1 SafeNet Authentication Service Przekonaj się dlaczego warto wdrożyć uwierzytelnianie jako usługę.Krzysztof Górowski

2 Probe requests Probe requests www Probe requests Probe requests

3 Eksperyment „Wi-Fi MITM”: mk4 karma, urlsnarf, dns spoof , facebook/twitter phishingphishing site intruz

4

5 Rozwiązanie problemów związanych z hasłemNależy wprowadzić silne, dwuskładnikowe uwierzytelnianie eliminując użycie zwykłego hasła

6 Rozwiązanie problemów związanych z hasłemPracownicy wewnętrzni Urządzenia mobilne Użytkownicy zdalni Filie Dostęp osób trzecich Użytkownicy i ich przestrzeń robocza Rozwiązanie problemu z hasłem Dwuskładnikowe uwierzytelnianie – unikalna tożsamość dla każdego użytkownika, przy każdym logowaniu użytkownik wykorzystuje coś co wie + coś co ma Hasło Two factor Authentication solves the need to keep changing, remembering and even inventing passwords It’s very simple:- Before you are given access to the network you are asked to:- a) enter a PIN (this is something that only YOU as an individual knows) b) Enter a One-Time Password – you get this by pressing a button on the token (the token is the something that you have) This combination is TOTALLY unique. Only you know the PIN and only you have the token. Even if someone finds or steals your token, they don’t have your PIN. And if they find you PIN then they also need your token. SIMPLE! SaaS Apps Aplikacje w chmurze Goggle Apps Salesforce.com

7 Silne uwierzytelnianie to obecnie de facto standardJak to wygląda od strony kosztów? Koszt tokenów sprzętowych, ich wymiany i odnawiania Koszty Help Desku związane z obsługą użytkowników i ich urządzeń Jako ważna usługa jest zwykle wdrażana w układzie wysokiej dostępności Inne cechy Konieczność noszenia tokenu może budzić brak akceptacji użytkowników Zwykle sztywny model licencjonowania jak również rozliczania SafeNet Authentication Service

8 Przykładowe porównanie kosztów1000 Użytkowników – koszt w skali roku Magazynowanie danych, prąd Prace: instalacja, utrzymanie, aktualizacje, trening Serwery, urządzenia, system operacyjny Subskrypcja / licencja This chart is based on a global survey of the costs of managing security that was conducted by Osterman Research. The results of which are published on a whitepaper that’s available our website. The first thing to understand with a hosted service is that the subscription fee you pay may in some cases actually be a bit higher than what you might be used to with on-premise security. However, there are a lot of other costs that must be considered including the purchase and depreciation costs servers or appliances, the labor for installing, maintaining, upgrading software, and even the costs of bandwidth, storage and electricity which can be significant. Bottom line is that when you do an honest comparison of the total cost of ownership, hosted security wins hands down. Źródło: “The Advantages of a Hosted Security Model”. Osterman Research, July 2009

9 Uwierzytelnianie jako usługa:Czym jest uwierzytelnianie jako usługa:? Globalna usługa uwierzytelniająca. Usługa oparta o subskrypcję. Stała opłata za miesiąc/kwartał/rok za użytkownika. Nie wymaga inwestycji w sprzęt i jego utrzymanie. Wybrane cechy: Szeroka oferta tokenów sprzętowych i programowych oraz metod uwierzytelniania nie wymagających tokenów. Wyjątkowy model integracji i automatyzacji zarządzania tokenami i użytkownikami. Elastyczna platforma uwierzytelniania.

10 AaaS – Authentication as a ServiceZapewnia: Serwer uwierzytelniający klasy enterprise – gotowy do pracy w minuty i dostępny 24*7 (dostępność usługi 99,999% - SLA) Funkcjonalny portal zarządzający Wysoce bezpieczna infrastruktura w zapleczu usługi Bezkonkurencyjne modele komercyjne © SafeNet Confidential and Proprietary

11 Uwierzytelnianie jako usługa:umożliwia szybkie, proste i tanie wdrażanie rozwiązań uwierzytelniania, wręcz nieskończenie skalowalna, daje się dostosowywać do oczekiwań niemal w każdym aspekcie umożliwia dostarczenie w pełni funkcjonalnego serwera uwierzytelniającego dla przedsiębiorstw, oferuje wielowarstwową platformę uwierzytelniającą typu multi-tenant, która pozwala dostawcom usług, dystrybutorom, partnerom i operatorom na dostarczenie niemal nieskończonej ilości “wirtualnych” serwerów uwierzytelniających dla klientów.

