DSM 2008/4 - PR SUN
Role Manager
Řešení, díky kterému je SUN v oblasti bezpečnosti o další krok vepředu
Úspěšnou akvizicí firmy VAAU rozšířila softwarové portfolio SUNu o unikátní komponenty z oblasti bezpečnosti. Tyto komponenty řeší problematiku správy rolí a navazují na již dobře známou oblast řešení správy identit. Odtud také vychází označení balíku služeb – Role Manager, původně známý jako RBACx.
Správa rolí jako taková je obecně jednou z klíčových oblastí celkové bezpečnosti organizace. Její důležitost podtrhuje současný tlak na splnění všech regulačních požadavků, jako je například Sarbanesův-Oxleyův zákon (USA) a potřeba plnění (a vynucení) interních bezpečnostních politik pro potřeby auditu. Nástroj SUN Role Manager (RM) optimalizuje veškeré úlohy potřebné k dosažení tohoto cíle tak, aby byl celý proces maximální měrou automatizován. Touto automatizací a konsolidací procesů je dosaženo výsledného snížení potřebných nákladů pro stanovený stupeň podnikové bezpečnosti při minimálních požadavcích na lidské zdroje v organizaci.
ZÁKLADNÍ PŘÍNOSY IMPLEMENTACE SUN ROLE MANAGERU
■ Vytvoření efektivního nástroje řízení přístupů k jednotlivým systémům, založeného na definování a přidělování rolí (business role), definování podnikových bezpečnostních politik a jejich vzájemné přiřazování. Postup založený na správě rolí a politik je výrazně přehlednější a názornější.
■ RM tvoří logický most mezi IT světem a světem obchodu tím, že mapuje obchodní logické role (business role) a pojmenování na terminologii používanou v IT.
■ Vytváří centrální místo s aktuálními informacemi o přidělených rolích, nastaveních přístupových práv a jejich certifikacích.
■ Řízení přístupů k aplikacím založené na rolích v součinnosti se systémy pro provisioning identit (Identity management) zajišťuje a zefektivňuje bezpečnost organizace v těchto oblastech:
■ získání přesné informace o tom, kdo má skutečně přístup k jednotlivým aplikacím a datům;
■ prokazatelné doložení toho, kdo dané přístupové právo (roli) přidělil, schválil a kdy tak učinil;
■ rozšiřuje kontrolu přidělených přístupových práv oproti interním pravidlům a umožňuje tyto vazby data-miningovým způsobem analyzovat;
■ zajišťuje a automatizuje mechanismy pro certifikace a recertifikace přidělení přístupových práv;
■ poskytuje reporty o potencionálních rizicích a odlišnostech skutečného nastavení od certifikovaného stavu v rámci rozdělení povinností (segregation of duties).
SUN Role Manager (RM) – viz obr. 1 – je kompletní softwarové řešení, které poskytuje všechny potřebné služby pro úspěšnou implementaci celopodnikového systému řízení rolí tak, jak byly popsány jednotlivé potřeby, a to i v organizacích, které mají tisíce rolí.
VLASTNOSTI SUN ROLE MANAGERU
Vlastnosti SUN Role Manageru jsou zaměřeny primárně do těchto oblastí:
■ Role Engineering (RE) – RM obsahuje propracovaný modul správy rolí, připravený na složité analytické úlohy, vytěžování informací a zjišťování závislostí (role-mining, identity correlation, access clustering). RE je schopen poskytovat i tzv. „identity clustering“, inovativní přístup k tradičním technikám v oblasti správy rolí. RE modul používá pokročilé „data-mining“ algoritmy pro identifikaci uživatelských přístupů přes klíčové aplikace a využívá tyto informace pro návrh aplikačních a podnikových rolí a pravidel.
■ Identity Certification (IdC) – RM poskytuje kompletní certifikační funkčnost (viz obr. 2), včetně časově vázaných certifikací uživatelských oprávnění, schopnosti nastavit auditovací baseline (výchozí stav), certifikovat inkrementální změny k tomuto výchozímu stavu, certifikaci členství v rolích vedoucími oddělení a certifikaci obsahu rolí jejími vlastníky. Výsledek je uložen v tzv. Compliance Dashboard.
■ Identity Auditing (IdA) – RM používá kontinuální proces auditování uživatelských práv, pravidel, schválení a výjimek, aby zajistil případnou nápravu ze strany pověřených osob tak, že výsledný stav bude certifikován pro účely auditu.
■ Identity Warehouse – poskytuje organizacím možnost postavit warehouse identit, který obsahuje informace o uživatelích a jim schválených oprávněních. Jednoduše umožňuje konfigurovat metadatový model, který lze použít při definici úrovní oprávnění, včetně hierarchických oprávnění.
■ Segregation of Duty Enforcement – umožňuje prevenci, detekci a vynucování oddělování povinností na úrovni rolí a bezpečnostních pravidel.
■ Compliance Dashboard – certifikační reporty jsou uloženy do Compliance Dashboard, který poskytuje status v reálném čase, co se týká compliance pro auditory a vedoucí pracovníky. Tyto reporty popisují soulad nebo nesoulad s definovanými politikami pro přístupová práva uživatelů.
■ Hierarchal Management Structure – je postavena za pomoci Role Based Access Control (RBAC) standardu, pro řízení založeném na hierarchické organizační struktuře.
■ Job Scheduler – definuje ad hoc nebo opakující se dávky pro běh reportů, audit skenů, nebo pro certifikaci.
■ Manage Policy Attributes – řídicí struktura pro výběr uživatelských atributů řízených na cílových systémech. Tato struktura definuje prostor pro takovéto atributy. Uživatelské atributy jsou pak použity při rolích miningu, vytváření bezpečnostních politik, auditu a certifikaci.
SUN Role Manager (RM) je postaven jako univerzální J2EE aplikace, splňující potřebné standardy. Nejdůležitějším z nich je Service Provisioning Markup Language (SPML) 1.0 a 2.0. RM je nasazován stejně úspěšně v prostředí, kde byl implementován SUN Identity Management, stejně jako v prostředí s identity managementem od jiného výrobce. Certifikované identity managementy jiných výrobců:
■ CA Identity Manager and eTrust Admin;
■ IBM Tivoli Identity Manager;
■ Novell Identity Manager;
■ BMC CONTROL-SA;
■ Microsoft Identity Integration Server (MIIS).
PETR RYVOLA
petr.ryvola(zavinac)sun.com
Publikováno: 21. 11. 2008