资安防范的第一关

資安防範的第一關 身份驗證管理 黃弘宇專案技術部大型企業業務暨經銷事業群台灣微軟 應用程式的島國 Pre1980 s 1980 s 1990 s 2000 s 數位身份的數量DigitalIDs 時間 Mainframe ClientServer Internet 導致身份識別的島國 Applications 企業的挑戰 系統管理員 34個使用者帳戶的新增要求 埋在他桌上的一疊紙中 一般使用者 需要記憶七個不同的帳戶已存取IT資源 HelpDesk服務支援 一天三分之一的時間在重設密碼 員工 已在四個月前離職 但仍可存取VPN系統 資安危機SecurityRisks 增加IT成本IncreasedITCost 失去生產力LostProductivity 整合現今的身份識別島國 何謂身份識別管理 依委託與身份識別 驗證身份與控制存取的程序 儲存與管理帳號 識別資訊 與安全憑證的儲存庫 用來建立與刪除帳號 管理帳號與資格變更 及追蹤政策遵守 目錄服務DirectoryServices 存取管理AccessManagement 身份識別的生命週期管理IdentityLifecycleManagement Integratedproductsuiteforfullrangeofusagescenarios 解決方案架構 HR ERPapp AppDS WebServiceDS AppDS DS enabledapp ThirdpartyDS AccountFederationServer MIIS2003 ResourceFederationServer WebServer UDDI ADAM AD DS enabledapp DataBase 何謂ActiveDirectory 網路與使用者管理的中心點網路與應用程式安全的中央授權系統結合的整合點 AccountInformationPrivilegesProfilesPoliciesSingleSign On WindowsUsers NetworkResourcesFileSharesPrintersPolicies WindowsServers ConfigurationSecurityQuarantinePolicies WindowsClients DirectoriesDatabasesMainframesUNIX OtherSystems ProductInformationPrivilegesProfilesPoliciesAutomateddeployment MicrosoftProducts ConfigurationQualityofServiceSecurityPoliciesSingleSign On NetworkDevices ConfigurationSecurityPolicyVPN RemoteAccessQuarantineSingleSign On FirewallServices SingleSign OnAutomateddeploymentConfigurationApp specificdirectorydata 3rdPartyApplications OperationalEfficiencyImprovedSecurityImprovedProductivityInteroperability ActiveDirectory 身份識別與存取管理的基礎 企業目錄 Enterprisedirectory 身份識別資訊的單一儲存庫許多應用程式都可重覆使用集中的管理 供應與資料結構描述 HRSystem InfraApplication LotusNotesApps In HouseApplication COTSApplication ContractorSystem In HouseApplication IdentityPlatform 企業目錄的終極夢想 但現實上是 身份識別的混沌 IdentityChaos 身份識別資訊有多重儲存庫多重使用者ID 多重密碼分散 非集中的管理 以及個別的資料分享 FlatFilesAndSneaker net EnterpriseDirectory HRSystem InfraApplication LotusNotesApps In HouseApplication COTSApplication ContractorSystem In HouseApplication IdentityChaos 企業目錄 EnterpriseDirectory ActiveDirectory 全域 Global 分散與可延展的架構強度的驗證StrongAuthentication使用者與桌面管理ExchangeServer整合ADApplicationMode ADAM 本地對應用程式特定應用程式資訊執行就如一個LDAPservice單一登入等服務可整合ADMIIS IIFP 整合 商業流程跨所有企業內儲存的身份識別的同步對使用者提供整個企業内狀態 state based 的觀察簡化身份識別生命週期的管理 DirectoryServices LDAPBindRedirect LOB5 3rdpartyLDAP LOB4 Replace3rdpartydirectorywithADAM MIISmapsADAMusertoinfrastructureuser Usersignsontoapp ADAMredirectsLDAPbindtoinfrastructuredirectory IdentitySynchronization MIIS ADAM使用範疇App SpecificLocalDirectory 例如 個人化的web入口網站將個人化資訊儲存於ADAM使用AD做為驗證 InfrastructureActiveDirectory Store retrievedata Client Authentication Server HRSystem InfraApplication LotusNotesApps In HouseApplication COTSApplication ContractorSystem In HouseApplication IdentityIntegration IdentityIntegration Rocksolidsoftwaretointegrateidentity EnterpriseDirectory Authentication Authorization IdentityData 改進的方法 IdentityData WindowsServer 標準基礎KerberosX509LDAPBindPEAP network 802 1x network RADIUS network 整合PKIMulti FactorauthenticationAuto enrollment renewal單一登入SingleSign onKerberosApplicationsWindowsIntegratedApps ActiveDirectory Multi Factor User Password Wireless Internet Remote AccessManagement 驗證服務AuthenticationServices RSASecurID雙因素身分驗證 Webapp N 用戶端登入 存取Infrastructure aware的應用程式 不需要再登入一次 身份驗證AuthenticationInfrastructure aware應用程式 Metadirectory MIIS LOB2 LOB3 HR LOB1 Auditcollection MACS Webapp SPSv2 ApplicationDirectory ADAM BizTalk AccessfrontendSPSorotherwebappusinginfrastructuresignon