Identity and Access Management Tendencia Global · Actualmente, dados los complejos entornos de las...
Transcript of Identity and Access Management Tendencia Global · Actualmente, dados los complejos entornos de las...
Identity and Access
Management
Tendencia Global
• Contexto y Tendencias de CyberSeguridad
• Arquitectura Global de Identidades
• Access Management
− Autenticación Fuerte y Adaptiva
− Federación
− Seguridad en APIs
• Identity Management
• Conclusiones
Agenda
© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 2
Hoy en día, dados los complejos entornos
de las Compañías, la aceleración de nuevas
tecnologías disruptivas y su rápida
incorporación permiten que aparezcan
nuevas y mayores vulnerabilidades tornando
muy difícil su adecuada y oportuna
administración.
3© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Actualmente, dados los complejos entornos de las Compañías, las
vulnerabilidades se tornan más difíciles de administrar y las amenazas aumentan
fuertemente. Para entender el desafío es importante visualizar los tres entornos
de evolución que provocan la aparición de mayores riesgos:
• El entorno del negocio evoluciona debido a la competitividad del mercado y
las necesidades de los clientes que también evolucionan, originando nuevos
modelos de negocios, nuevos procesos y nuevas formas de trabajar.
• El entorno de IT evoluciona para soportar los nuevos modelos así como
también las expectativas de los usuarios que adoptan nuevas herramientas
para estar conectados y ser productivos.
• El entorno de las amenazas evoluciona como consecuencia de los cambios
en el Negocio e IT creando nuevas vulnerabilidades y se tiene mayor
“colaboración y creatividad” para encontrar dichas vulnerabilidades y
explotarlas.
Contexto Actual
Entendimiento
4© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Contexto Actual
Desaparecieron las Fronteras - Aparecieron
nuevas tecnologías
5© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
BYODRedes Sociales
Cloud
Mobile
Streamming
Contexto futuro
6© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
• Los cyber ataques se han instalado en la lista de los riesgos que más
preocupan a los CFO (según la encuesta de Deloitte CFO SignalsTM ) .
• Hace cuatro años cuando se lanzó la encuesta, los cyber- riesgos eran
raramente mencionados, cuando hoy día son citados rutinariamente.
• Los CFO se encuentran cada vez más preocupados por los cyber ataques.
• Ese cambio en el modo de pensar tiene su correlación en la frecuencia y
costos de los cyber ataques.
Cyber riesgos
Preocupación de los CFOs’
7© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
3,5Millones de dólares es
el costo promedio de
una filtración de
información15%Más que
el año
anterior
Es la probabilidad que una
Compañía sufra una filtración
material (10.000 registros o más)
en los próximos 24 meses
22%Ponemon Institute’s “2014 Cost of Breach: Global Analysis”
Cyber seguridad
Se focalizaron los ataques
8© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Arquitectura Global de Identidades
9© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Legacy Apps
WS
Ga
tew
ay
SO
A E
SB
Internal Apps
HT
TP
Se
rve
r
Employees,
Contractors, etc.
Enterprise-wide
Datastores
HR DBs
App-specific
Datastores
Identity
Store(s)
Terminal
Emulation
“Fat” Clients
Citrix / WTS
Local Apps
Web Browsers
HT
TP
Se
rve
r
Middleware
and Apps
Web Apps (standalone)
Java, .NET, etc. Enterprise Apps
Java, .NET, etc.
Wep Apps
Portlets
Po
rta
l
Po
rta
l
Business
Partners
Customer
Mobiles and
Tablets
Cloud
Users
Security Policy
Repository
Desktop / Client
ConnectionLocal Identity and
Policy Stores
HTTP (incl. SOAP/
HTTP) ConnectionWeb Services
Connection
Desktop / Client
Connection
Cyber ataques web, phising, robos de identidades (MITM)Contraseñas débiles
Envío de contraseñasDesdoblamiento de repositoriosConfianza
Robo de información: Ataques por malformaciones de paquetes
Accesos inadecuados:Cuentas huérfanas y privilegiadas
Cyber ataques web, phising, robos de identidades (MITM) Contraseñas débiles
Arquitectura Global de IAM
10© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Legacy Apps
WS
Ga
tew
ay
SO
A E
SB
Internal Apps
HT
TP
Se
rve
r
Employees,
Contractors, etc.
