Академический Документы
Профессиональный Документы
Культура Документы
Nsure
Nsure
информационной безопасности
Кирилл Степанов
KStepanov@novell.com
63%
…нарушений защиты –
человеческие ошибки
2
>50%
…крупных корпораций признают
недостаточность бюджетов, выделяемых на
защиту информации
100%
…признают важность этой
проблемы
3
Что такое Novell Nsure?
Windows 2000
Lotus Notes SAP R/3 HR Server Management
Domino Directory Secure User Access Microsoft Active Directory
Server Platform Server Platform Server Platform
Windows 2000
Lotus Notes SAP R/3 HR Server Management
Domino Directory Secure User Access Microsoft Active Directory
Уволенные сотрудники
мгновенно лишаются
доступа к любым
ресурсам организации
HR
E-mail
Computer
Phone
White Pages
ID
Корпорация
Общие правила
Общие файлыs
Общая информация
...
BOSTON NYC
ID
Группы
Политики для групп
Общие файлы
Почта, факс.
и т.д.
ID
Пользователи
Account Manager
801-555-0567
jh@domain.com
BLG A:507
© March 23, 2004 Novell Inc.
9
Контроль доступа
Единая система контроля доступа для всего предприятия: сложение правил доступа
для всей организации, групп и персоналных правил для пользователя.
eDirectory
Account Manager
801-555-0567
jh@domain.com Groups
BLG A:507
Smart Card LDAP
Web
Password
Biometrics Apps
Certificate
“Краеугольный камень”
“Служба каталога –
краеугольный камень
систем управления
индивидуальной
информацией”
1
LDAP – протокол для доступа к службе каталога
(Lightweight Directory Access Protocol)
Традиционные применения
• “Желтые и белые страницы”
– Корпоративные адресные книги
– Почтовые системы
Современные системы
• Стандартный протокол
– Большинство приложений имеют LDAP-интерфейс
• Управление неоднородными системами
– Информация о пользователях
– Конфигурационная информация
– Единое управление ресурсами
BOSTON NYC
Администраторы групп
Управление группами
Управление принтерами
Управление серверами
Служба поддержки
Регистрация пользователей
Смена пароля
Сброс блокировки доступа
Пользователи
Серверы
Организация
Tasks
Role
Tasks
Администраторы избавлены от
рутинной работы
AD HR
lindaC добавлена
DirXML Linda Cary
в AD Добавлена в HR
lcary добавлена в
eDir
eDirectory Notes
© March 23, 2004 Novell Inc.
25
Детали реализации
DirXML
Remote Loader
(optional)
DirXML XML Driver Native
Engine Documents Shim Interfaces
Data Store
Novell
eDirectory Application
Subscriber Channel
DirXML
DirXML
Driver
Engine Shim
Publisher Channel
DirXML
Novell
eDirectory
Server Rules and Stylesheets
P
FLAT SQL ...
A Reports
FILE
P
A
eDirectory
• Полнофункциональная служба каталога
• Выполняется на NetWare, Linux, Windows, Solaris, AIX и
HP-UX
Nsure Identity Manager
• Служба централизованного управления учетными
записями пользователей
• Позволяет легко интегрировать существующие системы
и приложения
• Система открыта для будущих расширений
•Пользователи могут
• использовать простой пароль
• сообщить пароль посторонним
• записать пароль
eDirectory
eDirectory
или
Биометрия и смарт-карта
и
или
Пароль, биометрия
и смарт-карта
и и
• Пароли
– NDS Password, Simple Password
• Токены
– RSA, Vasco, ActivCard
• Сертификаты X.509 v3
– Entrust
• Смарт-карты и USB-токены
– ActivCard, Arcot, Data Card, SPYRUS, RSA,
– Rainbow, Aladdin
• RADIUS
• Биометрия
– Applied Biometrics, BAC, BioID, DNP, Identix, Saflink, SecuGen, System
Needs, Visionsphere, others.
© March 23, 2004 Novell Inc.
42
Дополнительные возможности
Службы и
Интернет приложения
Security
LHowarth - xxx
Партнеры
How
arth
email
77 L-y
48 yy
-z
zz
s
ale
MYH HalesMY - yyy
Security
229
8- z
Заказчики zz
ERP
xx
-x yyy
W atG-
be W
Ga
7366 - zzz
Security
Сотрудники CRM
Удаленные офисы
Security Infrastructure
- xxx
ERP
MYHales - xxx
Заказчики
xx
-x
beW CRM
Ga
Сотрудники
eDirectory
iChain Proxy
Server
User=xx Password=xx
Security
ACL
Browser Applic
ations
=eMai
l,CRM
1. Авторизация доступа
ACL
2. Проверка полномочий
Access Management
Deny
Allow
Outbound
iChain
• Высокопроизводительный реверсный прокси-сервер с
обязательной авторизацией в eDirectory и контролем
доступа
Border Manager
• Межсетевой экран и прямой прокси-сервер
• Позволяет реализовать единую политику доступа из
корпоративной сети в Интернет
• Позволяет организовать защищенный доступ через
Интернет (site-to-site и client-to-site VPN)
Администратор
iChain
Secure Login
Border Manager
Net Партнеры
Сотрудники
Заказчики
✔
Единое управление учетными записями
✔ Централизованное управление доступом
✔ Управление на основе политик безопасности
✔ Расширенная аутентификация
✔
Управление доступом к файлам
Мгновенно
Политика безопасности действует Автоматически
Nsure
Повсеместно
Безошибочно
Повышение безопасности
Снижение затрат