WorkShop PS Single Point of Audit & Control (SPAC) (Control Acceso Administrativo en el CPD) Manuel Gil Consultor Segurida...
Contenido <ul><li>Leyes y Regulaciones Específicas
Problema en la Gestión de Grandes CPD
Necesidades de Seguridad
SPAC “La solución” </li><ul><li>Gestiona todo lo que “entra” y “sale”.
Control en tiempo real.
Control actividades sospechosas.
Análisis forenses. </li></ul></ul>
Leyes y Regulaciones <ul><li>Payment Card Industry Data Security Standard (PCI-DSS)
Sarbanes-Oxley Act (SOX)
Basel II
Health Insurance Portability and Accountability (HIPAA)
…
Ley Orgánica de Protección de Datos (LOPD) </li></ul>
Leyes y Regulaciones <ul><li>Cifrar todas las comunicaciones de acceso administrativo. </li><ul><li>Apps. Carácter.
Apps. Gráficas.
Apps. WEB </li></ul><li>Limitar el acceso a los sistemas. “deny all”.
Autenticaciones doble factor para accesos remotos.
Control transferencias de ficheros.
Acceso nominal (no usar usuarios genéricos) </li></ul>
Leyes y Regulaciones <ul><li>Implementar mecanismos de auditoría que reconstruyan toda la actividad. </li><ul><li>Accesos ...
Próxima SlideShare
Cargando en…5
×

Spac 1.3 Presentacion 20091024

522 visualizaciones

Publicado el

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
522
En SlideShare
0
De insertados
0
Número de insertados
7
Acciones
Compartido
0
Descargas
3
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Spac 1.3 Presentacion 20091024

