ES2897502T3 - Método de suministro de un proxy de conexión segura - Google Patents

Método de suministro de un proxy de conexión segura Download PDF

Info

Publication number
ES2897502T3
ES2897502T3 ES17754398T ES17754398T ES2897502T3 ES 2897502 T3 ES2897502 T3 ES 2897502T3 ES 17754398 T ES17754398 T ES 17754398T ES 17754398 T ES17754398 T ES 17754398T ES 2897502 T3 ES2897502 T3 ES 2897502T3
Authority
ES
Spain
Prior art keywords
accounts
privileged
information
account
proxy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES17754398T
Other languages
English (en)
Inventor
Eric Pinson
Serge Adda
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wallix SARL
Original Assignee
Wallix SARL
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wallix SARL filed Critical Wallix SARL
Application granted granted Critical
Publication of ES2897502T3 publication Critical patent/ES2897502T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • General Business, Economics & Management (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

Un método de suministro automático de un proxy (3) para una conexión segura a objetivos remotos (37) sobre la base de datos de cuentas privilegiadas, caracterizado porque incluye: - un paso para utilizar un bot para explorar al menos un dominio (1, 2) provisto de un directorio (19, 29) para identificar las cuentas privilegiadas (32), el directorio que comprende, por un lado, el registro de una lista de cuentas que consisten en información tal como el identificador de un usuario, información sobre la identificación del usuario, sobre la adhesión del usuario a un grupo, así como información sobre los privilegios del usuario, el directorio que comprende, por otro lado, el registro de otra lista, separado de la lista de cuentas, que consiste en información tal como el identificador de una máquina y las características técnicas de la misma, el bot que consulta el directorio para recuperar la lista de identificadores de usuarios pertenecientes a grupos indicados como privilegiados y los identificadores de todas las máquinas en el dominio (1, 2), el bot (4) luego realiza una conexión remota a cada una de las máquinas identificadas en el paso anterior, y realiza una consulta para recuperar información de derechos de cuenta privilegiada para la máquina en cuestión, identificar cuentas privilegiadas puramente locales a la máquina y recopilar la información del registro de actividad correspondiente, - un paso de filtrado de acuerdo con la información recopilada durante el paso anterior, basado en parámetros que definen un subconjunto de cuentas privilegiadas, luego de lo cual se seleccionan las cuentas privilegiadas; - un paso de cálculo de una asociación óptima entre las máquinas y las cuentas seleccionadas al completar el paso de filtrado, el paso de cálculo tiene en cuenta la información del registro de actividad; - un paso de suministro de los datos de la cuenta privilegiada seleccionada al proxy.

