Применение Citrix Password Manager для доступа к приложениям, использущих пароли. Сергей Халяпин Citrix Systems, Systems Engineer Сергей Халяпин Citrix Systems, Systems Engineer «IT-Security Forum» 31 мая – 01 июня 2007 г.Казань

2 © 2007 Citrix Systems, Inc. All rights reserved Программа Технические проблемы и бизнес задачи Как это работает и новые возможности Преимущества использования Дополнительные обзоры Простота внедрения и администрирования

Технические проблемы и бизнес-задачи

4 © 2007 Citrix Systems, Inc. All rights reserved Проблемы связанные с паролями Точка зрения пользователя Управлять паролями – сложно, непродуктивно и требует много времени. Было бы здорово если паролей не существовало, Мне нужен быстрый доступ к моим приложениям, независимо от того, где я работаю Я забыл пароль, но не хочу ждать отдел поддержки Точка зрения Бизнеса Бреши в безопасности и негативный имидж компании Слабые пароли и небезопасные списки паролей Соответствие требованиям регулирующих органов и отчетность Необходимо распространять учетные сведения для каждого нового приложения Стоимость и продуктивность службы поддержки А это решение – простое в установке и управлении? И вообще оно работает?

5 © 2007 Citrix Systems, Inc. All rights reserved Растет число приложений защищенных паролем Средний пользователь имеет 18 учетных записей (Gartner*) Постоянные запросы аутентификации нарушают работу и запомнить множество паролей сложно Средний звонок в службу поддержки для сброса пароля занимает 20 минут (Gartner*) *Источник: Five Business Drivers of Identity and Access Management. Gartner, 31 October 2003

6 © 2007 Citrix Systems, Inc. All rights reserved Множество прикладных систем аутентификации Сколько у Вас прикладных систем аутентификации? Приложения: Windows, Web, Хост-приложения Каталоги: Active Directory, LDAP, eDirectory, Tivoli Directory Server, ит.д. Проекты консолидации каталогов часто заканчиваются неудачей Владельцы данных не желают терять контроль Не все приложения могут «общаться» с одним каталогом

7 © 2007 Citrix Systems, Inc. All rights reserved Высокая стоимость поддержки Звонок пользователя в службу поддержки стоит организации $25- $50. Forrester 30 процентов всех звонков в службу поддержки связаны со сбросом пароля Gartner Group Пользователь звонит в службу поддержки за сбросом пароля в среднем 4 раза в год Gartner Group Бизнес тратит $200 в год на человека на управление паролями Forrester

Как это работает и новые возможности

9 © 2007 Citrix Systems, Inc. All rights reserved Что такое Citrix Password Manager? Windows Доступ к любому приложению Одна Учетная Запись … Web Host Различные учетные данные для каждого прикладного приложения/ресурса Решение SSO для Windows, Web и Хост приложений Интегрированная с более чем 20 производителями средств сильной аутентификации

10 © 2007 Citrix Systems, Inc. All rights reserved Как это работает? Агент взаимодействует от имени пользователя Устанавливается там, где исполняется клиентская часть приложения Распознает и отвечает на события, относящиеся к паролям Агент, получает учетные данные и настройки определяющие их поведение из Центрального Хранилища Администратор использует Консоль для создания настроек и определения приложений Опциональные Службы для Самообслуживания, Цифровой Подписи / Без-отзывности сервера

11 © 2007 Citrix Systems, Inc. All rights reserved Интеграция с инициализацией пользователей Citrix Password Manager обеспечивает интерфейс для систем инициализации пользователей на основе стандарта (SPML v2) Коннекторы доступны для Courion, HP, IBM Ряд других вендоров ПО инициализации пользователей объявили о поддержке стандарта SPML v2 Как только инициализируется учетная запись пользователя, его учетные сведения автоматически шифруются и сохраняются в Password Manager App #1 App #2 App #3 Система Инициализации Пользователей Active Directory (или LDAP) Пользователь (SSO)

