controle de acesso ao datacenter
TRANSCRIPT
![Page 1: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/1.jpg)
![Page 2: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/2.jpg)
controle de acesso ao datacenter
opcoesimpactobeneficiossecOps
![Page 3: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/3.jpg)
quem somos• Netbr – www.netbr.com.br
Fundada em 2003 e pioneira em PIM no BrasilPrincipais clientes nos segmentos financeiro e telcoDiferencial: Experiência, Know-how, Inovação
![Page 4: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/4.jpg)
Direcionador: Complexidade & Mãos
Firewall IDS & SIEM User Control
![Page 5: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/5.jpg)
SOX→ COBITDS5.5 Security monitoringDS9.2 Config.changesDS11.6 Securing Data
PCI-DSSChapter 7, 8 Implement Strong Access ControlChapter 10Audit Access to Cardholder DataChapter 12Maintain sec.policy for personnel
ISO27002A.10.2 Third-party service mngmntA.10.10 Monitoring user activitiesA.13.2 Mgmt of Security Incidents
HIPAA, Basel II, GPG13…
Similar requirements!
Direcionador: Compliance & Auditoria
![Page 6: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/6.jpg)
Rastros de AuditoriaA norma ISO 27001 em seu item 10 do Anexo nº 10 tabula alguns itens para a monitoração e detecção de atividades não autorizadas de processamento das informações, tais como: • registros de auditoria, • monitoramento do uso de sistemas,• proteção das informações de registro, • registros de administrador e de operador,• registros de falhas
Direcionador: ISO 27001
![Page 7: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/7.jpg)
Necessidade:• Terceirização tem como objetivo redução de custos,
minimização da gestão de recursos humanos, melhoria na prestação de serviços, flexibilidade na relação demanda e objeto de contratação, acesso a conhecimentos técnicos e inovações tecnológicas
Ameaças:• Administração do controle de acesso aos recursos
computacionais e dos sistemas de segurança como um todo (firewalls, IDS, IPS, SO, DB, etc…)
• Acesso ao Servidor (UID 0; Root; SysAdmin, Admin, Local, etc...) onde os administradores possuem os mais altos privilégios, com direitos irrestritos sobre os servidores e devices.
Direcionador: Terceirização
![Page 8: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/8.jpg)
Direcionador: Operação
![Page 9: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/9.jpg)
visão gartner 2015SAPM – Service/Share Account Password Management
AAPM – Application to Application Password Management
PSM – Privileged Session Management
SUPM – Super-User Privilege Management
![Page 10: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/10.jpg)
análise inicial• Credenciais:
• Inventariar (descobrir), Classificar e Entender o Uso• Humanas• Não-Humanas (Aplicação e Serviços)• Controle (Mostrar ou Não) – SSO por sessão.
• Funções:• AD Brigde Unix/Linux• Resiliência: Disponibilidade e Escalabilidade• SSH• OCR• Controle de Comando• Análise de Uso (Comportamento)• Manter Visão Automática (Dynamic Discovery)
• Vendors:• Suite x Best-of-Class• Diferentes Estratégias = Diferentes Resultados = Diferentes Preços
![Page 11: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/11.jpg)
analise inicial
![Page 12: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/12.jpg)
Desafios Internos:Como implantar uma solução transparente?
IT Staff
Outsourcing partners
Adm Windows
SSH
RDP, VNC
Citrix
• Firewall,• Network devices,• Databases,• Web/file servers, • Citrix server…
House users
HTTP, TelnetACESSO
ILIMITADOIRRESTRITO Limitação de
Firewall
Ambiente Complexo
![Page 13: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/13.jpg)
IT Staff
Outsourcing partners
Adm Windows
SSH
RDP, VNC
Citrix
House users
HTTP, Telnet
RBAC/Sudo
MonitorAgentesSenhas Chaves
Qual a Melhor Estrategia?
![Page 14: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/14.jpg)
visão EQUILIBRADA (devsecops)
Segurança eTRANSPARÊNCIA
Operação eAUTOMAÇÃO
![Page 15: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/15.jpg)
opções • SAPM: • Cofre para armazenamento de Senhas (Vault)• Credenciais são Associadas a Senhas (Discovery)• Gerenciadas sob uso ou intervalos curtos (Enforcement)• Auditoria do Uso das Credenciais (Monitor)• Workflow e Integração com gestão Mudanças (Process)
• AAPM:• Eliminar HardCode ou Configuration Files• API, SDK, CLI (Lançamento de Aplicações) para integrar com Cofre (Vault)
• PSM:• Estabelecimento da Sessão (Transparência)• Monitoração e Gravação (OCR & Search)• Controle da Sessão (4 eyes, Notificação, Politica)• Baseados em Agentes, Proxy ou Protocolos
• SUPM:• Controle de Comandos e Perfil (Sudo ++)• RBAC para Administradores• Baseado em Agentes ( Kernel ou Shell) – full RBAC• Baseados em Protocolos - Whitelisting
![Page 16: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/16.jpg)
maturidade processo
![Page 17: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/17.jpg)
maturidade processo
![Page 18: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/18.jpg)
Visão: ganho e foco
![Page 19: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/19.jpg)
Visão: ganho e foco
![Page 20: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/20.jpg)
SAPM + PSM
discoveryrevelaçãocontrole
![Page 21: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/21.jpg)
SAPM + PSM
![Page 22: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/22.jpg)
SUPM
![Page 23: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/23.jpg)
ferramentaserradas
![Page 24: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/24.jpg)
guia de escolha• Plataformas• Registro e relatórios robustos• Workflow de aprovação• Custo de implantação, consultoria e serviços• Tempo de implantação• Referências de uso
• Fluxo de aprovação• Integra-se com ferramentas de ticket• Suporta senhas “históricas" • A ferramenta fornece recursos de SSO
• Arquitetura flexível• Granularidade suficiente• Relatórios e dashboards• Reprodução da sessão e das ações• Alertas em tempo real• Análise para investigação forense e desempenho• Suporta contas envelopadas ou não• Integração SIEM
Geral
SAPM (AAPM)usuárioscríticos
Monitor sessão
![Page 25: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/25.jpg)
netbr
![Page 26: Controle de Acesso ao Datacenter](https://reader035.vdocuments.site/reader035/viewer/2022062503/58f34bff1a28ab32018b45e5/html5/thumbnails/26.jpg)