como é possível controlar o acesso de usuários com privilégios em toda a empresa?

Transcrição

1 RESUMO DA SOLUÇÃO CA ControlMinder como é possível controlar o acesso de usuários com privilégios em toda a empresa? agility made possible

2 O CA ControlMinder é uma solução abrangente de gerenciamento de identidades com privilégios que permite que você gerencie senhas de usuários com privilégios, gere relatórios sobre as atividades dos usuários e estabeleça uma refinada separação das tarefas em toda a empresa. 2

3 resumo executivo Desafio Você não é o único preocupado com os crescentes desafios para proteger os aplicativos e os dados confidenciais que residem em seus servidores. O valor cada vez maior dos dados, as regulamentações cada vez mais rigorosas e a quantidade de usuários com privilégios que precisam de acesso a servidores críticos, dispositivos e aplicativos torna ainda mais difícil proteger as informações confidenciais e a propriedade intelectual. O desafio de gerenciar usuários com privilégios inclui o gerenciamento do acesso seguro a dados e senhas críticas associadas a cada usuário com privilégios. Isso está forçando você a trabalhar muito mais para controlar os usuários com privilégios em ambientes grandes, complexos e diversificados. Ao mesmo tempo, sua organização de TI deve permanecer responsiva aos requisitos de negócios que, de vez em quando, exigem que você abra exceções locais ao manter a segurança e a responsabilidade. Hoje, as organizações também estão enfrentando requisitos de auditoria e regulamentações cada vez mais desafiadores e rigorosos, e que você deve resolver. Talvez, você esteja contando com os recursos de segurança nativos de seus sistemas operacionais, mas isso apresenta preocupações de segurança relacionadas à separação de tarefas, bem como à capacidade de gerenciamento e a violações de conformidade. Além de implementar diretivas de segurança, você deve manter e gerenciar identidades no UNIX, o que é outro desafio. O UNIX normalmente é gerenciado em silos, o que aumenta os custos de administração e as despesas gerais. Oportunidade Você precisa de um único sistema de segurança central e independente para proteger servidores, dispositivos e recursos de aplicativos em toda a empresa, fornecendo uma maneira flexível e responsável de conter as contas de superusuário por meio da delegação de privilégios necessários a administradores autorizados. Esse sistema de segurança também deve ser capaz de fornecer controles robustos para gerenciar usuários com privilégios, centralizar a autenticação e fornecer uma infraestrutura robusta de auditoria e relatórios. O CA ControlMinder opera no nível do sistema a fim de permitir uma aplicação eficiente e consistente entre os sistemas incluindo o Windows, o UNIX, o Linux e ambientes virtualizados. Ao distribuir diretivas de segurança de servidor para dispositivos de ponto de extremidade, servidores e aplicativos por meio de um recurso de gerenciamento de diretivas avançado, você pode controlar os usuários com privilégios. Além disso, é possível oferecer suporte de maneira segura à auditoria de cada alteração de diretiva e ação de aplicação a fim de atender às regulamentações globais. O CA ControlMinder fornece uma abordagem holística para o gerenciamento de acesso, pois ele inclui importantes recursos para proteger e bloquear aplicativos e dados críticos, gerenciar identidades com privilégios, centralizar a autenticação UNIX com o Microsoft Active Directory (AD) e fornecer uma infraestrutura segura de auditoria e geração de relatórios. 3

4 Benefícios O CA ControlMinder permite criar, implantar e gerenciar diretivas de controle de acesso complexas e refinadas a fim de permitir que apenas usuários com privilégios autorizados acessem seus aplicativos e dados mais confidenciais. Com o suporte a várias plataformas (incluindo a virtual) e a integração com o restante da família de produtos de Gerenciamento de identidades e acesso da CA, o CA ControlMinder: Regulamenta e faz a auditoria do acesso a seus servidores, dispositivos e aplicativos críticos entre plataformas de maneira consistente. Gerencia senhas de usuários com privilégios. Permite que você demonstre de maneira pró-ativa um controle refinado sobre os usuários com privilégios. Aplica seus requisitos de conformidade internos e regulatórios criando e gerando relatórios sobre as diretivas de acesso a servidores. Ajuda a reduzir os custos administrativos por meio do gerenciamento centralizado da segurança em sua empresa distribuída globalmente. Permite autenticar usuários com privilégios do UNIX e do Linux a partir de um único armazenamento de usuários do Active Directory. Protege o sistema operacional, o que reduz os riscos de segurança externos e facilita a confiabilidade do ambiente operacional. Integra OOTB com uma infraestrutura de auditoria que gera relatórios específicos de regulamentação profunda. Seção 1: Desafio Servidores: uma fonte de complexidade nos datacenters atuais O gerenciamento de diretivas de segurança em grandes ambientes continua sendo um desafio, especialmente devido à importância de ser responsivo aos requisitos de negócios, os quais incluem o fornecimento de flexibilidade para definir exceções locais. Os datacenters atuais exigem uma ampla visibilidade sobre um conjunto de recursos de servidores, dispositivos e aplicativos em constante expansão e, ao mesmo tempo, o fornecimento de responsabilização por alterações e a proteção dos dados confidenciais que residem neles. Falhas no gerenciamento de usuários com privilégios são diretamente responsáveis por violações de dados de alto perfil. Manter a integridade dos dados é uma das tarefas mais importantes do profissional de TI. É um erro crítico a adoção de todas essas novas tecnologias de escalabilidade e flexibilidade de datacenter sem avaliar os requisitos de segurança e proteção de dados relacionados a essas novas tecnologias. Os reguladores estão observando De acordo com a Privacy Rights Clearinghouse, desce 2005, mais de 340 milhões de registros contendo informações pessoais confidenciais foram envolvidos em violações de segurança nos EUA resultando em custos 4

