1 / 60

Poręcznie Cyfrowej Tożsamości Przegląd rozwiązań

Poręcznie Cyfrowej Tożsamości Przegląd rozwiązań. Piotr Kluczwajd. Evolution of the digital identity. Level of legislative compliance. Voluntary and mandatory regulations. The digital divide. Companies’ level of compliance. Time toward binding eCommerce. ... a co z tożsamością ?.

trista
Download Presentation

Poręcznie Cyfrowej Tożsamości Przegląd rozwiązań

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Poręcznie Cyfrowej TożsamościPrzegląd rozwiązań Piotr Kluczwajd

  2. Evolution of the digital identity Level of legislative compliance Voluntary and mandatory regulations The digital divide Companies’ level of compliance Time toward binding eCommerce

  3. ... a co z tożsamością ? Source: New Yorker Magazine, 1993

  4. Typowe bolączki współczesnej Korporacji Zgodność z legislacją Odpowiedzialność prawna HIPAA, SOX, etc. Brak komfortu pracy Silne uwierzytelnienie Redukcja kosztów IT Ekspansja biznesu Bezpieczeństwo / Risk Management

  5. Global Company Over 15 years experience Approaching 20 million users worldwide Over 2,000 customers 200+ patents issued and pending 350 employees worldwide Public company (Nasdaq: ACTI) US$50M total revenues Strong Balance Sheet: $150M+ Worldwide network of Integrators, partners and VARs Major achievements Largest multi-function smart card deployment Largest SSO deployment and eSSO market share leader Largest deployment of tokens for consumer banking ActivIdentity

  6. Vision To enable businesses to leverage a multi-function employee ID smart card as a single digital identity platform with scalable post-issuance credential and application updates Our Vision for the Enterprise Market • What does this mean for our enterprise customers? • ActivIdentity brings strong authentication to any device (smart cards, tokens, password) • ActivIdentity solutions can be introduced into enterprises at any stage of the technology adoption, extending to both Windows as well as Solaris environments • ActivIdentity solution delivers optimum deployment flexibility by integrating with the customers’ existing infrastructure, including: directory, application, provisioning, and authentication method

  7. Agenda • Poręczenie Cyfrowej Tożsamości • Sposób podejścia i waga zagadnienia • Wyzwania • Wsparcie wielu aplikacji i różnych metod indentyfikacji • Jak zarządzać? • Wyzwanie: definicja procesów biznesowych • Kolejne kroki? • Kluczowe zagadnienia

  8. SAP PSOFT Exchange Main Frame Web App Web App Web App Znaczenie Cyfrowej Tożsamości - single „you” many „who are you?” Logowanie Zdalne Typowy Użytkownik Logowanie Lokalne Logowanie w sieci LAN Aplikacje Korporacyjne Dostęp fizyczny

  9. Cyfrowa Tożsamość - Wyzwania Bezpieczeństwo Koszty Standardy Produktywność • Obniżone z powodu nadmiaru haseł statycznych będących w użyciu • Brak egzekucji polityk zmiany haseł • Coraz większa liczba aplikacji wymagających uwierzytelnienia • Obniżenie ufności w tożsamość osób • Zwiększone koszty Helpdesk • Zwiększone koszty utrzymania infrastruktury (wiele uprawnień, credentials, w różnych departamentach) • Brak zgodności z regulacjami prawnymi i ze standardami • Niemożność przeprowadzania prawomocnych audytów • Obniżona ze względu na skalę infrastruktury oraz rosnącą frustrację użytkowników

  10. ActivIdentity – Rozsądny wybór • Rozumiemy wyzwania • Posiadamy wiedzę oraz doświadczony personel • Proponowane podejście • Jednokrotne logowanie do wielu aplikacji (SSO) z wymuszonym i zautomatyzowanym procesem zmiany haseł • Dwuskładnikowe uwierzytelnienie oparte o silne algorytmy (PKI/SKI) implementowane na bezpiecznych urządzeniach (tamperproof). • Zcentralizowane zarządzanie oparte o usługi katalogowe oraz serwisy samoobsługowe • Integracja z komponentami infrastruktury (LDAP, RDBMS, provisioning, etc) • Szyfrowanie danych oraz podpis cyfrowy • Zgodność z regulacjami prawnymi oraz ze standardami • Ochrona dostępu zdalnego przez VPN / Web / WLAN • Prosta i szybka implementacja • Prostota i wygoda użycia

