面向 IT 治理, 多方位提升安全管理能力 IBM Tivoli 身份管理解决方案
门户建设的目标 应用访问 内容 ( 文章 手册 ) 更多的复杂化 : 拥有多个无关联的应用系统 电子邮件移动访问电子教育协作 电子学习 销售管理 人员查找 目标 : 一个集成的 可配置的 随时随地可用的随需应变工作场所 财务系统 HR 自服务 Page 2
Agenda 身份管理面临的困难 IBM Tivoli 身份安全解决方案实现 IBM 优势和成功案例 Page 3
要想实现全面的安全性, 必须解决安全威胁和用户问题 1. IT 安全管理 主要满足安全风险管理 (security threats) 2. 业务系统安全 主要解决以身份为核心的安全管理 (user security) 谁能进来? 他们能够做什么? 是否能够为审计提供足够的信息 Page 4
业务不断发展, 越来越多的安全孤岛, 帐号多, 认证多, 授权复杂, 审计分散 Linux 安全 1. 帐号 2. 授权 3. 认证 4. 审计 WebSphere MQ Page 5
用户管理面临的困难 大量的系统 应用系统和网络设备, 分别属于不同的部门和不同的业务系统 缺乏一套独立的认证 授权和审计系统 缺乏集中统一的资源授权管理平台, 无法严格分配权限, 系统的安全性无法得到充分保证 有些账号多人共用, 不仅在发生安全事故, 难于确定账号的实际使用者, 而且在平时难于对账号的扩散范围进行控制, 容易造成安全漏洞 支撑系统增多, 帐号登录频繁, 口令多, 使用户经常需要在各个系统之间切换, 给用户的工作带来不便, 安全性差 缺乏集中统一的系统访问审计 各支撑系统独立运行 维护和管理 系统运维审计分散, 系统日志信息不准确, 不可信 Page 6
孤立的, 分散的应用安全管理架构 高管理成本 异构, 分散管理 难以满足合规要求 Audit Access Control APP APP APP Admin Directory Page 7
自主的用户管理架构 : 解决了帐号管理问题, 但不能解决认证 授权和审计等问题 Enterprise Directory Meta- directory APP APP APP Meta Meta Page 8
集中的安全平台架构 : 满足当前的集中趋势和未来发展需要 Access (Authentication/Authorization) Account (Provisioning/Password) Auditing Audit Service Access Management Service Enterprise Directory Account Provisioning Service APP APP APP Page 9
用户访问的安全考虑 外网访问 DMZ 企业内网 1) 敏感数据应当放在哪里? 2) 线上交易应当在哪完成? 选择理由 : 停火区内安全无法保证 Page 10
用户访问的安全考虑 ( 续 ) 外网 DMZ 企业内网 检查身份 增强访问控制 用户认证和授权检查应当在哪里完成? 理由 : 不希望让未授权用户访问到运营商内网 Page 11
IBM Tivoli 提供全面的安全管理 Affiliate A.NET Affiliate B others Tivoli Access mgr 集中的访问控制平台 SAML Tivoli Identity mgr 集中的用户管理 管理员 TSOM & TSCM 集中的安全事件安全策略管理安全审计服务 数据库服务器 Web 服务器 应用服务器 人力资源应用 LANs Page 12
集中用户管理和访问授权平台的价值 企业角度 账号 授权管理将纳入统一 通过认证技术, 实现不同权限等级账号的不同安全策略 实现用户自我服务, 单点登录, 大幅度降低系统的管理成本 管理员角度 系统用户生命周期的管理, 均可在一个平台上进行管理 及时发现未授权的信息资源访问, 权限滥用, 入侵企图等 减少由于用户忘记密码产生的维护成本 用户角度 保证用户权限的分配符合安全策略要求, 拥有完成任务所需要的最小权限 用户一次登录即可方便地访问被授权的所有系统, 提高了工作效率 系统安全角度 用户的工作变动情况及时在支撑系统中得到体现 安全策略的强制执行 通过的审计手段, 发现系统中存在的安全问题和各种入侵企图 Page 13
Agenda 身份管理面临的困难 IBM Tivoli 身份安全解决方案实现 IBM 优势和成功案例 Page 14
IBM Tivoli 基于身份的安全管理解决方案 Tivoli Federated Identity Manager 安全增强 authentication authorization 用户管理 provision/manage 用户同步 meta-directory IBM Tivoli Access Manager IBM Tivoli Identity Manager 用户存储 Directory LDAP IBM Tivoli Directory Integrator IBM Tivoli Directory Server Page 15