Description

DESCRIPCIÓN
Método de suministro de un proxy de conexión segura
Campo de la invención
La presente invención se refiere al campo de los servidores de aplicaciones y más específicamente al campo de los procesos y sistemas para que un usuario acceda a recursos de aplicaciones alojados en uno o más servidores. Con el fin de fortalecer la seguridad contra el fraude y los errores involuntarios, los terminales y los usuarios de los mismos están sujetos a una gestión de "privilegios".
En este modelo, la seguridad se descarga del terminal o del acceso al sistema de información al usuario real, lo más cerca posible de los datos. Así, a cada usuario se le asigna un “rol” que definirá las autorizaciones del usuario tanto dentro del sistema de información como de la propia empresa: derechos de acceso, derechos de modificación o incluso derechos de visualización; cada perfil está asociado a un corpus de autorización.
Este enfoque tiene una doble ventaja: primero, es preventivo ya que un error de manipulación o el acceso a un archivo protegido, en principio, no es posible; en segundo lugar, es correctivo, ya que cualquier comportamiento anormal se puede informar automáticamente a los operadores para que se puedan tomar medidas correctivas. Si una estación de trabajo dedicada al mantenimiento se conecta repentinamente a la contabilidad, probablemente haya un error o, peor aún, un intento de pirateo.
Para que se implemente por completo, esta política de administración de privilegios debe definirse minuciosamente y debe ser especialmente capaz de seguir los cambios dentro de la empresa. En el curso de una carrera, los derechos de un asociado pueden así evolucionar, al igual que la integración de una nueva aplicación puede cuestionar los privilegios establecidos. Cuanto más precisa sea la granularidad de esta política, mejores serán los resultados de la misma.
El campo de la invención es más específicamente el de los sistemas de información que combinan una pluralidad de máquinas, con una gestión segura del acceso a cada máquina por una o más cuentas privilegiadas a través de un proxy.
Los usuarios administradores tienen "privilegios" que no comparten los usuarios estándar. Sin los privilegios de administrador, es, por ejemplo, imposible instalar software. Ciertas cuentas de usuario (como la cuenta "root") tienen privilegios de administrador de forma permanente. Los privilegios de administrador permiten cambiar partes importantes del sistema, si fuese necesario, donde la seguridad evita que el usuario las cambie inadvertidamente. El problema específico de la invención es, por tanto, el procesamiento de cuentas privilegiadas, cuyo contexto general se presentó anteriormente.
Los sistemas informáticos modernos suelen utilizar varias cuentas privilegiadas para proporcionar un acceso seguro a los recursos de tecnología de la información. Los diversos tipos de cuentas privilegiadas se pueden implementar mediante un único sistema para proporcionar diferentes roles y/o niveles de acceso. Por ejemplo, una cuenta de usuario puede tener derechos diferentes a los de una cuenta de administrador.
Debido a la gran variedad de tipos y/o roles, administrar la información de identificación y/o asegurar múltiples cuentas es tedioso. Además, ver y/o mostrar estas cuentas de manera significativa puede volverse desafiante. Las cuentas privilegiadas, como las cuentas de administrador, se definen inicialmente en el dominio administrado por el proxy, por ejemplo, el dominio de Windows, para una o más máquinas.
Técnica anterior
La asociación de una máquina del sistema con un usuario que tiene los derechos necesarios y suficientes para conectarse a esta generalmente se maneja mediante una interfaz hombre-máquina del proxy de acceso seguro, lo que permite organizar las asociaciones entre las diversas cuentas privilegiadas y las diversas máquinas objetivo. Esta interfaz permite completar las diversas cuentas privilegiadas manualmente mediante el uso de un formulario o descargando un archivo de cuenta. Esta interfaz también permite enviar información a las diversas máquinas manualmente mediante un formulario o descargando un archivo.
A continuación, se realiza un emparejamiento entre las cuentas privilegiadas y las máquinas mediante la intervención manual del operador a discreción del operador. Este paso da como resultado la creación de varios cientos de asociaciones. Luego, en cada declaración de una nueva máquina, el operador crea una nueva asociación con una o más cuentas privilegiadas.
También se conoce de la técnica anterior la solicitud de patente de Estados Unidos US20150200943 que describe una solución que hace posible asociar retroactivamente una o más políticas de acceso con una cuenta que no está asociada con al menos una política de acceso. Al asociar una política de acceso con una cuenta, la gestión del acceso a uno o más recursos proporcionados por la cuenta se puede automatizar de acuerdo con la política de acceso asociada. Un sistema de gestión de identidad (IDM) puede gestionar las políticas de acceso para establecer el acceso a los recursos de los sistemas objetivo. Las cuentas que no están asociadas con una política de acceso se pueden asociar con las políticas de acceso que rigen el acceso a los recursos identificados por esas cuentas. El acceso a los recursos asociados con esas cuentas se puede actualizar de acuerdo con el acceso otorgado por las políticas de acceso asociadas con esas cuentas.
También se conoce la patente US5768519, que propone una solución para fusionar un dominio de origen y un dominio de destino dentro de una red, que consiste en reemplazar una primera identificación de cuenta para cada cuenta asociada al dominio de origen, por una segunda identificación de cuenta asociada al dominio de destino. Luego, para cada cuenta asociada con el dominio de origen, la primera identificación de cuenta se agrega a una estructura de datos de seguridad de cuenta que almacena la identificación de cuenta con la que ya se ha asociado la cuenta cuando se asoció con un dominio previamente fusionado.
