CENTRO DE COMERCIO Y SERVICIOS ESPECIALIZACIN TECNOLGICA SEGURIDAD EN REDES DE COMPUTADORES

MODELO DE MEJORA CONTINUA

Administracin de identidades Intr!d"ccin

acces!

La idea de optimizacin de la infraestructura es crear una infraestructura de tecnolo !a de la informacin "TI# $ unos ser%icios eficaces& se uros $ optimizados en una secuencia l ica' Una infraestructura de TI optimizada se (asa en est)ndares de TI $ arantiza la adaptacin a dic*os est)ndares' Con cada ni%el de optimizacin& la infraestructura de TI tam(i+n proporciona una reduccin de costos si nificati%a& un aumento de la se uridad& $ una me,ora en la disponi(ilidad $ la capacidad de administracin' La administracin de identidades $ acceso es una capacidad de la optimizacin de infraestructura principal $ la (ase para implementar muc*as capacidades en el modelo de optimizacin de infraestructura' En la ta(la si uiente se inclu$en los desaf!os de alto ni%el& las soluciones aplica(les $ las %enta,as de adoptar el ni%el estandarizado en la administracin de identidades $ acceso'

Desa#$!s Los usuarios reci(en continuamente solicitudes de autenticacin $ tienen dificultades para iniciar sesin -a$ demasiados almacenes de identidades de usuario .ue administrar No *a$ co*erencia en el acceso a los recursos Ries o de acceso no autorizado a la informacin confidencial Dificultad al implementar el cumplimiento con las normati%as oficiales "/ar(anes 0 /ar(anes1 O2le$& -I3AA& etc'# Los empleados contratados recientemente de(en esperar para o(tener acceso a sistemas cruciales& lo .ue reduce su producti%idad Desa#$!s de TI

S!%"ci!nes

Venta&as

Pr! ect!s Venta&as Implementacin de un em'resaria%es ser%icio de directorio Ma$or producti%idad de principal para la los usuarios al autenticacin de cliente simplificar el proceso de Implementacin de inicio de sesin clientes compati(les Costos administrati%os con ser%icios de reducidos racias a la directorio administracin de menos almacenes de identidades 3ro reso *acia la implementacin del cumplimiento de normati%as Costo reducido por administracin de cuentas de usuario Venta&as de TI Reduccin del %olumen del ser%icio de asistencia Menos identidades di itales Las identidades se

ELA4ORADO 3OR5 IN6' M7NICA 8ULIET- /UARE9 ROLDAN

CENTRO DE COMERCIO Y SERVICIOS ESPECIALIZACIN TECNOLGICA SEGURIDAD EN REDES DE COMPUTADORES

MODELO DE MEJORA CONTINUA

Aumento de los costos del ser%icio de asistencia asociados a los resta(lecimientos de contrase;a $ las solicitudes de acceso <alta de identidades administradas de forma central& no *a$ una %isin clara del ciclo de %ida de las identidades Las cuentas *u+rfanas suponen un ries o de se uridad Las identidades %ar!an en cada sistema& no *a$ un repositorio central para las identidades

administran de forma central /e uridad me,orada

La administracin continua de identidades $ acceso se centra en las si uientes capacidades& tal como se descri(e en la serie de administracin de identidades $ acceso t5

4ase de la administracin de identidades $ acceso Conceptos fundamentales 3lataforma e infraestructura Administracin del ciclo de %ida de la identidad A re acin $ sincronizacin de identidades Administracin de contrase;as para intranet $ e2tranet Apro%isionamiento $ flu,o de tra(a,o Administracin de acceso e inicio de sesin =nico Administracin del acceso a intranet Administracin del acceso a e2tranet

Ten a en cuenta .ue las capacidades descritas m)s arri(a son componentes cla%e del ser%icio de administracin de identidades $ acceso en una or anizacin'

