CSO 4anyRAM Reliable Access Management

 

 

Gesetzeslage kennen

IT-Verantwortliche und Business-Entscheider in Unternehmen erkennen zunehmend die Notwendigkeit für den Einsatz von IT Security Systemen, die das Risiko in einem deutlichen Maße minimieren. In Deutschland machen Gesetze und Compliance-Vorschriften solche Systeme unverzichtbar. Dazu zählen:

  • §91 Abs. 2 Aktiengesetz (Früherkennung von Risiken)

  • §43 Abs. 1 GmbH Gesetz (Sorgfaltspflichten)

  • §11 des Energiewirtschaftsgesetzes, Stichwort angemessener Schutz gegen Bedrohungen im TK-Bereich

  • Abs. 66 ff. des IDW-Prüfungsstandards 330 (Institut der Wirtschaftsprüfer)

  • Kapitel 9 in den Mindestanforderungen an das Risikomanagement (MaRisk)

  • ISO 27002 - Code of Practice for Information Security Management

  • Kap. 7 IT - Service Management bzw. Kap. 9 - Operational Infrastructure Security Management (Monetary Authority of Singapore)

 

Herausforderung

Privileged Accounts (Technische User) lokal oder remote, wie z.B. „root“ oder „Administrator“ besitzen weitreichende Berechtigungen und beinhalten ein erhebliches Sicherheitsrisiko. Die mit diesen Konten verbundenen Passwörter liefern den Zugang zu allen unternehmenskritischen Datenbeständen. Privileged und Shared Accounts auf individuelle Benutzer umzustellen ist allerdings auch keine Lösung, denn dies würde bedeuten, dass ggf. hunderte oder tausende von Accounts eingerichtet werden müssten. Die Verwaltung dieser Accounts wäre extrem aufwendig und mit hohen Kosten verbunden. Schwachstellen der Privileged und Shared Accounts sind die fehlende Nachvollziehbarkeit und die damit verbundene Verletzung gesetzlicher und regulatorischer Anforderungen (Compliance).

Wie im Video beschrieben, sollte eine revisionssichere Lösung aus präventiven und detektiven Massnahmen bestehen.




 

 


Komponenten der Lösung

- Integration von WebSSO Systemen

Der Web SSO (Single-Sign-On) ist ein Mechanismus, der es ermöglicht, durch eine einmalige Authentifizierung Zugang zu 4anyRAM zu bekommen, ohne dass sich ein Benutzer des Outsourcing Partners oder Providers erneut authentifizieren muss.

Unterstütze Systeme und Technologien: 

  • Shibboleth 2.0 Framework, WSO2 aber auch kundeneigene Systeme

  •  SAML 2.0

- Integration der IAM Systeme - Identity and Access Management Systeme

 Automatische Verarbeitung der Informationen aus den eigenen IAM Systemen oder des Outsourcing Partners oder Providers:

  • Organisation (HomeOrg)

  • Implementer Group (Resolver Group)

  • Technologie

  • Zugriffslevel

  • etc. 

 - Automatische Verarbeitung der Informationen aus den Prozessen

  • Change Management – Changes und Emergency Changes

  •  CMDB und der damit verbundenen CIs

  •  Incident Management - Tickets

- Personalisierung der „Shared User IDs“ wie z.B. Root, Administrator, etc.

  • Shared User IDs (Technische User IDs) werden zentral im LDAP verwaltet.

  •  Shared User IDs werden immer einem realen User zugeordnet und die Zuordnung wird revisionssicher protokolliert.

  • Die Passwörter der Shared User IDs werden in einem Credential Vault (Passwort-Safe) hinterlegt und sind dem User nicht bekannt.

  • Es können alle Credential Vault Systeme integriert werden, die über eine REST, API oder SOAP Schnittstelle verfügen. 

 - Aufzeichnung, SIEM und Enforcement Points

  • Alle Aktivitäten werden in 4anyRAM revisionssicher protokolliert und darüber hinaus als CEF Events für weiterführende SIEM Systeme zur Verfügung gestellt.

  • Integration von Monitoring Lösungen wie z.B. Balabit SCB, ObserveIT oder des CSO-eigenen 4anyDCE, die hier auch als Enforcement Points in 4anyRAM genutzt werden.