12 © 2007 Citrix Systems, Inc. All rights reserved Обеспечивает Администратору возможность управлять учетными сведениями пользователей для дополнительных приложений используя XML-интерфейс в Консоли Администратора Поддерживаемые операции Добавление новых учетных сведений Изменение существующих учетных сведений Удаление существующих учетных сведений Все события инициализации регистрируются в Журнале Событий Требует Службы Password Manager Пакетная Инициализация Учетных Сведений

13 © 2007 Citrix Systems, Inc. All rights reserved Что нового в CPM 4.5 Администрирование используя группы AD Большое количество улучшений для совместимости с приложениями Сертифицированная безопасность (CC EAL2) Поддержка Kerberos и Federation Services Ассоциация учетных записей Версии Advanced и Enterprise и Citrix Password Manager для Presentation Server Самообслуживание пользователя - Web Interface

14 © 2007 Citrix Systems, Inc. All rights reserved Администрирование пользователей с использованием групп AD Пользовательская конфигурация больше не привязана к строго иерархической модели ОП Пригодна к управлению на основе ролей Каждая конфигурация пользователя основанная на группах имеет уровень приоритета Поддерживается конфигурация на основе ОП ОП имеют приоритет для сохранения обратной совместимости

15 © 2007 Citrix Systems, Inc. All rights reserved Улучшения в совместимости приложений Улучшенный процесс конфигурации приложений Упрощенная концептуальная модель Четкое отделение событий Определение связанных с приложениями от Действий связанных с паролями Администраторы могут определить последовательность событий когда передают учетные данные в приложения Расширяемость Способность запуска скрипта/программы (для Удаления и/или Действий) Расширена поддержка IE7 Поддерживается IE 64-бит Улучшенная поддержка SAP Новое: Скриптование SAPGUI для SAP Logon Pad

16 © 2007 Citrix Systems, Inc. All rights reserved Улучшения в Совместимости Приложений – продолжение Улучшенная поддержка SAP Logon Pad Агент может распознать SAP систему запущенную с SAP Logon Pad Уменьшает необходимость использования файлов-ярлыков SAP

17 © 2007 Citrix Systems, Inc. All rights reserved Улучшения в Совместимости Приложений – продолжение Совместное использование методов Control IDs и передача необходимых символов Полезно для настройки приложений, которые не распознают все Control ID

18 © 2007 Citrix Systems, Inc. All rights reserved Улучшения в Совместимости Приложений – продолжение Улучшена работа мастера смены паролей Агент может определять успешно ли завершилась смена пароля и автоматически отвечать на ошибочные попытки

19 © 2007 Citrix Systems, Inc. All rights reserved Улучшения в Совместимости Приложений – продолжение Обработка Дублированных/Динамических Control ID Авто-определение веб-страниц не имеющих форм Определение приложений запущенных до старта агента

20 © 2007 Citrix Systems, Inc. All rights reserved Сертификация на Common Criteria EAL2 CPM 4.5 сейчас сертифицируется Common Criteria EAL2 Весомая сертификация по безопасности признаваемая в 23 странах Проверьте на Аудит безопасности Foundstone Новое в 4.5!

21 © 2007 Citrix Systems, Inc. All rights reserved Поддержка Kerberos и Сервисов Федерации Federation Services позволяет использовать SSO между доверяющими организациями-партнерами Citrix Web Interface 4.5 связывается с сервером Federation Services (ADFS, SAML) Citrix Password Manager завершает «последнюю милю» SSO Сервер Федерации. ADFS. SAML Firewall Citrix Web Interface (Win2k3 R2) ISAPI Агент Citrix Presentation Server (Win2K3) Компьютер Партнера Internet DMZ билет Kerberos Пароль Отображение идентификаторов Маркер Federation Services ActiveDirectory Citrix Password Manager Приложение, Эмулятор терминала, или Browser