ELA4ORADO 3OR5 IN6' M7NICA 8ULIET- /UARE9 ROLDAN

>

CENTRO DE COMERCIO Y SERVICIOS ESPECIALIZACIN TECNOLGICA SEGURIDAD EN REDES DE COMPUTADORES

MODELO DE MEJORA CONTINUA

En el modelo de optimizacin de infraestructura& el ni%el estandarizado de la administracin de identidades $ acceso satisface la necesidad de ser%icios de directorio para la autenticacin de usuarios $ re.uiere un ser%icio de directorio unificado para la autenticacin de al menos el ?@A de los usuarios' 3or otro lado& este re.uisito implica .ue todos los clientes sean compati(les con el ser%icio de directorio' Ser(ici!s de direct!ri! 'ara %a a"tenticacin de "s"ari!s Destinatari!s El ni%el estandarizado de optimizacin re.uiere disponer de un ser%icio de directorio Acti%e Director$ en la or anizacin $ se usa para autenticar un ?@ por ciento o m)s de los usuarios' Intr!d"ccin Durante la ,ornada la(oral del usuario& se re.uiere la autenticacin de usuarios por muc*as razones' El acceso a la red& a las aplicaciones& a los datos $ al correo electrnico son al unos e,emplos t!picos' Cuando se *a(ilitan los ser%icios de directorio para la autenticacin de usuarios& todos estos re.uisitos de autenticacin por separado se centralizan $ unifican' Un =nico inicio de sesin da acceso a todos los recursos& las aplicaciones $ los datos a los .ue el usuario tiene autorizacin de acceso' )ase *+ E(a%"acin La fase de e%aluacin realiza principalmente un in%entario de los ser%icios de directorio "si los *a$# .ue se usan en la or anizacin' /e definir)n las razones para cada ser%icio de directorio $ el modo de usarlos' /i la or anizacin no dispone de ser%icio de directorio& tendr) .ue e2aminar cmo se administran las identidades actualmente $ de .u+ procesos dispone para prote er el acceso a recursos de datos' 3uede tratarse de procesos formalesBdocumentados o (ien informalesBno documentados' )ase ,+ Identi#icacin El proceso de dise;o del ser%icio de directorio empieza por identificar las tecnolo !as disponi(les para proporcionar el ser%icio $ las necesidades de la or anizacin en lo .ue a la implementacin de un ser%icio de directorio se refiere' El modelo de optimizacin de infraestructura principal re.uiere una infraestructura de Acti%e Director$ $ proporciona compati(ilidad de (ase para muc*os ser%icios necesarios para la or anizacin& entre los .ue se encuentran

ELA4ORADO 3OR5 IN6' M7NICA 8ULIET- /UARE9 ROLDAN

CENTRO DE COMERCIO Y SERVICIOS ESPECIALIZACIN TECNOLGICA SEGURIDAD EN REDES DE COMPUTADORES

MODELO DE MEJORA CONTINUA

la mensa,er!a $ la cola(oracin& la administracin de sistemas $ los ser%icios de se uridad' Acti%e Director$ es el ser%icio de directorio para redes incluido en MicrosoftD EindoFsD >@@@ $ EindoFs /er%erD >@@C' )ase -+ E(a%"acin '%aneacin

La fase de e%aluacin $ planeacin u!a a tra%+s del proceso de planeacin $ dise;o para satisfacer las necesidades de la or anizacin' Es imprescindi(le .ue la informacin relati%a a los empleados $ el uso .ue *acen de los recursos inform)ticos se administre con un slo sistema de autenticacin co*erente& uno .ue posea las caracter!sticas necesarias para administrar esta informacin de la forma m)s eficaz'

De(e or anizarse $ presentarse como directorio' De(e admitirse un m+todo com=n de consulta& indistintamente del tipo de datos .ue se soliciten'

La informacin con caracter!sticas similares de(e administrarse de manera parecida'

Los modos de a rupar $ administrar la informacin de(e determinarlos la or anizacin con maneras .ue complementen los sistemas e2istentes de la or anizacin' Dise.! de% ser(ici! de direct!ri! Al dise;ar el ser%icio se usan cinco cate or!as de directorios5

Directorios de uso espec!fico Directorios de aplicacin Directorios centrados en la red Directorios en+ricos Metadirectorios

