Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware

Die Seite wird erstellt Alexander Glaser
 
WEITER LESEN
Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
Secure all the clouds!
                    Sichere Authentisierung für Ihre Multi-Cloud Strategie!
Marcom V1.1 2019

                                                             Ingo Schubert         Hans-Peter Dietrich
                                                          Gobal Cloud Identity      Solution Manager
                                                                Architect          Controlware GmbH
                                                         RSA a Dell Technologies
                                                                Business

                   © 2019 Controlware GmbH               Klassifizierung: intern                         1
Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
Agenda

                          1                  Authentisierung und die Cloud

                          2                  Angemessene Authentisierung

                          3                  RSA SecurID Access Beispiele

                          4                  Demo
Marcom V1.1 2019

                   © 2019 Controlware GmbH                               Klassifizierung: intern   2
Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
Die Cloud ist da... was dann?

                    Cloud Dienste werden auch in Deutschland immer beliebter.
                    Viele Cloud Dienste sind oft nicht umittelbar mit verbreiteten
                    Sicherheitsregeln vereinbar.
                    Idealerweise vor der Einführung eines Cloud Dienstes sollten die
                    Einbindung der vorhandenen Sicherheitsmechanismen betrachtet werden.
Marcom V1.1 2019

                   © 2019 Controlware GmbH             Klassifizierung: intern             3
Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
Manchmal ist es zu einfach...

                    Cloud ist einfach: einfache Bereitstellung, einfache Bedienung, einfache
                    Abrechnung
                    Das bleibt oft nicht ohne Auswirkung:
                        •     Shadow IT
                        •     ...
                        •     Benutzer erwarten durchgehen eine einfache Bedienung
                        •     Vorhandene Infrastruktur nicht (oder nur teilweise) kompatibel
Marcom V1.1 2019

                   © 2019 Controlware GmbH                        Klassifizierung: intern      4
Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
...und die Authentisierung?

                    Sensitive Daten sind nun oft verteilt (On-prem und in der Cloud)
                    Die Absicherung der Daten sollte auf einem angemessene Art und Weise
                    erfolgen
                        •     Unabhängig vom Standort der Daten und Benutzer
                    „Angemessen“
                    • Das Risiko auf ein akzeptables Niveau zu reduzieren
                    • Das Vertrauen auf ein akzeptables Niveau zu heben
Marcom V1.1 2019

                   © 2019 Controlware GmbH                     Klassifizierung: intern     5
Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
Angemessene Authentisierung = Identity Assurance

                    Das individuelle Risiko welches eine Applikation hat sollte die notwendige
                    Authentisierung bestimmen.
                    Mit einer flexiblen Authentisierungslösung ist es möglich
                    • ein akzeptables Sicherheitsniveau zu erreichen
                    • den Benutzerkomfort zu steigern
Marcom V1.1 2019

                   © 2019 Controlware GmbH            Klassifizierung: intern                    6
Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
Bespiele Sicherheitsstufen

                            Hoch                SW OTP
                                                                                   OTP
                                                 Gerät
                            Mittel                                      Fingerprint
                                                                                              Hardware
                                                                                                OTP
                           Niedrig            Push                     Verhalten &
                                             Message                     Kontext
Marcom V1.1 2019

                                                                                               Personal-
                                             Marketing                             Vertrieb    verwaltung

                   © 2019 Controlware GmbH               Klassifizierung: intern                            7
Secure all the clouds! - Sichere Authentisierung für Ihre Multi-Cloud Strategie! - Controlware
Wenn der Schlüssel nicht passt...

                    Cloud Anwendungen verwenden häufig Identity Federation Protokolle um
                    Anwender zu authentifizieren.
                    Ggf. kann die vorhandene Authentisierungslösung damit nicht umgehen.
                        •     RSA Authentication Manager
                    Möglicherweise gibt es Identity Federation oder SSO Systeme bereits im
                    Einsatz
                        •     z.B. MS ADFS
                     Wie kann das alles miteinander funktionieren?
Marcom V1.1 2019

                   © 2019 Controlware GmbH                 Klassifizierung: intern           8
RSA SecurID Access

                       MFA Überall                                                                                    Risiko-basierte Authentisierung
                       Zertifiziert                                                                                                                              Zugriff mit Kontext

                                                                                                                                MACHINE
                                                                                                                                LEARNING         RISK     PASS      RISKY   DENY

                                                                                                                         Role   Device         Location    Behavior           App

                                                                                                                                                                                    Risk
                             Push        Mobile OTP   Biometrics   Text Msg    Voice Call

                           HW Token      SW Token       FIDO       Proximity   Wearables
Marcom V1.1 2019

                                                                                                                                           Security

                       Moderne MFA Methoden                                                                                                  Assurance Levels
                        Einfach & bequem                                                                                                       Weil nicht alles gleich sicher ist

                   © 2019 Controlware GmbH                                                  Klassifizierung: intern                                                                        9
Wer macht was von Wo?