5 significativos de multas de conformidade, monitoramento de crédito das vítimas, nova emissão de cartões bancários e de crédito e reparo da reputação da marca afetada. 1 Essas constantes violações resultaram em exigências de melhores práticas para a proteção de dados e a segurança de informações por parte de organizações governamentais de todo o mundo. Regulamentações como HIPAA, GLBA, Sarbanes-Oxley, EU Data Privacy Directive, ISO27001, PIPEDA e Basel II estão concentradas na resolução desses problemas. O padrão PCI DSS (Payment Card Industry Data Security Standard) levou várias dessas estruturas regulatórias para o próximo nível. Ao especificar uma série de 12 requisitos que devem estar em vigor para proteger os dados do titular do cartão, o PCI DSS forçou outro nível de responsabilidade na organização de TI. Além disso, a Sarbanes-Oxley possui requisitos rígidos relativos à separação de tarefas, o que garante que a responsabilidade de processos de negócios complexos seja distribuída entre muitos recursos a fim de fornecer verificações e balanços dessas funções. Dessa maneira, uma sofisticada proteção de recursos deve ser implementada para atender a esses requisitos. Você também deve fornecer registros e relatórios de auditoria granulares para comprovar os controles, os status de diretivas e os logs de acesso seguro a servidores em todas as auditorias. Essas regulamentações especificam controles refinados e consistência entre plataformas para garantir a separação de tarefas, especialmente em ambientes de sistemas operacionais mistos. Além disso, no caso de um comprometimento, a capacidade de pesquisar o incidente de maneira forense também é obrigatória. Isso leva à coleta e consolidação de dados de auditoria em um repositório de logs central. Por fim, à medida que os requisitos regulatórios se tornam mais rigorosos, os relatórios de conformidade se tornam um importante aspecto de qualquer solução de segurança de servidor. Os relatórios devem ser precisos, atender ao requisito específico em questão e apresentar o resultado em uma maneira fácil de compreender. Os dados confidenciais estão em seus servidores O tipo de inimigo que enfrentamos está evoluindo, pois não é mais válido supor que os invasores estejam lá fora como hackers desconhecidos e anônimos. Atualmente, há uma grande possibilidade de o invasor ser um funcionário insatisfeito, um terrorista ou um parceiro de negócios com valores éticos e de lealdade questionáveis. Por isso, você deve proteger seus recursos de servidor contra invasores externos (que ainda estão lá fora) e contra o pessoal interno especialmente os usuários com privilégios, que têm acesso a todos os dados confidenciais que residem em todos os servidores, dispositivos e aplicativos aos quais eles têm acesso. A complexidade de proteger servidores e aplicar a responsabilidade entre esses usuários com privilégios é significativa. Uma técnica comum utilizada por administradores de servidores é compartilhar contas de usuários com privilégios e usar logons genéricos, como administrador ou raiz. Isso é problemático por diversas razões: Questões de auditoria. O compartilhamento de contas de usuário impede que os logs de auditoria realmente identifiquem o administrador que fez alterações nos servidores, prejudicando a responsabilização, que é essencial no atendimento aos requisitos regulatórios. Acesso a dados. Essas contas compartilhadas geralmente resultam no fornecimento de acesso a sistemas e dados críticos para usuários com privilégios, principalmente porque é muito difícil gerenciar uma diretiva em milhares de servidores com regras de acesso granulares. 1 Fonte: Privacy Rights Clearinghouse - janeiro de

6 A combinação de acesso de usuários com privilégios com a falta de cuidado do administrador pode, com frequência, causar impacto na continuidade dos negócios. Dessa maneira, a falta de responsabilização torna quase impossível fazer o rastreamento até o administrador específico que cometeu os erros, o que resulta em problemas de segurança e responsabilização. Complexidade do gerenciamento de senhas de usuários com privilégios Além de manter a responsabilidade do acesso de usuários com privilégios, essas senhas compartilhadas devem ser armazenadas, alteradas e distribuídas de maneira oportuna e segura a fim de atender à diretiva de segurança da empresa. Muitos aplicativos também usam senhas codificadas em scripts de shell e arquivos em lotes, o que, na verdade, torna o problema ainda pior. Essas senhas são estáticas e estão disponíveis para qualquer pessoa que tenha acesso ao arquivo de script, incluindo invasores mal-intencionados. De acordo com um relatório da Verizon de 2010, 48% das violações de dados foram causadas por usuários internos, um aumento de 26% em relação ao ano anterior. Maior carga administrativa no gerenciamento de identidades do UNIX Hoje, o acesso ao UNIX é gerenciado em silos com vários armazenamentos de contas distribuídos, nos quais os usuários têm diversas contas em diferentes sistemas. Isso aumenta os custos e a sobrecarga de administração, além da complexidade geral do ambiente, pois um grande número de aplicativos críticos dependem do UNIX para estarem ativos e disponíveis. Desafios da virtualização Nesse mundo diversificado, tudo está relacionado à aplicação de uma diretiva consistente e à habilitação de registros em log consolidados entre servidores. Uma explosão literal no número de servidores e dispositivos gerenciados compõe essas questões. A proliferação de máquinas virtuais significa que existe muito mais servidores para gerenciar e, como os hypervisors não se preocupam com qual sistema operacional é um convidado, isso agrava o problema de heterogeneidade. Além disso, manter a segurança desse datacenter expandido e virtualizado é amplamente negligenciado. A virtualização também cria uma nova classe de usuários com privilégios de hypervisors que podem criar, copiar, mover ou, de outra maneira, gerenciar esses sistemas operacionais convidados, aumentando ainda mais a necessidade de uma separação de tarefas adequada para impedir que os dados e os aplicativos em execução nos convidados sejam comprometidos, além de recursos de auditoria. Seção 2: Oportunidade Gerenciar e controlar o acesso de usuários com privilégios em toda a empresa Do ponto de vista de gerenciamento, o antigo modelo de um administrador de sistema responsável por um determinado número de servidores executando um aplicativo específico não é mais suficiente. Agora, os administradores estão cada vez mais especializados em lidar com a complexidade inerente de aplicativos mais distribuídos e complicados. A separação de hardware de servidor, sistemas operacionais e aplicativos usando a tecnologia de virtualização complica essa especialização. Agora, um servidor de s e um banco de dados podem ser executados em um mesmo servidor físico, o que aumenta significativamente a complexidade do ambiente. 6