  11. SAP PSOFT Exchange Main Frame Web App Web App Web App Propozycja: integracja uprawnień (credentials) Logowanie Zdalne Szczęśliwy Użytkownik Logowanie Lokalne Logowanie w sieci LAN Aplikacje Korporacyjne Dostęp fizyczny

  12. SAP PSOFT Exchange Main Frame Web App Web App Web App Połączenie dostępu logicznego i fizycznego Logowanie Zdalne Szczęśliwy Użytkownik Logowanie Lokalne Logowanie w sieci LAN Aplikacje Korporacyjne Dostęp fizyczny

  13. Katalog Korporacyjny System Kadrowy Single Sign-On Provisioning Zarządzanie silnym Uwierzytelnianiem Elastyczne metody uwierzytelniania VPN Dostęp sieciowy Zarządzanie dostępem Web WLAN Bezpieczny Desktop Zarządzanie hasłami Web Kluczowe elementy Zarządzania Tożsamością (Identity Management) Korporacja na zewnątrz Korporacja wewnątrz Budynek Sytem kontroli dostępu Dostęp fizyczny Serwery Plików & Poczty Enterprise Access Card Aplikacje Secure Remote Access Web Servers

  14. Agenda • Poręczenie Cyfrowej Tożsamości • Sposób podejścia i waga zagadnienia • Wyzwania • Wsparcie wielu aplikacji i różnych metod indentyfikacji • Jak zarządzać? • Wyzwanie: definicja procesów biznesowych • Kolejne kroki? • Kluczowe zagadnienia

  15. Logowanie Desktop Logowanie do sieci SecureVPN Secure Web BezpiecznyDial-up RAS BezpiecznyVPN Secure Web Rozwiązania firm trzecich Rozwiązania firm trzecich SecureVPN SecureVPN Secure Web Secure Web Aplikacje Biznesowe Logowanie Web SecureVPN Secure Web Bezpieczny Desktop Bezpieczne LogowanieWindows BezpiecznyWLAN Serwisy PKI Konektor IBM Tivoli ActivIdentity Secure Remote Access Module SecureVPN Secure Web Secure Dial-up RAS ActivIdentity SSO/AA ActivIdentity Secure Remote Access CA PKI ProvisioningSystem ActivIdentity Card Management System ActivIdentity Enterprise Access CardRodzina rozwiązań Zarządzanie / Egzekucja Oprogramowanie stacji roboczej Bez oprogramowania KLIENT

  16. ActivIdentitySecureLogin Single-Sign On

  17. Zbyt wiele żeby zapamiętać! johnnyjjohnson_04 johnnyj294 jjohnson077 johnmeister_192 ******** bigjohn_92 jj122 johnnyjohnjohn st.john_140 johnny_thegolfer413 ******************************************************************************** ************ jjj_021 johnathan_17 jjohnson077 **** john_Johnson_45 **** ****** Problem z zarządzaniem hasłami wiele haseł Jak musisz pamiętać?

  18. Problem z zarządzaniem hasłami- Bezpieczeństwo • Użytkownicy będą zawsze: • używać”słabych” haseł • wykorzystywać poprzednie hasła • zapisywaćhasła Bezpieczeństwo jest równe ZERO

  19. Problem z zarządzaniem hasłami - Koszty Produkowanie kosztów Help Desk • Giga Research • $25 to $50 - koszt ponoszony przez organizację na pojedyncze zgłoszenie do helpdeskuzwiązane z uwierzytelnieniem • eWeek(Who’s Who When, Feb 03): • [około]$45 - koszt definicji nowego hasła (reset)

  20. Obniżone bezpieczeństwo aplikacji Manualne zarządzanie kontami Brak wiarygodnego mechanizmu audytu Niska ufność w tożsamość Resetowanie haseł Aplikacje Kadrowe Hacker Haker Systemy Finansowe Systemy Biznesowe Użytkownik Administrator Portale Korporacyjne Sieć nie chroniona Zwielokrotnienie tożsamości Hacker Proste hasło statyczne Haker Zwielokrotnienie tożsamości

