SecurityInsider
Kontrolle über Gruppen- und ACL Strukturen
Security, Audits und Compliance so effizient wie nie zuvor! Erhalten Sie unverzichtbare Erkenntnisse für die Administration und Sicherheit Ihrer IT-Infrastruktur. Mit der Dokumentation von Zugriffen und Zugriffsrechten für Ihre Domino-Anwendungen unterstützt Sie der panagenda SecurityInsider bei der Umsetzung dereuropäischen Datenschutzgrundverordnung (EU-DSGVO).
Wer hat worauf Zugriff
Erkennen Sie sofort, ob Ihre Endbenutzer über angemessene Zugriffsrechte verfügen oder nicht. Administratoren und Sicherheitsbeauftragte erlangen volle Transparenz über alle Datenbanken und die Sicherheitsinfrastruktur.
Wer ist in welchen Gruppen und warum?
Unverzichtbare Erkenntnisse für Administratoren und Sicherheitsbeauftragte: SecurityInsider beantwortet Ihnen die wichtige Frage, durch welche Untergruppen ein Benutzer effektiv Mitglied einer Parent Group ist – und noch viele mehr.
Überwachen Sie Änderungen in Ihrer Umgebung
Bei jedem SecurityInsider Scan werden Gruppenzugehörigkeiten und Zugriffskontrolllisten (ACLs) analysiert. Die Änderungen seit dem Letzten Scan werden gespeichert. So können Sie Zugriff-Levels historisch evaluieren. Darüber hinaus kann das erzeugte XML File für Backups herangezogen werden.
Gibt es all diese Informationen nich auch im Domino Directory?
Das Directory beinhaltet tatsächlich all diese Informationen, aber um an diese heranzukommen ist ein enormer Aufwand erforderlich. Oft gibt es sogar mehrere Directories. Gruppen haben meist Untergruppen und diese haben ebenfalls oft Untergruppen und Unteruntergruppen. Solche Gruppenstrukturen sind in der Praxis sehr verschachtelt und damit ziemlich verwirrend. Darüber hinaus können Gruppen auch falsche Informationen beinhalten: Unkorrekte Benutzernamen, oder Email-Gruppen innerhalb von Security-Gruppen beispielsweise; was aussieht, als hätte eine Gruppe einige Mitglieder, in Wahrheit hat sie aber gar keine.
SecurityInsider validiert alle Gruppeninformationen und bereitet diese für Sie auf. Das erspart Ihnen eine Menge Arbeit und viele potenzielle Fehlerquellen.
Kann ich einfach sehen, welche Art Zugriff ein spezifischer User hat?
Ja. In SecurityInsider sind User „Endpoints“. Es gibt Views aus Gruppen-, Datenbank- und Endpoint-Perspektive. Sie können ein Gruppendokument öffnen und sehen alle Mitglieder (inklusive Mitglieder aus verschachtelten Untergruppen). Sie können ein Datenbank Dokument öffnen und sehen alle Benutzer, die Zugriff haben (wiederum inklusive aller Mitglieder aus verschachtelten Untergruppen). In einem Endpoint Dokument finden Sie alle Gruppen und Datenbanken in denen dieser User Mitglied ist, bzw. worauf er Zugriff hat.
Wie werden Veränderungen erfasst?
Bei jedem SecurityInsider Scan werden die gefunden Daten mit denen verglichen, die sich bereits in der SecurityInsider Datenbank befinden. Falls die Daten unterschiedlich sind, da zum Beispiel Benutzer zu Gruppen hinzugefügt wurden, können diese Änderungen auf zwei Arten weiterverarbeitet werden. Einerseits können alle gefunden Daten in ein XML-File gespeichert werden und andererseits können Backups von allen Dokumenten erstellt werden, die verändert wurden. Das ermöglicht Ihnen, Änderungen, die zu einer bestimmten Zeit, in einer bestimmten Gruppe oder Datenbank, bzw. für einen bestimmten Endpoint passiert sind, nachzuvollziehen oder rückgängig zu machen. Was mit Änderungen passieren soll (XML File oder Backup) können Sie im Konfigurationsdokument definieren.
Was haben Gruppenzugehörigkeiten mit Security zu tun?
SecurityInsider analysiert nicht nur das Domino Directory, sondern auch die Zugriffskontrolllisten (ACLs) Ihrer Domino Datenbanken. Dann kombiniert es diese Informationen und erzeugt daraus eine übersichtliche Liste aller Endbenutzer die Zugriff auf eine Datenbank haben und deren individuelle Zugriff-Levels. Alle Gruppen werden dabei aufgelöst.
Damit erhalten Sie folgende sicherheitsrelevante Einblicke:
- welche Endbenutzer haben Zugriff auf bestimmte Daten
- welche Art von Zugriff haben Sie
- und wie kommt dieser Zugriff zu Stande.
Warum werden manche Benutzer als "unkrown" angezeigt?
Die zwei gängigsten Gründe, warum ein Benutzer oder ein Gruppenmitglied als „unknown“ gelistet wird ist, weil der Name im Domino Directory nicht gefunden wurde, oder weil der Name unsauber in eine Gruppe inkludiert wurde. Zum Beispiel: Ein Mail-Alias eines Benutzers ist ein gültiger Name, wenn die Gruppe für Mail genutzt wird. Derselbe Name wäre aber als „unknown“ gelistet, würde die Gruppe in der ACL einer Datenbank verwendet werden.
Welche Notes/Domino Version ist erforderlich?
Der Server, auf dem der Scan läuft, muss Domino Version 8.x oder höher sein. Der Scan kann auch für Remote Server konfiguriert werden, für welche IBM Domino version 6.x oder höher erforderlich ist. Die Datenbank nutzt XPages im Notes Client um Informationen anzuzeigen, was bedeutet, dass ein Notes Client Version 8.5.2 oder höher nötig ist.
Um auf Ihre Bedürfnisse genau eingehen zu können, ist SecurityInsider in drei verschiedenen Editionen (Light, Analyze, Automate) verfügbar:
| Funktionalität | Light | Analyze | Automate |
|---|---|---|---|
| Synchronisation von Änderungen in der Gruppen- und Zertifiziererstruktur mit MarvelClient | JA | JA | JA |
| Visualisierung von Gruppenstrukturen | Limitiert auf 25 Gruppen | JA | JA |
| Analyse von Gruppen (Ansicht im SecurityInsider) | Limitiert auf 25 Gruppen | JA | JA |
| Analyse von ACLs (Ansicht im SecurityInsider) | Limitiert auf 25 ACLs pro Server | JA | JA |
| Endpoint Analyse (Ansicht im SecurityInsider) | NEIN | JA | JA |
| Synchronisation von ACLs mit MarvelClient | NEIN | NEIN | JA |
| Automatisches Verteilen bzw. Entfernen von Datenbanken analog zu relevanten Veränderungen in ACLs oder Datenbanken (Neuerstellung, Entferung, Verschiebung) | NEIN | NEIN | JA |