                                                                       •       IDR ist eine Virtual Appliance für
                                                                               VMware, Hyper-V oder AWS

                                                                       •       Verbindet die On-Premise
                                                                               Infrastruktur mit dem RSA Cloud
                                                                               Authentication Service (CAS)

                                                                       •       AD/LDAP, AM 8.x, syslog…

                                                                       •       IDR stellt optional bereit:
                                                                           •     SSO Portal
                                                                           •     RADIUS Server
Marcom V1.1 2019

                   © 2019 Controlware GmbH   Klassifizierung: intern                                            10
Wer macht was von Wo?

                                                                        Administrative GUI
                                                                         Policies
                                                                         IDRs verwalten
                                                                         …
                                                                        SecurID Access native
                                                                         Authentifikationen
                                                                           Push/Approve
                                                                           Fingerprint/Face ID
                                                                           OTP
                                                                           …
                                                                        Andere RSA CAS Funktionen
                                                                         Cloud SAML/OIDC IDP
                                                                         MFA API end-point
Marcom V1.1 2019

                                                                        Hosted auf Microsoft Azure (US,
                                                                         EU, Australia), operated by RSA

                   © 2019 Controlware GmbH   Klassifizierung: intern                                       11
Beispiel 1: Anbindung Microsoft Office 365

                    Option 1: SecurID Access SSO Portal
                        •     Falls kein anderes SSO System im Einsatz ist oder ein bestehendes ersetzt oder
                              ergänzt werden soll
                    Option 2: SecurID Access Cloud IDP
                        •     SSO nicht gewünscht oder gefordert
                    Option 3: ADFS mit SecurID Agent
                        •     Wer mit ADFS glücklich ist, soll es weiterhin sein.
                        •     SecurID übernimmt die Identity Assurance
Marcom V1.1 2019

                   © 2019 Controlware GmbH                         Klassifizierung: intern                     12
Office 365 und RSA SecurID

                    Wie bei allen anderen unterstützten Anwendungen hat sowohl der
                    Andwender als auch der Administrator bzw. Applikationsverantwortliche
                    Vorteile
                        •     Flexible Policy die konsistent angewendet wird
                        •     Einfache Authentisierung (wenn überhaupt...)
                        •     Ggf. vorhandene SecurID HW/SW Tokens können verwendet werden
                        •     Soviel vorhandene Infrastruktur wie gewünscht wird wiederverwendet
Marcom V1.1 2019

                   © 2019 Controlware GmbH                        Klassifizierung: intern          13
Beispiel 2: Azure AD (und andere SSO Systeme)

                    Azure AD kann RSA SecurID Access als Teil einer Conditional Access Rule
                    verwenden.
                    Azure AD leitet Benutzer an RSA SecurID Access weiter um ggf. eine starke
                    Authentisierung vorzunehmen.
                    Azure AD übernimmt dann das SSO in andere Dienste (u.a. O365)

                    Ähnliche Integrationen (Step-up only) sind auch z.B. mit VMWare
                    WorkspaceONE oder Citrix Storefront möglich.
Marcom V1.1 2019

                   © 2019 Controlware GmbH           Klassifizierung: intern                    14
Step-up mit RSA SecurID, SSO mit 3rd Party

                                                                                          1
                                             7       2
                                                                         3                                     4
                                                 6
                                                                              5

                                                                                   1.   Anwender verwendet z.B. UID/Passwort um sich an Azure
                                                                                        AD anzumelden

                                                                                   2.   Azure AD frägt RSA SecurID Access bzgl. Step-up

                                                                                   3.   RSA SecurID Access evaluiert Policy und fordert Step-up
                                                                                        von Anwender

                                                                                   4.   Anwender führt Step-up durch

                                                                                   5.   SecurID Authenticate App antwortet der RSA cloud
Marcom V1.1 2019

                                                                                   6.   SecurID Access antwortet Azure AD

                                                                                   7.   Azure AD leitet Anwender an Zielapplikation weiter.

                   © 2019 Controlware GmbH               Klassifizierung: intern                                                              15
Was ist dem den low-level Admin Accounts?

                    Einige Cloud Services (z.B. SFDC, AWS) ermöglichen es priviligierten
                    Benutzern das Anmelden durch standard Protokolle (SAML).
                    Policies innernalb von RSA SecurID Access können priviligierten Nutzern
                    andere, strengere Regeln auferlegen.
                    PAM Syteme sollten verwendet werden für priviligerte Accounts die nicht
                    direkt an SecurID Access angebunden werden können
                        •     Emergency Accounts
Marcom V1.1 2019

                   © 2019 Controlware GmbH           Klassifizierung: intern                  16
IaaS Accounts und RSA SecurID Access

                    OS Admin Accounts in der Cloud und On-premise können ebenfalls mit
                    SecurID Access abgesichert werden
                        •     MS Windows Server Console
                        •     Linux shell

                    Entsprechende Agents sind verfügbar und ermögliche damit eine sichere,
                    bequeme Anmeldung u.a. durch „Push to approve“.
Marcom V1.1 2019

                   © 2019 Controlware GmbH                Klassifizierung: intern            17
Demo Policy Editor
Marcom V1.1 2019

                   © 2019 Controlware GmbH                Klassifizierung: intern   18
Roadmap Ausblick
Marcom V1.1 2019

