Salcom Group Oy - osaavimmat ratkaisut IT-infran hallintaan KANSALLISET INFRA-TALKOOT Varmasti perille - vahvan tunnistamisen ja kertakirjautumisen haasteet ja ratkaisut Harri Tuuva, Raxco Finland Oy
Vahvan tunnistamisen ja kertakirjautumisen haasteet ja ratkaisut Mistä on kyse Vahva tunnistaminen Ratkaisu Entrust IdentityGuard Kertakirjautuminen, ESSO Ratkaisu - Passlogix v-go Sign-On alusta Demo
Mistä on kyse? Tietoturvasta Regulaatioista Kustannussäästöistä Käytettävyydestä Tehokkuudesta Joustavuudesta Käyttäjähallinnasta Tunnukset Käyttäjätunnusten hallinta Tunnusten provisiointi Tunnistus Kertakirjautuminen (ESSO) Systeemitunnukset Vahva tunnistaminen Integroituvat palvelut Hallintatyön delegointi organisaatioon Käyttäjähallinta Henkilötiedon hallinta Käyttöoikeuden hallinta Workflow, IdM, IAM
Vahva tunnistaminen Tunnistaminen kuntoon pankkia räjäyttämättä
Salasanat eivät yksin tarjoa riittävää suojaa Aiemmin yritysten autentikointi oli yksinkertaista: salasanat kaikille ja kalliit tokenit pienelle etäkäyttäjäryhmälle. Haaste! Maailma muuttuu: Työntekijät liikkuvat ja ottavat yhteyttä yrityksen sisäverkkoon ja palveluihin hotelleista, kahviloista ja kotoaan.
Useita autentikointitapoja Enää nykypäivänä ei ole taloudellisesti tai ylläpidollisesti järkevää jättäytyä vain yhden autentikaattorin armoille. Organisaatioiden vaatimukset ja tarpeet käyttäjien tunnistamisen suhteen ovat muuttuneet: Tietoturvan tasojen erot käyttäjien välillä Käytettävyys ja kokemus Etäyhteydet, mistä ja miten RATKAISU monipuolinen autentikointialusta (Versatile Authentication Platform) kattavalla valikoimalla erilaisia autentikointitapoja, joita voidaan hyödyntää em. vaatimusten ja tarpeiden pohjalta
Vaikea yhtälö: tietoturvavaatimukset, etätyöntekijät ja kustannussäästöt Yritysten verkkojen rajat hämärtyvät, kun yhä useammin työntekijät tarvitsevat yhteyksiä työpaikan ulkopuolelta: Extranetit, intranetit, selainpostit sekä muut yrityksen sähköiset palvelut ja yhä enenevissä Windows-kirjautuminen Tietoturvavaatimukset kuten SOX, PCI-DSS, TEO:n vaatimukset pitää kuitenkin pystyä täyttämään tässä vaikeassa yhtälössä Tarkasteltaessa yritysten autentikointia kokonaisuutena, joustavuus tunnistaa eri tyyppiset käyttäjät eri vaatimusten ja tarpeiden mukaan nousee kriittiseksi tekijäksi
Käyttäjien todennuksesta ja autentikointitavoista Eri tapoja todentaa käyttäjä: Tieto: jotain mitä käyttäjä tietää (salasana, PIN) Omistus: jotain mitä käyttäjä omistaa (toimikortti, token, Gridkortti) Ominaisuus: jotain jota käyttäjä on (biometria, sormenjälki) Eri todennustapojen lisääminen autentikointiin lisää tietoturvaa. Oikein suunniteltu ja implementoitu monitasoisen autentikoinnin käyttöönotto tarjoaa suojan mahdollisimman pienellä vaikutuksella käyttäjiin.
