Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Secure all the clouds! Sichere Authentisierung für Ihre Multi-Cloud Strategie! Marcom V1.1 2019 Ingo Schubert Hans-Peter Dietrich Gobal Cloud Identity Solution Manager Architect Controlware GmbH RSA a Dell Technologies Business © 2019 Controlware GmbH Klassifizierung: intern 1
Agenda 1 Authentisierung und die Cloud 2 Angemessene Authentisierung 3 RSA SecurID Access Beispiele 4 Demo Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 2
Die Cloud ist da... was dann? Cloud Dienste werden auch in Deutschland immer beliebter. Viele Cloud Dienste sind oft nicht umittelbar mit verbreiteten Sicherheitsregeln vereinbar. Idealerweise vor der Einführung eines Cloud Dienstes sollten die Einbindung der vorhandenen Sicherheitsmechanismen betrachtet werden. Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 3
Manchmal ist es zu einfach... Cloud ist einfach: einfache Bereitstellung, einfache Bedienung, einfache Abrechnung Das bleibt oft nicht ohne Auswirkung: • Shadow IT • ... • Benutzer erwarten durchgehen eine einfache Bedienung • Vorhandene Infrastruktur nicht (oder nur teilweise) kompatibel Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 4
...und die Authentisierung? Sensitive Daten sind nun oft verteilt (On-prem und in der Cloud) Die Absicherung der Daten sollte auf einem angemessene Art und Weise erfolgen • Unabhängig vom Standort der Daten und Benutzer „Angemessen“ • Das Risiko auf ein akzeptables Niveau zu reduzieren • Das Vertrauen auf ein akzeptables Niveau zu heben Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 5
Angemessene Authentisierung = Identity Assurance Das individuelle Risiko welches eine Applikation hat sollte die notwendige Authentisierung bestimmen. Mit einer flexiblen Authentisierungslösung ist es möglich • ein akzeptables Sicherheitsniveau zu erreichen • den Benutzerkomfort zu steigern Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 6
Bespiele Sicherheitsstufen Hoch SW OTP OTP Gerät Mittel Fingerprint Hardware OTP Niedrig Push Verhalten & Message Kontext Marcom V1.1 2019 Personal- Marketing Vertrieb verwaltung © 2019 Controlware GmbH Klassifizierung: intern 7
Wenn der Schlüssel nicht passt... Cloud Anwendungen verwenden häufig Identity Federation Protokolle um Anwender zu authentifizieren. Ggf. kann die vorhandene Authentisierungslösung damit nicht umgehen. • RSA Authentication Manager Möglicherweise gibt es Identity Federation oder SSO Systeme bereits im Einsatz • z.B. MS ADFS Wie kann das alles miteinander funktionieren? Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 8
RSA SecurID Access MFA Überall Risiko-basierte Authentisierung Zertifiziert Zugriff mit Kontext MACHINE LEARNING RISK PASS RISKY DENY Role Device Location Behavior App Risk Push Mobile OTP Biometrics Text Msg Voice Call HW Token SW Token FIDO Proximity Wearables Marcom V1.1 2019 Security Moderne MFA Methoden Assurance Levels Einfach & bequem Weil nicht alles gleich sicher ist © 2019 Controlware GmbH Klassifizierung: intern 9
Wer macht was von Wo? • IDR ist eine Virtual Appliance für VMware, Hyper-V oder AWS • Verbindet die On-Premise Infrastruktur mit dem RSA Cloud Authentication Service (CAS) • AD/LDAP, AM 8.x, syslog… • IDR stellt optional bereit: • SSO Portal • RADIUS Server Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 10
Wer macht was von Wo? Administrative GUI Policies IDRs verwalten … SecurID Access native Authentifikationen Push/Approve Fingerprint/Face ID OTP … Andere RSA CAS Funktionen Cloud SAML/OIDC IDP MFA API end-point Marcom V1.1 2019 Hosted auf Microsoft Azure (US, EU, Australia), operated by RSA © 2019 Controlware GmbH Klassifizierung: intern 11
Beispiel 1: Anbindung Microsoft Office 365 Option 1: SecurID Access SSO Portal • Falls kein anderes SSO System im Einsatz ist oder ein bestehendes ersetzt oder ergänzt werden soll Option 2: SecurID Access Cloud IDP • SSO nicht gewünscht oder gefordert Option 3: ADFS mit SecurID Agent • Wer mit ADFS glücklich ist, soll es weiterhin sein. • SecurID übernimmt die Identity Assurance Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 12
Office 365 und RSA SecurID Wie bei allen anderen unterstützten Anwendungen hat sowohl der Andwender als auch der Administrator bzw. Applikationsverantwortliche Vorteile • Flexible Policy die konsistent angewendet wird • Einfache Authentisierung (wenn überhaupt...) • Ggf. vorhandene SecurID HW/SW Tokens können verwendet werden • Soviel vorhandene Infrastruktur wie gewünscht wird wiederverwendet Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 13
Beispiel 2: Azure AD (und andere SSO Systeme) Azure AD kann RSA SecurID Access als Teil einer Conditional Access Rule verwenden. Azure AD leitet Benutzer an RSA SecurID Access weiter um ggf. eine starke Authentisierung vorzunehmen. Azure AD übernimmt dann das SSO in andere Dienste (u.a. O365) Ähnliche Integrationen (Step-up only) sind auch z.B. mit VMWare WorkspaceONE oder Citrix Storefront möglich. Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 14