Enterprise-7
Datastores
HR DBs
App-specific
Datastores
Identity
Store(s)
Terminal
Emulation
“Fat” Clients
Citrix / WTS
Local Apps
Web Browsers
HT
TP
Se
rve
r
Middleware
and Apps
Web Apps (standalone)
Java, .NET, etc. Enterprise Apps
Java, .NET, etc.
Wep Apps
Portlets
Po
rta
l
Po
rta
l
Business
Partners
Customer
Mobiles and
Tablets
Cloud
Users
Security Policy
Repository
Desktop / Client
ConnectionLocal Identity and
Policy Stores
HTTP (incl. SOAP/
HTTP) ConnectionWeb Services
Connection
Desktop / Client
Connection
ACCESS MANAGEMENT
ACCESS MANAGEMENT
IDENTIY GOVERNANCE
Módulos IAM
11© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Identity Manager ofrece la gestión de
identidad, que permite a las organizaciones
simplificar la gestión del ciclo de vida de la
identidad y garantizar el acceso desde
cualquier dispositivo para todos los recursos
de la empresa.
Fortalece la gestión de los roles y simplifica el
proceso de gestión del ciclo de vida de roles y
certificación de acceso. Permite la realización de
actividades de descubrimiento de accesos a través
de minerías de roles.
La solución permite a los administradores
de IT trabajar en los sistemas de la
empresa sin exponer contraseñas
administrativas. Específicamente
administra, controla y graba todas las
actividades de los administradores con
privilegios en los distintos ambientes.
IDENTITY MANAGER
USUARIOS PRIVILEGIADOS
GOVERNANCE
Es la solución de seguridad encargada de
proteger aplicaciones, datos, servicios web y
servicios basados en nube. Construido en una
arquitectura moderna entrega la flexibilidad
para implementar una solución completa
brindando autenticación, inicio de sesión único,
autorización, federación, inicio de sesión social
y móvil, propagación de identidad, y
autentificación basada en riesgos y autorización
en el perímetro de la red.
ACCESS MANAGER
Plataforma de Identidades Extendida
12© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Asegurar las aplicaciones de la Compañía y los datos en los dispositívos móviles.
Asegurar los servicios de accesos para la Economía de APIs.
Servicios de identidad para y en la nube.
Automatización de Identidades y Gobierno Empresarial.
Access Management
Framework General
13© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Enterprise Apps Mobile AppsDesktop
Apps
Cloud Apps
Authentication
Intelligent Risk
Based
Authentication
Integrated Strong
Authentication
Common Policy Model Scalable High
Availability and
DR
Authentication
Plugin Framework
Platform
Standards Bases
Approach
Authorization
Real
Time
External
Security
Policies
Federation
Standards
BasedSocial
Mobile and API
RESTful
InterfacesAPI Management
• Simplifica el Web Single Sign On (WebSSO).
• Posibilita mejoras en la autenticación y autorización.
• Administración de Políticas centralizada.
• Administración avanzada de sesiones.
• Administración centralizada de agentes.
• Administración nativa de contraseñas.
• Integración con esquemas de autenticación de Windows.
• Auditoría y registración de eventos.
Access ManagementCaracterísticas generales
14© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Tendencia
Autenticación Fuerte y Adaptiva
15© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Legacy Apps
WS
Ga
tew
ay
SO
A E
SB
Internal Apps
HT
TP
Se
rve
r
Employees,
Contractors, etc.
