Marc
om
V1.1
2019
© 2019 Controlware GmbH 1Klassifizierung: intern
Sichere Authentisierung für Ihre Multi-Cloud Strategie!
Secure all the clouds!
Hans-Peter Dietrich
Solution Manager
Controlware GmbH
Ingo Schubert
Gobal Cloud Identity
Architect
RSA a Dell Technologies
Business
Marc
om
V1.1
2019
© 2019 Controlware GmbH 2Klassifizierung: intern
Authentisierung und die Cloud1
Angemessene Authentisierung2
RSA SecurID Access Beispiele3
Agenda
Demo4
Marc
om
V1.1
2019
© 2019 Controlware GmbH 3Klassifizierung: intern
Cloud Dienste werden auch in Deutschland immer beliebter.
Viele Cloud Dienste sind oft nicht umittelbar mit verbreiteten
Sicherheitsregeln vereinbar.
Idealerweise vor der Einführung eines Cloud Dienstes sollten die
Einbindung der vorhandenen Sicherheitsmechanismen betrachtet werden.
Die Cloud ist da... was dann?
Marc
om
V1.1
2019
© 2019 Controlware GmbH 4Klassifizierung: intern
Cloud ist einfach: einfache Bereitstellung, einfache Bedienung, einfache
Abrechnung
Das bleibt oft nicht ohne Auswirkung:
• Shadow IT
• ...
• Benutzer erwarten durchgehen eine einfache Bedienung
• Vorhandene Infrastruktur nicht (oder nur teilweise) kompatibel
Manchmal ist es zu einfach...
Marc
om
V1.1
2019
© 2019 Controlware GmbH 5Klassifizierung: intern
Sensitive Daten sind nun oft verteilt (On-prem und in der Cloud)
Die Absicherung der Daten sollte auf einem angemessene Art und Weise
erfolgen
• Unabhängig vom Standort der Daten und Benutzer
„Angemessen“
• Das Risiko auf ein akzeptables Niveau zu reduzieren
• Das Vertrauen auf ein akzeptables Niveau zu heben
...und die Authentisierung?
Marc
om
V1.1
2019
© 2019 Controlware GmbH 6Klassifizierung: intern
Das individuelle Risiko welches eine Applikation hat sollte die notwendige
Authentisierung bestimmen.
Mit einer flexiblen Authentisierungslösung ist es möglich
• ein akzeptables Sicherheitsniveau zu erreichen
• den Benutzerkomfort zu steigern
Angemessene Authentisierung = Identity Assurance
Marc
om
V1.1
2019
© 2019 Controlware GmbH 7Klassifizierung: intern
Bespiele Sicherheitsstufen
Hardware
OTP
Fingerprint
Verhalten &
Kontext
Push
Message
SW OTPHoch
Mittel
Niedrig
Marketing Vertrieb
OTP
Gerät
Personal-
verwaltung
Marc
om
V1.1
2019
© 2019 Controlware GmbH 8Klassifizierung: intern
Cloud Anwendungen verwenden häufig Identity Federation Protokolle um
Anwender zu authentifizieren.
Ggf. kann die vorhandene Authentisierungslösung damit nicht umgehen.
• RSA Authentication Manager
Möglicherweise gibt es Identity Federation oder SSO Systeme bereits im
Einsatz
• z.B. MS ADFS
Wie kann das alles miteinander funktionieren?
Wenn der Schlüssel nicht passt...
Marc
om
V1.1
2019
© 2019 Controlware GmbH 9Klassifizierung: intern
Risiko-basierte AuthentisierungZugriff mit Kontext
RISK RISKYPASS DENY
Device AppRole Location Behavior
MACHINE
LEARNING
MFA ÜberallZertifiziert
RSA SecurID Access
Moderne MFA MethodenEinfach & bequem
Push Mobile OTP Biometrics Text Msg Voice Call
ProximityHW Token WearablesSW Token FIDO
Assurance LevelsWeil nicht alles gleich sicher ist
Security
Ris
k
Marc
om
V1.1
2019
© 2019 Controlware GmbH 10Klassifizierung: intern
Wer macht was von Wo?