22 © 2007 Citrix Systems, Inc. All rights reserved Интеллектуальная обработка зацикливания Log On/Off Зацикливание Log On/Off часто встречается с web приложениями и SSO Легко настраивается в определении приложений

23 © 2007 Citrix Systems, Inc. All rights reserved И конечно, это часть семейства Citrix Presentation Server Общая Административная Консоль Простое SSO – предлагается Новый Citrix Password Manager для Presentation Server! Поддержка Application Streaming Агент может обеспечивать SSO для потоковых приложений Для различных типов приложений все еще выполняется тестирование Работает с EdgeSight для улучшенного Аудита и Отчетности Сбор данных в почти реальном времени Общее хранилище на основе реляционной СУБД Гибкая отчетность и оповещение New in 4.5!

24 © 2007 Citrix Systems, Inc. All rights reserved Ассоциация учетных записей Позволяет разделять учетные данные Windows среди множества учетных записей Пользователь с множеством учетных записей Windows может использовать Password Manager независимо от того как они вошли в систему Когда учетные данные пользователя изменяются, добавляются или удаляются от одной учетной записи, учетные данные будут автоматически синхронизованы с другими ассоциированными учетными записями Много пользователей могут разделять одинаковые учетные данные Например ролевые учетные данные (сменные работники) Каждая учетная запись требует лицензии Password Manager

25 © 2007 Citrix Systems, Inc. All rights reserved Ассоциация учетных записей в действии: Смена пароля в приложении Точка синхронизации Web Service Точка Синхронизации Точка Синхронизации Точка Синхронизации Агент (V000DPSPL\S ) Локальное Хранилище ПриложениеSAP ИмяUSER1 ПарольNewPass ПриложениеSAP ИмяUSER1 Пароль Приложение Имя Пароль NewPass OldPass SAP USER1 Агент (G098D001\S ) Агент (G098D002\S )

26 © 2007 Citrix Systems, Inc. All rights reserved Ассоциация учетных записей – Администратор

27 © 2007 Citrix Systems, Inc. All rights reserved Ассоциация учетных записей – Пользователь

28 © 2007 Citrix Systems, Inc. All rights reserved Множественные методы аутентификации для одного пользователя Обыкновенные пользователи могут очень быстро переключаться между методами аутентификации Например: Пароль для персонального компьютера, но биометрия для совместно используемых компьютеров Локальный доступ по смарт-карте, но удаленный – с использованием одноразового пароля Улучшенное время входа Исключает 2-3 секунды (Больше не требуется Восстановление Ключа, за исключением первого раза использования нового метода аутентификации)

29 © 2007 Citrix Systems, Inc. All rights reserved Поддержка Сильной Аутентификации Поддерживается любое устройство, которое может быть использовано для аутентификации Windows – Смарт-карты, биометрия, токены, карты Проксимити Для смарт-карт, хранящих сертификаты (например Карты Общего Доступа), сертификаты используются для расшифровки учетных свойств пользователя Партнеры по Сильной Аутентификации

30 © 2007 Citrix Systems, Inc. All rights reserved Самообслуживание пользователей через WI Доступно для Web Interface 4.5 Новая иконка в Web Interface обеспечивает простой доступ к службы Само- Обслуживания

31 © 2007 Citrix Systems, Inc. All rights reserved Самообслуживание пользователей через WI - продолжение

32 © 2007 Citrix Systems, Inc. All rights reserved Самообслуживание пользователей через WI - продолжение

33 © 2007 Citrix Systems, Inc. All rights reserved Самообслуживание пользователей через WI - продолжение

34 © 2007 Citrix Systems, Inc. All rights reserved Самообслуживание пользователей через WI - продолжение