  1. 1. WorkShop PS Single Point of Audit & Control (SPAC) (Control Acceso Administrativo en el CPD) Manuel Gil Consultor Seguridad SUN Microsystems Ibérica
  2. 2. Contenido <ul><li>Leyes y Regulaciones Específicas
  3. 3. Problema en la Gestión de Grandes CPD
  4. 4. Necesidades de Seguridad
  5. 5. SPAC “La solución” </li><ul><li>Gestiona todo lo que “entra” y “sale”.
  6. 6. Control en tiempo real.
  7. 7. Control actividades sospechosas.
  8. 8. Análisis forenses. </li></ul></ul>
  9. 9. Leyes y Regulaciones <ul><li>Payment Card Industry Data Security Standard (PCI-DSS)
  10. 10. Sarbanes-Oxley Act (SOX)
  11. 11. Basel II
  12. 12. Health Insurance Portability and Accountability (HIPAA)
  13. 13.
  14. 14. Ley Orgánica de Protección de Datos (LOPD) </li></ul>
  15. 15. Leyes y Regulaciones <ul><li>Cifrar todas las comunicaciones de acceso administrativo. </li><ul><li>Apps. Carácter.
  16. 16. Apps. Gráficas.
  17. 17. Apps. WEB </li></ul><li>Limitar el acceso a los sistemas. “deny all”.
  18. 18. Autenticaciones doble factor para accesos remotos.
  19. 19. Control transferencias de ficheros.
  20. 20. Acceso nominal (no usar usuarios genéricos) </li></ul>
  21. 21. Leyes y Regulaciones <ul><li>Implementar mecanismos de auditoría que reconstruyan toda la actividad. </li><ul><li>Accesos con privilegios “root” o administrativos.
  22. 22. Acceso a los propios ficheros de auditoría </li></ul><li>Controlar Accesos Rechazados.
  23. 23. Limitar quién accede a ficheros de auditoría.
  24. 24. Asegurar la Integridad ficheros auditoría.
  25. 25. Retención Información auditoría mínimo 1 año.
  26. 26. ... </li></ul>
  27. 27. Problema de seguridad en el CPD <ul><li>Mecanismos de control de acceso.
  28. 28. Confidencialidad en Comunicaciones
  29. 29. Controlar la identidad de los Administradores
  30. 30. Asignación de privilegios a usuarios
  31. 31. Repositorios centralizados de información de los usuarios.
  32. 32. Configuración segura de los servidores.
  33. 33. Verificación de integridad en los servidores.
  34. 34. Detección de intrusos
  35. 35. Auditoria detallada de la operación de los usuarios.
  36. 36. .... </li></ul>
  37. 37. Nuestro Sistema Frente a Riesgos
  38. 38. Necesidades de Seguridad en el CPD <ul><li>Mecanismos de Control de Usuarios Administrativos.
  39. 39. Mecanismos de Control de Sistema / Red.
  40. 40. Mecanismos de Control de Auditoría. </li></ul>Solución <ul><li>SPAC (Single Point of Audit & Control) </li></ul>Características Comunes
  41. 42. Internet / WAN Red Local Usuarios Administrativos Remotos Usuarios Administrativos Locales ssh telnet ftp rexec rcmd X11 rsh RDP telnet X11 ftp
  42. 43. Internet / WAN Red Local Usuarios Administrativos Remotos Usuarios Administrativos Locales ssh telnet ftp rexec rcmd X11 rsh RDP telnet X11 ftp
  43. 44. Internet / WAN Red Local Usuarios Administrativos Remotos Usuarios Administrativos Locales ssh telnet rcmd X11 RDP telnet X11 ftp
  44. 45. Internet / WAN Red Local Usuarios Administrativos Remotos Usuarios Administrativos Locales https ssh RDP telnet telnet X11 ssh Grabación de Sesiones Alarmas ante Eventos ssh Control Acceso Aplicaciones Grupos Roles pkgadd pkgrm kill init ssh 10.1.23.34 select from...
  45. 46. SPAC (Single Point of Audit & Control) <ul><li>Portal de acceso a las aplicaciones administrativas
  46. 47. Unificacion de identidades de administradores
  47. 48. Unificación de herramientas de gestión/administración
  48. 49. Auditoría de actividades usuarios administrativos.
  49. 50. Centralización logs y sesiones de usuarios
  50. 51. Repositorio central de información
  51. 52. Alertas ante eventos.
  52. 53. Monitor actividades sospechosas
  53. 54. Reproducción sesiones usuarios (video/caracteres)
  54. 55. ... </li></ul>Características
  55. 56. Objetivos de SPAC <ul><li>Autenticación : Ofrecemos conocimiento de la identidad real del usuario administrativo en todo momento, independientemente de las aplicaciones finales y accesos que utilice.
  56. 57. Integridad : Se garantiza la integridad de la información de auditoría. Ningún fichero almacenado en el sistema podrá ser alterado o modificado. Garantizando la veracidad de la información forense. </li></ul>
  57. 58. Objetivos de SPAC <ul><li>Confidencialidad: Mediante los canales seguros de comunicación, será imposible la copia, traspaso o alteración de la información enviada/recibida.
  58. 59. Auditoría : Será posible detectar las actividades de los usuarios y acciones realizadas en sistemas remotos, reproducirlas y utilizarlas en análisis posteriores tanto en tiempo real como mediante la búsqueda de actividades en logs históricos. </li></ul>
  59. 60. Piezas de SPAC <ul><li>Repositorio de Usuarios : Se crea un repositorio de usuarios administrativos centralizado, basado en LDAP.
  60. 61. Portal : Se implementa un portal de acceso a las aplicaciones administrativas internas del CPD mediante protocolos seguros y estándares HTTP/HTTPS.
  61. 62. Sistemas Auditores : Se fijan controles de auditoría y acceso, integrado perfectamente en el portal, con captura de videos de sesiones X11/Windows y captura de sesiones SSH/Telnet completas; restricción de accesos; trabajo en equipo. </li></ul>
  62. 63. Piezas de SPAC <ul><li>Centralización Logs/BBDD : Toda la información relativa a conexiones se almacena en un repositorio de información centralizado y todos los accesos son registrados en Base de Datos.
  63. 64. Portal Explotación: Plataforma de administración de la actividad en las pasarelas; análisis de logs, búsqueda en histórico, monitor de actividad, gestor de alarmas y eventos; reproducción de sesiones X11/Windows, SSH/Telnet; y generación de informes diarios, semanales, mensuales y bajo demanda de eventos y actividad </li></ul>
  64. 66. Tipo de Necesidad Descripción LEGAL Cumplimiento ley de protección de datos LOPD Cumplimiento ley de protección de datos HIPAA Cumplimiento regulaciones tipo SOX Cumplimiento regulaciones PCI-DSS SEGURIDAD Control de acceso a aplicaciones/sistemas Confidencialidad en comunicaciones (aún con protocolos inseguros) Seguridad en el acceso (doble factor autenticación) Separación de tareas. ADMINISTRACIÓN Uso de múltiples partners para gestión de sistemas. Rotación elevada del personal de administración. Número elevado de administradores (internos/externos) Necesidad de administración remota Muchos sistemas a administrar (>30) SOPORTE Necesidad de conocer acciones administradores (detectar posibles fallos) Conocer últimos cambios realizados Conocer últimos paquetes instalados Conocer últimos parches aplicados Comprobar últimas modificaciones hechas en configuraciones estables AUDITOR Necesidad de saber quienes acceden a nuestros sistemas Necesidad de conocer actividad de los usuarios (que hacen) Necesidad de tendencias de uso de los sistemas (informes acceso Necesidad de información forense sobre actividades de usuarios administrativos
  65. 67. SPAC (Control Administrativo en el CPD) Manuel Gil [email_address]

×