Este documento presenta una introducción al tema de la gestión de identidades y accesos en entornos de nube. Brevemente describe la evolución de la seguridad informática hacia modelos basados en identidad, como Single Sign-On y Access Management. Luego introduce conceptos clave sobre identidad, como aprovisionamiento de cuentas y roles, y sobre acceso, como autenticación y autorización. Finalmente, promueve las soluciones de Novell para gestión de identidades y accesos en la nube.
2. 2
Quienes somos
Mariano Morano
• Gerente de Pre-venta para la región sur de
America Latina - Novell
• Responsable de la BU de ISM para America
Latina - Novell
• Certified Information Security Manager, ISACA
3. 3
Agenda
• Donde estamos parados en seguridad Informática?
• Control de Acceso basado en identidad
• Lo que se viene.
• Por qué Novell ?
• Consultas
5. 5
Evolución de la Seguridad
Informática
Manejo de
Manejo de
Control Alertas
vulnerabilidades Alertas
Físico vulnerabilidades Electrónica
Vulnerabilidad
Confidencialidad de la
información, disponibilidad SIM Identity Management
e integridad SEM Access Managemet
SIEM Single Sign On
Correlación Amenazas Externas e Reporting
Correlación Internas Reporting Privileged User Management
Firewall
EVENT
‘80 ‘90 ‘03
Recolección IDS
Worflows Recolección
Worflows de Logs Auditoría
Scanners
de Logs Auditoría
Vulnerabilidad Física Monitoreode vulnerabilidad
Análisis en tiempo real
Confidencialidad de la Control de acceso
Correlación
información Roles
Alarmas
Amenazas Externas
Manejo de
Manejo de Análisis en
Análisis en
Integración de identidades
Reporting G
incidentes tiempo real` Control de acceso
incidentes tiempo real` Remediación
Governance
Información
Información
del negocio
del negocio
R C
Compliance
6. 6
Modelo de Seguridad
G
Governance
R
Risk Management
C
Compliance
7. 7
Modelo de Seguridad
Access Privileged
Management User
Management
Identity
Management
Endpoint Single Sign
Security On
Management
SIEM
10. 10
Identity Management
• Aprovisionamiento de cuentas
Cambio organizacional
Promoción
Contratación Cambio de
Edificio
Cambio de ciudad
Cambio de área
Olvida
Fin de la relación Password
Cambia
Password Password password
de
Expira
11. 11
Aprovisionamiento de cuentas
Buscar soluciones con arquitectura basada en eventos en lugar
de reconciliación
Sistema de RRHH
Marketing
Carlos C.
Base de datos Linux
CCarlos
Carlos
Contabilidad Sistema de e-mail
Novell
Identity ccarlos@novell.com
Manage
r
12. 12
Aprocisionamiento de
cuentas
Otras soluciones basadas en reconciliación
Sistema de RRHH Sistema de Identity Mangement Sistema de RRHH Sistema de Identity Mangement
Marketing Marketing
Carlos C.
Reconciliación Reconciliación
Baja satisfacción del usuario Expuestos de seguridad
Performance de red y sistemas
13. 13
Identity Management
• Aprovisionamiento de cuentas
• Workflows
• Roles
• SoD
• Selfservice de Accesos
• Password Self Service
• Paginas blancas
• Organigramas
15. 15
El problema: Proliferación de
Password
johnnyj294jjohnson077 bigjohn_92
********
jj122
johnmeister_192 johnnyjohnjohn
johnny_thegolfer413
**************************************************************** ****************
st.john_140
******
******
jjohnson077
jjj_021
**** ******
john_Johnson_45
****
Cada vez mas aplicaciones tienen Los usuarios tienen muchas
passwords contraseñas para recordar
Productividad
El helpdesk y los usuariops pierden
mucho tiempo en llamadas por
problemas de passwords
How many
Cost os
passwords Los problemas de passwords
incrementan los costos.
do you have? Securidad
Los usuarios toman medidas inseguras
para recordar contraseñas
Escritas por todos lados Legal / Auditoria & Compliance
Como cumplir con las normas ?