• IDR ist eine Virtual Appliance für
VMware, Hyper-V oder AWS
• Verbindet die On-Premise
Infrastruktur mit dem RSA Cloud
Authentication Service (CAS)
• AD/LDAP, AM 8.x, syslog…
• IDR stellt optional bereit:
• SSO Portal
• RADIUS Server
Marc
om
V1.1
2019
© 2019 Controlware GmbH 11Klassifizierung: intern
Wer macht was von Wo?
Administrative GUI
Policies
IDRs verwalten
…
SecurID Access native Authentifikationen
Push/Approve
Fingerprint/Face ID
OTP
…
Andere RSA CAS Funktionen
Cloud SAML/OIDC IDP
MFA API end-point
Hosted auf Microsoft Azure (US, EU, Australia), operated by RSA
Marc
om
V1.1
2019
© 2019 Controlware GmbH 12Klassifizierung: intern
Option 1: SecurID Access SSO Portal
• Falls kein anderes SSO System im Einsatz ist oder ein bestehendes ersetzt oder
ergänzt werden soll
Option 2: SecurID Access Cloud IDP
• SSO nicht gewünscht oder gefordert
Option 3: ADFS mit SecurID Agent
• Wer mit ADFS glücklich ist, soll es weiterhin sein.
• SecurID übernimmt die Identity Assurance
Beispiel 1: Anbindung Microsoft Office 365
Marc
om
V1.1
2019
© 2019 Controlware GmbH 13Klassifizierung: intern
Wie bei allen anderen unterstützten Anwendungen hat sowohl der
Andwender als auch der Administrator bzw. Applikationsverantwortliche
Vorteile
• Flexible Policy die konsistent angewendet wird
• Einfache Authentisierung (wenn überhaupt...)
• Ggf. vorhandene SecurID HW/SW Tokens können verwendet werden
• Soviel vorhandene Infrastruktur wie gewünscht wird wiederverwendet
Office 365 und RSA SecurID
Marc
om
V1.1
2019
© 2019 Controlware GmbH 14Klassifizierung: intern
Azure AD kann RSA SecurID Access als Teil einer Conditional Access Rule
verwenden.
Azure AD leitet Benutzer an RSA SecurID Access weiter um ggf. eine starke
Authentisierung vorzunehmen.
Azure AD übernimmt dann das SSO in andere Dienste (u.a. O365)
Ähnliche Integrationen (Step-up only) sind auch z.B. mit VMWare
WorkspaceONE oder Citrix Storefront möglich.
Beispiel 2: Azure AD (und andere SSO Systeme)
Marc
om
V1.1
2019
© 2019 Controlware GmbH 15Klassifizierung: intern
Step-up mit RSA SecurID, SSO mit 3rd Party
1. Anwender verwendet z.B. UID/Passwort um sich an Azure AD anzumelden
2. Azure AD frägt RSA SecurID Access bzgl. Step-up
3. RSA SecurID Access evaluiert Policy und fordert Step-up von Anwender
4. Anwender führt Step-up durch
5. SecurID Authenticate App antwortet der RSA cloud
6. SecurID Access antwortet Azure AD
7. Azure AD leitet Anwender an Zielapplikation weiter.
12
3 4
5
6
7
Marc
om
V1.1
2019
© 2019 Controlware GmbH 16Klassifizierung: intern
Einige Cloud Services (z.B. SFDC, AWS) ermöglichen es priviligierten
Benutzern das Anmelden durch standard Protokolle (SAML).
Policies innernalb von RSA SecurID Access können priviligierten Nutzern
andere, strengere Regeln auferlegen.
PAM Syteme sollten verwendet werden für priviligerte Accounts die nicht
direkt an SecurID Access angebunden werden können
• Emergency Accounts
Was ist dem den low-level Admin Accounts?
Marc
om
V1.1
2019
© 2019 Controlware GmbH 17Klassifizierung: intern
OS Admin Accounts in der Cloud und On-premise können ebenfalls mit
SecurID Access abgesichert werden
• MS Windows Server Console
• Linux shell
Entsprechende Agents sind verfügbar und ermögliche damit eine sichere,
bequeme Anmeldung u.a. durch „Push to approve“.
