Secure all the clouds! - Controlware€¦ · • IDR ist eine Virtual Appliance für VMware,...

Marc

om

V1.1

2019

© 2019 Controlware GmbH 1Klassifizierung: intern

Sichere Authentisierung für Ihre Multi-Cloud Strategie!

Secure all the clouds!

Hans-Peter Dietrich

Solution Manager

Controlware GmbH

Ingo Schubert

Gobal Cloud Identity

Architect

RSA a Dell Technologies

Business

Marc

om

V1.1

2019


Authentisierung und die Cloud1

Angemessene Authentisierung2

RSA SecurID Access Beispiele3

Agenda

Demo4

Marc

om

V1.1

2019


Cloud Dienste werden auch in Deutschland immer beliebter.

Viele Cloud Dienste sind oft nicht umittelbar mit verbreiteten

Sicherheitsregeln vereinbar.

Idealerweise vor der Einführung eines Cloud Dienstes sollten die

Einbindung der vorhandenen Sicherheitsmechanismen betrachtet werden.

Die Cloud ist da... was dann?

Marc

om

V1.1

2019


Cloud ist einfach: einfache Bereitstellung, einfache Bedienung, einfache

Abrechnung

Das bleibt oft nicht ohne Auswirkung:

• Shadow IT

• ...

• Benutzer erwarten durchgehen eine einfache Bedienung

• Vorhandene Infrastruktur nicht (oder nur teilweise) kompatibel

Manchmal ist es zu einfach...

Marc

om

V1.1

2019


Sensitive Daten sind nun oft verteilt (On-prem und in der Cloud)

Die Absicherung der Daten sollte auf einem angemessene Art und Weise

erfolgen

• Unabhängig vom Standort der Daten und Benutzer

„Angemessen“

• Das Risiko auf ein akzeptables Niveau zu reduzieren

• Das Vertrauen auf ein akzeptables Niveau zu heben

...und die Authentisierung?

Marc

om

V1.1

2019


Das individuelle Risiko welches eine Applikation hat sollte die notwendige

Authentisierung bestimmen.

Mit einer flexiblen Authentisierungslösung ist es möglich

• ein akzeptables Sicherheitsniveau zu erreichen

• den Benutzerkomfort zu steigern

Angemessene Authentisierung = Identity Assurance

Marc

om

V1.1

2019


Bespiele Sicherheitsstufen

Hardware

OTP

Fingerprint

Verhalten &

Kontext

Push

Message

SW OTPHoch

Mittel

Niedrig

Marketing Vertrieb

OTP

Gerät

Personal-

verwaltung

Marc

om

V1.1

2019


Cloud Anwendungen verwenden häufig Identity Federation Protokolle um

Anwender zu authentifizieren.

Ggf. kann die vorhandene Authentisierungslösung damit nicht umgehen.

• RSA Authentication Manager

Möglicherweise gibt es Identity Federation oder SSO Systeme bereits im

Einsatz

• z.B. MS ADFS

Wie kann das alles miteinander funktionieren?

Wenn der Schlüssel nicht passt...

Marc

om

V1.1

2019


Risiko-basierte AuthentisierungZugriff mit Kontext

RISK RISKYPASS DENY

Device AppRole Location Behavior

MACHINE

LEARNING

MFA ÜberallZertifiziert

RSA SecurID Access

Moderne MFA MethodenEinfach & bequem

Push Mobile OTP Biometrics Text Msg Voice Call

ProximityHW Token WearablesSW Token FIDO

Assurance LevelsWeil nicht alles gleich sicher ist

Security

Ris

k

Marc

om

V1.1

2019


Wer macht was von Wo?

• IDR ist eine Virtual Appliance für

VMware, Hyper-V oder AWS

• Verbindet die On-Premise

Infrastruktur mit dem RSA Cloud

Authentication Service (CAS)

• AD/LDAP, AM 8.x, syslog…

• IDR stellt optional bereit:

• SSO Portal

• RADIUS Server

Marc

om

V1.1

2019


Wer macht was von Wo?

Administrative GUI

Policies

IDRs verwalten

…

SecurID Access native Authentifikationen

Push/Approve

Fingerprint/Face ID

OTP

…

Andere RSA CAS Funktionen

Cloud SAML/OIDC IDP

MFA API end-point

Hosted auf Microsoft Azure (US, EU, Australia), operated by RSA

Marc

om

V1.1

2019


Option 1: SecurID Access SSO Portal

• Falls kein anderes SSO System im Einsatz ist oder ein bestehendes ersetzt oder

ergänzt werden soll

Option 2: SecurID Access Cloud IDP

• SSO nicht gewünscht oder gefordert

Option 3: ADFS mit SecurID Agent

• Wer mit ADFS glücklich ist, soll es weiterhin sein.

• SecurID übernimmt die Identity Assurance

Beispiel 1: Anbindung Microsoft Office 365

Marc

om

V1.1

2019


Wie bei allen anderen unterstützten Anwendungen hat sowohl der

Andwender als auch der Administrator bzw. Applikationsverantwortliche

Vorteile

• Flexible Policy die konsistent angewendet wird

• Einfache Authentisierung (wenn überhaupt...)

• Ggf. vorhandene SecurID HW/SW Tokens können verwendet werden

• Soviel vorhandene Infrastruktur wie gewünscht wird wiederverwendet

Office 365 und RSA SecurID

Marc

om

V1.1

2019


Azure AD kann RSA SecurID Access als Teil einer Conditional Access Rule

verwenden.

Azure AD leitet Benutzer an RSA SecurID Access weiter um ggf. eine starke

Authentisierung vorzunehmen.