7 Por isso, esses administradores precisam efetuar logon de maneira segura com senhas com privilégios, além de ter diferentes níveis de acesso a aplicativos, sistemas operacionais e hypervisors, bem como a dispositivos como roteadores. Fornecer a todos esses administradores recursos sem restrições é um sério risco à segurança. As contas com privilégios (administrador no Windows e raiz no UNIX) podem executar qualquer programa, modificar qualquer arquivo e/ou interromper qualquer processo. A incapacidade de restringir esses usuários com privilégios, de forma que eles possam apenas executar tarefas de acordo com as responsabilidades de suas funções, e de vincular ações administrativas específicas a uma determinada pessoa resulta claramente em uma brecha de segurança e responsabilização, além de violar os principais requisitos das regulamentações de segurança atuais. Os usuários com privilégios podem cometer erros, de maneira acidental ou mal-intencionada. O gerenciamento de usuários com privilégios efetivo permite: Proteger, gerenciar e distribuir credenciais de usuário com privilégios de maneira automatizada. Restringir esses usuários delegando os privilégios necessários à equipe apropriada apenas quando eles forem necessários. Manter a responsabilização desses usuários e conseguir gerar relatórios sobre suas ações. Os administradores pode realizar suas tarefas sem expor dados confidenciais ou recursos essenciais para os negócios. Além disso, esse tipo de abordagem fornece uma trilha de auditoria e a aplicação de responsabilidade sobre os administradores e suas ações. E, também, ao enfrentar o aumento da pressão por redução de custos, as organizações de TI estão superando as barreiras internas de unificação de ambientes UNIX e Windows na área da autenticação de usuários. CA ControlMinder O CA ControlMinder satisfaz as diretivas internas e as regulamentações de conformidade externas controlando e gerenciando centralmente o acesso de usuários com privilégios a um conjunto variado de servidores, dispositivos e aplicativos. Ao permitir a criação, a implantação e o gerenciamento entre plataformas de diretivas de controle de acesso complexas e refinadas, tudo a partir de um único console de gerenciamento, o CA ControlMinder supera os controles básicos disponíveis para os sistemas operacionais nativos e atende às necessidades das mais rigorosas diretivas e regulamentações. A solução completa é chamada de CA ControlMinder e inclui os seguintes componentes: O CA ControlMinder Shared Account Management, que fornece armazenamento e acesso seguros a senhas de usuários com privilégios. A proteção de pontos de extremidade e servidores, que inclui os principais elementos do CA ControlMinder que são usados para proteger o sistema operacional e aplicar o controle de acesso granular com base em funções. O UNIX Authentication Bridge (UNAB), que permite que os usuários do UNIX e do Linux façam a autenticação usando suas credenciais do Active Directory. Integração com o CA User Activity Reporting, que permite coletar centralmente e consolidar todos os logs de auditoria do CA ControlMinder em um repositório central que pode ser usado para a geração de relatórios avançada, a correlação de eventos e a criação de alertas. 7

8 CA ControlMinder Shared Account Management Figura A. CA ControlMinder Shared Account Management. > Proteger senhas compartilhadas > Assegurar a responsabilidade no acesso de contas compartilhadas CA ControlMinder Redefinir senha Registro de saída da senha Validar senha > Gerenciar diretivas de senha de contas compartilhadas > Remover senhas com texto não criptografado dos scripts Registro de entrada da senha Administrador de TI Relatório das atividades do usuário Correlacionar atividade com privilégios ao usuário Logon Banco de dados Servidor Web Roteador Comutador Armazenamento APP Aplicativo Desktop Virtualização Windows Linux Unix O Shared Account Management fornece acesso seguro a contas com privilégios e ajuda a fornecer a responsabilidade pelo acesso com privilégio por meio da emissão de senhas em uma base temporária de uso único ou, conforme necessário, fornecendo ao usuário a responsabilidade por suas ações por meio de auditoria segura. Isso também é conhecido como registro de saída administrativo. O CA ControlMinder também foi desenvolvido para permitir que os aplicativos acessem, programaticamente, senhas do sistema e, ao fazer isso, removam senhas codificadas de scripts, arquivos em lotes, wrappers de ODBC e JDBC. Isso também é conhecido como registro de saída de aplicativo. O suporte ao Shared Account Management está disponível para uma grande quantidade de servidores, aplicativos (inclusive bancos de dados) e dispositivos de rede em um ambiente físico ou virtual. O CA ControlMinder Shared Account Management fornece Armazenamento seguro de senhas compartilhadas. O Shared Account Management armazena senhas de aplicativos e sistemas críticos em um armazenamento de dados seguro e protegido. Os usuários que precisarem acessar essas senhas confidenciais poderão registrar a saída e registrar a entrada delas usando uma interface de usuário da Web intuitiva e fácil de usar. O Shared Account Management aplica diretivas de acesso com privilégios que determinam quais usuários podem utilizar quais contas compartilhadas. Diretiva de senha de conta compartilhada. Cada senha gerenciada pelo Shared Account Management pode ter uma diretiva de senha associada que define sua exclusividade. Isso garante que as senhas geradas pelo Shared Account Management sejam aceitas pelo sistema de ponto de extremidade, aplicativo ou banco de dados. As diretivas de senhas também determinam um intervalo no qual o aplicativo cria automaticamente uma nova senha para a conta. Detecção automática de contas. O Shared Account Management detecta automaticamente todas as contas em um ponto de extremidade gerenciado conectado ao servidor de gerenciamento empresarial do Shared Account Management. Dessa maneira, o administrador do Shared Account Management pode decidir quais contas devem ser usadas. Em seguida, essas contas são atribuídas a uma função de acesso com privilégios, que pode ser concedida a usuários finais como parte da diretiva do Shared Account Management. 8