35 © 2007 Citrix Systems, Inc. All rights reserved Разное Улучшения Hot Desktop Имя пользователя для разделяемой учетной записи очищается Автоматический перезапуск после некорректного завершения Поддержка решения Citrix для потоковой доставки приложений Поддержка.NET 2.0 Соответствие секции 508 (агент Password Manager) Если администратор настроил SSO-поддержку в приложениях

36 © 2007 Citrix Systems, Inc. All rights reserved Citrix Password Manager Линейка продуктов SRP (включая. Subscription Advantage) Citrix Password Manager для Presentation Server $149/CCU Citrix Password Manager Enterprise Edition $75/NU Citrix Password Manager Advanced Edition $59/NU Обновление Advanced to Enterprise $25/NU $$ Функциональность

37 © 2007 Citrix Systems, Inc. All rights reserved Различия в редакциях

Простота использования и администрирования

39 © 2007 Citrix Systems, Inc. All rights reserved Администрирование Password Manager Это не приведет к тому что Вы или Ваша команда будете выглядеть так:

40 © 2007 Citrix Systems, Inc. All rights reserved Или ощущать себя вот так......

41 © 2007 Citrix Systems, Inc. All rights reserved Это не очень просто, но очень похоже Управляемая мастерами настройка Альтернативная аутентификация (секретные вопросы) Конфигурирование пользователей используя группы AD Простая настройка приложений / расширяемость

42 © 2007 Citrix Systems, Inc. All rights reserved Мощные политики паролей

43 © 2007 Citrix Systems, Inc. All rights reserved Истечение срока действия пароля – даже для унаследованных приложений

44 © 2007 Citrix Systems, Inc. All rights reserved Автоматическая смена паролей Описание Агент автоматически определяет события смены паролей Автоматически заполняет старые данные (если требуется) Агент генерирует & заполняет новые пароли Новые пароли основываются на политиках паролей Преимущества Проще осуществить смену пароля Труднее угадать пароль Пользователь не может передать свой пароль

45 © 2007 Citrix Systems, Inc. All rights reserved Конфигурирование при помощи Мастера для пользователя SSO Конфигурирование (пользователь) Автоматически распознаются запросы на вход в систему

46 © 2007 Citrix Systems, Inc. All rights reserved Средство для создания описаний приложений(ADT) Мастер для администратороа для создания описаний для Windows, Web и Хост приложений

47 © 2007 Citrix Systems, Inc. All rights reserved Секретные вопросы Настройка секретных вопросов Должны быть определены один или группа вопросов Можно указать примерные ответы Можно включить/выключить зависимость от регистра для ответа

48 © 2007 Citrix Systems, Inc. All rights reserved Журналирование событий Описание Журналирование событий на компьютре пользователя, таких как вход в систему, смена пароля и аутентификация Журналирование ведется в Windows Event log Для централизованной отчетности может быть использован EdgeSight Преимущества Это помогает соответствовать требованиям по аудиту событий

49 © 2007 Citrix Systems, Inc. All rights reserved Расширенное журналирование событий

Преимущества использования

51 © 2007 Citrix Systems, Inc. All rights reserved Что Вы можете выполнять с Password Manager? С точки зрения безопасности Вы можете: 1. Усилить парольную защиту для всех приложений опубликованных на CPS 2. Добавить двухфакторную аутентификацию, сильные политики паролей и устаревание пароля к любому приложению 3. Регистрировать события аутентификации и облегчать соответствие регулирующим требованиям 4. Внедрять и инициализировать Password Manager используя политики CPS

52 © 2007 Citrix Systems, Inc. All rights reserved Что Вы можете выполнять с Password Manager? С точки зрения пользователя Вы можете: 1. Автоматизировать вход пользователей во все защищенные паролем приложения 2. Включить службу удаленного сброса паролей и разблокирования учетных записей через Web Interface 3. Сократить количество звонков, связанных с паролями в службу поддержки 4. Автоматизировать процедуру цикла смены паролей 5. Обеспечить SSO для любого внутреннего или удаленного сценария доступа к Presentation Server 6. Обеспечить быстрое переключение пользователя на разделяемых рабочих станциях, с постоянным пере- подключениям к перемещаемым сессиям Presentation Server 7. Обеспечить Федерацию к любому приложению развернутому на Presentation Server

