Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Nsure

    Загружено:

    Denis
    0 просмотров55 страниц

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    0 просмотров55 страниц

    Nsure

    Загружено:

    Denis

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 55

    Решения Novell в области

    информационной безопасности
    Кирилл Степанов
    KStepanov@novell.com
    63%
    …нарушений защиты –
    человеческие ошибки

    Источник: Computing Technology Industry Assn., 2003

    2
    >50%
    …крупных корпораций признают
    недостаточность бюджетов, выделяемых на
    защиту информации

    100%
    …признают важность этой
    проблемы

    Источник: Ernst & Young Global


    Information Security Survey, July 2003

    3
    Что такое Novell Nsure?

    • Безопасный доступ к ресурсам в любое время


    и удобными средствами.

    • Novell Nsure Secure Identity Management


    • позволяет посторить единую систему управления
    доступом ко всем службам и приложениям
    корпоративной информационной системы
    • позволяет автоматизировать выполнение
    политики безопасности
    • базируется на открытых стандартах

    • Сочетание продуктов и решений Novell в


    области служб каталога, метакаталогов,
    безопасного доступа внутри корпоративной
    сети и через Интернет

    © March 23, 2004 Novell Inc.


    4
    Традиционный подход

    Windows 2000
    Lotus Notes SAP R/3 HR Server Management
    Domino Directory Secure User Access Microsoft Active Directory
    Server Platform Server Platform Server Platform

    •Дублирование администраторской работы


    •Возможные несоответствия административной политике
    •Потери времени
    •Возможные проблемы с безопасностью
    •Лишние расходы и риск
    © March 23, 2004 Novell Inc.
    5
    Что предлагает Novell

    Windows 2000
    Lotus Notes SAP R/3 HR Server Management
    Domino Directory Secure User Access Microsoft Active Directory

    Novell Nsure IDM


    Server Platform Server Platform Server Platform

    •Устраняется дублирование администраторской работы


    •Постоянное соответствие административной политике
    •Полное соответствие политике безопасности
    © March 23, 2004 Novell Inc.
    6
    Предоставление доступа

    Новые сотрудники быстро


    получают доступ к
    ресурсам, необходимым
    им для работы.
    HR
    Доступ предоставляется
    E-mail автоматически в
    Computer соответствии с набором
    правил и политик,
    Phone зависящих от роли
    White Pages сотрудника в
    организации.

    © March 23, 2004 Novell Inc.


    7
    Лишение доступа

    Уволенные сотрудники
    мгновенно лишаются
    доступа к любым
    ресурсам организации
    HR
    E-mail
    Computer
    Phone
    White Pages

    © March 23, 2004 Novell Inc.


    8
    Управление учетными записями

    ID
    Корпорация
    Общие правила
    Общие файлыs
    Общая информация
    ...

    BOSTON NYC

    ID
    Группы
    Политики для групп
    Общие файлы
    Почта, факс.
    и т.д.

    ID
    Пользователи
    Account Manager
    801-555-0567
    jh@domain.com
    BLG A:507
    © March 23, 2004 Novell Inc.
    9
    Контроль доступа
    Единая система контроля доступа для всего предприятия: сложение правил доступа
    для всей организации, групп и персоналных правил для пользователя.

    Единый пароль/ключ/смарт-карта для доступа ко всем ресурсам.

    eDirectory

    Jim Handy NETWORK

    Account Manager
    801-555-0567
    jh@domain.com Groups
    BLG A:507
    Smart Card LDAP
    Web
    Password

    Biometrics Apps

    Certificate

    © March 23, 2004 Novell Inc.


    10
    Главная задача SIM:

    Построение единой системы управления


    учетными записями пользователей

    © March 23, 2004 Novell Inc.


    11
    Основа – служба каталога

    “Краеугольный камень”

    “Служба каталога –
    краеугольный камень
    систем управления
    индивидуальной
    информацией”

    Giga Information Group

    Source: Giga Information Group

    © March 23, 2004 Novell Inc.


    12
    Что такое LDAP?