9 Arquitetura sem agente. O CA ControlMinder Shared Account Management fornece uma arquitetura com base em servidores para oferecer riscos e esforços de implantação mínimos. Nenhum agente é necessário nos pontos de extremidade gerenciados do CA ControlMinder Shared Account Management. Todas as conexões são tratadas a partir do servidor do CA ControlMinder Enterprise Management por meio de recursos nativos. Por exemplo, os bancos de dados usam JDBC, o UNIX e o Linux usam SSH e o Windows usa WMI. Integração com sistemas de emissão de tickets e suporte técnico. A integração com o CA Service Desk Manager permite a adição de um ticket de suporte técnico nas tarefas de solicitação e acesso imediato, a validação do ticket de suporte técnico e um aprovador para visualizar o ticket para obter mais informações. Auditoria e geração de relatórios de acessos com privilégios. Todos os acessos com privilégios são auditados e registrados em log no CA ControlMinder Shared Account Management. O CA User Activity Reporting fornece recursos aprimorados de log e correlação, incluindo a capacidade de correlacionar os logs nativos gerados a partir de sistemas, aplicativos ou bancos de dados com os logs do Shared Account Management. Além disso, se o CA ControlMinder for instalado em pontos de extremidade de servidor (UNIX, Linux e Windows), a atividade de todos os usuários com privilégios também será rastreada e auditada. Esses logs também podem ser centralizados no CA User Activity Reporting e correlacionados para os eventos de registro de saída gerados pelo CA ControlMinder Shared Account Management. Restauração e reversão de senhas. No caso de uma falha de ponto de extremidade do CA ControlMinder Shared Account Management, o ponto de extremidade será restaurado a partir de um backup que talvez não seja o atual. Nesse caso, as senhas salvas do Shared Account Management não corresponderão às senhas restauradas do ponto de extremidade. O servidor do CA ControlMinder Enterprise Management exibirá uma lista de senhas anteriores utilizadas e apresentará uma opção para restaurar o ponto de extremidade de volta para a configuração atual do Shared Account Management. Registro de saída administrativo do Shared Account Management Responsabilização no acesso de contas compartilhadas. O CA ControlMinder Shared Account Management apresenta um recurso de registro de saída exclusivo que permite que apenas um indivíduo específico faça o registro de saída de uma conta a qualquer momento. Além disso, o Shared Account Management pode rastrear as ações do usuário original correlacionando eventos de acesso nos sistemas com o evento de registro de saída gerado pelo aplicativo Shared Account Management. Logon automático do Shared Account Management. Esse recurso foi projetado para simplificar e proteger o processo permitindo que um usuário solicite uma senha e a utilize com o clique de um botão por meio do logon automático do usuário ao sistema de destino como o usuário com privilégios e, ao mesmo tempo, sem visualizar a senha real. Isso impede o roubo de senhas por cima dos ombros e acelera o processo para o solicitante da senha. Integração avançada do Shared Account Management com o CA ControlMinder. A integração avançada entre o Shared Account Management e o CA ControlMinder permite que você integre seus pontos de extremidade do CA ControlMinder com o Shared Account Management a fim de rastrear as atividades de usuários que fazem o registro de saída de contas com privilégios. Esse recurso tem suporte apenas quando é utilizado em conjunto com o recurso de logon automático do Shared Account Management (descrito acima) e permite que você especifique se um usuário deve fazer o registro de saída de uma conta com privilégios por meio do servidor do Enterprise Management antes de efetuar logon em um ponto de extremidade do CA ControlMinder. 9

10 Registro e reprodução de sessões com privilégios. O registro e a reprodução de sessões com privilégios agora são fornecidos como parte do CA ControlMinder Shared Account Management por meio da integração com software de terceiros. Esse recurso facilita as auditorias por meio da funcionalidade do tipo DVR para o registro e a reprodução de sessões de usuários com privilégios. Recursos completos de fluxo de trabalho. O CA ControlMinder Shared Account Management fornece recursos de fluxo de trabalho de controle duplo completos para acessos regulares e de emergência a contas com privilégios. O fluxo de trabalho pode ser opcionalmente ativado para determinados usuários e/ou determinadas contas com privilégios. Acesso imediato e de emergência. Os usuários executam um registro de saída para acesso imediato quando necessitam de acesso imediato a uma conta à qual eles não têm autorização para gerenciar. As contas para acesso imediato são contas com privilégios que não são atribuídas ao usuário de acordo com sua função tradicional. Entretanto, o usuário pode obter a senha da conta sem intervenções nem atrasos no caso de necessidade. No processo de registro de saída para acesso imediato, uma mensagem de notificação é enviada ao administrador. Entretanto, o administrador não pode aprovar nem interromper o processo. Registro de saída de aplicativo do Shared Account Management De aplicativo para aplicativo do Shared Account Management. O CA ControlMinder Shared Account Management automatiza o gerenciamento de senhas de conta de serviço que, de outra maneira, seria manual (Serviços do Windows), gerencia as senhas utilizadas por tarefas programadas do Windows que exigem logon no sistema (Tarefas Agendadas do Windows) e se integra ao mecanismo Executar como do Windows para recuperar a senha do usuário relevante com privilégios a partir do Shared Account Management. De aplicativo para banco de dados do Shared Account Management. O CA ControlMinder Shared Account Management também pode redefinir automaticamente senhas de ID de aplicativos. Ele pode gerenciar contas de serviço utilizadas por servidores de aplicativos IIS ou J2EE e pelos aplicativos hospedados por eles, interceptando as conexões ODBC e JDBC e as substituindo por credenciais atuais de contas com privilégios. Na maioria dos casos, o CA ControlMinder Shared Account Management fornece essa funcionalidade sem exigir nenhuma alteração nos aplicativos. Essa funcionalidade exige que o agente do Shared Account Management seja instalado no ponto de extremidade no qual o aplicativo está em execução ou no servidor J2EE no caso de um aplicativo Web. Registro de saída programático de scripts de shell e arquivos em lote. Você pode usar o agente do Shared Account Management dentro de um script para substituir senhas codificadas das quais possa ser feito o registro de saída a partir do CA ControlMinder Shared Account Management Enterprise Management. Isso permite que você não tenha de incluir senhas codificadas em scripts. Para obter detalhes mais técnicos e profundos sobre o Shared Account Management, consulte o Resumo técnico do CA ControlMinder Shared Account Management. 10