Yleisimmät autentikaattorit Nykyisin on tarjolla laaja valikoima erilaisia autentikointivaihtoehtoja, joilla voidaan parantaa organisaatioiden tietoturvaa Fyysiset tokenit Gridit Soft tokenit (myös PKI) Toimikortit Biometria Suosiotaan kasvattavat myös seuraavat tavat Konetunnistus Tietopohjainen tunnistus IP/geolokaatio Out-Of-Band tunnistus (SMS, email, voice)
Valintakriteereitä organisaation autentikointiin Kustannukset Hankinta- ja ylläpitokustannukset Laitteiden uusinta tai korvaus Ylläpito Käytettävyys Mahdollisimman vähäinen vaikutus käyttäjille ilman uusien teknologioiden opettelua Ylläpidettävyys Joustavuus Kannattaa sijoittaa alustaan, jossa on useita eri autentikointivaihtoehtoja, joita voidaan hyödyntää riskeihin ja sääntöihin perustuen Pitää pystyä täyttämään tämän hetken tarpeet ja tulevaisuuden muutokset
Valintakriteereitä organisaation autentikointiin Integroitavuus Alusta pitää pystyä integroitumaan organisaation avainsovellusten ja järjestelmien kanssa Johtavat IP-SEC ja SSL VPN etäyhteysratkaisut, kuten Cisco, Checkpoint, Nortel, Juniper yms. Standardit Microsoft Windows työasemat Web-palvelut (esim. MS OWA tai muut sisäiset palvelut) Tietoturvaosaaminen Kannattaa valita toimittaja, joka on tunnettu tietoturvaratkaisuistaan, jolla on luotettu maine ja joka pyrkii auttamaan asiakkaitaan löytämään oikeat ratkaisut tietoturvan, käytettävyyden, kustannusten ja yrityksen tilanteen mukaan
Entrust tietoturva-asiantuntija Kuuluu kymmenen suurimman tietoturvaohjelmistotalon joukkoon n. $100M liikevaihdolla Yli 1800 asiakasta n. 60 maassa Omat toimistot: USA, Kanada, UK, Saksa, Kiina, Japani Alansa pioneeri ja johtaja: 500 työntekijää ja 100+ patenttia Perustettu 1994, listattu 1998 (NASDAQ: ENTU)
Gartner Research Note Gartner suosittaa yrityksille, joilla on jo hankittuna vahvan tunnistamisen ratkaisu, harkitsemaan käyttämiensä tokenien korvaamista Entrustin tokeneilla, kun heidän sopimuksensa erääntyvät Gartnerin mukaan Entrustin ratkaisu alentaa vahvan tunnistamisen TCO-kustannuksen tasolle, jossa investoinnin takaisinmaksuaika yrityksille on kohtuullinen Gartner suosittaa yrityksiä, jotka ovat lykänneet vahvan tunnistamisen hankintaa korkeiden kustannusten takia, arvioimaan Entrustin tarjontaa Gartnerin mukaan Entrustin ratkaisun suurin vahvuus ei ole MiniTokenien halpa hinta, vaan monipuolisen autentikoinnin mahdollistava palvelinohjelmisto, jollaista ei muilla toimittajilla ole tarjolla Lähde: Gartner RAS Core Research Note G00146146, Ant Allan, Ray Wagner, 2 February 2007, R2162 05082007
Monipuolinen ratkaisu autentikointiin: Yksi alusta, useita autentikointitapoja