También se conoce de la solicitud de patente US20150271200 otra solución de gestión de cuentas para resistir ciertos ataques denominados "justo a tiempo", que comprende un componente de gestión de cuentas diseñado para recibir una consulta de una primera cuenta por medio de un dispositivo cliente para una segunda cuenta para acceder a un dispositivo servidor en un conjunto de dispositivos servidores, un componente de autorización de cuenta para autorizar la consulta para la segunda cuenta en base, al menos en parte, a la información de la cuenta asociada con la primera cuenta, un componente de provisión de cuentas diseñado para proporcionar la segunda cuenta para permitir que un cliente acceda al dispositivo servidor, y un componente de notificación de cuenta diseñado para suministrar información de la cuenta asociada con la segunda cuenta a un cliente por medio del dispositivo cliente. Se describen y se reivindican otras modalidades.
Inconvenientes de la técnica anterior
La solicitud de patente US20150200943 describe una solución que hace posible asociar retroactivamente una o más políticas de acceso con una cuenta que no está asociada con al menos una política de acceso.
En consecuencia, se trata de un contexto totalmente diferente al de la invención, que, por el contrario, se refiere a la gestión de cuentas ya asociadas a una política de acceso, y más específicamente a la gestión de cuentas únicamente privilegiadas.
La solución propuesta por la solicitud de patente US20150200943 implica la búsqueda de un gran número de cuentas, es decir, todas las cuentas de usuario, y el procesamiento de este gran número de cuentas sin distinción entre cuentas de usuario “ordinarias” y cuentas con privilegios.
Solución proporcionada por la invención
El propósito de la presente invención es proponer una solución para asociar automáticamente una máquina remota con la cuenta privilegiada más apropiada.
La presente invención se define en las reivindicaciones 1-4.
Para ello, la invención se refiere a un método de suministro automático de un proxy de acceso seguro basado en datos de cuentas privilegiadas, caracterizado porque dicho método comprende:
- un paso en el que un bot explora al menos un dominio para identificar cuentas privilegiadas
- un paso para filtrar las cuentas privilegiadas según criterios
- un paso para suministrar al proxy los datos recopilados.
El método comprende preferiblemente los siguientes pasos:
- pasos para extraer propiedades de las cuentas privilegiadas identificadas
- pasos para explorar los registros de actividad de las máquinas exploradas por cada una de las cuentas privilegiadas identificadas y asociaciones entre las máquinas exploradas y la cuenta de uso más relevante.
Según una primera variante, los datos de la cuenta privilegiada recopilados se registran en un archivo destinado a ser suministrado al proxy.
Según una segunda variante, los datos de la cuenta privilegiada recopilados se envían directamente al proxy a través de una interfaz de programación de aplicaciones.
Descripción detallada de un ejemplo no limitativo de la invención.
La presente invención se entenderá más claramente a partir de la siguiente descripción detallada de un ejemplo no limitativo de la invención, con referencia a los dibujos adjuntos, en los que:
- la figura 1 muestra la arquitectura de hardware general de un sistema informático.
- la figura 2 muestra la arquitectura de hardware de un sistema informático según la invención.
Antecedentes de la invención
La figura 1 es una representación esquemática de un sistema de información, por ejemplo, el sistema de información de una empresa u organización.
Los usuarios "ordinarios" (31) tienen derechos de acceso simples que les permiten ver los datos en un espacio de memoria accesible para ellos, o ejecutar aplicaciones almacenadas en un servidor (39) mediante, por ejemplo, una aplicación de "Administrador de descargas de Internet (IDM)" (36) que permite gestionar las descargas de contenidos desde el servidor (39) a través de Internet.
Los usuarios de categoría especial (32) tienen cuentas privilegiadas que, además, les permiten realizar tareas de administración tales como cambiar los derechos de usuarios ordinarios (31) o crear nuevas cuentas de usuario, o cambiar un programa o instalar o eliminar un programa.
Estos usuarios (32) acceden tanto a los recursos comunes mediante una sesión normal (38) como, ocasionalmente, acceden a una sesión con una cuenta privilegiada (37) a través de un proxy (3) y una red de administración (33) que está separada de la red de producción. (34).
La puerta de enlace proxy funciona como una puerta de enlace de red: esta se coloca entre el cliente y el servidor e inspecciona el tráfico en la capa de aplicación. El acceso total al tráfico inspeccionado otorga control a la puerta de enlace sobre las funciones del protocolo y permite restringir o autorizar el acceso a ciertos canales específicos del protocolo, activar sesiones de terminal en SSH, pero desactivar la transferencia de puertos o archivos, o autorizar el acceso al escritorio al protocolo de escritorio remoto, pero desactivar el uso compartido de archivos e impresoras. Las puertas de enlace proxy pueden funcionar de forma transparente en la red y son independientes del cliente y del servidor monitoreado. Esto evita que cualquiera modifique la información de auditoría extraída, ya que los administradores del servidor no tienen acceso a la puerta de enlace proxy. Algunas soluciones incluso hacen posible el almacenamiento de registros de auditoría firmados digitalmente y con