12 Architektura i opis działania

13 Różnorodne modele świadczenia usługiSafeNet Authentication Service jest wyjątkową ofertą, która umożliwia dystrybutorom, integratorom i operatorom dostarczenie usług uwierzytelniających całkowicie dostosowanych do potrzeb klienta. BlackShield Cloud - globalne uwierzytelnianie w formie usługi dostarczane przez SafeNet BlackShield Private Cloud – usługa prywatna oferowana dla klientów np. przez operatorów

14 Więcej niż uwierzytelnianieWybór tokenów – najszerszy wybór tokenów uwierzytelniających Zautomatyzowane dostarczanie usług – system może automatycznie zaopatrywać, zawieszać lub unieważniać tokeny w oparciu o zmiany w repozytorium użytkowników (usługa katalogowa) Automatyzacja zaplanowanych zadań – raportowanie wyników audytu i billingów Dostosowanie - można zmodyfikować praktycznie wszystko – usługę self-service, wydawanie tokenów, powiadomienia i alerty. Bezpieczeństwo – Klienci mogą zdefiniować własne reguły bezpieczeństwa i polityki

15 Więcej niż uwierzytelnianieMulti Tenant – pojedynczy system pozwala obsługiwać wielu klientów (najemców) Multi Tier – pozwala odzwierciedlić strukturę Producent – Dystrybutor – Integrator (Reseller) – Klient Powiadomienia i alarmy – pełna automatyzacja powiadomień dla użytkowników i administratorów API – zestaw API do uwierzytelniania i administracji Otwarta platforma – każde przedsiębiorstwo jest inne – możliwość pełnego dostosowania do potrzeb użytkownika

16 Tokeny Tokeny uwierzytelniające SafeNet: nie wygasająMulti Platform H/W BlackBerry iOS OSx Android Microsoft Microsoft USB Java SMS Grid Tokeny uwierzytelniające SafeNet: nie wygasają mogą być zawarte w cenie usługi klucze Seed mogą zostać wygenerowane przez klienta mogą zostać ponownie przypisane do nowych użytkowników opcja samodzielnego wydawania zmniejsza nakłady administracyjne złożoność OTP i PIN jest definiowana przez klienta

17 Logowanie do SSL VPN Programowy token GrIDsure (PIP)Zależnie od polityki zdefiniowanej przez administratora token GrIDsure może: posiadać różny rozmiar, np.: 5x5, 6x6, lub 7x7 znaków opcjonalnie wymagać od użytkownika podania kodu PIN zawierać same cyfry, małe litery, wielkie litery, znaki specjalne, lub dowolną ich kombinację. mieć określoną minimalną długość od 4 do 16 znaków.

18 Pełna automatyzacja procesówzaopatrywanie użytkowników w tokeny (provisioning) automatycze wykonywanie zdefiniowanych przez administratora reguł powiadomienia i alarmy rejestracja usług SAML samodzielne wydawaniem tokenów (self enrolment) samoobsługa (self service) raportowanie Zmiany LDAP Auto Update Auto-zaopatrywanie użytkownika Samodzielne wydawanie Raportowanie i alarmy

19 Samodzielne zaopatrzenie się w token programowy

20 Samodzielne zaopatrzenie się w token sprzętowyWygląda analogicznie Wymaga logistyki

21 Elastyczność i dostosowanie do potrzebJęzyk interfejsu Komunikaty ostrzegawcze, powiadomienia Logo firmowe, pełny branding Doświadczenia użytkownika Bramki SMS Polityka PIN i OTP Zarządzanie rolami Raportowanie Dostosować można właściwie wszystko!

22 Przykłady dostosowania

23 Multi-Tenant, Multi-TierArchitektura multi-tenant Umożliwia posiadanie nielimitowanej liczby resellerów i klientów Przydzielanie i kontrola licencji oraz tokenów Definiowanie ustawień usługi, które będą dziedziczone do niższych warstw Automatyzacja Wbudowane narzędzia rozliczania i raportowania Bezpieczeństwo Możliwość zarządzania klientami resellera w imieniu resellera, domyślnie wgląd tylko w jeden poziom Dostosowanie (branding i lokalizacja) Wsparcie wielu regionów i języków Regionalna zawartość i bramki SMS Skalowalność Nielimitowana liczba najemców i warstw Clico Reseller 1 Klient 1 Klient 2 . . . Klient n Reseller 2 Support for multiple business unit entities gives provides enormous power and flexibility with support for delegated administration, local and centralised user directories, and local and central application and network devices No longer are you restricted to single user directories, no longer do you need multiple instances of authentication servers, and no longer do you need worry about what local administrators can see and do “Blackshield Cloud has brought several benefits to Specsavers, the tiered user-groups have allowed us to implement and manage two-factor authentication globally, and delegate administration. Feedback from our offices and end users has been really positive” Specsavers Reseller 4 Reseller 5

