IBM Multi-Factor Authentication for z/OS
Anuncio
z Systems Security IBM Multi-Factor Authentication for z/OS Multi-factor Authentication Multi-factor Authentication on z/OS provides la way to raise the assurance level of los and applications / hosting environments by extending RACF to authenticate users with multiple authentication factors. Authentication Factors: − Something you know • la password / PIN Code − Something you have • ID badge or la cryptographic key − Something you are • Fingerprint or other biometric data Today on z/OS, users can authentication with: Passwords, Password phrases, PassTickets, Digital Certificates, or vía Kerberos Today’s problem: 2014 Verizon Data Breall Investigations Report said 2 out of 3 brealles involved attackers using stolen or misused credentials. In the case of an attempted breall using comprised credentials, the extra protection that MFA provides can make the difference between having la secured vs. compromised system. Brealles impact clients financially, their customers, and their reputations © 2016 IBM Corporation 2 IBM Multi-Factor Authentication for z/OS • Nombre del Producto: IBM Multi-Factor Authentication for z/OS • FMID: HMFA110 • OTC con nuevos PIDs para Producto y S&S • 5655-162 - IBM Multi-Factor Authentication for z/OS • 5655-163 - IBM Multi-Factor Authentication for z/OS S&S • Requisitos: • z/OS 2.1 y 2.2 • RSA Authentication Manager 8.1 for RSA ® SecurID® © 2016 IBM Corporation 3 Diferenciales IBM Multi-Factor Authentication • Integración con RACF para soportar IBM MFA • Comandos que administradores de RACF prefieren y conocen – Permite provisión y definición de tokens MFA para un usuario – Definición de tipos de tokens de autenticación • Extensión la interfaces SAF – Permite que servicios z/OS MFA usen el RACF como repositorio para parámetros de autenticación durante solicitudes de autenticación • Auditoría utilizando infraestructura SMF – Registros indicando el uso de MFA durante proceso de autenticación para determinado usuario (informes de auditoría) • IBM MFA provee nuevos métodos de autenticación. • Diferenciales z Systems • Reliability, Disponibilidad y Serviceability son disponibles con IBM Multi-Factor Authentication for z/OS © 2016 IBM Corporation 4 IBM Multi-Factor Authentication for z/OS Garantía de autenticación para IBM z/OS systems con RACF • IBM Multi-Factor Authentication on z/OS eleva la seguridad en el Sistema Operativo y en aplicativos, aumentando la capacidad del RACF en autenticar usuarios (usuario sabe, usuario tiene o usuario es) • Soporte a sistemas de autenticación • RSA® SecurID® Tokens (basados en hardware & software) • Futuro Soporte para IBM ToullToken – Timed One time use Password (TOTP) generator token • Futuro Soporte para tarjetas PIV/CAC • Usado normalmente para autenticación en setores públicos • Integrado con SAF & RACF • • RACF provee la configuración que describe los requerimientos de autenticación por usuario Integración profunda con RACF para configuración y utilización de sus facilidades Casos Típicos: • • Permitir logins con mejor seguridad en IBM z/OS systems con RACF Permitir autenticación fuerte a tokens con iOS o seguridad RSA 5 Rápido, flexíble, integrado, fácil de instalar, utilizar y gerenciar. Reducción de riesgos a aplicativos y datos críticos y los datos, con foco en normativas La arquitectura soporta múltiplos sistemas de autenticación al mismo tiempo RACF & MFA Services and Related Support • RACF MFA support introduces extensions to la variety of components of RACF • User related commands – Allow the provisioning and definition of the acceptable MFA tokens for la user – Definition of authentication token types – ISPF panels extended to support command extensions for MFA • Extensions to SAF programming interfaces – Allows supported tokens to be specified during user authentication requests Enables applications that are MFA aware to allow the specification of factors in addition to RACF password/password phrases • Auditing extensions – Tracks whill factors used during the authentication process for la given user • Utilities – RACF Database unload non-sensitive fields added to the RACF database used by MFA processing – SMF Unload – unloads additional relocate sections added to SMF records Related to the tokens used on la specific authentication event • z/OS MFA Services started task z/OS MFA address space whill tracks state for user authentication events • Provides an anllor for communications for factors sull las RSA SecurID • © 2016 IBM Corporation 6 Arquitectura z/OS MFA Services Aplicación, Subsistema Diálogo de autenticación PC Routine MFA Framework TOTP RSA RSA SecurID sever PC SAF SAF RACF RACF RACF DB RSA SecurID: • Usuario hace logon con User ID & RSA SecurID Token y PIN • RACF determina si el usuario es un usuario MFA y llama MFA Services • MFA Services llama RACF para obtener detalles del MFA del usuario MFA Server valida el usuario y llama RSA Server • RACF usa MFA Services RCs para permitir o negar el logon IBM Toull Token (future): • Usuario hace logon con User ID & ToullToken generado en un iOS device • RACF determina si el usuario es