Un administrador de Acti%e Director$ tiene control completo acerca de cmo se presenta la informacin en el directorio' La informacin puede a ruparse en contenedores denominados unidades or anizati%as "UO#& .ue se suelen estructurar para facilitar el almacenamiento ,er)r.uico de los datos' Los tipos de datos almacenados en el directorio se definen mediante un es.uema .ue especifica clases de datos denominados objetos' Un o(,eto de usuario& por e,emplo& es la clase Usuario definida en el es.uema' Los atri(utos del o(,eto de usuario almacenan informacinG por e,emplo& nom(re de usuario& contrase;a $
ELA4ORADO 3OR5 IN6' M7NICA 8ULIET- /UARE9 ROLDAN H

CENTRO DE COMERCIO Y SERVICIOS ESPECIALIZACIN TECNOLGICA SEGURIDAD EN REDES DE COMPUTADORES

MODELO DE MEJORA CONTINUA

n=mero de tel+fono El administrador puede actualizar el es.uema para incluir nue%os atri(utos o clases se =n sea necesario' Dise.! de %a estr"ct"ra de Acti(e Direct!r La estructura l ica de Acti%e Director$ se puede considerar como un n=mero de directorios l icos conocidos como dominios' La coleccin de dominios se denomina (os.ue por.ue los datos de directorio de cada dominio suelen or anizarse en una estructura parecida a un )r(ol para refle,ar la or anizacin' El proceso de dise;o de la estructura l ica consta de los si uientes pasos5 :' Re/"isit!s de dise.! de %a estr"ct"ra %0ica ' Las funciones de Acti%e Director$ para la dele acin administrati%a son esenciales para el dise;o de la estructura l ica' /e puede dele ar la administracin de determinadas UO para lo rar autonom!a o aislamiento de un ser%icio o de los datos' La dele acin administrati%a se lle%a a ca(o para cumplir los re.uisitos le ales& operati%os $ or anizati%os de la estructura' >' Dise.! de 1!s/"es' /e eli e un modelo de dise;o de (os.ues despu+s de *a(er determinado el n=mero de (os.ues apropiado en el proceso de dise;o del ser%icio' 3or e,emplo& cuando se necesitan %arios directorios o cuando %ar!an las definiciones de o(,eto en una misma or anizacin' Recomendamos& con unas pocas e2cepciones& mantener un =nico (os.ue para poder estandarizar el ser%icio de directorio' C' Dise.! de d!mini!s' A continuacin& se eli e un modelo de dominio para cada (os.ue' H' Dise.! de ra$2 de 1!s/"e ' Las decisiones de ra!z de (os.ue se (asan en el dise;o del dominio' /i se opta por un modelo de dominio =nico& el dominio =nico funciona como dominio ra!z del (os.ue' /i se opta por un modelo de dominio re ional& el propietario del (os.ue de(e determinar la ra!z del (os.ue' I' P%aneacin de% es'aci! de n!m1res de Acti(e Direct!r ' Una %ez determinado el modelo de dominio para cada (os.ue& se de(e definir el espacio de nom(res para el (os.ue $ los dominios'

ELA4ORADO 3OR5 IN6' M7NICA 8ULIET- /UARE9 ROLDAN

CENTRO DE COMERCIO Y SERVICIOS ESPECIALIZACIN TECNOLGICA SEGURIDAD EN REDES DE COMPUTADORES

MODELO DE MEJORA CONTINUA

J' In#raestr"ct"ra

DNS

'ara

admitir

Acti(e Direct!r '

Una

%ez

dise;adas las estructuras del (os.ue $ del dominio de Acti%e Director$& se puede lle%ar a ca(o el dise;o de la infraestructura del sistema de nom(res din)micos "DN/& Dynamic Name System# para Acti%e Director$' K' Creacin de "n dise.! de "nidades !r0ani2ati(as ' Las estructuras de UO son =nicas en el dominio& no en el (os.ue& de modo .ue el propietario de cada dominio es responsa(le del dise;o de la estructura de UO de su dominio' Re'resentacin de% dise.! %0ic! Despu+s de *a(er concluido los pasos de dise;o del ser%icio& puede crear un dise;o l ico .ue se pueda usar para comunicar el dise;o a otros $ para compro(ar la inte ridad del dise;o propuesto' Este dise;o l ico de(e aportar el ni%el re.uerido de detalle .ue permita a los dise;adores $ profesionales de TI entender el dise;o propuesto $ .ue arantice .ue se cumplen los re.uisitos de los ser%icios de los .ue son responsa(les en todo el dise;o de la empresa' El dia rama si uiente muestra un e,emplo de dise;o l ico' En el e,emplo& el (os.ue corporati%o usa un modelo de dominio re ional por el .ue se opt para poder controlar cuidadosamente la r+plica en toda la EAN'

