CryptoAuditor™ - SSH Communications Security

CryptoAuditor™
Lassen Sie nicht zu, dass ein Insider zur
Sicherheitslücke wird
CryptoAuditor™
Bei CryptoAuditor handelt es sich um eine zentral
gemanagte (virtuelle) Appliance, mit der sich
verschlüsselte Verbindungen auditieren lassen und
die das Monitorieren der Aktivitäten privilegierter
Bentutzer (Administrator, root, …) auch in verschlüsselten
Umgebungen ermöglicht.
Damit kann das Risiko gesenkt, der Schutz erhöht und
Compliance ermöglicht werden.
Das Problem
Privilegierte Benutzer benötigen Zugang zu kritischen Systemen, Geräten
und Daten, um ihrer Arbeit nachgehen zu können. Ihre Handlungen werden
mit Protokollen wie SSH, RDP und SSL abgesichert. Die Verwendung von
Gruppenaccounts und verschlüsselter Kommunikation machen es allerdings
sehr schwierig nachzuvollziehen welcher privilegierte Benutzer was wann
wo getan hat. Gleichzeitig steigen die formalen Anforderungen an Kontrolle
und Transparenz, um das Risiko eines Datenmissbrauchs gering zu halten.
Jede Sitzung und jeder Befehl sollen sich auf eine Person zurückführen
lassen. Dabei ist es der Wunsch unserer Kunden, die Windows und die
Linux/Unix-Welt zu verbinden und die Betriebsprozesse maßgeblich zu
vereinfachen, ohne die Client bzw. Serversysteme zu verändern.
* Erhältlich im Amazon Web Services Marketplace
Sicher in der Cloud
Verwenden Sie CryptoAuditor,
um den Zugang zu Ihrer
öffentlichen oder privaten Cloud zu
überwachen und kontrollieren
Die Lösung
CryptoAuditor ist eine transparente, netzwerkbasierte Monitoringlösung,
die die Aktivitäten privilegierter Benutzer entschlüsselt und aufzeichnet,
ohne deren gewohnten Arbeitsablauf zu stören. Da keine Agenten installiert
werden müssen, unterstützen wir jedes Produkt, das auf das SSH- bzw.
RDP-Protokoll aufsetzt.
CryptoAuditor ist mehr als nur ein passives Monitoringtool. Es stellt
benutzerkontenspezifische Kontrollen bereit mit denen sich klar festlegen
und durchsetzen lässt, wohin sich privilegierte Benutzer in Ihrem Netzwerk
bewegen können und was sie tun dürfen. CryptoAuditor integriert sich in
Ihre DLP-, IDS- und SIEM-Systeme und ermöglicht Erkennen und Verhindern
von unerwünschtem Datenabfluss in Echtzeit. So hilft Ihnen CryptoAuditor
Ihre kritischen Vermögenswerte zu schützen:
•
•
•
•
•
Nachvollziehbarkeit: Sie wissen genau wer der Nutzer ist und was er
getan hat
Kontrolle: Privilegierte Zugänge mit den Möglichkeiten des Microsoft
AD verwalten, ohne LDAP/Kerberos installieren zu müssen
Audit: Eine indexierte, durchsuchbare Datenbank der privilegierten
sitzungen, inklusive “Videoaufzeichnung” der graphischen Sitzungen
Verteidigung in Echtzeit: Ihr SIEM, DLP und IDS bekommen Einblick in
verschlüsselte Sitzungen in Echtzeit
Leicht einsetzen: Transparenz und verteilte Architektur ermöglichen
einen effizienten, kostengünstigen und risikoarmen Einsatz
Schutz von Daten
Zugriff auf kritische Daten
überwachen und unerwünschten
Datenabfluss in Echtzeit stoppen
Compliance
Weisen Sie nach, dass Sie volle
Nachvollziehbarkeit bei
priviligierten Nutzerkonten
besitzen
SSH Communications Security | www.ssh.com/lang/de
CryptoAuditor
Funktionsweise
Kundenszenarien
CryptoAuditor funktioniert wie ein kontrollierter
Man-in-the-Middle. Dabei wird nicht die eigentliche
Verschlüsselung gebrochen, sondern es werden
mit einem rechtlich geschützten Verfahren die
eingesetzten SSH-Schlüssel verändert. Mit der Software
werden Sitzungen privilegierter Benutzer in Echtzeit
entschlüsselt, untersucht, protokolliert und wieder
verschlüsselt. Virtuelle- oder Hardware- Appliancen
werden dafür an ausgesuchten Punkten im Netzwerk
platziert - vor Serverfarmen, Datenbanken oder
Netzwerkzugangspunkten. CryptoAuditor kann in völlig
transparentem Modus operieren, so dass Zugangsdaten
der Endnutzer oder gewohnte Loginprozesse nicht
geändert werden müssen. Eine zentralisierte Konsole
stellt ein einheitliches Management bereit. Sitzungen
werden indexiert und in einer verschlüsselten
Datenbank gespeichert, auf die für Reporting,
forensische Nachforschungen und Abspielen von
Sitzungen zugegriffen wird.
