Administracin de Usuarios Privilegiados preparado para EL
CLIENTE Alberto Chvez Sales Engineer achavez@netiq.com 04/2014 2012 NetIQ Corporation. All rights reserved. 2 Contenido Antecedentes Introduccin Alcance de la prueba de concepto Arquitectura propuesta Requerimientos y premisas Plan de trabajo Pruebas a realizar Entregables Antecedentes 2012 NetIQ Corporation. All rights reserved. 4 Antecedentes EL CLIENTE empresa lder en la industria qumica y petroqumica se encuentra en la bsqueda de optimizar sus procesos de seguridad de la informacin por medio de la integracin de nuevas tecnologas a su centro de datos. Por lo anterior, EL CLIENTE solicit una Prueba de Concepto (PoC) en la que se demuestren las siguientes funcionalidades, con el fin de evaluar opciones que permitan satisfacer de una mejor manera las necesidades del negocio, siendo las ms importantes: Auditora de usuarios privilegiados. Control de usuarios privilegiados. Ayuda al cumplimiento regulatorio y mejores prcticas de seguridad.
Introduccin 2012 NetIQ Corporation. All rights reserved. 6 Introduccin Este documento contiene el alcance y requerimientos para realizar en EL CLIENTE la prueba de concepto del siguiente producto: NetIQ Privileged User Manager: Es una solucin de monitoreo de usuarios privilegiados para ambientes operativos UNIX / Linux y Windows, que permite auditar los comandos y aplicaciones ejecutadas por los usuarios, as como escalar privilegios segn las polticas deseadas. El equipo de NetIQ participante en sta prueba, se basar en el contenido y alcance de ste documento para lograr los objetivos planteados en el tiempo disponible para las pruebas. 2012 NetIQ Corporation. All rights reserved. 7 NetIQ Privileged User Manager Delegacin de privilegios root/administrator. Auditar la actividad de todos los usuarios. Anlisis de amenazas potenciales, basada en calificaciones de riesgo. Gestin de forma centralizada las polticas de seguridad. Soporte para plataformas Unix, Linux y Windows. Apoyo continuo al cumplimiento de polticas internas y regulaciones externas. 2012 NetIQ Corporation. All rights reserved. 8 PUM y la administracin centralizada Bases de datos de Auditora de Cumplimiento Puntos de Administracin de Privilegios Auditora Centralizada Administracin Centralizada JSON API / Mdulos Perl Script Personalizados Administracin heterognea Windows Linux Windows Server Mainframe OS/390, Linux Windows Linux Solaris AS/400 OS/400, AIX Linux SUSE AIX HP-UX 2012 NetIQ Corporation. All rights reserved. 9 Arquitectura Modular con PUM Grupos de agentes pueden aadirse a dominios lgicos para balanceo de cargas, redundancia y segregacin de trfico. Las bases de datos de auditora pueden colocarse en mltiples localidades para obtener redundancia y seguridad. Administradores mltiples brindan capacidades fail-over y balanceo de cargas. Internet Manager Admin Interface Audit DB Puerto 443 Navegador Web (Acceso Administrativo) Port 80 (Optional) Agente Puerto 29120 Manager Audit DB Comunicaciones host-to-host Agente Puerto 29120 Puerto 29120 Puerto 29120 Puerto 29120 Puerto 29120 Manager Comunicaciones host-to-host Puerto 29120 Agente Agente Agente Agente Puerto 29120 Puerto 29120 Puerto 29120 Agente Agente Agente Agente Alcance 2012 NetIQ Corporation. All rights reserved. 11 Alcance El alcance definido para esta prueba de concepto est basado en la premisa de lograr mostrar la funcionalidad de los productos involucrados en el ambiente controlado que EL CLIENTE designe y en los tiempos disponibles para la misma. Con base en lo anterior, el alcance se delimita en lo siguiente: Instalacin de NetIQ Privileged User Manager y Control de cambios. Configuracin inicial de la solucin. Instalacin y registro de los agentes dentro de la consola. Revisin de polticas a asignar dentro de la solucin. Configuracin de acceso para usuarios: 1 x RHEL 1 x HP-UX 2 x Windows (TBD) Generacin de reportes de auditora. Pruebas finales de funcionalidad y presentacin de resultados. Arquitectura Propuesta 2012 NetIQ Corporation. All rights reserved. 13 Arquitectura Propuesta Host Agents Windows NetIQ Privileged User Manager for Windows (master) Host Agents Unix/Linux Administrador / Auditor PUM Consola Central Nota: La arquitectura mostrada es ilustrativa y no cuenta con el nmero total de dispositivos del cliente. NetIQ Privileged User Manager for Linux (Slave) 2012 NetIQ Corporation. All rights reserved. 14 Caractersticas del equipo Manager 1 x Procesador Intel Dual Core @ 3 GHz o similar. 4 GB de memoria RAM. 80 GB de Disco Duro. Sistema operativo Windows Server 2003 SP3 o 2008 R2 (64 bits) Suse Linux Enterprise Server 11 SP2 ( 64 bits) 2012 NetIQ Corporation. All rights reserved. 15 Caractersticas del equipo Agente CPU - 300 MHz (RISC), 1GHz (CISC) Memoria - 50 MB de memoria adicional. Disco Duro - 100 MB de disco duro adicional. Requerimientos y Premisas 2012 NetIQ Corporation. All rights reserved. 