fecha y hora en formato cifrado para que ni siquiera el administrador de la puerta de enlace pueda cambiar los registros de auditoría. Debido a su transparencia, las puertas de enlace proxy solo requieren una modificación mínima del entorno de tecnología de la información existente. Dado que los usuarios están en la capa de red, estos pueden seguir utilizando las aplicaciones cliente a las que están acostumbrados sin cambiar sus hábitos de trabajo. Las puertas de enlace proxy pueden intervenir realmente en el tráfico gracias a su posición central en relación con el tráfico de red monitoreado. Esto hace posible, por ejemplo, pedir al usuario que inicie sesión a través de la puerta de enlace para finalizar la conexión hasta que una persona autorizada lo autorice. El trabajo del usuario se puede monitorear en tiempo real gracias a los reportes de tráfico al responsable. También es posible extraer archivos transferidos al servidor y almacenarlos con registros de auditoría para poder verlos posteriormente.
La invención se refiere al suministro automático del proxy (3).
Descripción de la invención
El sistema informático según el ejemplo mostrado en la figura 2 comprende dos ámbitos de exploración (1, 2) que consisten en un conjunto de máquinas (11 a 18; 21 a 28) conectadas por red informática, por ejemplo Ethernet o Internet.
En cada ámbito de exploración (1, 2), una de las máquinas (18, 28) proporciona las funcionalidades de servidor de directorio, por ejemplo en Windows (marca registrada), mediante Active Directory (marca registrada). El directorio (19, 29) hace inventario de todas las máquinas (14 a 18 y 24 a 28) del dominio (1, 2) y la información perteneciente a las cuentas del dominio en cuestión (1, 2), respectivamente.
El directorio (19, 29) comprende el registro de una lista de cuentas que consiste en información tal como el identificador de un usuario, información sobre la identidad del usuario y sobre la adhesión del usuario a un grupo, así como información sobre los privilegios del usuario, por ejemplo, administración.
El directorio (19, 29) también comprende el registro de otra lista, separada de la lista de cuentas, que consiste en información tal como el identificador de una máquina y las características técnicas de la misma.
Estas dos listas son independientes, sin relaciones funcionales identificadas en el directorio.
Además, cada máquina de un dominio puede tener cuentas privilegiadas puramente locales no conocidas para el dominio y, por lo tanto, no registradas en el directorio (19, 29).
El problema resuelto por la invención se refiere a la asociación de estas máquinas con las cuentas privilegiadas más adecuadas, y por tanto a la creación de relaciones entre las dos listas de cuentas y máquinas para que los accesos propuestos por un proxy (3) para asegurar las conexiones remotas puedan ser suministrados automáticamente. Para ello, la invención (4) consiste en ejecutar un autodescubrimiento de cuentas y máquinas privilegiadas registradas en los distintos dominios (1, 2) y una autodeducción del emparejamiento más adecuado de cuentas y máquinas privilegiadas en cada dominio (1, 2) bajo el control de un operador a través de una interfaz hombremáquina o a través de una línea de comando basada en texto.
Para ello, se ejecuta un bot en una de las máquinas (14 a 18; 24 a 28) de cada dominio (1, 2) y se procede a consultar el directorio (19, 29) para recuperar la lista de identificadores de usuarios pertenecientes a grupos indicados como privilegiados, e identificadores de todas las máquinas del dominio correspondiente (1, 2). Esta información se registra en una memoria temporal. Para las máquinas (11 a 13; 21 a 23) del dominio que no están identificadas en el directorio (19, 29), esta información que proviene del paso en el que el bot consulta el directorio se completa desde un archivo independiente (10, 20) en formato XML, registrado al mismo tiempo que el paso de consulta de las máquinas registradas en el directorio (19, 29).
El bot (4) luego realiza una conexión remota con cada una de las máquinas identificadas en el paso anterior, y realiza una consulta para recuperar información de derechos de cuenta privilegiada para la máquina en cuestión, identificar cuentas privilegiadas puramente locales a la máquina, y recopilar la información del registro de actividad correspondiente.
Esta información también se registra en una memoria temporal.
El modo de conexión remota de este bot se basa en las funcionalidades de la API de Windows (marca registrada) para preservar la seguridad.
A continuación, se realiza el procesamiento de filtro sobre la información así recopilada en función de los parámetros que definen un subconjunto de cuentas privilegiadas. Por ejemplo, estos parámetros son:
- pertenencia a un grupo estándar
- pertenencia a un grupo definido por su nombre
- el beneficio de un privilegio predeterminado.
El filtro puede combinar varios parámetros utilizando operadores lógicos.
A continuación, se calcula una asociación óptima entre las máquinas y las cuentas seleccionadas en el paso de filtrado. Este cálculo tiene en cuenta los datos del registro de actividad para determinar las mejores combinaciones, por ejemplo ponderando según el número de conexiones de la cuenta a una máquina, o la fecha de conexión más reciente de la cuenta a dicha máquina.
Después de estos pasos, el bot proporciona:
- un conjunto de archivos en formato .csv que se suministran al proxy para la conexión segura (50)
- un conjunto de archivos, cuyo modelo puede ser establecido por el operador (51)
- suministro automatizado del proxy (3) mediante una interfaz de programación de aplicaciones dedicada (52). Además, en el caso de la generación de archivos, el operador puede definir un comando que se ejecutará una vez completada la generación de archivos (53, 54).