    1
    LDAP – протокол для доступа к службе каталога
    (Lightweight Directory Access Protocol)

    RFC 2251-2256 и 2829-2830 описывают стандарт


    LDAP v3

    Эти RFC можно найти на http://www.ietf.org/rfc

    © March 23, 2004 Novell Inc.


    13
    Применение LDAP

    Традиционные применения
    • “Желтые и белые страницы”
    – Корпоративные адресные книги
    – Почтовые системы

    Современные системы
    • Стандартный протокол
    – Большинство приложений имеют LDAP-интерфейс
    • Управление неоднородными системами
    – Информация о пользователях
    – Конфигурационная информация
    – Единое управление ресурсами

    © March 23, 2004 Novell Inc.


    14
    Функции службы каталога
    Поиск данных
    • Поиск, чтение и запись
    данных каталога
    Обеспечение безопасности
    • Контроль доступа к данным
    каталога
    Взаимоотножения
    • Описание сложных
    взаимоотношений между
    элементами каталога
    Хранение данных
    • Функции СУБД
    • Синхронизация данных
    • Устойчивость к сбоям

    © March 23, 2004 Novell Inc.


    15
    Современные требования к службам
    каталога
    • Управление персональной информацией (Identity Management)
    • Единое хранилище информации о пользователях
    • Разграничение доступа
    • Централизованное управление на основе политик
    • Взаимодействие с различными системами и приложениями
    • Хранение персонифицированной информации
    • Хранение информации для системы безопасности
    • Аутентификация пользователей
    • Авторизация пользователей
    • Возможность репликации базы данных каталога
    • Надежность
    • Масштабируемость
    • Гибкость конфигурирования
    • Производительность
    • Поддержка рпазличных платформ
    • Поддержка LDAP
    • Удобство управления схемой каталога

    © March 23, 2004 Novell Inc.


    16
    eDirectory – лидер в своем классе

    © March 23, 2004 Novell Inc.


    17
    Распределенное ролевое
    администрирование
    Корпоративные администраторы
    Общая структура сети
    Глобальные политики безопасности
    Схема каталога

    BOSTON NYC

    Администраторы групп
    Управление группами
    Управление принтерами
    Управление серверами

    Служба поддержки
    Регистрация пользователей
    Смена пароля
    Сброс блокировки доступа

    © March 23, 2004 Novell Inc.


    18
    iManager: Единый интерфейс
    администратора

    Пользователи

    Серверы

    Организация

    Show this in a browser

    © March 23, 2004 Novell Inc.


    19
    Ролевое администрирование

    © March 23, 2004 Novell Inc.


    20
    Ролевое администрирование

    © March 23, 2004 Novell Inc.


    21
    Role

    Tasks

    Role
    Tasks

    © March 23, 2004 Novell Inc.


    22
    Саморегистрация пользователей

    Пользователи могут сами изменять


    информацию о себе (номера
    телефонов, адреса и т.д.)

    Администраторы избавлены от
    рутинной работы

    Пользователи могут изменять


    только то, чтот разрешено
    политикой безопасности

    © March 23, 2004 Novell Inc.


    23
    Интеграция систем

    Домены NT Active Directory


    Автоматическая синхронизация
    информации между различными
    Apps Apps каталогами

    Единые имя и пароль для всех


    систем
    Jim Handy

    DirXML Единое управление учетными


    записями во всех ситемах

    Novell IDM – наилучший


    метакаталог во всем Gartner’s
    Magic Quadrant
    Apps Apps

    *Novell предлагает широкий выбор


    eDirectory Другие * драйверов DirXML для интеграции
    различных систем и приложения
    © March 23, 2004 Novell Inc.
    24
    Добавление пользователя

    AD HR

    lindaC добавлена
    DirXML Linda Cary
    в AD Добавлена в HR

    lcary добавлена в
    eDir

    lcary добавлена в lcary@da.com


    eDir добавлена Notes

    eDirectory Notes
    © March 23, 2004 Novell Inc.
    25
    Детали реализации

    DirXML

    Remote Loader
    (optional)
    DirXML XML Driver Native
    Engine Documents Shim Interfaces

    Data Store

    © March 23, 2004 Novell Inc.