Step-up mit RSA SecurID, SSO mit 3rd Party 1 7 2 3 4 6 5 1. Anwender verwendet z.B. UID/Passwort um sich an Azure AD anzumelden 2. Azure AD frägt RSA SecurID Access bzgl. Step-up 3. RSA SecurID Access evaluiert Policy und fordert Step-up von Anwender 4. Anwender führt Step-up durch 5. SecurID Authenticate App antwortet der RSA cloud Marcom V1.1 2019 6. SecurID Access antwortet Azure AD 7. Azure AD leitet Anwender an Zielapplikation weiter. © 2019 Controlware GmbH Klassifizierung: intern 15
Was ist dem den low-level Admin Accounts? Einige Cloud Services (z.B. SFDC, AWS) ermöglichen es priviligierten Benutzern das Anmelden durch standard Protokolle (SAML). Policies innernalb von RSA SecurID Access können priviligierten Nutzern andere, strengere Regeln auferlegen. PAM Syteme sollten verwendet werden für priviligerte Accounts die nicht direkt an SecurID Access angebunden werden können • Emergency Accounts Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 16
IaaS Accounts und RSA SecurID Access OS Admin Accounts in der Cloud und On-premise können ebenfalls mit SecurID Access abgesichert werden • MS Windows Server Console • Linux shell Entsprechende Agents sind verfügbar und ermögliche damit eine sichere, bequeme Anmeldung u.a. durch „Push to approve“. Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 17
Demo Policy Editor Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 18
Roadmap Ausblick Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 19
JUNE-2019 RELEASE IMPACT / VALUE USE CASES ENABLE THE JOURNEY TO THE CLOUD FOR EXISTING SECURID TOKEN DEPLOYMENTS AND USERS Seamless connection from RSA Authentication Manager • Simplified initial AM-to-Cloud integration & configuration for push notification and to the Cloud Authentication Service. unified helpdesk • Invite existing users to enroll for cloud MFA from RSA Authentication Manager Enable modern authentication methods without changing • Use Cloud MFA with all your existing Agents (Push only initially) your current agent deployments View and manage users from a “single pane of glass” • Unified help desk management for mixed token/MFA deployments regardless of whether they are in RSA Authentication Manager or the Cloud Authentication Service FACILITATE DEPLOYMENT AT SCALE FOR SECURITY CONSCIOUS CUSTOMERS Seamless access to RSA My Page for self-service • Enable single-sign-on access to RSA My Page Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 20
J U LY- 2 0 1 9 R E L E A S E IMPACT / VALUE USE CASES ENSURE SEAMLESS USER ACCESS TO CRITICAL RESOURCES WITH MODERN AUTHENTICATION Register multiple accounts with a single RSA Authenticate • Users from the same company, who have more than one account, can leverage a App single instance of the RSA Authenticate App FACILITATE DEPLOYMENT AT SCALE FOR SECURITY CONSCIOUS CUSTOMERS Quickly connect the identity router to the cloud • Accept temporary common proxy configurations when setting up an identity router Only configure what you need when deploying an identity • Support single NIC configuration on the identity router router In-product tools to enable troubleshooting most common • Additional identity router status indicators added to the cloud administrations identity router configuration issues console to include: cluster status, disaster recovery connectivity, CPU, sync details, etc. Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 21
RSA SecurID® Access – EDITIONS 1. What do you want to Base Enterprise Premium protect? VPN & traditional on-prem VPN & traditional on-prem VPN & traditional on-prem agents agents agents SaaS, Cloud and SSO SaaS, Cloud and SSO SaaS, Cloud and SSO Enterprise Scalability Enterprise Scalability (multiple replicas, AMBA) (multiple replicas, AMBA) Risk-Based Analytics Context, risk & adv. auth policies 2. How do you want to Mobile MFA Mobile MFA Mobile MFA protect it? OTP, push, biometrics, FIDO, etc. OTP, push, biometrics, FIDO, etc. OTP, push, biometrics, FIDO, etc. RSA SecurID Tokens RSA SecurID Tokens RSA SecurID Tokens Hardware & Software Hardware or Software Hardware or Software Marcom V1.1 2019 3. How do you want to Perpetual or Subscription Perpetual or Subscription Subscription Only deploy & pay for it? Hybrid or All Cloud* Hybrid or All Cloud* Hybrid or All Cloud* © 2019 Controlware GmbH Klassifizierung: * Hybrid intern to use RSA SecurID tokens, traditional RSA SecurID agents, and/or the SSO agent deployment required 22
Fragen Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 23
Controlware – Zahlen und Fakten Controlware ist ein herstellerunabhängiger Berater, Systemintegrator und Betreiber von IT-Lösungen. 16 Standorte in D-A-CH, davon 12 in Deutschland Ca. 840 Mitarbeiter D-A-CH Seit 1996 eigenes Customer Service Center > 470 System-Ingenieure und Consultants in Deutschland Seit der Gründung 1980 eigenständiges Familienunternehmen Marcom V1.1 2019 300 Mio. € Umsatz © 2019 Controlware GmbH Klassifizierung: intern 24
Vielen Dank für Ihre Aufmerksamkeit! Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 25
Anlagen Marcom V1.1 2019 © 2019 Controlware GmbH Klassifizierung: intern 26
Sie können auch lesen