FrontendappcallsBizTalk BizTalkmapstobackendcredentials 代理登入ProxySign On 授權管理員AuthorizationManager 角色為基礎的存取管理ManageuseraccessbasedonorganizationalroleIntegratedwithActiveDirectoryRolescanbeassignedbasedonbusinessrules從應用程式中提出存取邏輯Rolescanchangew omodifyingtheapplicationURLorapplicationlevelaccesschecks存取管理主控台AccessManagementConsoleDelegationofroleandpolicymanagementScopeandbusinesspolicydefinitionStaticroleassignment AccessManagement AzMan 授權管理員AuthorizationManager Roles basedauthorizationlibraryWindows2003and2000 download Centrallymanagedrolespolicy 授權與稽核Authorization Auditing Webapp Auditcollection MACS 透過AuthorizationManager 應用程式可以進行以角色為主的授權 透過MACS進行稽核事件的蒐集 AuditCollectionServices ACS WMI MonitoredClients MonitoredServers SQL Collector Eventssubjecttotampering Eventsundercontrolofauditors Securitylogs Securitylogs Real TimeIntrusionDetectionApplications ForensicAnalysis ManagementSystem Extranet Auditcollection MACS B2C B2B WebSSO Proxy VPN Infrastructure basedsign on BE N Viainter foresttrust employeesaccessextranetback endsusingintranetaccount EmployeescanRAS orVPNintointranetusingintranetaccount WebSSOforprovisioning single sign ontomultipleextranetpropertiesusingpartnersoftwareCustomers partnershavesingleaccountininfrastructuredirectoryinextranetOptionally usePassportforauthenticationandmaptoaccountsininfrastructuredirectory Auditcollection MACS Infrastructure basedsign on BE WebSSOusingADAMdirectoryforLDAP basedauthenticationCustomers partnershavesingleaccountinADAMinextranet Metadirectory MIIS ADAM Extranet ADAM B2C B2B WebSSO Employeesaccessback endsystemsusingbind redirectedaccounts nosinglesignon 微軟數位資產防護技術IRM 機密文件 嘿嘿嘿 我有權限 把他洩漏給外面的人看 Copy Paste Employee 新的使用者UserIDCreationCredentialIssuanceEntitlements 變更使用者PromotionsTransfersEntitlementChanges HelpDesk Lost CredentialsPasswordResetNewEntitlements 退休的使用者DeleteAccountsRemoveEntitlements 身份識別的生命週期 報表ComplianceAuditSecurity 整合Integration 工作流程Workflow 自我服務PasswordKioskIdentityNewEntitlements LifecycleManagement 統合Consolidate 身份識別之生命週期管理IDLifecycleManagement 同步Synchronize 整合Integrate 標準化Standardize MicrosoftIdentityIntegrationServer身份識別的彙總IdentityAggregationSupportforover20differentrepositoriesProvidesasingle enterpriseviewofauserUsesSQLServerastheinformationrepository使用者的供應UserProvisioningAutomateaccountcreate deleteGroup distributionlistmanagementWorkflow自我服務Self ServiceSelf servicepasswordchangeHelpdeskpasswordresetWeb based extensibleforbuildingself serve LifecycleManagement Exchange5 5 身份識別的彙總IdentityAggregation 同步多重儲存庫無代理程式 Agentless 的連結提供屬性層的控制管理全域定址列示 globaladdresslists GAL 自動化群組與DL管理 ActiveDirectory Notes iPlanet Oracle 所支援的儲存庫 ActiveDirectory ActiveDirectoryApplicationModeComputerAssociatesACF2IBMDB2 LotusDomino5 x 6 x TivoliDirectoryServer RACFMicrosoftSQL2000 SQL7NovelleDirectoryOracle8i 9iMicrosoftExchange5 5 2000 2003MicrosoftNT4 xSun iPlanet NetscapeDirectoryVariousflat fileformats DSML LDIF CSV fixedwidth SQL LOB2 LOB3 HR LOB1 Webapp LOB4 LOB5 3rdpartyLDAP 3rdpartyLDAP MIISdetectschangeinHRsystem ApplicationDirectory ADAM MIISprovisions de provisionsconnectedsystemsbasedonrules LifecycleManagement IdentityIntegrationServer MIIS 提供與收回Provisioning Deprovisioning 密碼管理Web應用 LotusNotes4 6 5 0 SunONEDirectory WindowsNT4 0 NovelleDirectory ActiveDirectory InitiatePasswordset changerequestthroughWMIinterface WebServer ASP Net https