53 © 2007 Citrix Systems, Inc. All rights reserved Выгоды от внедрения Password Manager для Presentation Server Усиление Безопасности для всех CPS приложений : Усиление безопасности приложений – не требует изменений в самих приложениях Улучшение соответствий нормативам и способности к аудиту Обеспечение Federation Services не только для Web приложений Упрощение доступа - SSO из любого сценария: Для пользователей, приложения ощущаются как беспарольные – исчезает ежедневное раздражение из-за паролей Повышение производительности за счет автоматического, быстрого входа в приложения – при любом сценарии доступа Сброс собственного пароля Windows локально или удаленно - Меньше дорогостоящих, отнимающих время звонков в службу поддержки пользователей

54 © 2007 Citrix Systems, Inc. All rights reserved Сценарии внедрения Приложения на Citrix Presentation Server РабочаястанцияРабочаястанция Может быть использовано с или без Citrix Presentation Server = Агент SSO Приложения на Citrix Presentation Server + Локальные приложения (включая. Web приложения доступные через локальный браузер) Только локальные приложения (Web приложения доступные через локальный браузер или Хост-приложения доступные через локальные эмуляторы) Внедрение только на рабочих станциях Внедрение только на рабочих станциях Смешанное внедрение Смешанное внедрение Внедрение для Presentation Server Внедрение для Presentation Server РабочаястанцияРабочаястанция РабочаястанцияРабочаястанция Безклиентский ESSO

55 © 2007 Citrix Systems, Inc. All rights reserved Безклиентский ESSO – независимость от устройства или ОС на клиенте Firewall Ферма Presentation Server с Windows, Web и Host приложениями Advanced Gateway SSL / TLS Firewall Active Directory Локальные рабочие станции с поддержкой JVM (не требуется установка клиента Citrix) Удаленные рабочие станции с поддержкой JVM (не требуется установка клиента Citrix) Центральное Хранилище Расширение схемы AD или файловый ресурс = SSO Агент Доступ и SSO через Web browser (не требуется никакой загрузки) Web Interface с JAVA ICA клиентом Безклиентский SSO для Windows, Web и Host приложений

Дополнительные обзоры

57 © 2007 Citrix Systems, Inc. All rights reserved Gartner оценивает Citrix Password Manager как Strong Positive This MarketScope graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context of the entire report. The Gartner report is available upon request from Citrix.

58 © 2007 Citrix Systems, Inc. All rights reserved Кто использует Password Manager? Accord Plc ACS Financial Beverly Enterprises Blue Ball Natl Bank Capri Insurance CBE Technologies Community Resource Credit Union CompuCredit Concord Comm. Colligy Detroit Medical Ctr. Enterprise Bank Genl Service Admin Harborside Healthcare Illinois Valley Hospital LeasePlan Belgium LifeLink Lockheed Martin MacLeod-Lorway MAN Ferrostaal AG Margolis, Phipps & Wright Mercedes Benz USA MMI Genomics Olympus America Patton State Health Prudential Fox & Roach Saint Clares Health Sartomer Company SPCA Hong Kong United Overseas Bank US Air Force Personnel Ctr. Verbandssparkasse Volker Stevin Rail & Traffic Waterford Hotels Wilbur Curtis Co. Wisconsin Milk Marketing Свыше 2,800 Заказчиков и 2M пользователей по состоянию на Окт

59 © 2007 Citrix Systems, Inc. All rights reserved Вопросы и Ответы Представительство Citrix Systems в России и СНГ Офис в Москве Сергей Халяпин Тел.: +7 (495) Web: СПАСИБО ЗА ВНИМАНИЕ! Ждем Вас 11 сентября 2007 года