Entrust IdentityGuard Monipuolinen autentikointialusta Läpinäkyvä autentikointi: ei vaadi käyttäjiltä toimenpiteitä Vahva interaktiivinen autentikointi takaa tietoturvan Moniportainen autentikointimahdollisuus riskien minimoimiseksi Uname + Pwd Machine Grid Out-of-Band Mutual Auth IP-Geo Knowledge Scratch Pad OTP Tokens EV Certificate Option
Sääntöpohjainen autentikointi Useita tunnistamistapoja samalla monipuolisella alustalla Keskitetty hallinta yksinkertaistaa ylläpitoa Avoin alusta-arkkitehtuuri turvaa investoinnin tulevaisuuteen
Entrust IdentityGuard arkkitehtuuri Entrust IdentityGuard integroituu olemassa olevan infran kanssa ja tarjoaa skaalan edullisia ja monipuolisia autentikointivaihtoehtoja Ei tarvetta kalliiden laitteiden hankintaan tai merkittäviin muutoksiin käyttäjien toimintatavoissa
Entrust IdentityGuard on integroitu johtavien teknologioiden kanssa Application / Infrastructure Remote Access Applications Platform
Ruotsin hallinto - Government G2G, G2C Alkoi työntekijöiden web-sovelluksista, kuten esim. web email Nopea integratointi ja käyttöönotto käytössä alle kahdessa päivässä eräälle keskuskoneen sovellukselle Käyttäjinä oli 9 eri yksikköä Avainedut: Helppo käyttää ja skaalautuu miljoonille Kustannustehokas ja yksinkertainen: tuotanto, laajentaminen ja hallinta Yhdistelmä: Entrust IdentityGuard vahvaan autentikointiin ja Entrust TruePass kryptaamiseen ja digitaaliseen allekirjoitukseen Status: Otettu täysin käyttöön kaikille työntekijöille Otetaan käyttöön yli 100,000 ulkoiselle käyttäjälle 12/2007 loppuun mennessä, laajennetaan yli 1 miljoonalle käyttäjälle "...it was up and running in our environment in less than two days." Bo Magnusson, IS Strategist with AMV
Case Skanska Kustannusten ja logistiikan pienentämiseksi Skanska vaihtoi kilpailijan kalliit tokenit Entrustin IdentityGuardin käytännölliseen grid-pohjaiseen autentikointiin Yli 5,000 Skanskan työntekijää maailmanlaajuisesti sekä 20,000 sopimuskumppania vaihtavat helppokäyttöiseen autentikointiin Siirtyminen Entrustin IdentityGuardin Grid-pohjaiseen autentikointiratkaisuun oli läpinäkyvä ja helppo loppukäyttäjillemme, sanoo Thomas Keisu, Skanskan IT Security Manager. Grid-kortteja on helppo tuottaa ja jaella eri toimistoihimme maailmalla. Se tekee ratkaisusta erittäin houkuttelevan haettaessa vaihtoehtoisia autentikointitapoja. Skanska korvaa grid-korteilla 5,000 tokenia. Autentikointiratkaisu turvaa erilaisia yrityksen resursseja (esim. VPN, SSL Proxy) ja suunnitelimissa on myöhemmin laajentaa sitä kolmansille osapuolille, mahdollisesti jopa n. 20,000 ulkopuoliselle käyttäjälle. Samaa implementointia käytetään turvaamaan kuluttajien identifiointi niiden osalta, jotka tekevät onlineasiointia ja transaktioita Skanskan kanssa.