IaaS Accounts und RSA SecurID Access
Marc
om
V1.1
2019
© 2019 Controlware GmbH 18Klassifizierung: intern
Demo Policy Editor
Marc
om
V1.1
2019
© 2019 Controlware GmbH 19Klassifizierung: intern
Roadmap Ausblick
Marc
om
V1.1
2019
© 2019 Controlware GmbH 20Klassifizierung: intern
JUNE-2019 RELEASE
IMPACT / VALUE USE CASES
ENABLE THE JOURNEY TO THE CLOUD FOR EXISTING SECURID TOKEN DEPLOYMENTS AND USERS
Seamless connection from RSA Authentication Manager to the Cloud Authentication Service.
• Simplified initial AM-to-Cloud integration & configuration for push notification and unified helpdesk
• Invite existing users to enroll for cloud MFA from RSA Authentication Manager
Enable modern authentication methods without changing your current agent deployments
• Use Cloud MFA with all your existing Agents (Push only initially)
View and manage users from a “single pane of glass” regardless of whether they are in RSA Authentication Manager or the Cloud Authentication Service
• Unified help desk management for mixed token/MFA deployments
FACILITATE DEPLOYMENT AT SCALE FOR SECURITY CONSCIOUS CUSTOMERS
Seamless access to RSA My Page for self-service • Enable single-sign-on access to RSA My Page
Marc
om
V1.1
2019
© 2019 Controlware GmbH 21Klassifizierung: intern
JULY-2019 RELEASE
IMPACT / VALUE USE CASES
ENSURE SEAMLESS USER ACCESS TO CRITICAL RESOURCES WITH MODERN AUTHENTICATION
Register multiple accounts with a single RSA Authenticate App
• Users from the same company, who have more than one account, can leverage a single instance of the RSA Authenticate App
FACILITATE DEPLOYMENT AT SCALE FOR SECURITY CONSCIOUS CUSTOMERS
Quickly connect the identity router to the cloud • Accept temporary common proxy configurations when setting up an identity router
Only configure what you need when deploying an identity router
• Support single NIC configuration on the identity router
In-product tools to enable troubleshooting most common identity router configuration issues
• Additional identity router status indicators added to the cloud administrations console to include: cluster status, disaster recovery connectivity, CPU, sync details, etc.
Marc
om
V1.1
2019
© 2019 Controlware GmbH 22Klassifizierung: intern
VPN & traditional on-prem
agents
VPN & traditional on-prem
agents
VPN & traditional on-prem
agents
SaaS, Cloud and SSO SaaS, Cloud and SSO SaaS, Cloud and SSO
Enterprise Scalability
(multiple replicas, AMBA)
Enterprise Scalability
(multiple replicas, AMBA)
Risk-Based Analytics
Context, risk & adv. auth policies
RSA SecurID® Access – EDITIONS Base Enterprise Premium
Mobile MFAOTP, push, biometrics, FIDO, etc.
Mobile MFAOTP, push, biometrics, FIDO, etc.
Mobile MFAOTP, push, biometrics, FIDO, etc.
RSA SecurID TokensHardware & Software
RSA SecurID TokensHardware or Software
RSA SecurID TokensHardware or Software
Perpetual or Subscription Perpetual or Subscription Subscription Only
Hybrid or All Cloud* Hybrid or All Cloud* Hybrid or All Cloud*
* Hybrid deployment required to use RSA SecurID tokens, traditional RSA SecurID agents, and/or the SSO agent
1. What do you want to protect?
2. How do you want to protect it?
3. How do you want to deploy & pay for it?
Marc
om
V1.1
2019
© 2019 Controlware GmbH 23Klassifizierung: intern
Fragen
Marc
om
V1.1
2019
© 2019 Controlware GmbH 24Klassifizierung: intern
Controlware ist ein herstellerunabhängiger Berater, Systemintegrator und Betreiber von IT-Lösungen.
Controlware – Zahlen und Fakten
16 Standorte in D-A-CH,
davon 12 in Deutschland
Ca. 840 Mitarbeiter D-A-CH
Seit 1996 eigenes
Customer Service Center
> 470 System-Ingenieure und
Consultants in Deutschland
Seit der Gründung 1980
eigenständiges Familienunternehmen
300 Mio. € Umsatz
Marc
om
V1.1
2019
© 2019 Controlware GmbH 25Klassifizierung: intern
Vielen Dank für Ihre
Aufmerksamkeit!
Marc
om
V1.1
2019
© 2019 Controlware GmbH 26Klassifizierung: intern
Anlagen
Top Related