11 Proteção de ponto de extremidade e de servidor com o CA ControlMinder Figura B. O CA ControlMinder fornece aplicação de diretivas de segurança com base em função. Os principais elementos do CA ControlMinder são os agentes seguros e protegidos que se integram de forma nativa ao sistema operacional a fim de aplicar e auditar as diretivas granulares necessárias para atender aos requisitos de conformidade. Os agentes de ponto de extremidade estão disponíveis para todos os principais sistemas operacionais, incluindo todas as versões líderes do Linux, UNIX e Windows. A lista mais recente de sistemas com suporte pode ser encontrada no site de suporte da CA. O CA ControlMinder oferece formatos de pacote nativo para instalar e gerenciar o CA ControlMinder de maneira nativa em sistemas operacionais com suporte. Isso facilita a implantação rápida de vários servidores gerenciados para um ambiente empresarial global. Além disso, o CA ControlMinder fornece uma interface com base na Web consistente e amigável para o usuário para o gerenciamento de diretivas de ponto de extremidade, aplicativos e dispositivos. O CA ControlMinder oferece suporte de forma nativa à maioria das plataformas de virtualização, incluindo VMware ESX, Solaris 10 Zones e LDOMs, Microsoft Hyper-V, IBM VIO e AIX LPAR, HP-UX VPAR, Linux Xen e Mainframe x/vm, protegendo as camadas de hypervisor e os sistemas operacionais convidados executados nelas. Em ambientes empresariais, a utilização de um diretório para o gerenciamento de usuários e a implantação de aplicativos ativados para diretórios se tornou uma prática comum. O CA ControlMinder oferece suporte a armazenamentos de usuários, ou seja, armazenamentos para usuários e grupos que são nativos para o sistema operacional. Essa integração nativa permite que você defina regras de acesso para seus usuários e grupos corporativos sem ter de sincronizar ou importá-los para o banco de dados do CA ControlMinder. 11

12 Proteção de servidores entre plataformas Muitas organizações implantam diversas infraestruturas de servidor, incluindo sistemas Windows, Linux e UNIX. O CA ControlMinder possibilita o gerenciamento e a aplicação consistente e integrada de diretivas de segurança de acesso em todos esses ambientes. A arquitetura de diretivas avançada fornece uma única interface pela qual as diretivas podem ser administradas e distribuídas a assinantes do Windows e do UNIX simultaneamente. O gerenciamento consolidado de servidores Linux, UNIX e Windows diminui a quantidade de trabalho administrativo necessário e melhora a eficiência do administrador do sistema, o que reduz os custos de gerenciamento. Controle de acesso refinado O CA ControlMinder é uma solução de aplicação de segurança independente, o que significa que ele não depende do sistema operacional subjacente para aplicar diretivas de controle de acesso a servidores. Ao operar no nível do sistema, o CA ControlMinder monitora e regulamenta todo o acesso a recursos do sistema, incluindo aqueles originados de administradores de domínio ou do sistema local. Esses recursos de aplicação de acesso refinado funcionam para regulamentar, delegar e conter os administradores de domínio ou qualquer outra conta no ambiente de TI e fornecem: Controle personificação. O CA ControlMinder controla os recursos de delegação de usuário substituto a fim de reduzir a exposição de usuários não autorizados executando aplicativos com privilégios avançados e alcançar a responsabilização de atividades em contas compartilhadas. Por exemplo, um administrador pode assumir o perfil de identidade de outra pessoa para alterar os atributos da lista de controle de acesso (ACL) de um arquivo sem nenhuma responsabilização por suas ações. O CA ControlMinder oferece proteção em vários níveis, limitando primeiramente as pessoas que usam o mecanismo Executar como e o comando su do UNIX e preservando a ID do usuário original, mesmo após ações de substituição, o que garante que registros de acesso do usuário em logs de auditoria mostrem a conta original. Isso permite que os usuários efetuem logon usando suas próprias IDs e alterem com segurança seus perfis para uma conta com privilégios sem perda de responsabilização. Contenção de superusuários (administrador/raiz). A conta raiz é uma fonte significativa de vulnerabilidades, pois ela permite que aplicativos ou usuários assumam um nível maior de privilégios do que o necessário. O CA ControlMinder inspeciona todas as solicitações de entrada relevantes no nível do sistema e aplica a autorização com base em regras e diretivas definidas. Nem mesmo a conta raiz com privilégios pode ignorar esse nível de controle. Dessa maneira, todos os usuários com privilégios se tornam usuários gerenciados e são responsáveis por suas atividades no sistema. Controle de acesso com base em função. As melhores práticas determinam que cada administrador deve ter privilégios suficientes para executar suas funções de trabalho e nada mais. Ao fornecer um ambiente de controle de acesso com base em função sofisticado, os administradores não conseguem compartilhar uma senha de administrador e, potencialmente, tirar vantagem de seus privilégios associados. Por padrão, o CA ControlMinder fornece funções administrativas e de auditoria populares que podem ser personalizadas e expandidas para atender às necessidades de sua organização de TI. Aplicação refinada. Os sistemas operacionais nativos (Linux, UNIX e Windows) fornecem recursos limitados para delegar de maneira granular e efetiva determinados direitos de administração de sistemas para contas de usuário menos poderosas. O CA ControlMinder fornece aplicação refinada e regulamenta o acesso com base em vários critérios, incluindo atributos de rede, hora do dia, calendário ou programa de acesso. Os recursos incluem: 12

