CheckPoint - firewall, endpoint & cloud security
Szybkie powstawanie tzw. "rozszerzonych korporacji" powoduje gwałtowny wzrost tak liczby aplikacji propagowanych za pomocą sieci korporacyjnej jak i liczby użytkowników z nich korzystających. Ponieważ za zwyczaj każda aplikacja używa własnej bazy danych przechowującej informacje o użytkownikach, zarządzanie tymi oddzielnymi bazami zwiększa obciążenie systemu i generuje potencjalne zaburzenie bezpieczeństwa. Aby temu zapobiec opracowano protokół LDAP (Lightweight Directory Access Protocol), definiujący współdzieloną, dystrybuowaną, skalowalną i centralnie zarządzaną bazę informacji o użytkownikach.
Zarządzanie informacjami bezpieczeństwa na poziomie użytkownika dla różnych aplikacji przynosi duże korzyści. Lecz nawet te organizacje, które stosują katalogi zgodne z LDAP muszą duplikować dane o użytkownikach w aplikacjach niezgodnych z LDAP. Administratorzy bezpieczeństwa sieciowego muszą przechowywać nadmiarowe dane i synchronizować je w celu zapewnienia bezpieczeństwa ogólnego, a jest to zazwyczaj czasochłonne, ponieważ większość aplikacji zabezpieczających nie jest zintegrowana z serwisami katalogów.
Aby w pełni wykorzystać infrastrukturę LDAP organizacje zmuszone są zmodyfikować aplikacje tak, aby w pełni obsługiwały ten standard. Przy pomocy modułu zarządzania kontami firmy Check Point pomosty FireWall-1 stają się klientami zgodnymi w pełni z LDAP, komunikującymi się z serwerami LDAP (np. Sun ONE Directory) w celu uzyskania informacji o użytkownikach sieci oraz ich poziomie zabezpieczeń. FireWall-1 wykorzystuje te informacje do wzmocnienia polityki bezpieczeństwa całej organizacji.
Moduł zarządzania kontami zawiera interfejs GUI do definiowania i zarządzania informacją o zabezpieczeniach użytkowników w kartotekach LDAP. Szablony użytkowników upraszczają zarządzanie i zapewniają integrację danych umożliwiając definiowanie wspólnych charakterystyk bezpieczeństwa dla grup użytkowników. Poprzez zgodność ze standardami oraz schematami otwartymi informacja o użytkowniku definiowana za pomocą GUI i zmagazynowana na serwerze LDAP może być dostępna dla aplikacji trzecich, zapewniając elastyczność zarządzania użytkownikami.
Za pomocą modułu zarządzania kontami FireWall-1 jest w pełni zgodny z LDAP i może zatem współpracować z istniejącymi serwerami LDAP, zawierającymi informację o użytkownikach. Jako klient LDAP FireWall-1 ma dostęp do informacji o użytkownikach w dystrybucyjnej strukturze kartotek LDAP, a przez to osiąga możliwość rozszerzenia polityki bezpieczeństwa przedsiębiorstwa.
Moduł zarządzania kontami firmy Check Point wykorzystuje elastyczność protokołu LDAP poprzez rozszerzenie schematu zawierania wszystkich potrzebnych elementów zabezpieczeń użytkownika. Informacja ta jest następnie dostępna nie tylko dla FireWall-1, lecz również dla każdej innej aplikacji zgodnej z LDAP, umożliwiając centralne zarządzanie użytkownikami w całym przedsiębiorstwie.
Do ochrony prywatności komunikacji pomiędzy serwerami LDAP i FireWall-1 oraz pomiędzy GUI modułu zarządzania kontami a serwerami LDAP można stosować połączenia SSL. Zabezpiecza to przed przechwytywaniem istotnych informacji przez nieautoryzowane elementy.
Moduł zarządzania kontami zawiera interfejs GUI umożliwiający administratorom sieci definiowanie nowych użytkowników oraz dodawanie informacji bezpieczeństwa do istniejących profili użytkowników przechowywanych w serwerach LDAP. GUI może być uruchamiane jako samoistna aplikacja lub aktywowane z poziomu GUI FireWall-1. Uruchamianie z poziomu FireWall-1 zapewnia pojedyncza konsola do zarządzania zarówno polityką bezpieczeństwa przedsiębiorstwa jak i informacją bezpieczeństwa poziomu użytkownika.
GUI modułu zarządzania kontami zawiera mechanizmy wyszukiwania ułatwiające zarządzanie danymi bezpieczeństwa użytkownika. Jeśli na przykład chcemy zmienić schemat autentykacji przedsiębiorstwa, to administrator może najpierw przeglądnąć kartoteki LDAP w celu wyszukania wszystkich użytkowników wykorzystujących serwer RADIUS i następnie określić dla nich nowy schemat.
Aby uprościć definiowanie i zarządzanie użytkownikami można wykorzystać tzw. "żywe szablony", stosujące wspólne parametry konfiguracyjne do wielu użytkowników. Zmiany dokonane w szablonie mają natychmiastowe zastosowanie do wszystkich użytkowników tworzonych z jego użyciem, co usprawnia standaryzację i synchronizację konfiguracji użytkowników. Stosowanie szablonów radykalnie redukuje pracochłonność zarządzania wielką liczbą użytkowników sieciowych oraz minimalizuje ryzyko związane z niepoprawną konfiguracją.
Podział struktury kartotek LDAP na wielokrotne jednostki kont umożliwia przedsiębiorstwu dystrybucję kontroli i odpowiedzialności takich logicznych grup użytkowników, polepszając tym samym zarówno efektywność jak i bezpieczeństwo informacji.