                   © 2019 Controlware GmbH               Klassifizierung: intern   19
JUNE-2019 RELEASE
                   IMPACT / VALUE                                        USE CASES
                   ENABLE THE JOURNEY TO THE CLOUD FOR EXISTING SECURID TOKEN DEPLOYMENTS AND USERS
                   Seamless connection from RSA Authentication Manager   •   Simplified initial AM-to-Cloud integration & configuration for push notification and
                   to the Cloud Authentication Service.                      unified helpdesk
                                                                         •   Invite existing users to enroll for cloud MFA from RSA Authentication Manager
                   Enable modern authentication methods without changing •   Use Cloud MFA with all your existing Agents (Push only initially)
                   your current agent deployments
                   View and manage users from a “single pane of glass”   • Unified help desk management for mixed token/MFA deployments
                   regardless of whether they are in RSA Authentication
                   Manager or the Cloud Authentication Service
                   FACILITATE DEPLOYMENT AT SCALE FOR SECURITY CONSCIOUS CUSTOMERS
                   Seamless access to RSA My Page for self-service       •   Enable single-sign-on access to RSA My Page
Marcom V1.1 2019

                   © 2019 Controlware GmbH                                    Klassifizierung: intern                                                           20
J U LY- 2 0 1 9 R E L E A S E
                   IMPACT / VALUE                                            USE CASES
                   ENSURE SEAMLESS USER ACCESS TO CRITICAL RESOURCES WITH MODERN AUTHENTICATION
                   Register multiple accounts with a single RSA Authenticate • Users from the same company, who have more than one account, can leverage a
                   App                                                         single instance of the RSA Authenticate App
                   FACILITATE DEPLOYMENT AT SCALE FOR SECURITY CONSCIOUS CUSTOMERS
                   Quickly connect the identity router to the cloud          •   Accept temporary common proxy configurations when setting up an identity router
                   Only configure what you need when deploying an identity   •   Support single NIC configuration on the identity router
                   router
                   In-product tools to enable troubleshooting most common    •   Additional identity router status indicators added to the cloud administrations
                   identity router configuration issues                          console to include: cluster status, disaster recovery connectivity, CPU, sync details,
                                                                                 etc.
Marcom V1.1 2019

                   © 2019 Controlware GmbH                                        Klassifizierung: intern                                                             21
RSA SecurID® Access – EDITIONS
                   1.      What do you want to                 Base                                        Enterprise                                              Premium
                           protect?                  VPN & traditional on-prem                      VPN & traditional on-prem                             VPN & traditional on-prem
                                                              agents                                         agents                                                agents

                                                       SaaS, Cloud and SSO                             SaaS, Cloud and SSO                                   SaaS, Cloud and SSO

                                                                                                      Enterprise Scalability                                 Enterprise Scalability
                                                                                                     (multiple replicas, AMBA)                             (multiple replicas, AMBA)

                                                                                                                                                          Risk-Based Analytics
                                                                                                                                                      Context, risk & adv. auth policies

                   2.      How do you want to              Mobile MFA                                      Mobile MFA                                            Mobile MFA
                           protect it?            OTP, push, biometrics, FIDO, etc.            OTP, push, biometrics, FIDO, etc.                     OTP, push, biometrics, FIDO, etc.

                                                     RSA SecurID Tokens                            RSA SecurID Tokens                                    RSA SecurID Tokens
                                                        Hardware & Software                            Hardware or Software                                  Hardware or Software
Marcom V1.1 2019

                   3.      How do you want to     Perpetual or Subscription                    Perpetual or Subscription                                    Subscription Only
                           deploy & pay for it?
                                                     Hybrid or All Cloud*                           Hybrid or All Cloud*                                  Hybrid or All Cloud*

                        © 2019 Controlware GmbH                                      Klassifizierung:
                                                                              * Hybrid                intern to use RSA SecurID tokens, traditional RSA SecurID agents, and/or the SSO agent
                                                                                       deployment required                                                                                     22
Fragen
Marcom V1.1 2019

                   © 2019 Controlware GmbH   Klassifizierung: intern   23
Controlware – Zahlen und Fakten
                   Controlware ist ein herstellerunabhängiger Berater, Systemintegrator und Betreiber
                   von IT-Lösungen.

                                                                                     16 Standorte in D-A-CH,
                                                                                      davon 12 in Deutschland
                                                                                     Ca. 840 Mitarbeiter D-A-CH
                                                                                     Seit 1996 eigenes
                                                                                      Customer Service Center
                                                                                     > 470 System-Ingenieure und
                                                                                      Consultants in Deutschland
                                                                                     Seit der Gründung 1980
                                                                                      eigenständiges Familienunternehmen
Marcom V1.1 2019

                                                                                     300 Mio. € Umsatz

                   © 2019 Controlware GmbH                Klassifizierung: intern                                          24
Vielen Dank für Ihre
                                              Aufmerksamkeit!
Marcom V1.1 2019

                   © 2019 Controlware GmbH                   Klassifizierung: intern   25
Anlagen
Marcom V1.1 2019

                   © 2019 Controlware GmbH   Klassifizierung: intern   26
Sie können auch lesen