Enterprise-wide
Datastores
HR DBs
App-specific
Datastores
Identity
Store(s)
Terminal
Emulation
“Fat” Clients
Citrix / WTS
Local Apps
Web Browsers
HT
TP
Se
rve
r
Middleware
and Apps
Web Apps (standalone)
Java, .NET, etc. Enterprise Apps
Java, .NET, etc.
Wep Apps
Portlets
Po
rta
l
Po
rta
l
Business
Partners
Customer
Mobiles and
Tablets
Cloud
Users
Security Policy
Repository
Desktop / Client
ConnectionLocal Identity and
Policy Stores
HTTP (incl. SOAP/
HTTP) ConnectionWeb Services
Connection
Desktop / Client
Connection
Cyber ataques web, phising, robos de identidades (MITM) Contraseñas débiles
Cyber ataques web, phising, robos de identidades (MITM) Contraseñas débiles
El acceso adaptativo básicamente permite mejorar los esquemas de autenticación y evitar
la ocurrencia de fraudes.
• Incrementa la seguridad en la autenticación de usuarios (dispositivos virtuales,
Knowledge-Based Authentication, OTP, device fingerprint, etc).
• Métodos de desafío basados en riesgos.
• Administración de políticas centralizado.
• Análisis y correlación de eventos.
• Integración con IAM.
Access ManagementAdaptive Access Management
16© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Authentication
Intelligent Risk
Based
Authentication
Integrated Strong
Authentication
Authorization
Real TimeExternal
Security
Policies
Otras Características:
• Auto-learning, crea un perfil base del usuario y detecta anomalías
en base al mismo.
• Motor de Políticas configurable.
• Herramienta de análisis de fraudes.
• Tableros de indicadores.
• Disparador de alarmas.
• Reportes.
Acces Management
Adaptive Access Management
17© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Context andCredentials
Analytics/RuleEngine
Deviceidentity
Location
Threatintelligence
Authenticationinformation
Interactive authenticationor federation token
User or IDP
Actions
Allow to target application
Deny
Allow and issue token
Step-upApplication
Security TokenService
Federación
18© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Legacy Apps
WS
Ga
tew
ay
SO
A E
SB
Internal Apps
HT
TP
Se
rve
r
Employees,
Contractors, etc.
Enterprise-wide
Datastores
HR DBs
App-specific
Datastores
Identity
Store(s)
Terminal
Emulation
“Fat” Clients
Citrix / WTS
Local Apps
Web Browsers
HT
TP
Se
rve
r
Middleware
and Apps
Web Apps (standalone)
Java, .NET, etc. Enterprise Apps
Java, .NET, etc.
Wep Apps
Portlets
Po
rta
l
Po
rta
l
Business
Partners
Customer
Mobiles and
Tablets
Cloud
Users
Security Policy
Repository
Desktop / Client
ConnectionLocal Identity and
Policy Stores
HTTP (incl. SOAP/
HTTP) ConnectionWeb Services
Connection
Desktop / Client
Connection
Envío de contraseñasDesdoblamiento de repositoriosConfianza
Permite autenticar usuarios entre distintos
dominios y/o compañías a través de tokens o
“assertions”, sin tener que exponer las contraseñas
o todos los atributos de la identidades.
Permite compartir algunos atributos entre distintos
dominios/Compañías
Access Management
Federación
19© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Federation
Standards
BasedSocial
Identity Provider
• Autentica a los
usuarios
• Mantiene la custodia
de las identidades
• Comparte atributos
de la identidad
(opcionalmente)
Service Provider
• Acepta tokens o
assertions del IP
• También se lo
denomina Relying
Partner
• Permite el ingreso a
la aplicación
Access Management
Federación
20© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Beneficios
• Facilidad para los
usuarios (sso)
• Minimizar los costos
de administración de
usuarios.
• Permitir nuevos
negocios y
aplicaciones.
• Integración con
Socios de Negocio.
• Mitigar riesgos.
Limitaciones
• Cumplimiento.
• Aplicaciones y
protocolos
existentes.
• Estructuras
Organizacionales.
• Capacidades del
Socio de Negocio.