  21. Wysoka ufność w identyfikację przy logowaniu Wysoki zwrot kosztów inwestycji (ROI) Wygoda użytkowania Zalegalizowany audyt Redukcja kosztów helpdesk Aplikacje Kadrowe Systemy Finansowe Audyt Skomplikowane Uprawnienia sieciowe Systemy Biznesowe Użytkownik Administrator Portale Korporacyjne Provisioning kont Konsolidacja uprawnień Obszar zaufany Konsolidacja Uprawnień z SecureLogin Single Sign-On

  22. Użytkownik uruchamia aplikację Wprowadzenie uprawnień do okna logowania Uwierzytelnienie użytkownika Sieć zezwala na dostęp (lub nie) Dwuskładnikowe uwierzytelnienie System Finansowy Obszar zaufany Użytkownik Silne uwierzytelnienie na poziomie aplikacji Silne wieloskładnikowe uwierzytelnienie sieciowe Wysoki poziom ufności identyfikacji SecureLogin Single Sign-OnUwierzytelnianie dwuskładnikowe

  23. 3)Podaj UID i hasło 2)Uruchomienie Aplikacji 1) Uwierzytelnienie do serwera katalogowego ActivIdentity SecureLogin SSOProces Logowania 5) SecureLogin SSO otrzymuje uprawnienia (ID/pwd) z LDAP, a następnie przekazuje do aplikacji Serwer Aplikacji Serwer Katalogowy 4) SecureLoginpobiera uprawnienia z LDAP Stacja Robocza

  24. ActivIdentity SecureLogin SSOArchitektura Siła rozwiązania:Architektura – wykorzystanie serwera katalogowego Klient SecureLogin Serwer Katalogowy WinSSO TLaunch ADS, LDAP, ADAM Moduł główny JavaSSO WebSSO eDir, inne Script Engine Net Client Lokalny cache (opcjonalnie) Dane SSO Katalog Skrypty Polityki Haseł Właściwości Uprawnienia Użytkowników

  25. ActivIdentity SecureLogin SSOWsparcie Aplikacji Inne aplikacje mogą być obsługiwane przez SSO dzięki wykorzystaniu zautomatyzowanego Wizard’u i języka skryptowego Siła rozwiązania :„naucz się i odtwórz” • ActivIdentity SecureLogin SSO pozwala zarządzać unikalnym zestawem uprawnień (credentials) dla dowolnej aplikacji • Hasła są unikalne i niezsynchronizowane • Brak konieczności modyfikacji w aplikacji • Wsparcie dla wielkiej liczby aplikacji • Windows32 • Web i eBusiness • Citrix/Terminal Server • Host-based/emulator terminali • Java

  26. ActivIdentity SecureLogin SSOBezpieczeństwo Siła rozwiązania :Wyższe Bezpieczeństwo • Użytkownicy nie muszą znać swoich identyfikatorów i haseł do poszczególnych aplikacji • Silne polityki haseł konfigurowalne dla każdej aplikacji oddzielnie Nawet jeśli aplikacja nie posiada własnej polityki! • Zapis haseł na karcie kryptograficznej (4k/50) • Ochrona uprawnień użytkowników w katalogu (LDAP) z wykorzystaniem PKI • Generacja haseł dynamicznych (OTP) z użyciem karty kryptograficznej • Logowanie hasłem statycznym do stacji roboczej z użyciem karty kryptograficznej (non PKI)

  27. ActivIdentity SecureLogin SSOBezpieczeństwo Siła rozwiązania :Wyższe Bezpieczeństwo Ochrona przed ”występnym” administratorem: • Reset hasła użytkownika w LDAP blokuje dostęp do danych SSO • Użytkownik musi podać passphrase żeby uaktywnić SSO • Kopiowanie danych SSO użytkownika na inny obiekt w LDAP powoduje blokadę • Dane SSO są szyfrowanez wykorzystaniem 3DES/AES