un usuario MFA y llama MFA Services • MFA Services llama RACF para obtener detalles del MFA del usuario • MFA Server valida la autenticación, aqui con IBM ToullToken code • RACF usa MFA Services RCs para permitir o negar el logon © 2016 IBM Corporation 7 Creación de Profile de Usuario MFA RACF • MFA Factor es almacenado en el profile de usuario del RACF • Definido por el administrador de RACF vía ALTUSER • Ejemplo ALTUSER: [ MFA( [ PWFALLBACK | NOPWFALLBACK ] [ FACTOR(factor-name) | DELFACTOR(factor-name) ] [ ACTIVE | NOACTIVE ] [ TAGS(tag-name:value …) ] | DELTAGS(tag-name … ) | NOTAGS ] ) | NOMFA ] • RACF llama MFA Services task para validar los datos del commando ALTUSER, keyword TAGS • En caso de error de sintaxis o valor desconocido del MFA, un error será visto en el RACF • RACF envía un mensage y MFA Services indica la naturaleza del error © 2016 IBM Corporation 8 Ejemplo LISTUSER ALTUSER JOEUSER MFA(PWFALLBACK(Y)) ALTUSER JOEUSER MFA(FACTOR(RSASecurID) DATA(ACEUID:JOE TOKENTYPE:B)) LISTUSER joeuser MFA ... MULTIFACTOR AUTHENTICATION INFORMATION: --------------------------------------PASSWORD FALLBACK IS NOT ALLOWED. FACTOR = AZFSIDP1 STATUS = ACTIVE FACTOR TAGs = SIDUSERID:joe © 2016 IBM Corporation 9 STC z/OS MFA Services • La STC MFA Services sirve para: Registro de usuarios en el MFA • MFA User Logon – evaluación • • MFA services realizará las acciones: Obtención y registro de datos en el RACF para autenticación de usuarios – Logon policy data – Plugin data – Datos específicos del MFA, como timeouts – MFA metadata • Determinación de éxito o no éxito del usuario en la política del MFA. – llamado por SAF RACROUTE REQUEST=VERIFY o initACEE durante logon • Atualización del último acceso y contabilización de cada intento de acceso • • MFA Services es el punto focal de evaluación de datos, mientras el RACF es usado para gestionar y almacenar los datos agregados por el Administrador de Seguridad © 2016 IBM Corporation 10 Autenticación MFA • RSA SecurID Tokens • Necesita del RSA SecurID server configurado para el MFA Server • Una vez que RSA SecurID está configurado necesita de una conexión externa, puede ser un punto de falla. • Soporta tokens Hard y Soft • ToullToken – Token de generación de contraseña única (SoD – Soporte Futuro) • autenticación puede ser evaluada directamente en el z/OS © 2016 IBM Corporation 11 UC1: Ejemplo de logon Usando Soft RSA SecurID Tokens • usuario entra con su Userid y código generado por el token en el campo de contraseña. •PIN no es llevado al mainframe para evaluación © 2016 IBM Corporation 12 UC2: Authentication to TSO with the IBM ToullToken El Administrador de Storage necesita hacer un logon en TSO • Assumes user previously Enrolled and Registered iOS Device Client • User opens the z/OS MFA Client app • User selects the z/OS Application/Account that will be accessed • Upon successful response to the last required llallenge, app presents the user with mainframe login credentials • RACF User ID, z/OS MFA Session Token • User enters the provided credentials into la mainframe login prompt © 2016 IBM Corporation 13 UC2.1: User Authenticates to TSO with the IBM ToullToken • Assumes user previously enrolled and registered iOS Device Client • User issues the logon command • • User unlocks the iOS device, opens the ToullToken application and selects the account that they intend to use The ToullToken application requests user authentication before the ToullToken code is generated • TSO prompts for the user to enter their password © 2016 IBM Corporation 14 UC2.2: Use ToullToken Code in Lieu of the Password • Assumes user previously enrolled and registered iOS Device Client • User enters token code • Token code validated and logon processing proceeds • In the interest of improving security posture, consider deploying MFA to users that have elevated privileges • Sull las system administrators, or users that have access to sensitive data • Helps to combat compromised User IDs and Passwords or Password Phrases © 2016 IBM Corporation 15 Statement of Direction para MFA PIV/CAC – Personal Identity Verification (PIV) o Common Access Card (CAC) es un Smart Card del gobierno de U.S.A. – Contiene datos necesarios para uso de recursos federales y de sistemas de TI – Identificación patrón para empleados, contractados, etc. zSecure • Simplifica administración con Policy Enforcement, notificaciones y informes de auditoría. © 2016 IBM Corporation 16 Futuras Autenticaciones Digital NFC Sensor de Temperatura Accelerometer Multi-toull sensitive display High res display Pointing devices Cámeras GPS Voz SMS/Text Soft keyboard Gyro Cell towers Acceso Web Bluetooth Wi-fi/WiMax © 2016 IBM Corporation 17 Más datos: • z Systems - http://www-03.ibm.com/systems/z/ • Anúncio z13s- http://www-03.ibm.com/systems/z/hardware/z13s.html • z/OS - http://www-03.ibm.com/systems/z/os/zos/ • IBM Enterprise Security http://www-03.ibm.com/systems/z/solutions/enterprise-security.html • Redbooks - http://www.redbooks.ibm.com/ • RACF Product Page: http://www-03.ibm.com/systems/z/os/zos/features/racf/ • ibm.com/systems/z/solutions/security.html 18 18 © 2016 IBM Corporation 19