    26
    Детали реализации

    Rules and Stylesheets

    Novell
    eDirectory Application
    Subscriber Channel

    DirXML
    DirXML
    Driver
    Engine Shim

    Publisher Channel

    DirXML
    Novell
    eDirectory
    Server Rules and Stylesheets

    © March 23, 2004 Novell Inc.


    27
    Синхронизация данных

    Novell Name: John P Smith


    eDirectory DOB: 26/7/69
    ID#: 447995
    HR Fee: $400
    Email: jsmith@xy.com
    Phone: 555 1234
    Name: John Smith
    DOB: 26-Jul-1969 iPlanet
    Name: J Smith
    Mbr #: 447995
    Phone: 555 1234
    Phone: 555 1234
    Prefs: Pets, Sports
    Email: jSmith@xy.com
    Grps: X X eMail Name: John Smith
    X X Prefs: Pets, Sports
    Email: jsmith@xy.com
    Правила и фильтры
    © March 23, 2004 Novell Inc.
    28
    Существующие драйверы

    Peoplesoft Driver SAP Driver


    Active Directory Driver NIS Driver
    eDirectory Driver SIF Driver
    GroupWise Driver JDBC Driver
    LDAP Driver Workflow Driver
    Notes Driver Password Sync
    NT Domain Driver
    Delimited Text Driver и другие...
    Exchange Driver

    © March 23, 2004 Novell Inc.


    29
    © March 23, 2004 Novell Inc.
    30
    © March 23, 2004 Novell Inc.
    31
    © March 23, 2004 Novell Inc.
    32
    © March 23, 2004 Novell Inc.
    33
    © March 23, 2004 Novell Inc.
    34
    Архитектура NSure Audit Service
    Logging Applications

    Secure Logging Server


    P
    A Monitors
    Monitoring
    Notifications
    P Notifications
    A Email
    SNMP
    eDirectory SYSLOG
    Event
    CVR*
    Processor
    Storage
    Pluggable Storage
    Report Java
    Platform Generato
    Agent r

    P
    FLAT SQL ...
    A Reports
    FILE

    P
    A

    © March 23, 2004 Novell Inc.


    35
    Централизованное управление
    информацией о пользователях

    eDirectory
    • Полнофункциональная служба каталога
    • Выполняется на NetWare, Linux, Windows, Solaris, AIX и
    HP-UX
    Nsure Identity Manager
    • Служба централизованного управления учетными
    записями пользователей
    • Позволяет легко интегрировать существующие системы
    и приложения
    • Система открыта для будущих расширений

    © March 23, 2004 Novell Inc.


    36
    Распространенные проблемы безопасности:

    Обеспечение строгой аутентификации и


    управление паролями

    © March 23, 2004 Novell Inc.


    37
    Проблема многочисленных паролей

    Безопасность и “человеческий фактор”

    •Пользователи могут
    • использовать простой пароль
    • сообщить пароль посторонним
    • записать пароль

    © March 23, 2004 Novell Inc.


    38
    SecureLogin: управление паролями

    Безопасное хранение паролей в eDirectory

    eDirectory

    © March 23, 2004 Novell Inc.


    39
    SecureLogin: управление паролями

    Для передачи их приложениям по требованию

    eDirectory

    © March 23, 2004 Novell Inc.


    40
    NMAS: последовательности
    аутентификации
    Пароль или биометрия или

    или
    Биометрия и смарт-карта
    и

    или
    Пароль, биометрия
    и смарт-карта
    и и

    © March 23, 2004 Novell Inc.


    41
    Методы NMAS

    • Пароли
    – NDS Password, Simple Password

    • Токены
    – RSA, Vasco, ActivCard

    • Сертификаты X.509 v3
    – Entrust

    – Verisign, Baltimore, XCert, etc.

    • Смарт-карты и USB-токены
    – ActivCard, Arcot, Data Card, SPYRUS, RSA,

    – Rainbow, Aladdin

    • RADIUS
    • Биометрия
    – Applied Biometrics, BAC, BioID, DNP, Identix, Saflink, SecuGen, System
    Needs, Visionsphere, others.
    © March 23, 2004 Novell Inc.
    42
    Дополнительные возможности

    Автоматический выход из сети или


    блокировка станции

    Автоматический выход при удалении


    токена или смарт-карты

    Поддержка disconnected login

    © March 23, 2004 Novell Inc.