身份管理应用模式一 : 用户目录 解决客户问题 太多的身份存储, 错误数据, 安全问题暴露和高昂的费用 用户存储 Directory LDAP 用户目录设计和实施服务 Page 16
IBM Directory Server 一个具有高度可靠性的 可扩展的 基于标准的 LDAP 服务器 The Open Group LDAP v3 认证 运行在多种平台上, 包括 IBM HP Linux Windows 等 使用 DB2 作为用户信息存储 多种复制模式,(S-M,M-M) 支持 DSML V2 基于 WEB 的管理窗口 Load Balancer Master 1 Master 2 Master 3 Master 4... Replica 1 Replica 2 Replica 3 Replica 4 Replica 1a Replica 2a Replica 3a Replica 4a Replica 1b Replica 2b Replica 3b Replica 4b Page 17
身份管理应用模式二 : 用户信息整合和同步 解决客户问题 太多的身份存储, 数据难以同步和纠错, 安全问题暴露 用户整合 meta-directory 用户存储 directory LDAP 用户目录整合设计和实施服务 用户目录设计和实施服务 Page 18
IBM Tivoli Directory Integrator (TDI) : 目录整合工具 基于策略的应用目录信息单向 / 双向同步 在不同的应用和目录树资源之间同步和交换信息 跨不同数据存储库的数据管理 建立一个坚固可靠的目录树结构, 可以被众多的应用使用 企业目录服务器 LDAP directory Daily CSV JDBC DB Microsoft Active Directory 人事数据 Oracle Table Email Address Page Book 19
身份管理应用模式 3: 统一用户身份管理 解决客户问题 太多的 ID 管理点, 高昂的身份管理费用 薄弱的 / 不一致的管理, 存在安全和符合性问题 满足审计的要求 身份管理 provision/manage 用户同步 meta-directory 身份管理设计和实施服务 用户存储 directory LDAP 目录整合设计和实施服务 用户目录设计和实施服务 Page 20
低效率的身份管理流程 启动新使用者 新帳戶自申請到啟用需高達 12 天的作業時間 管理使用者 停用使用者帐户 每一使用者角色变动 更换密码的请求需花费 20 美元 30-50% 的现有账户是无效账户 新需求开发成本 存取控管的开发占整个开发过程 30% 的时间 保护信任符合多种保密法和制度? Page 21
Tivoli Identity Manager 自动化的用户身份服务 生成帐户 变动请求 用户角色变动 帐户属性 变更 用户 访问 实现 主动 服务 引擎 策略和角 色检查 审批过程 Page 22
Tivoli Identity Manager: 自动化帐号生命周期管理 身份变更请求 评估访问策略 核准 更新帐户 检测和纠正本地权限设置 新进员工 / 新使用者自我注册 登记 Tivoli Identity Manager 自动化签核流程 Account 新增 Notif. 使者用部门或任务更动 删除 Policy 异动 Role 重新认证使用者 User Ext Sys Page 23
Tivoli Identity Manager 的主动服务模式 用户 角色 主动服务策略 服务 ( 资源 ) 用户被按照责任来赋予相应的角色 借助于主动服务策略, 角色被授予对资源访问的策略 主动服务策略同样可以按照一个特定用户来进行属性的定义 一个服务 (service) 来代表一个被管理的资源 策略在用户认证中被强制执行 ( 如, 对资源的授权 ) TIM 能够收回由本地管理员创建的未被授权的操作和更改 Page 24
身份管理应用模式 4: 安全访问和认证授权 安全增强 authentication authorization 解决客户问题 薄弱的 / 不一致的管理 分散的, 不一致的授权 / 访问控制 提高访问效率和管理效率 满足审计的要求 用户管理 provision/manage 访问管理设计和实施服务 用户同步 meta-directory 身份管理设计和实施服务 用户存储 directory LDAP 目录整合设计和实施服务 用户目录设计和实施服务 Page 25
Tivoli Access Manager: 单一策略 多个强制控制点 主认证 / 授权服务 Policy Server Registry 统一的安全策略 DMZ Application Enforcer Enforcer Enforcer TAM for e-business 访问进程和企业应用 Java 2 Enforcer J2EE.NET TAM for Operating Systems UNIX/Linux 操作系统 User Mode Enforcer Kernel Mode TAM for Business Integration Messaging Server A Application Enforcer Server B Application Enforcer X Y Page 26
