Información sobre nuestra empresa ficticia (Contoso):
- Sus competencias en el mercado no son en tecnología (a diferencia de Google o Apple que podrían desarrollar soluciones internas que se pueden mercadear o vender)
- Tienen un equipo de TI limitado y son conscientes de los costos.
- Valoran la eficiencia operativa.
- Han acordado que hay que maximizar las inversiones en tecnologías como Directorio Activo en tanto a gente (preparación, experiencia), Procesos e Infraestructura.
Problema # 1: La Administración y Autenticación de Usuarios en Sistemas UNIX y Linux
Contoso está buscando empezar a procesar información de tarjetas de pago, y basándose en la normativa de protección de datos (Payment Card Industry o PCI en inglés) se embarcan en un proceso para implementar el reforzamiento de las siguientes reglas::
- Eliminar la práctica de compartir credenciales privilegiadas
- Establecer que todas las credenciales de usuarios en sistemas UNIX/Linux estén únicamente identificadas (sección 8.1)
- Que los usuarios de sistemas UNIX puedan iniciar sesiones con sus credenciales del directorio activo
- Cerciorarse de que cuando las credenciales son habilitadas / deshabilitadas / limitadas en el servicio de directorio central, este efecto se propague a los sistemas UNIX y Linux
- Las políticas de contraseñas sean reforzadas uniformemente en todas las plataformas (Windows, UNIX, Linux, etc.)
- Preferiblemente las credenciales (incluyendo las contraseñas) sean implementadas de manera nativa, sin esquemas de sincronización.
Del punto de vista de cada grupo:
Administrador de Sistemas
UNIX/Linux |
- Con el tiempo se ha hecho muy difícil mantener las cuentas de usuario en cada servidor
- Existen algunos mapeos NIS que deben ser descontinuados. - Cada vez que los auditores solicitan información, requiere un gran esfuerzo del equipo. - Las cuentas de súper usuario (root), Oracle, etc son compartidas y es difícil establecer la responsabilidad de ciertas acciones - Idealmente las cuentas de servicios del sistema deben ser mantenidas internamente en el sistema. |
Analista de seguridad de la información
|
- Como pronto vamos a empezar a procesar tarjetas de pago, es imperativo cerciorase que las cuentas privilegiadas no son compartidas entre varios individuos
- Todos los usuarios deben tener un identificador único, preferiblemente en el directorio central (AD).
- Hay que cerciorarse que la política de contraseñas (longitud, complejidad y expiración) ya existentes para clientes Windows, se pueden reforzar en sistemas UNIX/Linux
|
Gerente de Sistemas o Arquitecto
|
- El flujo de trabajo para alta, baja y cambios de credenciales, al igual que de restauración de contraseñas es muy complicado. Demasiado personal debe involucrarse y hay alto nivel de error
- Debemos estar listos para procesar información sobre tarjetas de pago
- Existe un sistema de Gestión de Identidades (Microsoft FIM) y nos encantaría usarlo para estandarizar los procesos.
|
Administrador de sistemas Windows (incluyendo el servicio de directorio activo)
|
- Preferiblemente la solución implementada debe usar el directorio de manera nativa, sin extensiones propietarias al esquema de la base de datos y sin instalar programas en controladoras del dominio
- Debemos conservar el mismo modelo de almacenamiento y convenciones de nombres que existen en el directorio el día de hoy.
|
Actividades de Planificación (participantes)
Estas son las actividades de planificación con los respectivos participantes. En proyectos de esta índole, no solo se debe adquirir o contratar el conocimiento cognitivo, sino que la coordinación y cooperación entre equipos e individuos también es un desafío. Este tipo de soluciones desafían el modo de trabajo actual, y en organizaciones donde hay un alto nivel de fragmentación se presenta el síntoma de resistencia al cambio. Se deben tomar decisiones, puntos medios deben ser encontrados, etc.
Gobernación de Acceso (entre todos)
Luego de conversar con el analista de seguridad, al evaluar el tipo de servidores existentes, y para promover la simplicidad, el administrador de UNIX decide que van a existir dos grupos de sistemas:
- Servidores de Bases de Datos
- Servidores Web
Acceso y Gestión de Privilegios (entre todos)
Inicialmente dos roles: Administradores de Sistemas y Usuarios Regulares
Los Administradores de Sistemas tendrán el derecho de ingresar a todos los sistemas y efectuar labores administrativas.
Los Administradores de Bases de Datos solo pueden iniciar sesiones en todos los servidores de bases de datos.
Los Administradores Web solo pueden iniciar sesiones en todos los servidores web
Convenciones de Nombres y Almacenamiento de Objetos en el Directorio (entre los administradores de UNIX y del Directorio Activo)
Luego de investigar el producto, se propone la siguiente estructuras:
UNIX OU (padre)
|
para almacenar las carpetas subsiguientes
|
Servers OU
|
para almacenar los objetos de cuentas de computadoras
|
Computer Groups OU
|
para almacenar los grupos de AD que se usarán para los roles de computadora
|
Roles OU
|
para almacenar los grupos de AD que se usarán para los roles de los usuarios
|
UNIX Groups OU
|
para almacenar los grupos de AD que se corresponden a grupos en UNIX
|
Licenses OU
|
para almacenar la información sobre licencias
|
Zones OU
|
para almacenar la información pertinente a como el producto organiza los sistemas.
|
Gestión de Identidades (Administradores UNIX/Windows y el analista de seguridad)
Usuarios: El proceso será manual hasta que se integre a la solución de gestión de identidades. El administrador de sistemas UNIX trabajará para hacer la migración de usuarios existentes. A partir de ese punto, cada usuario deberá tener una identidad única; los roles del usuario se proporcionarán luego de que la identidad es implementada.
Sistemas:
- Los administradores UNIX coordinarán con el grupo responsable por DNS para proporcionar la información IP.
- Una vez el sistema está en el directorio, el agente de Centrify automáticamente manejará el reloj y el ambiente Kerberos del sistema.
Delegación de Administración (Administradores UNIX/Windows y el analista de seguridad)
- El administrador del directorio activo va a delegar la administración de la carpeta OU para los objetos UNIX/Linux a los administradores UNIX. Esto les permitirá manipular identidades, integrar sistemas, etc.
- Si se requiere un objeto de directiva de grupo (GPO) este debe ser creado por el administrador de Windows y delegado al Administrador UNIX
Servicios de Infraestructura (Administradores UNIX/Windows y el analista de seguridad)
- Hoy el servicio DNS y los servicios de sincronización de tiempo (NTP) están duplicados para cada infraestructura. Se ha acordado usar los servicios proporcionados por el servicio de directorio activo en UNIX.
Servicios de Monitoreo (Administradores UNIX/Windows y el analista de seguridad)
- Los intentos de acceso fallidos deben ser registrados
- El uso de privilegios debe ser registrado
Herramientas Requeridas
- Los Administradores UNIX requieren de la herramienta Active Directory Users and Computers.
- Las consolas de Centrify se instalarán en la computadora cliente.
No hay comentarios:
Publicar un comentario