Define Detect

Oracle Identity & Access Management : 

Access Control Oracle Identity & Access Management Directory Services Identity Administration Management Audit & Compliance

Slide 30: 

The preceding is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions.The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

authorStream Live Help