16. 16
Single Sign On
Una Password
Passwords
escritas
Empleados / Clientes
Multiples Aumenta la
Passwords Passwords Débiles
Seguridad
Reducción de Menos costos
llamados a Mesa de Mesa de Ayuda
Ayuda
Acceso a los
sistemas
Productividad
17. 17
Single Sign On
Aplicación Estación Directorio
de trabajo
Ejecución de la
aplicación
Autenticación
al Directorio
Solicitud de
credenciales
SecureLogin recibe las
NSL presenta las credenciales del
credenciales a la directorio
aplicación
Novell
Identity Manager
18. 18
Diferenciador
Integración con Single Sign On
Base de datos
Security
Sistema de RRHH Linux Management
Single Sign
On
Sistema de e-mail
•Seguridad
•Satisfacción del usuario Novell
•Facilidad de uso Identity
Manage
r
22. 22
Access management
Identity Federation
SAML / LIBERTY / WS
Web Single Sign-on Federation / Cardspace
Kerberos
Novell® SSL-VPN & Remote
Integrated Web & Access Manager User Security,
User Security
Enterprise Access Sandbox Feature
Enterprise Access
Control
Control
Simplified
Deployment & Identity-enabled
Access Management
Deployment &
Administration Access Management
Administration
23. 23
Diferenciador
Integración con Access
Management
Access
Management
Satisfacción del usuario Jefe del
área
Dueño de la
aplicación
Productividad Novell
Workflow de aprobación
Identity
Manage
r
24. 24
Access management
Identity Federation
SAML / LIBERTY / WS
Web Single Sign-on Federation / Cardspace
Kerberos
Novell® SSL-VPN & Remote
Integrated Web & Access Manager User Security,
User Security
Enterprise Access Sandbox Feature
Enterprise Access
Control
Control
Simplified
Deployment & Identity-enabled
Access Management
Deployment &
Administration Access Management
Administration
25. 25
Access management
Identity Federation
SAML / LIBERTY / WS
Web Single Sign-on Federation / Cardspace
Kerberos
Novell® SSL-VPN & Remote
Integrated Web & Access Manager User Security,
User Security
Enterprise Access Sandbox Feature
Enterprise Access
Control
Control
Simplified
Deployment & Identity-enabled
Access Management
Deployment &
Administration Access Management
Administration
31. 31
Qué es SUPM?
Super User Privilege Management
El proceso de administrar el acceso de cuentas privilegiadas
(como root) para mitigar la exposición al riesgo
Non-SUPM Log in as root submit user: root
controlled runuser: root
submit user: root Command
authorization
SUPM Log in as userid remote shell database
controlled remote shell
runuser: root
– Los usuarios utilizan sus propias cuentas
– Los comando son autorizados previamente a su
ejecución
– Delegación de root
See Proprietary Statement on cover of this document
32. 32
Proceso de SUPM
Session event and
keystroke log
Command Control
Validate and secure Add audit group
User Activity 1 user session 2 and risk rating
Audit
Rules Log
Automated rules pull
events into Compliance
Manager notified by e-mail 3 Auditor database
each night of events according to pre-
4 defined risk filters
waiting to be authorized
Compliance
Auditor
Manager logs into
Manager 5 Compliance Auditor and
authorizes events
Each event record is color-coded according to the highest rated command risk
34. 34
Auditoría - SIEM
Manejo de
Manejo de Alertas
vulnerabilidades Alertas
vulnerabilidades
Correlación
Correlación Reporting
Reporting
Recolección
Recolección
de Logs
de Logs
Worflows
Worflows Auditoría
Auditoría
Manejo de Análisis en
Manejo de Análisis en
incidentes tiempo real`
incidentes tiempo real`
Información
Información
del negocio
del negocio
39. 39
Evolución de la Seguridad
Informática
?
Identity Management
Access Managemet
Single Sign On SIM
Privileged User Management SEM Cloud Computing
SIEM
‘03
EVENT ‘06
IDS
Scanners SaaS
Análisis de vulnerabilidad Monitoreo en tiempo real
PaaS
Control de acceso Correlación
IaaS
Roles Alarmas
Integración de identidades G Reporting
Federation
Workloads
Control de acceso Remediación
Governance
R C
Risk Management
Compliance
40. 40
Definición: Cloud Computing
A standardized IT capability (services,
software, or infrastructure) delivered via
the Internet in a pay-per-use, self-service
way
42. 42
Modelos de servicios
•El SaaS, a su vez, se crea a partir de las capas de la IaaS y
la PaaS subyacentes y proporciona un entorno operativo
completo que se utiliza para proporcionar toda la experiencia
del usuario que incluye el contenido, cómo se presenta, las
aplicaciones y las capacidades de gestión.
•GOOGLE APPS, NETSUITE, SALESFORCE.COM
•La PaaS se sitúa por encima de la IaaS y añade un nivel
adicional de integración con los marcos de desarrollo de
aplicaciones, capacidades de middleware y funciones como
base de datos, mensajeria y middleware que permite a los
desarrolladores crear aplicaciones que se agregan a la
plataforma y cuyos lenguajes y herramientas de programación
son soportados por la capa
•FORCE.COM, GOOGLE APP ENGINE, PIVOTLINK
•La IaaS incluye toda la capa de recursos de infraestructura
desde las instalaciones hasta las plataformas de hardware que
hay en ellas.
•La IaaS incorpora la capacidad de extraer recursos (o no) así
como entregar conectividad física y lógica a dichos recursos.
•En última instancia, la IaaS proporciona un conjunto de APIs
que permiten la gestión y otras formas de interacción con la
infraestructura por parte del consumidor del servicio.