Federation
Standards
BasedSocial
API Management
Tendencia
21© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Legacy Apps
WS
Ga
tew
ay
SO
A E
SB
Internal Apps
HT
TP
Se
rve
r
Employees,
Contractors, etc.
Enterprise-wide
Datastores
HR DBs
App-specific
Datastores
Identity
Store(s)
Terminal
Emulation
“Fat” Clients
Citrix / WTS
Local Apps
Web Browsers
HT
TP
Se
rve
r
Middleware
and Apps
Web Apps (standalone)
Java, .NET, etc. Enterprise Apps
Java, .NET, etc.
Wep Apps
Portlets
Po
rta
l
Po
rta
l
Business
Partners
Customer
Mobiles and
Tablets
Cloud
Users
Security Policy
Repository
Desktop / Client
ConnectionLocal Identity and
Policy Stores
HTTP (incl. SOAP/
HTTP) ConnectionWeb Services
Connection
Desktop / Client
Connection
Robo de informaciónAtaques por malformaciones de paquetes
Los vectores de ataque más comunes pueden dividirse en las siguientes tres
categorías:
Acces Management
Seguridad en APIs
22© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
• Explotan los datos enviados dentro de las APIs, incluyenURL, parámetros de querys, HTTP Headers, y/o contenido POST.
Parámetros
• Explotan las debilidades en la autenticación, la autorización y registro y seguimiento de sesiones.
Identidad
• Interceptan mensajes legítimos de transacciones yexplotan los datos que no se encuentran firmados y/o encriptados.
Man-in-the-middle
Permite la administración, desarrollo,
implementación y operación de APIs
incrementando la seguridad y el cumplimiento
regulatorio a través de capacidades de
autenticación, autorización y auditoría.
Posibilita a las Compañías estandarizar las
APIs y el servicio de entrega con seguridad,
performance y alta disponibilidad.
Acces Management
API Gateway Security
23© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
• Autenticación y autorización
(protocolos como SAML, Oauth,
XACML, etc.)
• Securización de los mensajes (SSL,
encripción.)
• Protección ante ataques (DoS,
mensajes malformados, sqlinjection,
etc.)
• Orquestación, mediación y
transformación de mensajes.
• Integración con servicios de cloud,
mobile e identidades sociales.
• Análisis y monitoreo.
Acces Management
API Gateway Security
24© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Características:
Identity Governance
25© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Legacy Apps
WS
Ga
tew
ay
SO
A E
SB
Internal Apps
HT
TP
Se
rve
r
Employees,
Contractors, etc.
Enterprise-wide
Datastores
HR DBs
App-specific
Datastores
Identity
Store(s)
Terminal
Emulation
“Fat” Clients
Citrix / WTS
Local Apps
Web Browsers
HT
TP
Se
rve
r
Middleware
and Apps
Web Apps (standalone)
Java, .NET, etc. Enterprise Apps
Java, .NET, etc.
Wep Apps
Portlets
Po
rta
l
Po
rta
l
Business
Partners
Customer
Mobiles and
Tablets
Cloud
Users
Security Policy
Repository
Desktop / Client
ConnectionLocal Identity and
Policy Stores
HTTP (incl. SOAP/
HTTP) ConnectionWeb Services
Connection
Desktop / Client
Connection
Accesos inadecuadosCuentas huérfanas
Accesos de Cuentas Privilegiadas
Identity Manager automatiza la administración de los usuarios en los recursos de
la Compañía. Permite administrar todo el ciclo de vida de las personas, desde el
ingreso hasta la salida.