24 Administrator na poziomie klientaElastyczne modele wsparcia w strukturze wielowarstwowej Wsparcie SafeNet Wsparcie Dostawcy Administrator na poziomie klienta Użytkownik 3rd / 4th Line 2nd / 3rd Line 1st Line Issues RMA replacement to service provider Assist service provider with major incidents (unable to authenticate) Provides trouble ticketing and engineering escalation Issues RMA replacement Provide assistance with troubleshooting node connectivity e.g. firewall or VPN concentrator Provide assistance with portal management issues Escalates to SafeNet Performs Token Troubleshooting steps Performs Resync Logs RMA if token faulty If unable to assist escalates to service provider User fails to login User tries self-service User logs ticket with the helpdesk

25 Przykład wdrożenia w przedsiębiorstwie – Fidelity InvestmentWymiana 6,500 tokenów RSA dla wszystkich pracowników w regionie EMEA Decyzja o wyborze SafeNet Authentication Service oparta była o: Formę rozwiązania Zauważono dużą wartość modelu SaaS Pełną automatyzację wszystkich zadań zarządzania Zaopatrywanie, raportowanie, alarmy etc. Funkcjonalność platformy Synchronizacja repozytoriów użytkownika, Elastyczność polityk bezpieczeństwa, możliwość indywidualnego dostosowania platformy włącznie z wielojęzycznym wsparciem w UI Wybór tokenów i strategia rozwoju Całkowity koszt posiadania Prostotę migracji W szczególności brak wpływu na użytkownika końcowego

26 Informacje dla sprzedawcówProsty cennik – koszt za użytkownika za okres czasu Tokeny Tokeny sprzętowe mogą zostać opłacone z góry lub podzielone na miesięczne koszty Wszystkie tokeny programowe są zawarte w cenie usługi Możliwość świadczenia usług profesjonalnych Migracja z posiadanych przez klienta rozwiązań konkurencyjnych Bardzo krótki cykl sprzedaży What’s ‘special’ about the business model we offer? …. Annuity revenue.. An on-going revenue stream for the reseller No stock holding required by the resellers for tokens. Most sales opportunities offer some form of professional services for partners to take advantage of.

27 Niski całkowity koszt posiadaniaSzeroki zakres niewygasających tokenów fizycznych oraz możliwość ponownego przypisania tokenów programowych i sms, co umożliwia znaczną redukcję kosztów. Prosty, korzystny model cenowy „za użytkownika za okres” nie zawierający ukrytych ani dodatkowych kosztów Brak kosztów związanych z infrastrukturą Znaczne zmniejszenie czasu potrzebnego na zarządzanie dzięki integracji z istniejącymi katalogami użytkownika i automatyzacji wszystkich zadań zarządzania i raportowania Zmniejszenie kosztów administracyjnych dzięki samoobsłudze użytkownika i wykorzystaniu wsparcia opartego o inteligentne reguły

28 Zapewnia bezpieczeństwo pozwalając oszczędzić pieniądze i czasPodsumowanie SafeNet SAS to system uwierzytelniania oferowany jako usługa: Dostępna Skalowalna Elastyczna Daje się w pełni dostosować Wspiera rozmaite urządzenia uwierzytelniające Dużo zadań można zautomatyzować Wspiera wiele modeli sprzedaży Dostawca może świadczyć dodatkowe usługi swoim klientom Nie wymaga nakładów na zakup i utrzymanie serwerów Umożliwia migrację z dotychczas wykorzystywanych rozwiązań Zapewnia bezpieczeństwo pozwalając oszczędzić pieniądze i czas

29 Analitycy rynku przewidują„by 2017, more than 50% of enterprises will choose cloud-based services as the delivery option for new or refreshed user authentication implementations” SafeNet offers a wide range of authentication methods. Overall, SafeNet has one of the strongest product or service offerings in the market. Gartner estimates that SafeNet has a market share by customer numbers of approximately 20%. Overall, SafeNet is used by tens of millions of end users. SafeNet clearly articulated its technical innovation, as well as good marketing, industry vertical and geographic strategy, and demonstrated good customer experience. It also demonstrated good overall viability, market responsiveness and market execution, as well as good customer experience. Reference customers were very satisfied with SafeNet's customer support (one remarking that SafeNet had "gone to great lengths") and noted that it generally dealt with technical support requests fully and promptly. SafeNet came out quite well in the pricing scenarios, and was among the lowest-cost options for Scenarios 2, 3 and 4; however, it was one of the higher-cost options for Scenario 5. Reference customers' comments about the products were generally positive. Vasco, RSA

30 Kilka przydatnych informacji na koniecStrony producenta oraz Clico: Notki prasowe: Materiały na YouTube Po prostu wpisz „CryptoCard” w pole wyszukiwania

31 Nie czekaj, działaj! Rejestracji dokonasz tutaj:Zarejestruj się już dziś, aby za darmo otrzymać uwierzytelnianie w formie usługi, dla 5 użytkowników na okres 2 lat wraz z tokenami programowymi Rejestracji dokonasz tutaj:

32 Dziękuję! Krzysztof Górowski