  28. ActivIdentity SecureLogin SSODostęp Zdalny Siła rozwiązania :Użytkownik zdalny • ActivIdentity SecureLogin SSO pozwala uruchomić bezpiecznie zaszyfrowany cache klienta • Wymuszenie podania passphrase (konfigurowalne) • Możliwość zmiany haseł z automatyczną synchronizacją przy kolejnym połączeniu z serwerem katalogowym • Wszystkie opcjeSecureLogin są dostępne przy pracy zdalnej

  29. ActivIdentity SecureLogin SSOZarządzanie Siła rozwiązania :Wysoka skalowalność i zarządzanie • Silna integracja z Active Directory, eDirectory oraz innymi serwerami LDAP pozwala na sprawne zarządzanie SSO (Group and Policy Management) • Wsparcie dla ADAM • Integracja z Microsoft Management Console (MMC) Snap-in oraz narzędziami zarządzania eDirectory

  30. Wsparcie aplikacji Web (Firefox) Elastyczne rozpoznawanie aplikacji Bezwzględne ROI Solidne i wieloletnie doświadczenie Zcentralizowana administracja Zwiększone bezpieczeństwo Integracja z ADAM SecureLogin SSO – Co nas wyróżnia

  31. Standard Life RESULTS • Increased Security - Users are no longer writing passwords down and are able to use stronger, longer network passwords • Increased User Satisfaction - Users more satisfied with login experience, have seen productivity gains as well as dramatic drop in calls to the helpdesk for password resets. • Integrated into directory • Directory and provisioning integration provided substantial gains at the user provisioning level and reduced costs. • Number of password related Help Desk calls reduced from 23% to 6% for 7k users (from 11k entire population) NEEDS Increase Security of applications Many financial applications not being properly protected due to poor password management practices Increase User Satisfaction Include compatibility with existing user provisioning systems

  32. ActivIdentitySecure Remote AccessAAA Server

  33. Czynniki warunkujące wymagania • Organizacje muszą realizować bezpieczny zdalny dostęp dla pracowników. • Zmiany w obszarze technologii silnego uwierzytelnienia: • Wygasają patenty firm trzecich • Inicjatywa OATHpojawia się na rynku jako silna alternatywa dla rozwiązań własnych (proprietary). • Poprzez tworzenie otwartych standardów, OATH oferuje: • elastyczniejszy wybór urządzeń uwierzytelniających • niższe koszty utrzymania • możliwość wymiany istniejących zróżnicowanych własnych (proprietary) systemów bezpieczeństwa , których złożoność często prowadzi do podniesienia kosztów.

  34. Ja to działa ? — bez AAA Server • Użytkownicy potrzebują dostępu zdalnego do zasobów korporacyjnych z domu, hotelu, kawiarni internetowych, etc. • Standardowe punkty dostępowe, takie jak firewall, oczekują podania statycznych uprawnień (identyfikator/hasło): • Słabe uwierzytelnienie • Atak typu „replay” • Takie rozwiązania zagrażają bezpieczeństwu korporacji Punkt dostępowy Zasoby Korporacyjne Użytkownik zdalny Obszar chroniony Obszar nie chroniony

  35. Jak to działa? — z AAA Server • Punkty Dostępowe (z interfejsem RADIUS lub TACACS+ interface) mogą kierować uwierzytelnianie zdalnych użytkowników do AAA Server (routing) • Zdalni użytkownicy zamiast haseł statycznych używają haseł jednorazowych (OTP) generowanych w oparciu o opatentowany algorytm ActivIdentity lub OATH • AAA Server „z pudełka” może kontrolować identyfikatory i hasła jednorazowe, aby w ten sposób uwierzytelniać użytkowników • AAA Server pozwala również autoryzować (authorization) i rozliczać (accounting) aktywność użytkowników zdalnych RADIUS lub TACACS+ Punkt dostępowy Zasoby Korporacyjne Użytkownik zdalny Obszar nie chroniony Obszar chroniony