•AMAZON EC2, APPNEXUS, etc
CSA- Security Guidance for Critical Areas of Focus in
Cloud Computing V2.1
44. 44
Definición: Cloud Computing
CSA- Security Guidance for Critical Areas of
Focus in Cloud Computing V2.1
45. 45
Definición: Cloud Computing
www.jerichoforum.org
CSA- Security Guidance for Critical Areas of Focus in
Cloud Computing V2.1
46. 46
The Two Largest Users of Cloud
Services – Mid-tier enterprise
and SaaS Providers
Note: mid-tier sector (250-
1000 employees and
revenue between $50m and
$1b)
Source: Tier 1 research “Cloud Infrastructure Services – Managed Hosters”, based on poll of top 50 managed
hosters in US and Europe
47. 47
Crecimiento en la adopción
de SaaS :
CRM y Content/Communication and Collaboration
lideran el camino…
Source: Gartner Saas Trends 2007-2012
48. 48
Seguridad:principal
preocupación de las empresas
referido a Cloud Services
Source: Tier 1 research “Cloud Infrastructure Services – Managed Hosters” –based on poll of top 50 managed hosters in US and
Europe
49. 49
Del modelo de Compliance a
la nube
CSA- Security Guidance for Critical Areas of Focus in
Cloud Computing V2.1
50. 50
Responsabilidad en la
gestión de seguridad
CSA- Security Guidance for Critical Areas of Focus in
Cloud Computing V2.1
51. 51
Modelo de seguridad
Cloud Security Alliance (http://www.cloudsecurityalliance.org.)
– Organización sin fines de lucro creada para fomentar el uso de
buenas prácticas, reforzar las garantías de seguridad y ofrecer
formación en todo lo concerniente a Cloud Computing.
• Fomentar un alto nivel de comprensión entre consumidores y proveedores
en cloud computing, respecto a todo lo que se refiere a los requisitos y
necesidades en materia de seguridad.
• Fomentar la investigación independiente de las mejores prácticas en
seguridad en cloud computing.
• Lanzar campañas de concienciación y programas de formación sobre el uso
adecuado de Cloud Computing y soluciones de seguridad en Cloud
Computing.
• Generar consenso en temas y orientación sobre seguridad en Cloud
Computing.
53. 53
Modelo de seguridad
Security Guidance for Critical Areas of Focus In Cloud Computing
(http://www.cloudsecurityalliance.org/guidance/csaguide.pdf)
– 13 dominios para analizar la seguridad en Cloud Computing
– Versión español (traducida por Asociación Española para el
fomento de la seguridad de la información)
54. 54
NOVELL y CSA
San Franciso, 3 de marzo de 2010
Novell and the Cloud Security Alliance (CSA),
today announced a vendor-neutral initiative to deliver
the industry's first cloud security certification,
education and outreach program for cloud providers.
Known as the "Trusted Cloud Initiative," it will help
cloud providers develop industry-recommended,
secure and interoperable identity, access and
compliance management configurations and practices
Novell
55. 55
Cloud Security Services
Servicios de Identity and Access Management que provee a los
usuarios finales de los beneficios accesos de alta seguridad a
aplicaciones SaaS con single Sign On, auditoria y
aprovisionamiento automático de usuarios.
Hoster
Customer
58. 58
Soluciones con historia
Identity Management
DirXML
DirXML Identity Manager 22 Identity Manager 33 Identity Manager 3.5 Identity Manager 3.6 Identity Manager 3.6.1
Identity Manager Identity Manager 3.5 Identity Manager 3.6 Identity Manager 3.6.1
Identity Manager
1999 2004 2005 2007 2008 2009
2004
Data sharing User LifeCycle Advanced Enterprise Enterprise / / Resources
Data sharing User LifeCycle Advanced Enterprise Enterprise Resources
service Management Provisioning +++ Management compliance Integration with
Integration with
service Management Provisioning +++ Management compliance
Management SAP GRC
SAP GRC
Management
Más de 6,000 clientes de ISM a Nivel Mundial
65. Unpublished Work of Novell, Inc. All Rights Reserved.
This work is an unpublished work and contains confidential, proprietary, and trade secret information of Novell, Inc.
Access to this work is restricted to Novell employees who have a need to know to perform tasks within the scope of
their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified,
translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Novell, Inc.
Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability.
General Disclaimer
This document is not to be construed as a promise by any participating company to develop, deliver, or market a
product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in
making purchasing decisions. Novell, Inc. makes no representations or warranties with respect to the contents
of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any
particular purpose. The development, release, and timing of features or functionality described for Novell products
remains at the sole discretion of Novell. Further, Novell, Inc. reserves the right to revise this document and to make
changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All
Novell marks referenced in this presentation are trademarks or registered trademarks of Novell, Inc. in the United
States and other countries. All third-party trademarks are the property of their respective owners.