Tivoli Access Manager for ebusiness 提供集中统一的应用访问认证和授权服务 帐号认证访问授权审计 经销商 企业客户 H TT P P R O XY 安全隔离 统一访问入口 统一访问策略 深层防御 X M L / W E B S E R V I C E S B U L S O I G N I E C S S Dealer 门户 供应商系统 内部员工 SAP 应用 内部其它应用系统 供应商 外网 DMZ 内部可信网络 Page 27
门户系统和 TAMeb 的集成 Client Web (Web) Application Application AM plugin e.g. IIS Client Client TAM HTTP Server WebSeal T A I Portal Server Portlet Portlet Portlet e.g. WAS Client authorization vault Application Server e.g. inotes TAM Integration for: Authentication Authorization Singe Sign-On LDAP Portal Database Tivoli Access Manager for e-business Page 28
Tivoli Access Manager 访问控制解决方案 BEFORE AFTER Access Manager Security Services Unified policy Single user registry Centralized audit and other J2EE 太多的口令需要记忆 多个管理域, 多个访问控制工具 到处都是用户和访问控制信息 安全成为应用开发者的任务 策略依从性? Web 单点登录, 单一工具完成访问控制 单一安全域, 或是基于单一工具的委派管理 集中的用户和安全信息 策略 + 审计 = 策略依从 建立安全标准, 具有高度扩展性 = 安全策略 = 用户和组的信息 = 审计 Page 29
身份认证及访问控制的集成 HR Systems 身份识别管理系統 认证模块 Core Business Identity Stores 认证模块 OA System O.S Platform 身份识别管理服务器 (Identity Management) 认证模块 Login Please enter your ID and password ID Password 认证模块 Web Server 數位憑證 硬體 Token 生物辦識 访问管理服务器 (Access Management) Page 30
Agenda 身份管理面临的困难 IBM Tivoli 身份安全解决方案实现 IBM 优势和成功案例 Page 31
IBM 领先全球身份管理市场 According to IDC (2006 revenue) Total market revenue in Identity Management reached almost $3B in 2006 and is forecast to reach over $4.9B by 2011, but this doesn't include revenue from Identity Management services. 1. IBM ($364M, 12.2% market share, 10.6% growth) 2. CA ($330M, 11% market share, -12.1% growth) 3. RSA/EMC 4. VeriSign 5. Oracle 6. Novell 7. SafeNet 8. Aladdin 9. Entrust 10. ActivIdentity Page 32
IBM 身份管理 认证授权竞争优势 Page 33
Page 34
四川移动案例 集中帐号管理 集中授权审批 集中日志管理 应用统一认证 访问单点登录 Page 35
IBM 安全项目案例 : 中国太平洋保险集团 客户名称 客户需求 中国太平洋保险集团 管理全国 2 万个内部用户的帐号设立 变更和删除需求 支持公司主要应用系统的安全访问和单点登录 确保集团范围内安全策略的有效执行, 对帐号管理的审计 解决方案 IBM 集中用户管理解决方案 IBM 集中访问授权解决方案 项目内容 集中帐号管理 :2 万名员工 集中访问授权 :Lotus Oracle ERP 车险理赔 寿险两核 cpic.com 集中身份认证 : 用户名 / 口令, 个人数字证书 Page 36