  36. ActivIdentityAAA ServerOpis Produktu • Bezpieczny dostęp zdalny • Dial-up i VPN • Aplikacje Web • Kluczowe cechy produktu • Silne uwierzytelnianie hasłami jednorazowymi • Serwer aaa kompatybilny z RADIUS i TACACS+ • Autoryzacja (authorization) i rozliczanie (accounting) • Wsparcie kart kryptograficznych i tokenów • Koegzystencja kart PKI oraz kart non-PKI • Punkty integracji w przedsiębiorstwie • Połączenie z Sieciowymi Serwerami Dostępowymi (NAS: dial-up/VPN) • Wykorzystanie korporacyjnego katalogu LDAP • Praca jako Proxy to serwerów firm trzecich (migracja od tokenów do kart kryptograficznych)

  37. ActivIdentityMini Token Prosty, łatwy w użyciu, przeznaczony dla klientów serwisów detalicznych przy ochronie dostępu i zatwierdzaniu transakcji • One Token, KeyChain Token, Pocket Token • Przede wszystkim używany w środowiskach korporacji/przedsiębiorstwa do ochrony dostępu do sieci, aplikacji oraz zasobów informacyjnych. • ActivIdentity DesktopToken • Używany przez osoby niedowidzące; pozwala organizacjom spełniać wymagania legislacyjne i przemysłowe. Tokeny ActivIdentity

  38. ActivIdentity AAA ServerCharakterystyka • Pojedynczy punkt zarządzania • Praca w konfiguracji Fail Over / High Availability • UwierzytelnianieServer Pool / Load Balancing • Wsparcie WiFi • Help Desk i Self Desk Web • Przekierowanie uwierzytelnienia • RADIUS, LDAP • Tryb uwierzytelniania • OTP, Challange/Response, statyczny, LDAP • Zapasowe tryby uwierzytelniania • Statyczny, LDAP, SMS

  39. AAA Server - Co nas wyróżnia • Tokeny nie tracą ważności • Eliminacja podwójnej administracji • Znaczne obniżenie kosztów helpdesk • Konsolidacja uprawnień (credentials) • Prostota użycia • Pomost i migracja do zaawansowanych rozwiązań • Szybka integracja z istniejącą infrastrukturą • Łatwa implementacja i administracja

  40. British Telecom NEEDS: RESULTS: Cost Control Significantly reduce user authentication costs “We were impressed by the richness of function, the simplicity of architecture and the total cost of ownership of the overall solution” “This will provide our users with greater functionality and ease of use while allowing BT Exact, … , to leverage BT’s directory and RADIUS infrastructure, thus making significant cost savings on user account management.” Ashok Patel, Strategy Manager, Internet and Distributed Technology Risk Management Secure access to critical corporate information by mobile workforce DTG

  41. HP RESULTS NEEDS • Token Problems Solved by ActivIdentity • Costs – Less than previous vendor with more functionality • Scalability – Over 20 times more authentications per second • Ergonomics – Superior • Allows legacy RADIUS based apps to adopt PKI at their own rate, or not at all PKI Problems Solved Using ActivIdentity • Shared or multiple systems – PKI credentials are on a secure, portable Smart Card • Certificates issued onto the Smart Card meet HP’s two-factor requirements. • — Alan Dundas, IT Security Architect Cost Control Significantly reduce existing expensive 2-factor authentication costs Bridge and Migrate One infrastructure to handle both RADIUS authentication and PKI authentication DTG DTG

  42. Case Study : Alstom RESULTS: "We replaced our legacy leased token deployment with ActivCard's secure remote access system… quickly reduced our administration costs by 75 percent.” "ActivCard AAA Server quickly reduced our security infrastructure costs. It is the only system we found that plugs directly into our enterprise LDAP directory, which strengthens and centralizes the administration of identity credentials” — Vincent Cremin, Deputy CIO and IT Risk Manager NEEDS: Reduce Costs Significantly reduce existing token authentication costs Integrate with Identity Management Fully integrate with new enterprise directory project Expand over time Start with remote access move to local login and PKI over time

  43. Agenda • Poręczenie Cyfrowej Tożsamości • Sposób podejścia i waga zagadnienia • Wyzwania • Wsparcie wielu aplikacji i różnych metod indentyfikacji • Jak zarządzać? • Wyzwanie: definicja procesów biznesowych • Kolejne kroki? • Kluczowe zagadnienia