Claims (1)

  1. REIVINDICACIONES
    Un método de suministro automático de un proxy (3) para una conexión segura a objetivos remotos (37) sobre la base de datos de cuentas privilegiadas, caracterizado porque incluye:
    - un paso para utilizar un bot para explorar al menos un dominio (1, 2) provisto de un directorio (19, 29) para identificar las cuentas privilegiadas (32), el directorio que comprende, por un lado, el registro de una lista de cuentas que consisten en información tal como el identificador de un usuario, información sobre la identificación del usuario, sobre la adhesión del usuario a un grupo, así como información sobre los privilegios del usuario, el directorio que comprende, por otro lado, el registro de otra lista, separado de la lista de cuentas, que consiste en información tal como el identificador de una máquina y las características técnicas de la misma,
    el bot que consulta el directorio para recuperar la lista de identificadores de usuarios pertenecientes a grupos indicados como privilegiados y los identificadores de todas las máquinas en el dominio (1, 2), el bot (4) luego realiza una conexión remota a cada una de las máquinas identificadas en el paso anterior, y realiza una consulta para recuperar información de derechos de cuenta privilegiada para la máquina en cuestión, identificar cuentas privilegiadas puramente locales a la máquina y recopilar la información del registro de actividad correspondiente,
    - un paso de filtrado de acuerdo con la información recopilada durante el paso anterior, basado en parámetros que definen un subconjunto de cuentas privilegiadas, luego de lo cual se seleccionan las cuentas privilegiadas;
    - un paso de cálculo de una asociación óptima entre las máquinas y las cuentas seleccionadas al completar el paso de filtrado, el paso de cálculo tiene en cuenta la información del registro de actividad; - un paso de suministro de los datos de la cuenta privilegiada seleccionada al proxy.
    El método de suministro automático de un proxy según la reivindicación 1, que comprende además:
    - pasos de exploración de los registros de actividad de las máquinas exploradas por cada una de las cuentas privilegiadas seleccionadas (32) y asociaciones entre las máquinas exploradas y la cuenta de uso más relevante,
    - un paso de suministro de los datos recopilados al proxy.
    El método de suministro automático de un proxy según la reivindicación 1 o 2, en donde los datos de la cuenta privilegiada (32) seleccionada se registran en un archivo destinado a ser suministrado al proxy.
    El método de suministro automático de un proxy según la reivindicación 1 o 2, en donde los datos de la cuenta privilegiada seleccionada se suministran directamente al proxy a través de una interfaz de programación de aplicaciones para la entrada.
ES17754398T 2016-07-20 2017-07-20 Método de suministro de un proxy de conexión segura Active ES2897502T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1656906A FR3054343B1 (fr) 2016-07-20 2016-07-20 Procede d'alimentation automatique d'un proxy de connexion securisee.
PCT/FR2017/051999 WO2018015681A1 (fr) 2016-07-20 2017-07-20 Procede d'alimentation automatique d'un proxy de connexion securisee