    43
    Решения для управления паролями

    NSL (Novell Secure Login)


    • Пароли хранятся в eDirectory и автоматически
    подставляются в авторизационные диалоги приложений
    • По оценкам IDC, это решает 95% проблем управления
    паролями
    NMAS (Novell Modular Authentication Service)
    • Расширенные методы аутентификации (смарт-карты,
    биометрия, токены, сертификаты, etc.)
    • Более 30 партнерских решений
    • Открытость для дальнейших разработок

    © March 23, 2004 Novell Inc.


    44
    Безопасность и Интернет:

    Контроль доступа к ресурсам системы из


    Интернет и разграничение доступа
    пользователей в Интернет

    © March 23, 2004 Novell Inc.


    45
    Современное состояние
    Firewall

    Службы и
    Интернет приложения

    Security
    LHowarth - xxx
    Партнеры
    How
    arth
    email
    77 L-y
    48 yy
    -z
    zz

    s
    ale
    MYH HalesMY - yyy

    Security
    229
    8- z
    Заказчики zz
    ERP

    xx
    -x yyy
    W atG-
    be W
    Ga
    7366 - zzz

    Security
    Сотрудники CRM

    Удаленные офисы

    © March 23, 2004 Novell Inc.


    46
    Единый защищенный портал
    One Net
    Службы и
    приложения
    Firewall
    Партнеры
    LHo email
    wa
    rth

    Security Infrastructure
    - xxx

    ERP
    MYHales - xxx
    Заказчики

    xx
    -x
    beW CRM
    Ga

    Сотрудники

    eDirectory

    © March 23, 2004 Novell Inc.


    47
    Архитектура Novell iChain

    iChain Proxy
    Server

    User=xx Password=xx

    Security
    ACL
    Browser Applic
    ations
    =eMai
    l,CRM

    1. Авторизация доступа
    ACL
    2. Проверка полномочий

    3. Единое подключение Web and


    application
    4. OLAC (Персонализация данных) iChain servers
    5. Защищенные соединения
    Authorization
    Server
    © March 23, 2004 Novell Inc.
    48
    Novell Border Manager

    Access Management
    Deny

    Allow

    Client Firewall Secure

    Outbound

    © March 23, 2004 Novell Inc.


    49
    Безопасность подключения к Интернет

    iChain
    • Высокопроизводительный реверсный прокси-сервер с
    обязательной авторизацией в eDirectory и контролем
    доступа
    Border Manager
    • Межсетевой экран и прямой прокси-сервер
    • Позволяет реализовать единую политику доступа из
    корпоративной сети в Интернет
    • Позволяет организовать защищенный доступ через
    Интернет (site-to-site и client-to-site VPN)

    © March 23, 2004 Novell Inc.


    50
    Интегрированная система безопасности

    Novell Nsure Secure Identity Management

    NAM Nsure IDM


    NAM DirXML DirXML

    Администратор

    NT/2000/XP Host Directory Web Servers

    iChain
    Secure Login

    Border Manager

    Net Партнеры
    Сотрудники
    Заказчики

    © March 23, 2004 Novell Inc.


    51
    Интегрированная система
    безопасности


    Единое управление учетными записями
    ✔ Централизованное управление доступом
    ✔ Управление на основе политик безопасности
    ✔ Расширенная аутентификация

    Управление доступом к файлам

    © March 23, 2004 Novell Inc.


    52
    Единая политика безопасности

    Бизнес-логика Сотрудники Партнеры B2B Заказчики

    Мгновенно
    Политика безопасности действует Автоматически
    Nsure
    Повсеместно
    Безошибочно

    Финансы Маркетинг Продажи Поддержка

    © March 23, 2004 Novell Inc.


    53
    Преимущества Nsure

    Бизнес-логика Сотрудники Партнеры B2B Заказчики

    Повышение безопасности
    Снижение затрат

    Nsure Удобство для


    пользователей и
    администраторов
    Рост производительности
    Финансы Маркетинг Продажи Поддержка

    © March 23, 2004 Novell Inc.


    54

    Вам также может понравиться