CryptoAuditor ist die Lösung für verschiedene Sicherheitsherausforderungen
in Cloudumgebungen und traditionellen
Rechenzentren.
•
•
•
•
Cloud- und Hostingprovider:
Einhaltung der geforderten SLAs
Finanzdienstleister: Schutz von
kritischen Clearing- und Settlementdienstleistungen, PCI-DSS konform
Spielebetreiber: Überwachung von
Windows- und Unixadministratoren
Technologieunternehmen:
Verhindert, dass externe Partner
Designs und Quellcode entwenden
können
CryptoAuditor
Privileged Access Monitoring
SECURITY
HEALTH CARE
INFORMATION
SECURITY NUMBER
SOCIAL SECURITY
PCI
SSH
Interactive Users
SECURITY
HEALTH CARE
INFORMATION
SECURITY NUMBER
SOCIAL SECURITY
PCI
RDP
Machine
Identities
SSL
Employees
Contractors
Partners
White Paper
Servers, Mainframes
& Network Devices
SECURITY
HEALTH CARE
INFORMATION
SECURITY NUMBER
SOCIAL SECURITY
PCI
|
Demo
|
Case Study
Zusätzliche
Ressourcen
www.ssh.com
SSH Communications Security | www.ssh.com/lang/de
|
Webinar
Technische Daten CryptoAuditor
Funktionen
Vorteile
Mehrere Bereitstellungsmodi: Bridge, Router,
Bastion.
Passt in verschiedene Netzwerk-Topologien, darunter VL2Nbasierte Prüf- und Richtlinienkontrolle.
Hochverfügbarkeitskonfiguration für Hounds
und fehlertolerant konfigurierbare Filterregeln.
Minimale Ausfallzeiten im Falle einer Störung. Sollte es zum Ausfall
eines Hounds kommen, schaltet das System um und eine neue
Verbindung wird ermöglicht.
Transparenter “Man-in-the-Middle”.
Benutzer müssen nicht erneut geschult werden und benötigen
keine neuen SSH-Schlüssel.
Sitzungswiedergabe, Sitzungswiedergabe.
Einfache Prüfung von Aktivitäten der privilegierten Benutzern.
Durchsuchbare Datenbank.
Schneller und einfacher Zugriff auf protokollierte Sitzungsinformationen.
Verschlüsselte Speicherung mit mandantenfähiger Speicherunterteilung.
Daten werden vor unbefugtem Zugriff geschützt. Zugriff nach
dem Need-to-know-Prinzip dank seperater “Audit Zone”.
Überwacht und protokolliert SSH, SXTP, RDP,
SSL/TLS.
Auditieren von sensiblen privilegierten Benutzerkonten.
Erfüllen von Complianceanforderungen.
Benutzerdefinierte Überwachungsaufzeichnung. Fokussierbar auf high-value-targets Aktivitäten.
Identitätsbasierte Richtlinienkontrolle mit Integration in Verzeichnisdienste.
Kontrolliert, welche Benutzer auf welche Server zugreifen und
welche Aktivitäten sie durchführen können.
Verteilte Architektur mit frei platzierbaren
Hounds und zentraler Datenspeicherung.
Leichte Anpassbarkeit an sich ändernde Netzwerktopologien und
Geschäftsprozesse. Leichtes Delployment und niedrige Gesamtkosten (TCO).
Integration in SIEM, IPS, DLP, Network AV.