  44. ActivIdentityEnterpise Access Card (EAC)Card Management System + ActivClient

  45. EAC: Poręczenie Cyfrowej Tożsamości - Architektura

  46. Karty zastępcze Uaktualnianie kart Rejestracja (enrollment) Wydawanie (issuance) Usługi po wydaniu (post-issuance) Administracja • Konfiguracja i wsparcie • Audyt i raportowanie • Zarządzanie rolami • Wprowadzanie danych • Zapis biometryki • Zatwierdzanie • Personalizacja kart • Dystrybucja • Lokalnie / Delegowanie • Aplety i uprawnienia • Odblokowywanie Kart • Dane demograficzne ActivIdentity Card Managment SystemOpis produktu • Połączenie Katalogu / CA / Dostępu fizycznego / Provisioning’u / Kart w pojedynczym interfejsie Web • Kompletna i elastyczna platforma służąca do wydawania (issuance) i zarządzania kartami - niezbędna do pomyślnego wprowadzenia identyfikatora cyfrowego • Zarządzanie cyklem życia kart, danych, apletów, cyfrowych uprawnień (credentials) • Zarządzanie administracją, konfiguracją, audytem, raportowaniem • Platforma narzędziowa (framework API) pozwalająca na integrację z systemami zewnętrznymi

  47. ActivIdentity CMSCechy kluczowe • Ujednolicone personalizacja i zarządzanie cyklem życia • Wydawanie / Odwoływanie / Zawieszanie kart i uprawnień (PKI, SKI, statyczne) • Wsparcie kilku CA równocześnie • Wysokie bezpieczeństwo i audyt • Ciągłość zaufania (chain of trust) dla serwisów personalizacyjnych • Różnorodność wariantów wydawania kart • Lokalnie (face-to-face) • Z potwierdzeniem (validated issuance) • Zintegrowana stacja personalizująca kartę elektrycznie i graficznie • Zapewnienie serwisów po wydaniu (post-issuance) oraz operacji samoobsługowych (self-services) • Odblokowanie karty w trybie Online lub Offline • Dodawanie/ uaktualnianie uprawnień, aplikacji i danych na karcie • Elastyczność ról i trybów pracy • Niezależność od producentów repozytoriów zewnętrznych (karty, LDAP, CA) • Narzędzia integracyjne (API)

  48. ActivIdentityDesktop SoftwareActivClient

  49. ActivClientCharakterystyka produktu • Bezpieczeństwo • Wykorzystanie karty kryptograficznej do: • Silne uwierzytelnienie • Niezaprzeczalność (non-repudiation) • Integralność i Poufność • Metody uwierzytelniania • Hasła dynamiczne • Hasła statyczne • Biometryka • PKI • Certyfikacje FIPS 140-2 Level 2 / 3 • Wsparcie RSA 2048-bit • Redukcja TCO • Konfiguracja i Customizacja • Serwisy dystrybucyjne • Auto-konfiguracja & Troubleshooting • Serwisy samoobsługowe i Centralne zarządzanie (wymaga CMS) • Niezależność od producenta karty • Maksymalna zdolność do współpracy w infrastrukturze • Logowanie i blokowanie stacji roboczej • Serwisy PKI (bezpieczny email i Web, podpis cyfrowy) • Single Sign-On • Bezpieczny Zdalny Dostęp (Secure Remote Access) • Dostęp terminalowy • Narzędzia programistyczne (SDK) • Niezależność od pojedynczego dostawcy karty

  50. ActivClientŚrodowisko pracy • Karty kryptograficzne / klucze USB • ActivIdentity Smart Card 64K v1/v2 • ActivIdentity ActivKey v2 / SIM • Card Manufacturers: • Atmel (FIPS) • Axalto (FIPS) • Giesecke & Devrient (FIPS) • Gemplus (FIPS, Common Criteria) • Oberthur (FIPS 140-2 Level 3) • Systemy Operacyjne • Windows 2000 / XP / Server 2003 / Linux / Solaris • Czytniki Smart Card • Choice of USB, PCMCIA and serial readers

More Related