Publications (1)

Publication Number Publication Date
ES2897502T3 true ES2897502T3 (es) 2022-03-01

Family

ID=57045149

Family Applications (1)

Application Number Title Priority Date Filing Date
ES17754398T Active ES2897502T3 (es) 2016-07-20 2017-07-20 Método de suministro de un proxy de conexión segura

Country Status (8)

Country Link
US (1) US11477205B2 (es)
EP (1) EP3488588B1 (es)
CA (1) CA3025659A1 (es)
DK (1) DK3488588T3 (es)
ES (1) ES2897502T3 (es)
FR (1) FR3054343B1 (es)
PL (1) PL3488588T3 (es)
WO (1) WO2018015681A1 (es)

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5768519A (en) * 1996-01-18 1998-06-16 Microsoft Corporation Method and apparatus for merging user accounts from a source security domain into a target security domain
US7587499B1 (en) * 2000-09-14 2009-09-08 Joshua Haghpassand Web-based security and filtering system with proxy chaining
US8631477B2 (en) * 2009-07-23 2014-01-14 International Business Machines Corporation Lifecycle management of privilege sharing using an identity management system
US20110270850A1 (en) * 2010-04-30 2011-11-03 Microsoft Corporation Prioritization of Resources based on User Activities
US8539545B2 (en) * 2010-07-22 2013-09-17 Juniper Networks, Inc. Domain-based security policies
US9326189B2 (en) * 2012-02-03 2016-04-26 Seven Networks, Llc User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US9143498B2 (en) * 2012-08-30 2015-09-22 Aerohive Networks, Inc. Internetwork authentication
US9787657B2 (en) * 2013-09-19 2017-10-10 Oracle International Corporation Privileged account plug-in framework—usage policies
US9602545B2 (en) * 2014-01-13 2017-03-21 Oracle International Corporation Access policy management using identified roles
US9699261B2 (en) * 2014-01-14 2017-07-04 Cyber-Ark Software Ltd. Monitoring sessions with a session-specific transient agent
US9838424B2 (en) * 2014-03-20 2017-12-05 Microsoft Technology Licensing, Llc Techniques to provide network security through just-in-time provisioned accounts
US9712563B2 (en) * 2014-07-07 2017-07-18 Cyber-Ark Software Ltd. Connection-specific communication management
US9167047B1 (en) * 2014-09-24 2015-10-20 Oracle International Corporation System and method for using policies to support session recording for user account management in a computing environment
US10075461B2 (en) * 2015-05-31 2018-09-11 Palo Alto Networks (Israel Analytics) Ltd. Detection of anomalous administrative actions

Also Published As

Publication number Publication date
FR3054343A1 (fr) 2018-01-26
EP3488588B1 (fr) 2021-08-18
CA3025659A1 (fr) 2018-01-25
EP3488588A1 (fr) 2019-05-29
US11477205B2 (en) 2022-10-18
FR3054343B1 (fr) 2020-06-26
US20210288969A1 (en) 2021-09-16
WO2018015681A1 (fr) 2018-01-25
DK3488588T3 (da) 2021-11-22
PL3488588T3 (pl) 2022-01-10

Similar Documents

Publication Publication Date Title
US11962622B2 (en) Automated enforcement of security policies in cloud and hybrid infrastructure environments
US11277414B2 (en) Trust relationships in a computerized system
US10091169B2 (en) Method and system for protecting cloud-based applications executed in a cloud computing platform
US8819762B2 (en) System and method for auditing a security policy
EP3343841B1 (en) Access relationships in a computer system
US9413778B1 (en) Security policy creation in a computing environment
ES2768049T3 (es) Procedimientos y sistemas para asegurar y proteger repositorios y directorios
EP3143728B1 (en) Efficient cascading of flow tables in sdn
Luo et al. Openstack security modules: A least-invasive access control framework for the cloud
He et al. A policy management framework for self-protection of pervasive systems
ES2897502T3 (es) Método de suministro de un proxy de conexión segura
Revathy et al. Analysis of big data security practices
LAAN Securing the SDN northbound interface
Daly et al. NT security in an open academic environment
McDonald et al. Securing Reports
Campbell et al. {NT} Security in an Open Academic Environment