13 Controles granulares adicionais. Os controles que oferecem privilégios específicos para arquivos, serviços e outras funções de nível de sistema operacional (renomear, copiar, parar, iniciar) podem ser atribuídos a um administrador específico ou a um grupo de administração. Diferentes níveis de aplicação. O CA ControlMinder Warning Mode geralmente é utilizado pelas organizações para determinar se as diretivas de segurança propostas são muito rigorosas ou muito permissivas, de forma que elas possam ser modificadas de acordo com o necessário. Além disso, o CA ControlMinder fornece a capacidade de validar instantaneamente os efeitos de uma diretiva de segurança sem aplicar a restrição por meio da configuração do modo de validação. ACLs aprimoradas. O CA ControlMinder fornece vários recursos de ACL aprimorados para aumentar a capacidade do administrador de segurança de atribuir direitos de acesso corretamente a usuários autorizados, incluindo PACLs (Program Access Control Lists - Listas de controle de acesso a programas), que permitem apenas o acesso a recursos a partir de um programa ou binário específico. Controle de acesso com base na rede. Os ambientes abertos atuais exigem um controle robusto do acesso de usuários e de informações transferidas pela rede. O controle de acesso com base na rede adiciona outra camada de proteção a fim de regular o acesso à rede. O CA ControlMinder pode gerenciar o acesso a portas de rede ou a programas de acesso à rede e as diretivas de segurança de rede podem gerenciar o acesso bidirecional por ID de terminal, nome de host, endereço de rede, segmentos ou outros atributos. Controle de logon. O CA ControlMinder pode aumentar a segurança de logon limitando o logon de usuários por origem de endereço IP, ID de terminal, tipo de programa de logon ou hora do dia. O CA ControlMinder também pode limitar as sessões de logon simultâneas de um usuário a fim de aplicar o acesso de usuário rigoroso a um servidor. Os usuários podem ser automaticamente suspensos após muitas tentativas de logon com falhas, o que protege os sistemas contra ataques de força bruta. Além disso, o CA ControlMinder fornece suspensão e revogação seguras de contas de usuários em ambientes distribuídos. Gerenciando e controlando o acesso a ambientes virtuais A virtualização consolida várias instâncias de servidor em uma única máquina física, o que fornece um menor custo total de propriedade e uma maior utilização da máquina. Infelizmente, a virtualização cria uma nova classe de usuários com privilégios de hypervisors que podem criar, copiar, mover ou, de outra maneira, gerenciar os sistemas operacionais convidados. Isso gera uma necessidade adicional de separação de tarefas adequada e proteção de recursos de servidor consolidada a fim de permitir que todos os dados e aplicativos em execução nesses convidados sejam auditados e protegidos contra comprometimentos. Utilizando o CA ControlMinder, os administradores de hypervisor podem ser controlados e uma separação de tarefas adequada pode ser implementada. Esse recurso fornece uma camada de proteção essencial para minimizar os riscos da virtualização. Os agentes de ponto de extremidade oferecem suporte a uma grande lista de versões de sistema operacional executadas como convidados, bem como a todos os principais hosts de virtualização de sistema operacional, incluindo VMware ESX, Solaris 10 Zones e LDOMs, Microsoft Hyper-V, IBM VIO e AIX LPAR, HP-UX VPAR, Linux Xen e Mainframe x/vm. Proteção do sistema operacional Uma camada essencial para a estratégia de defesa em profundidade é a proteção do sistema operacional contra a penetração ou o acesso externo não autorizado. O CA ControlMinder fornece diversas medidas de segurança externa para incluir uma camada adicional de segurança para seus servidores. 13

14 Controles de arquivos e diretórios. Arquivos e diretórios formam o backbone de sistemas operacionais e qualquer comprometimento pode levar a uma negação de serviço e um downtime inesperado. O CA ControlMinder fornece opções de acesso curinga e de programa robustas que simplificam o gerenciamento de diretivas de nível de arquivo. O CA ControlMinder pode aplicar o controle de alterações em sistemas de arquivos e diretórios essenciais, o que aumenta a integridade e a confidencialidade dos dados. A proteção no nível do arquivo está disponível para todos os tipos de arquivos, incluindo arquivos de texto, diretórios, arquivos de programas, arquivos de dispositivos, links simbólicos, arquivos montados em NFS e compartilhamentos do Windows. Execução de programa confiável. Para impedir que o ambiente operacional seja corrompido por malware, principalmente cavalos de Troia, o CA ControlMinder fornece uma proteção de programa confiável de primeira linha. Recursos confidenciais podem ser marcados como confiáveis e, dessa maneira, os arquivos e programas serão monitorados e o CA ControlMinder bloqueará a execução caso o programa seja modificado por malware. As alterações a recursos confiáveis podem ser limitadas a usuários ou grupos de usuários específicos a fim de reduzir ainda mais a probabilidade de alterações inesperadas. Proteção do Registro do Windows. O Registro do Windows é um alvo claro para hackers e usuários malintencionados, pois o banco de dados centralizado contém parâmetros do sistema operacional, incluindo aqueles que controlam drivers de dispositivos, detalhes de configuração e configurações de hardware, ambiente e segurança. O CA ControlMinder fornece proteção ao Registro por meio do suporte a regras que podem impedir que administradores alterem ou violem as configurações do Registro. O CA ControlMinder pode proteger chaves do Registro contra exclusão, bem como seus valores correspondentes contra modificação. Proteção de serviços do Windows. O CA ControlMinder fornece proteção avançada para limitar os administradores autorizados que podem iniciar, modificar ou interromper serviços críticos do Windows. Isso protege contra a negação de serviço de aplicativos da produção, como Banco de dados, Web, Arquivo e impressão, que são todos controlados como serviços no Windows. É essencial proteger esses serviços contra acessos não autorizados. Proibição de aplicativos. O CA ControlMinder permite que ações aceitas sejam definidas para aplicativos de alto risco. Qualquer comportamento que exceda esses limites será restringido por uma função de proibição de aplicativos. Por exemplo, uma ACL pode ser criada com base em uma ID lógica que possui processos e serviços da Oracle; dessa maneira, seu comportamento proibido não permite nenhuma ação além de iniciar serviços de DBMS da Oracle. KBL (Keyboard Logger) para UNIX/Linux O CA ControlMinder pode restringir ações regulares e confidenciais de usuários e também rastrear sessões de usuários seletivos, mas e se você desejar gravar tudo o que é feito em uma sessão de usuário confidencial? O recurso KBL do CA ControlMinder lhe oferece essa opção. O KBL está entre o shell e o terminal/teclado e captura tudo o que é digitado no teclado (entrada) e o que é exibido no terminal (saída). Você pode ativar o KBL simplesmente alterando o modo de auditoria do administrador/usuário do qual deseja capturar a atividade do teclado. 14