Azure AD übernimmt dann das SSO in andere Dienste (u.a. O365)

Ähnliche Integrationen (Step-up only) sind auch z.B. mit VMWare

WorkspaceONE oder Citrix Storefront möglich.

Beispiel 2: Azure AD (und andere SSO Systeme)

Marc

om

V1.1

2019


Step-up mit RSA SecurID, SSO mit 3rd Party

1. Anwender verwendet z.B. UID/Passwort um sich an Azure AD anzumelden

2. Azure AD frägt RSA SecurID Access bzgl. Step-up

3. RSA SecurID Access evaluiert Policy und fordert Step-up von Anwender

4. Anwender führt Step-up durch

5. SecurID Authenticate App antwortet der RSA cloud

6. SecurID Access antwortet Azure AD

7. Azure AD leitet Anwender an Zielapplikation weiter.

12

3 4

5

6

7

Marc

om

V1.1

2019


Einige Cloud Services (z.B. SFDC, AWS) ermöglichen es priviligierten

Benutzern das Anmelden durch standard Protokolle (SAML).

Policies innernalb von RSA SecurID Access können priviligierten Nutzern

andere, strengere Regeln auferlegen.

PAM Syteme sollten verwendet werden für priviligerte Accounts die nicht

direkt an SecurID Access angebunden werden können

• Emergency Accounts

Was ist dem den low-level Admin Accounts?

Marc

om

V1.1

2019


OS Admin Accounts in der Cloud und On-premise können ebenfalls mit

SecurID Access abgesichert werden

• MS Windows Server Console

• Linux shell

Entsprechende Agents sind verfügbar und ermögliche damit eine sichere,

bequeme Anmeldung u.a. durch „Push to approve“.

IaaS Accounts und RSA SecurID Access

Marc

om

V1.1

2019


Demo Policy Editor

Marc

om

V1.1

2019


Roadmap Ausblick

Marc

om

V1.1

2019


JUNE-2019 RELEASE

IMPACT / VALUE USE CASES

ENABLE THE JOURNEY TO THE CLOUD FOR EXISTING SECURID TOKEN DEPLOYMENTS AND USERS

Seamless connection from RSA Authentication Manager to the Cloud Authentication Service.

• Simplified initial AM-to-Cloud integration & configuration for push notification and unified helpdesk

• Invite existing users to enroll for cloud MFA from RSA Authentication Manager

Enable modern authentication methods without changing your current agent deployments

• Use Cloud MFA with all your existing Agents (Push only initially)

View and manage users from a “single pane of glass” regardless of whether they are in RSA Authentication Manager or the Cloud Authentication Service

• Unified help desk management for mixed token/MFA deployments

FACILITATE DEPLOYMENT AT SCALE FOR SECURITY CONSCIOUS CUSTOMERS

Seamless access to RSA My Page for self-service • Enable single-sign-on access to RSA My Page

Marc

om

V1.1

2019


JULY-2019 RELEASE

IMPACT / VALUE USE CASES

ENSURE SEAMLESS USER ACCESS TO CRITICAL RESOURCES WITH MODERN AUTHENTICATION

Register multiple accounts with a single RSA Authenticate App

• Users from the same company, who have more than one account, can leverage a single instance of the RSA Authenticate App

FACILITATE DEPLOYMENT AT SCALE FOR SECURITY CONSCIOUS CUSTOMERS

Quickly connect the identity router to the cloud • Accept temporary common proxy configurations when setting up an identity router

Only configure what you need when deploying an identity router

• Support single NIC configuration on the identity router

In-product tools to enable troubleshooting most common identity router configuration issues

• Additional identity router status indicators added to the cloud administrations console to include: cluster status, disaster recovery connectivity, CPU, sync details, etc.

Marc

om

V1.1

2019


VPN & traditional on-prem

agents


agents


agents

SaaS, Cloud and SSO SaaS, Cloud and SSO SaaS, Cloud and SSO

Enterprise Scalability

(multiple replicas, AMBA)

Enterprise Scalability

(multiple replicas, AMBA)

Risk-Based Analytics

Context, risk & adv. auth policies

RSA SecurID® Access – EDITIONS Base Enterprise Premium

Mobile MFAOTP, push, biometrics, FIDO, etc.



RSA SecurID TokensHardware & Software

RSA SecurID TokensHardware or Software

RSA SecurID TokensHardware or Software

Perpetual or Subscription Perpetual or Subscription Subscription Only

Hybrid or All Cloud* Hybrid or All Cloud* Hybrid or All Cloud*

* Hybrid deployment required to use RSA SecurID tokens, traditional RSA SecurID agents, and/or the SSO agent

1. What do you want to protect?

2. How do you want to protect it?

3. How do you want to deploy & pay for it?

Marc

om

V1.1

2019


Fragen

Marc

om

V1.1

2019


Controlware ist ein herstellerunabhängiger Berater, Systemintegrator und Betreiber von IT-Lösungen.

Controlware – Zahlen und Fakten

16 Standorte in D-A-CH,

davon 12 in Deutschland

Ca. 840 Mitarbeiter D-A-CH

Seit 1996 eigenes

Customer Service Center

> 470 System-Ingenieure und

Consultants in Deutschland

Seit der Gründung 1980

eigenständiges Familienunternehmen

300 Mio. € Umsatz

Marc

om

V1.1

2019


Vielen Dank für Ihre

Aufmerksamkeit!

Marc

om

V1.1

2019


Anlagen

Secure all the clouds! - Controlware€¦ · • IDR ist eine Virtual Appliance für VMware,...

Documents

Transcript of Secure all the clouds! - Controlware€¦ · • IDR ist eine Virtual Appliance für VMware,...