Controle de Acesso ao Datacenter

  • View
    315

  • Download
    3

Embed Size (px)

Text of Controle de Acesso ao Datacenter

Mitigando os risco do uso compartilhado de contas privilegiadas

controle de acesso ao datacenter

opcoesimpactobeneficiossecOps

2

quem somosNetbr www.netbr.com.brFundada em 2003 e pioneira em PIM no BrasilPrincipais clientes nos segmentos financeiro e telcoDiferencial: Experincia, Know-how, Inovao

Direcionador: Complexidade & Mos

Firewall

IDS & SIEM

User Control

4

Direcionador: Compliance & Auditoria

Rastros de AuditoriaA norma ISO 27001 em seu item 10 do Anexo n 10 tabula alguns itens para a monitorao e deteco de atividades no autorizadas de processamento das informaes, tais como: registros de auditoria, monitoramento do uso de sistemas,proteo das informaes de registro, registros de administrador e de operador,registros de falhas

Direcionador: ISO 27001

Necessidade:Terceirizao tem como objetivo reduo de custos, minimizao da gesto de recursos humanos, melhoria na prestao de servios, flexibilidade na relao demanda e objeto de contratao, acesso a conhecimentos tcnicos e inovaes tecnolgicas

Ameaas:Administrao do controle de acesso aos recursos computacionais e dos sistemas de segurana como um todo (firewalls, IDS, IPS, SO, DB, etc)Acesso ao Servidor (UID 0; Root; SysAdmin, Admin, Local, etc...) onde os administradores possuem os mais altos privilgios, com direitos irrestritos sobre os servidores e devices.

Direcionador: Terceirizao

Direcionador: Operao

viso gartner 2015

SAPM Service/Share Account Password Management

AAPM Application to Application Password Management

PSM Privileged Session Management

SUPM Super-User Privilege Management

9

anlise inicialCredenciais: Inventariar (descobrir), Classificar e Entender o UsoHumanasNo-Humanas (Aplicao e Servios)Controle (Mostrar ou No) SSO por sesso.Funes:AD Brigde Unix/LinuxResilincia: Disponibilidade e EscalabilidadeSSHOCRControle de ComandoAnlise de Uso (Comportamento)Manter Viso Automtica (Dynamic Discovery)Vendors:Suite x Best-of-ClassDiferentes Estratgias = Diferentes Resultados = Diferentes Preos

analise inicial

11

Desafios Internos:Como implantar uma soluo transparente?

IT StaffOutsourcing partnersAdm WindowsSSHRDP, VNCCitrix Firewall,Network devices,Databases,Web/file servers, Citrix server

House usersHTTP, TelnetACESSO ILIMITADOIRRESTRITOLimitao de Firewall Ambiente Complexo

IT StaffOutsourcing partnersAdm WindowsSSHRDP, VNCCitrix

House usersHTTP, TelnetRBAC/SudoMonitorAgentesSenhasChavesQual a Melhor Estrategia?

viso EQUILIBRADA (devsecops)Segurana eTRANSPARNCIAOperao eAUTOMAO

opesSAPM: Cofre para armazenamento de Senhas (Vault)Credenciais so Associadas a Senhas (Discovery)Gerenciadas sob uso ou intervalos curtos (Enforcement)Auditoria do Uso das Credenciais (Monitor)Workflow e Integrao com gesto Mudanas (Process)AAPM:Eliminar HardCode ou Configuration FilesAPI, SDK, CLI (Lanamento de Aplicaes) para integrar com Cofre (Vault)PSM:Estabelecimento da Sesso (Transparncia)Monitorao e Gravao (OCR & Search)Controle da Sesso (4 eyes, Notificao, Politica)Baseados em Agentes, Proxy ou ProtocolosSUPM:Controle de Comandos e Perfil (Sudo ++)RBAC para AdministradoresBaseado em Agentes ( Kernel ou Shell) full RBACBaseados em Protocolos - Whitelisting

maturidade processo

maturidade processo

Viso: ganho e foco

Viso: ganho e foco

SAPM + PSM

discoveryrevelaocontrole

20

SAPM + PSM

21

SUPM

22

ferramentaserradas

guia de escolha

PlataformasRegistro e relatrios robustosWorkflow de aprovaoCusto de implantao, consultoria e serviosTempo de implantaoReferncias de uso

Fluxo de aprovaoIntegra-se com ferramentas de ticketSuporta senhas histricas" A ferramenta fornece recursos de SSO

Arquitetura flexvelGranularidade suficienteRelatrios e dashboardsReproduo da sesso e das aesAlertas em tempo realAnlise para investigao forense e desempenhoSuporta contas envelopadas ou noIntegrao SIEMGeralSAPM (AAPM)usurioscrticosMonitor sesso

24

netbr