Holen Sie mehr aus Ihrer bestehenden Sicherheitsinfrastruktur heraus.
Amazon Web Services EC2 Instanz
AMI Abbild im AWS Marketplace erhältlich
Virtuelle Appliance
• unterstützte Plattformen: VMware ESXi und MS Hyper-V
• Für Testzwecke Oracle VirtualBox und VMware Workstation (kein
Support in Produktiven Umgebungen)
Leistung*
Durchsatz
• 930 Mbit/s (unkontrollierter Datenverkehr)
• 400 Mbit/s (einzelne verschlüsselte SFTP Verbindung)
Gleichzeitige Verbindungen
• 3000 SSH
• 300 RDP
* Unter Realbedingungen im Testlabor ermittelte Werte – tatsächliche Werte können geringfügig abweichen
Deployment und Systemadministration
Hohe Verfügbarkeit
• Aktiv-Passiv Redundanz (Hound)
Betrieb
• Transparent im Router- und Bridgemodus
• nicht transparent im Bastion Modus
• SOCKS-proxy Funktionalität zum Auditieren von http/HTTPS
Verbindungen
VLAN
• Unterstützt im Bridgemodus
Management
• Webinterface
• Dediziertes Managementinterface
• Kommandozeile
Handhabung
• Managementaccounts lokal auf dem Gerät
• AD/LDAP-basierende Managementaccounts
• frei konfigurierbare rollenbasierte Administration und Auditrechte
* VMware (und Hardware Appliance) im produktiven Einsatz
SSH Communications Security | www.ssh.com/lang/de
Technische Daten CryptoAuditor
Auditing, End-User Authentifizierung & Authorisierung
Unterstützte Protokolle
•
SSH (v2), SCP, SFTP, RDP, SSL/TLS-protected TCP, HTTP/HTTPS
Audit Levels
•
•
Nur Metadaten
Full channels
Monitoring und Policykontrolle
•
•
Regeln für Protokoll, Adresse, Port, VLAN oder Benutzergruppe
einfach handhabbares Regelprüftool
End-User Authentifizierung &
Authorisierung
•
Passwort oder öffentlicher SSH-Schlüssel auf dem Gerät
•
Passwortweiterleitung oder keyboard-interactive Authentifikation
•AD/LDAP
•RADIUS
•
RSA SecurID/OTP
•
X.509 Zertifikate (nur SSH) mit PIV/CAC smart card support
•
HTTP REST API für die Benutzerautorisierung
Shared-account management
•
Sicheres Passwort mit SSH Schlüsselsafe
Sonstiges
•
•
OCR-basierende Inhaltserkennung für RDP
Indexgestützte Freitextsuche nach Inhalten
Sicherheit
Verschlüsselung
•
•
•
Schlüsselaustausch: Diffie-Hellman, RSA
Host Key: RSA, DSA
Verbindung: AES-CTR/CBC (128-, 192-, 256-bit), 3DES-CBC, Blowfish, RC4
Datenintegrität
•
•
HMAC SHA-1 (160-bit, 96-bit)
HMAC MD5 (128-bit, 96-bit)
Compliance
•
FIPS 140-2 Compliance durch zertifizierte OpenSSL Bibliothek
Systemsicherheit
•
•
•
Gesamte Kommunikation zwischen Hound und Vault durch TLS gesichert.
Alle im Vault gespeicherten Daten werden mit 128-bit AES verschlüsselt.
Keine Benutzerpasswörter werden mitgelesen oder gespeichert
Alerts and Reports
•
•
System- oder verbindungsbasiertes Alerting zum SIEM oder syslog
Anpasspare E-mail Reports
Third-Party Application Support
SIEM & Syslog
•
•
•
•
•
•
IBM Security QRadar SIEM
Splunk Enterprise
RSA Security Analytics
HP ArcSight Logger
Rsyslog
Syslog-ng
IDS
•
•
RSA Security Analytics
Bro
DLP und Network AV
•
•
•
•
RSA Data Loss Prevention Suite
Symantec Cloud Protection Engine
McAfee Web Gateway
F-Secure Internet GateKeeper
* Unterstützung von DLP und Netzwerk-Anitviruslösungen durch das ICAP
Standardprotokoll
SSH Communications Security | www.ssh.com/lang/de

Download Report