Solutie administrare parole pentru echipamente de comunicatie si servere

Solutie administrare parole pentru echipamente de comunicatie si servere

Solutia propusa trebuie sa poata furniza un “seif” pentru toate parolele administrative in care acestea sa poata fi pastrate, transferate si partajate in siguranta intre utilizatorii autorizati sa le foloseasca (IT staff, on-call administratori, DBAs si adminstratori locali din locatiile remote).

Parolele care sunt administrate de solutia propusa vor fi pastrate in seif impreuna cu proprietatile lor (detalii necesare la folosirea acestor parole). Aceste proprietati trebuie sa includa user name, adresa IP a masinii, tipul parolei, numele bazei de date (daca este cazul). Aceste proprietati trebuie sa fie dinamice si sa poata fi schimbate de catre utilizatorii autorizati pentru a permite astfel intrgrearea completa in standardele organizatiei, terminologii si practici.

Solutia trebuie sa permita politici ale parolelor prin care sa se poata defini in ce fel parolele sunt administrate de catre produsul ofertat. Adica ce tipuri de parole sunt premise a fi pastrate in seif, cat de des aceste parole sunt schimbate precum si alti parametrii de automatizari.

Prin tip de parola se intelege lungimea parolelor (numarul minim de caractere din parola), tipul caracterelor, etc.

Prin frecventa schimbarii parolelor se intelege cat de des (interval stabil) parolele trebuie sa fie recreate. In cazul parolelor de tipul “one-time” acestea trebuie sa poata fi schimbate imediat dupa ce au fost folosite.

Prin parametrii de automatizari aditionale se intelege daca si cand o parola trebuie automat verificata daca este sincronizata cu parola reala de pe dispozitivele remote si ce actiuni sa se realizeze in cazul in care apar probleme de sincronizare.

Politicile de parole trebuie sa se poata aplica pe o parola sau pe un grup de parole. Aceste politici trebuie sa poata fi pastrate intr-un seif diferit astfel incat doar utilizatorii autorizati sa aiba dreptul sa intre in acest seif si sa acceseze politicile de parole.

Solutia trebuie sa permita organizatiei sa schimba automat parolele de pe masinile remote si sa pastreze noile parole in seif, fara interventie umana, in concordanta cu politica organizatiei si fara instalarea de software additional pe aceste masini sau dispozitive.

Produsul trebuie sa ofere caracteristica de “reconciliere a parolei” prin aceasta de intelege abilitatea produsului de a prelua controlul atunci cand parola unui account este pierduta si sa reseteze parola la o valoare cunoscuta ce va fi pastrata in seif

Seiful trebuie sa poata fi accesat prin intermediul unei intefete.

Separare pe roluri

Administratorul sistemului nu trebuie sa fie autorizat sa acceseze continutul. Chiar daca administratorul va avea permisiunea de a administra utilizatorii (stabilind quota si permisiunile in seif) el nu trebuie sa poata accesa continutul decat in cazul in care are o permisiune specifica in acest sens.

Access Control Lists

Utilizatorii trebuie sa poata accesa doar parolele pe care au permisiunea sa le acceseze – si nu trebuie sa aiba posibilitatea de a vedea ce alte tipuri de parole exista in seif.

Notificare prin E-mail

Notificarile si alertele trebuie sa poata fi trimise catre orice utilizator din organizatie pentru a raporta anumite actiuni care au avut loc in seif.

Securitate Geografica

Accesul la informatie trebuie sa poata fi limitat numai la cateva IP-uri sau la anumite parti din retea.
Solutia trebuie sa permita, de asemenea, ca utilizatorii sa fie limitati sa se autentifice la seif numai de la anumite IP-uri sau de la anumite segmente de retea.

Autentificare
Solutia trebuie sa permita autentificarea la produs folosind sistemul de autentificare din organizatie

Informatia trebuie sa fie criptata atat in seif cat si in timpul transferului catre seif.

Suport pentru arhitectura distribuita

Produsul trebuie sa suporte arhitectura distribuita fara sa se instaleze mai mult de un seif – nu trebuie sa fie necesar sa se achizitioneze mai multe sisteme daca clientul are mai multe retele.

Solutia trebuie sa poata fi folosita fara sa instaleze software sau agenti pe diferitele dispozitive administrate.

Solutia trebuie sa ofere posibilitatea de a furniza suport “on site”de catre personalul beneficiarului.

Solutia trebuie sa ofere integrare cu server LDAP pentru a putea importa utilizatorii curenti si deci nu a duplica efortul setarii seifului.

Solutia trebuie sa ofere caracteristici de auto-detectie pentru desktop-uri, laptop-uri si servere Windows.

Furnizorul trebuie sa ofere posibilitatea de a implementa solutia cu ajutorul unei echipe de experti de securitate proprii.

Produsul ofertat trebuie sa poata folosi aceasi infrastructura de la solutia de Application Identity Management

Solutia trebuie sa ofere support “out-of-the-box” pentru urmatoarele platforme:

Operating Systems:

Windows (Domain users, Local users, Windows services, Windows scheduled tasks, IIS Application Pool)

UNIX (Linux, Solaris, AIX, HP-UX)

OS/390 (RACF)

AS/400

Databases (Oracle, IBM DB2, Microsoft SQL Server, Sybase, IBM Informix, MySQL, Any other ODBC-compliant database)

Security Appliances (CheckPoint Firewall-1, CheckPoint Firewall-1 on Nokia IPSO, Cisco PIX, Juniper Netscreen, Fortinet FortiGate)

Network Devices (Cisco Router, Cisco Switch, Juniper Router, F5 BigIP, Alcatel Omniswitch)

Directories and Credential Storage (Microsoft Active Directory, SunOne Directory, UNIX Kerberos, UNIX NIS)

Remote Control and Monitoring Devices (HP-iLO, IBM HMC, Sun ALOM, Digi Console Management)

Applications (IBM WebSphere, BEA WebLogic, JBOSS, Cyber-Ark Vault)

Solutia trebuie sa furnizeze aplicatiilor o unealta prin care sa se acceseze “seiful” si care sa foloseasca o singura functie “call” intr-o interfata in linie de comanda (CLI) sau API nativ pentru COM, Java, C/C++, si .NET pe o mare varietate de platforme. Prin aceasta caracteristica se doreste eliminarea parolelor in clar din codul aplicatiilor.