Kertakirjautuminen (ESSO, Enterprise Single Sign On) Mitä jokaisen tietoturvasta vastaavan olisi syytä tietää
Salasanojen puuttuva rengas Jokainen tietoturvasta vastaava tietää ongelmat salasanoihin väsymisestä, salasanojen inflaatiosta ja muista loppukäyttäjien salasanaongelmista sekä ylläpitäjien tuskasta salasanojen ylläpidossa Useat organisaatiot ovat ottaneet käyttöön useita eri tapoja em. ongelmien ratkaisemiseksi Salasanojen monimutkaisuusvaatimukset Salasanojen vaihtoväli Käyttäjien autentikointi salasanan vaihdon yhteydessä
Salasanojen puuttuva rengas Harvoin aihetta on kuitenkaan lähestytty laajemmassa mittakaavassa Käyttäjien turhautuminen Tappiot tuotannossa Tietoturvariskit Ylläpito ja ylläpitäjät Autentikointi Jotta ongelmaan puututtuisiin asianmukaisesti, organisaatiot tarvitsevat ratkaisun joka Vähentää muistettavien salasanojen määrää Automatisoi salasanojen vaihdon prosessia Tallentaa käyttäjien jokaisen sovelluksen tunnukset ja salasanat turvalliseen, keskitettyyn hakemistoon helpomman ylläpidon ja palautettavuuden takia Ottaa huomioon myös vahvan autentikoinnin tarpeet Lähestyy aihetta käyttäjähallinnan kokonaisuuden näkökulmasta
Top-5 syytä ottaa organisaatiossa ESSO käyttöön 1. Säästää tuntikausia käyttäjiltä kuluvasta salasanoihin liittyvästä toiminnasta 2. Vähentää Help Desk kuluja 3. Lisää tietoturvaa pakottamalla vahvempien salasanojen käytön 4. Keskitetty tunnus- ja salasanahakemisto ylläpidon ja palautettavuuden parantamiseksi 5. Helpottaa asetusten (SOX, PCI, jne.) edellyttämien vaatimusten täyttämistä
Kumotaan ESSO:n myyttejä Huolimatta em. syistä ja lukuisista implementaatioista ympäri maailmaa, useat tietoturvavastaavat epäröivät vielä ESSO:n käyttöönottoa teknologiaan liittyvien väärinkäsitysten vuoksi 1. ESSO ei tarjoa hakkereille valtakunnan avaimia 2. ESSO:a ei ole vaikea ottaa käyttöön 3. ESSO:n hyötyjä EI ole vaikea perustella
Kertakirjautuminen käyttöön? 1. Onko peruskäyttäjällänne viisi tai useampia salasanoja muistettavana? 2. Onko teillä vaikeuksia pakottaa käyttäjät vahvoihin salasanoihin? 3. Tehdäänkö ympäristöönne säännöllisiä auditointeja? 4. Onko vähintään 15 % Help Desk puheluistanne salasanoihin liittyviä? 5. Kuluuko salasanojen syöttämiseen, vaihtamiseen ja poistamiseen liikaa aikaa? 6. Oletteko ottamassa käyttöönne vahvaa autentikointia tai tunnusten provisointia 7. Onko käytössänne jaettuja työasemia, jotka vaativat henkilökohtaisen sisäänkirjautumisen?
Passlogix Inc. Auttanut yrityksiä vuodesta 1996 alkaen: kustannustehokkaasti yksinkertaistamaan ja turvaamaan sovelluksien käyttöä, parantaa autentikointia ja 10 Tukemaan niiden IdM/IAM-tavoitteita. 8 V-Go licenses Worldwide (millions) Taattu teknologia: Ensimmäinen versio julkaistu 1998 Ensimmäinen enterprise-versio 2000 6 4 Kokenut tiimi työskennellyt: Satojen isojen asiakkaiden kanssa Kymmenien tuhansien sovellusten kanssa Miljoonien käyttäjien kanssa 2 0 2001 2002 2003 2004 2005 2006 2007 Patenttisuojattu: 2 US-patenttia, 3 ulkomaista ja useita haussa olevia ulkomaisia hakemuksia
Gartnerin ESSO Market raportti 09/2007
Passlogix v-go Sign-On alusta Passlogix v-go Sign-On alusta käsittelee kaikki päivittäiset sovelluskirjautumisiin liittyvät asiat Sovelluksiin kirjautuminen Sovellusten salasanojen vaihto Windowsin salasanojen vaihto (itsepalveluna) Sessioiden hallinta (jaetut työasemat) ja sovellusten lopettaminen Vahva autentikointi Sovellusten salasanojen provisiointi Vahvan autentikoinnin provisiointi Jaettujen tunnusten hallinta ja provisiointi
Passlogix v-go pääkomponentit Identity and Management Provisioning Manager Shared Accounts Manager Credential Manager Sign-On Single Sign On Self Service Password Reset Session Manager Strong Authentication Authentication Manager SSO, AM, PM ja SAM on saatavilla On-Demand versioina
Passlogix v-go arkkitehtuuri