15 CA ControlMinder Figura C. Seleção do modo interativo KBL para UNIX/Linux no CA ControlMinder Endpoint Management. Recursos do KBL Reprodução da sessão (modo local apenas no ponto de extremidade do CA ControlMinder) Impressão de entrada/saída da sessão Impressão de comandos da sessão Correlação com rastreamento de usuário do CA ControlMinder Armazenamento central com relatórios do CA User Activity Reporting Figura D. Saída da sessão KBL do CA ControlMinder. Os relatórios de KBL agora estão disponíveis no CA User Activity Reporting com exibições detalhadas que mostram todos os comandos digitados no prompt de comando, bem como suas respectivas saídas. 15

16 Figura E. Uma amostra de relatório de KBL disponibilizada por meio do CA User Activity Reporting. Gerenciamento central de identidades do UNIX a partir do Active Directory UNAB O recurso UNAB (UNIX Authentication Broker - Agente de autenticação do UNIX) no CA ControlMinder permite que você gerencie usuários do UNIX a partir do Microsoft AD. Isso permite a consolidação de informações de autenticação e conta no AD, em oposição ao gerenciamento de credenciais do UNIX de maneira local em cada sistema. Recursos do UNAB Gerenciamento central de autenticação do UNIX. O UNAB simplifica o gerenciamento de usuários locais do UNIX por meio da validação de suas credenciais de autenticação em relação ao AD. Os usuários e os grupos não precisam ser definidos no NIS nem localmente no arquivo /etc/passwd. Os atributos do usuário, como diretivas de diretório principal, shell, UID, GECOS e senha, são recuperados do AD. Módulo PAM leve. O UNAB fornece um módulo PAM pequeno e leve no UNIX que é adicionado à pilha de PAM do ponto de extremidade. Compactação nativa. O UNAB fornece compactação nativa para uma fácil instalação e implantação. Integração com o log de eventos do Windows nativo. Todos os logs do UNAB são roteados para os logs de eventos do Windows nativos. Isso consolida e simplifica a auditoria e também permite a integração com ferramentas SIM de terceiros. Modos de operação flexíveis. O UNAB pode ser configurado para trabalhar no modo de integração parcial ou total, o que facilita o processo de migração. Modo de integração parcial. Nesse modo, a senha do usuário é armazenada no AD. No momento da autenticação, apenas a validação da senha é executada no AD. Os atributos do usuário, como UID, diretório principal e grupo principal, são obtidos do host UNIX ou do NIS local, e não do AD. Ao adicionar um novo usuário à organização, o administrador deve criar o usuário no AD e no arquivo /etc/passwd local ou no NIS. Não são necessárias alterações no esquema para o AD para que o UNAB funcione no modo de integração parcial. 16

17 Modo de integração total. Aqui, as informações do usuário são armazenadas apenas no AD. Não existe nenhuma entrada do usuário no arquivo local/etc/passwd nem no NIS. Os atributos do usuário, como UID, diretório principal e grupo principal, são armazenados no Active Directory, e não no host UNIX ou no NIS local. Ao adicionar um novo usuário à organização, o administrador deve criar o usuário apenas no AD e fornecer os atributos do UNIX necessários. O modo de integração total exige o Windows 2003 R2, que oferece suporte a atributos do UNIX. Mapeamento dinâmico de atributos LDAP. No caso de sua organização não oferecer suporte ao Windows 2003 R2, que é necessário para o modo de integração total, o UNAB oferece um recurso que permite que você mapeie dinamicamente atributos do UNIX para atributos do AD não padrão. Isso evita a complexidade de estender ou alterar o esquema do AD. Recursos de cache aprimorados e suporte offline. O UNAB armazena em cache todos os logons com êxito em seu banco de dados SQLite local. As informações armazenadas em cache incluem o nome do usuário, os atributos do usuário, a associação a grupos e o valor hash da senha. No caso de falha do UNAB na conexão com o AD, ele tentará validar as credenciais do usuário em relação ao cache local. Isso é chamado de suporte a logon offline. Os registros do usuário serão mantidos no cache local por uma quantidade de dias configurável. Os usuários locais, como raiz, e outras contas do sistema e de aplicativos podem efetuar logon, independentemente da conectividade do AD. SSO do UNAB. Permite que você execute o SSO entre todos os hosts do UNAB com Kerberos no ambiente. Se efetuar logon em um host do UNAB que esteja ativado para Kerberos, você poderá efetuar logon automaticamente em qualquer outro host do UNAB usando suas credenciais do Kerberos, que fornecem um tipo de solução de SSO dentro do ambiente. Diretivas de logon centralizadas. Após o UNAB ser ativado em um ponto de extremidade do UNIX, as diretivas de logon centrais controlam quais usuários podem efetuar logon em qual host UNIX ou grupo de hosts UNIX. Essas diretivas de logon são gerenciadas e distribuídas por meio da interface de usuário do CA ControlMinder Enterprise Management e são armazenadas localmente em cada ponto de extremidade no banco de dados SQLite. As diretivas de logon podem ser aplicadas a um único host UNIX ou a um grupo de hosts lógico de servidores. As regras de escopo podem ter como base usuários e grupos do AD, o que simplifica a sobrecarga de administração. Figura F. Agente de autenticação do UNIX. 17