Identity Manager
Funcionalidad
26© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Data
Identity
Repository
Audit
Repository
Policy Store
Entitlement
Catalog
Integration
Administrative and End-User InterfacesPre
sen
tati
on
Bu
sin
ess L
og
ic
Roles Rules
Policy Evaluation Engine Workflow
Authoritative Sources and Target Systems
Identity Manager
Principales Características
27© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
2Autogestión (contraseñas y accesos)
3 Conectores
1 Repositorio central de identidades
4 Workflows de autorización
Role Management
Principales Características
28© 2014 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Ciclo de vida de roles
Minería de roles
Segregación de funciones
Certificación de accesos
Mediante las siguientes funcionalidades, la solución de gestión de usuarios
privilegiados permite conocer las actividades realizadas por usuarios con
privilegios administrativos en los recursos de la empresa:
Usuarios privilegiados
29© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
SEGURIDAD
• Gestión de usuarios privilegiados multiplataforma.
• Remote Desktop Proxy (RDP) Seguro.
• Autenticación a través de Active Directory y LDAP.
ANÁLISIS DE RIESGO• Análisis detallado con rating de riesgo por código y color.
• Grabación de sesiones UNIX, Linux y Windows.
GESTIÓN DE POLÍTICAS• Consola administrativa WEB.
• Refuerzo mediante políticas y grupos de WINDOWS.
• Librerías y comandos reutilizables.
• Estructura de reglas heredada.
AUDITORIA Y REPORTES
• Servicio de auditoría de Windows.
• Filtrado automático de datos para cumplimiento continuo.
• Notificaciones automáticas.
• Flujos de trabajo.
• Restricciones ACL.
12
34
Las Compañías y sus CxO están luchando
batallas de larga duración, con múltiples
frentes de ataques y donde la victoria es
difícil de medir. Para tener alguna
oportunidad de ganar estas CyberGuerras,
como CxO se deben entender determinadas
realidades…
30© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Cyber Seguridad
Realidades
31© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
1
2
3
4
5
SU RED DE INFORMACIÓN VA A SER COMPROMETIDA
Desafortunadamente, es inevitable que su Cía. sea atacada. Si opera una red de información, no es posible tener
cero riesgo y 100% de seguridad.
LA SEGURIDAD FÍSICA Y LA CYBERSEGURIDAD SE ENCUENTRAN MUY VINCULADAS
Mientras que amenazas como espionaje, robo de propiedad intelectual, fraudes, ciberterrorismo pueden involucrar
filtraciones de seguridad, las mismas pueden originarse con un acceso físico.
LOS DAÑOS POR CYBER RIESGOS VAN MÁS ALLÁ DE LO ECONÓMICO
Mientras que el costo promedio de una filtración de seguridad puede estar bien documentado, los efectos a largo
plazo sobre la reputación de la Compañía y la Marca pueden incrementar dicho costo. Muchas Compañías están
considerando la contratación de Cyber Seguros para limitar dichos costos.
TODO NO PUEDE SER PROTEGIDO DE LA MISMA FORMA
Después de todo, cada pieza de información no es de la misma importancia. Se debe crear una categorización o
jerarquía de la información de manera personalizada para la Compañía y la industria. Y en dicho proceso son los
CFOs’ quienes pueden tomar mejores decisiones respecto de cómo priorizar las protecciones y monitoreos.
LAS DEFENSAS PROBABLEMENTE SON SUFICIENTES
Las Cías. continúan invirtiendo fuertemente en el aspecto de la protección de la CyberSeguridad (más FW, IDS, etc) .
Las protecciones son probablemente tan buenas como se necesitan pero los hackers pueden que ya se hayan
infiltrado. Se debe focalizar más en la detección y monitoreo de ataques y sus respuestas y resiliencia.
¡Muchas gracias!
32© 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C.
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro,
cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura
legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas industrias.
Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes,
aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Cuenta con más de 200,000 profesionales,
todos comprometidos a ser el modelo de excelencia.
Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en,
y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría financiera y otros servicios profesionales en México,
bajo el nombre de “Deloitte”.
Esta publicación es únicamente para distribución y uso interno del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y sus respectivas
afiliadas (en conjunto la “Red Deloitte”). Ninguna entidad de la Red Deloitte será responsable de la pérdida que pueda sufrir cualquier persona que consulte
esta publicación.