17 Requerimientos y Premisas Para esta prueba de concepto est considerado nicamente el monitoreo y/o control de 4 servidores. La Prueba de Concepto se montar en dos servidores (virtual o fsico) proporcionado por EL CLIENTE segn las siguientes caractersticas mnimas: 1 x Procesador Intel Dual Core @ 3 GHz o similar. 4 GB de memoria RAM. 80 GB de Disco Duro. Sistema operativo. Windows Server 2003 SP3 o 2008 R2 (64 bits) Suse Linux Enterprise Server 11 (64 bits) EL CLIENTE debe contar con una persona que apoye en la obtencin de los requerimientos tcnicos del especialista de NetIQ, para cumplir con los objetivos planteados. 2012 NetIQ Corporation. All rights reserved. 18 Requerimientos y Premisas Debe existir una comunicacin entre el servidor donde estar instalado el Framework Manager y los Hosts, habilitando el puerto 29120 bidireccional entre los mismos. Para la conexin a la consola ser necesario habilitar los puertos 80 y 443 (HTTP y HTTPS) EL CLIENTE debe proporcionar la informacin correspondiente a las cuentas de los usuarios que van a tener privilegios, as como las cuentas de sper usuario (Administrator/root/dbadmin) en el ambiente a probar antes de iniciar la prueba de concepto. EL CLIENTE debe ofrecer las facilidades a NetIQ para instalar y configurar los agentes a integrar en la herramienta, segn el alcance, es decir, deber permitir tener acceso a los equipos a gestionar con las cuentas de administrador (root/Administrator) para instalar los agentes. EL CLIENTE debe ofrecer a NetIQ un lugar de trabajo con conexin a la red local, con acceso a los hosts a monitorear y los servidores de la prueba a instalar, as como, garantizar que antes de la prueba se deber proporcionar las IPs asignadas al equipo de NetIQ. Para la funcionalidad RDP y/o SSH Relay se requieren los servicios SSH o Remote Desktop activados en los servidores agente y comunicacin entre la consola y el Host en los puertos 22 3389 segn sea el caso. Es mandatorio cumplir los puntos anteriores antes de dar comienzo con la prueba de concepto, por tanto es requisito que EL CLIENTE ponga por escrito (correo electrnico, documento, etc) que dichos requerimientos fueron cubiertos. Plan de trabajo 2012 NetIQ Corporation. All rights reserved. 20 Plan de trabajo Nota: Este plan de trabajo asume que EL CLIENTE habr facilitado los recursos necesarios, y cumplido con las premisas establecidas en ste documento para poder cumplir con dichos tiempos. Actividad Da 1 Da 2 Da 3 2 4 6 8 2 4 6 8 2 4 6 8 Revisin de las polticas a asignar a la solucin. Instalacin de NetIQ Privileged User Manager. Configuracin inicial de la solucin. Descarga de los paquetes en el Package Manager. Instalacin y registro del Host Agent dentro del Framework. Creacin de usuarios de administracin en distintos roles (auditora, cumplimiento, ejecucin) Creacin de reglas SSH y/o RDP relay. Creacin de reglas de auditora de archivos crticos. Generacin de reportes de auditora. Pruebas finales de funcionalidad y presentacin de resultados. Criterios de aceptacin 2012 NetIQ Corporation. All rights reserved. 22 Pruebas a realizar EL CLIENTE dar como terminada correctamente la prueba de concepto, al cumplirse los siguientes casos:
Criterios de aceptacin Cumple? Comentarios Instalacin exitosa de agentes y consola en el entorno de EL CLIENTE. Monitoreo en tiempo real de los comandos ejecutados por usuarios privilegiados, establecidos para la prueba. Almacenamiento en bitcora de todos los eventos monitoreados en la solucin NetIQ Privileged User Manager. Creacin y despliegue de reglas de control entre los componentes integrados, en tiempo real. Mostrar el funcionamiento de la herramienta RDP Relay para auditora de entornos Windows. Fcil creacin de usuarios de administracin y acceso a los mismos con diferentes roles y accesos. Generacin exitosa de reportes con toda la informacin genrica de los hosts integrados. Entregables 2012 NetIQ Corporation. All rights reserved. 24 Entregables Como parte de los entregables de la Prueba de Concepto, NetIQ mostrar la solucin solicitada por EL CLIENTE con las funcionalidades listadas en este documento para su evaluacin y realizar la presentacin formal de resultados. As como un periodo de evaluacin de la herramienta no posterior a 60 das. This document could include technical inaccuracies or typographical errors. Changes are periodically made to the information herein. These changes may be incorporated in new editions of this document. NetIQ Corporation may make improvements in or changes to the software described in this document at any time.
Copyright 2012 NetIQ Corporation. All rights reserved.
ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, the cube logo design, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, the NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt, and Vivinet are trademarks or registered trademarks of NetIQ Corporation or its subsidiaries in the United States and other countries.