18 Auditoria e geração de relatórios do acesso de usuários com privilégios com o CA User Activity Reporting Conformidade significa que você possui as diretivas corretas em vigor e que essas diretivas estão implantadas, mas, mais importante, que você pode fornecer provas de que está em conformidade com as diretivas corporativas e os padrões regulatórios e, ao mesmo tempo, contabiliza quaisquer divergências da diretiva. A fim de comprovar a conformidade, as soluções de proteção de recursos de servidor devem gerar relatórios para evidenciar as diretivas de senhas, os níveis de direitos e a separação de tarefas. Uma licença do CA User Activity Reporting está incluída no CA ControlMinder, o que permite que você visualize o status de segurança de usuários, grupos e recursos obtendo dados de cada ponto de extremidade em toda a empresa, agregando-os em um local central, analisando os resultados em relação à diretiva corporativa e, por fim, gerando um relatório. Essa licença do CA User Activity Reporting está limitada à coleta e à geração de relatórios sobre eventos do CA ControlMinder; se desejar recursos de geração de relatórios mais abrangentes, uma licença do módulo User Activity Reporting completa deverá ser adquirida. O serviço de geração de relatórios funciona de maneira independente para coletar as diretivas em vigor em cada ponto de extremidade com base em agendamentos. A resiliência é criada no sistema, pois o status do ponto de extremidade é relatado sem a necessidade de intervenção manual e independentemente de o servidor de coleta estar ativo ou inativo. Além disso, os componentes do serviço de geração de relatórios são externos ao sistema de aplicação do CA ControlMinder e não exigem que as funções de aplicação do ponto de extremidade sejam interrompidas durante a reconfiguração ou a personalização de quaisquer relatórios. O serviço de geração de relatórios é estruturado para permitir a geração de relatórios do status das diretivas aplicadas por cada ponto de extremidade. Você pode criar relatórios personalizados para diversas finalidades ou usar os mais de 60 relatórios existentes prontos para o uso fornecidos pelo CA ControlMinder. Conformidade com diretivas e relatórios de direitos Não é mais suficiente gerar relatórios com base em eventos sobre as ações que ocorreram no passado para fins de geração de relatórios de conformidade. Em vez disso, alcançar a conformidade atualmente também exige relatórios pró-ativos que podem realçar o status de diretivas em qualquer momento. Para ajudar, o CA ControlMinder fornece relatórios pró-ativos sobre os privilégios de acesso de usuários, além de provas de controles de acesso existentes. Pronto para utilização, o serviço de geração de relatórios do CA ControlMinder é fornecido com mais de 60 relatórios padrão que detalham informações sobre direitos e o status atual (e desvios) de diretivas implantadas como parte da instalação padrão do produto. Eles fornecem valor imediato ao complementar a auditoria com base em eventos existente para monitorar requisitos de conformidade e realçar discrepâncias existentes. Os relatórios padrão incluem: Relatórios de gerenciamento de diretivas - permitem que você visualize o status da implantação de diretivas e desvios das diretivas padrão. Relatórios de direitos - permitem que você visualize os direitos que usuários e grupos têm em relação a recursos do sistema ou mostram quem pode acessar recursos específicos. Uma utilização comum pode ser verificar que possui acesso raiz aos sistemas. Relatórios de gerenciamento de usuários - fornecem a você a capacidade de visualizar contas inativas, associações de usuários e grupos e contas administrativas, bem como de gerenciar a separação de tarefas. 18

19 Relatórios de gerenciamento de senhas - fornecem informações sobre a duração de senhas, a conformidade com diretivas de senhas, etc. Relatórios de acesso de usuários com privilégios - detalham informações sobre todas as atividades dos usuários com privilégios, incluindo registro de entrada, registro de saída, aprovações de fluxo de trabalho e outras ações. Figura G. Relatório do CA ControlMinder Shared Account Management mostrando as contas com privilégios por tipo de ponto de extremidade. Relatórios de autenticação do UNIX - fornecem todos os dados de direitos e relatórios relacionados ao componente UNAB do CA ControlMinder. Figura H. Relatório detalhado do UNAB mostrando usuários globais do AD com atributos do UNIX. Assistente de detecção de usuários com privilégios (assistente concluído por usuário) - procura por usuários com privilégios em toda a organização e gera um relatório automaticamente. 19

20 Os relatórios de diretivas abertas fornecidos pelo CA ControlMinder conta com um RDBMS padrão. A interoperabilidade com sistemas externos permite que os administradores executem relatórios de diretivas por meio da ferramenta de geração de relatórios de sua preferência e personalizem os layouts de relatórios a fim de atender a padrões internos ou solicitações de auditores. Scorecard de implantação de diretivas Figura I. Relatório de amostra que exibe o instantâneo de um ponto no tempo dos hosts que estão em conformidade com uma diretiva específica. CA ControlMinder Enterprise Management Devido à complexidade e à escalabilidade exigidas de recursos de servidor atuais, é essencial conseguir implementar e aplicar uma diretiva centralizada de controle de acesso em toda a empresa global e estendida e, ao mesmo tempo, se ajustar às exceções locais e às necessidades de negócios. O CA ControlMinder possui diversos recursos sofisticados para facilitar e simplificar o gerenciamento de acesso e permitir exceções de uma maneira responsável e visível. Agrupamento lógico de hosts Você pode agrupar seus pontos de extremidade em grupos lógicos de hosts e, em seguida, atribuir diretivas com base na associação a esse grupo de hosts, independentemente da maneira como os pontos de extremidade estão fisicamente organizados. Os hosts podem ser integrantes de vários grupos de hosts lógicos, dependendo de suas propriedades e demandas de diretivas. Por exemplo, se você tiver hosts executando um sistema operacional Red Hat e o Oracle, eles poderão ser integrantes de um grupo de hosts lógico da Red Hat a fim de obter as diretivas de controle de acesso da Red Hat de linha de base e, também, integrantes do grupo de hosts lógico da Oracle a fim de obter as diretivas de controle de acesso da Oracle. Os grupos de hosts lógicos podem ser usados nos componentes Shared Account Management e UNAB do CA ControlMinder. No Shared Account Management, os grupos de hosts lógicos, como servidores de bancos de dados, podem ter uma diretiva comum que permite o acesso a contas com privilégios nesses servidores. No UNAB, um conjunto comum de diretivas de logon pode ser aplicado a um grupo de hosts lógico que permite que os usuários efetuem logon de maneira seletiva com base em suas credenciais do Active Directory. 20