)ase 3+ Im'%ementacin Tras lle%ar a ca(o una e%aluacin de alto ni%el del entorno actual $ determinar los o(,eti%os de la implementacin de Acti%e Director$& puede determinar la estrate ia de implementacin .ue funcione me,or en su entorno' La fi ura

ELA4ORADO 3OR5 IN6' M7NICA 8ULIET- /UARE9 ROLDAN

CENTRO DE COMERCIO Y SERVICIOS ESPECIALIZACIN TECNOLGICA SEGURIDAD EN REDES DE COMPUTADORES

MODELO DE MEJORA CONTINUA

si uiente muestra los pasos para definir el proceso de implementacin de Acti%e Director$'

La estrate ia de implementacin de Acti%e Director$ .ue apli.ue %ar!a se =n la confi uracin de red e2istente' 3or e,emplo& si la or anizacin e,ecuta actualmente EindoFs >@@@& puede simplemente actualizar el sistema operati%o a EindoFs /er%er >@@C' /in em(ar o& si la or anizacin e,ecuta actualmente Microsoft EindoFs NTD H'@ o un sistema operati%o de red .ue no sea EindoFs& de(e dise;ar una infraestructura de Acti%e Director$ antes de actualizar a EindoFs /er%er >@@C' El proceso de implementacin puede implicar la reestructuracin de los dominios e2istentes& $a sea en un (os.ue de Acti%e Director$ o entre (os.ues de Acti%e Director$' Es posi(le .ue de(a reestructurar los dominios e2istentes despu+s de *a(er implementado EindoFs /er%er >@@C Acti%e Director$ o tras cam(ios en la or anizacin o ad.uisiciones corporati%as'

O'eraci!nes El o(,eti%o de los ser%icios de directorio es arantizar .ue la informacin sea accesi(le a tra%+s de la red para todos los solicitantes autorizados& mediante un proceso sencillo $ or anizado' En los si uientes recursos se proporciona informacin acerca del funcionamiento de Acti%e Director$ en la or anizacin despu+s de *a(erlo implementado $ *a(er definido todos los o(,etos' El funcionamiento de una infraestructura de Acti%e Director$ re.uiere la administracin correcta de confianzas de dominio $ de (os.ue& el /er%icio de *ora de EindoFs& /8/LOL& el cat)lo o lo(al& la copia de se uridad $ restauracin de Acti%e Director$& la r+plica entre sitios& la (ase de datos de Acti%e Director$ $ los controladores de dominio'

ELA4ORADO 3OR5 IN6' M7NICA 8ULIET- /UARE9 ROLDAN

CENTRO DE COMERCIO Y SERVICIOS ESPECIALIZACIN TECNOLGICA SEGURIDAD EN REDES DE COMPUTADORES

MODELO DE MEJORA CONTINUA

P"nt! de c!ntr!%+ Ser(ici!s de direct!ri! 'ara %a a"tenticacin de "s"ari!s Re/"isit!s Implementacin del ser%icio de directorio Acti%e Director$ para la autenticacin de un ?@ por ciento o m)s de los usuarios conectados' Una %ez completados los pasos anteriores& su or anizacin *a(r) cumplido los re.uisitos m!nimos del ni%el estandarizado para esta capacidad se =n el modelo de optimizacin de infraestructura' Recomendamos .ue si a otros recursos adicionales de procedimientos recomendados para operar con la infraestructura de Acti%e Director$ despu+s de *a(erlo implementado'

ELA4ORADO 3OR5 IN6' M7NICA 8ULIET- /UARE9 ROLDAN