Wie kann ich den Zugriff privilegierter Benutzer im gesamten Unternehmen steuern?

Transkript

1 LÖSUNG IM ÜBERBLICK CA ControlMinder Wie kann ich den Zugriff privilegierter Benutzer im gesamten Unternehmen steuern? agility made possible

2 ist eine umfassende Lösung für das Management privilegierter Identitäten. Sie ermöglicht es Ihnen, die Passwörter privilegierter Benutzer zu verwalten, Berichte zu Benutzeraktivitäten zu generieren sowie unternehmensweit eine spezifische Aufgabentrennung einzurichten. 2

3 Kurzdarstellung Ausgangssituation Viele Unternehmen machen sich Sorgen um die wachsenden Herausforderungen, die der Schutz der vertraulichen Daten und Anwendungen auf ihren Servern bedeutet. Der steigende Wert von Daten, immer strengere Vorschriften und die hohe Anzahl privilegierter Benutzer, die auf wichtige Server, Geräte und Anwendungen zugreifen müssen, erschweren den Schutz vertraulicher Informationen und geistigen Eigentums. Die Herausforderung beim Management privilegierter Benutzer liegt unter anderem in der Verwaltung des sicheren Zugriffs auf wichtige Daten und Passwörter der einzelnen privilegierten Benutzer. Um privilegierte Benutzer in großen, komplexen und heterogenen Umgebungen zu steuern, ist somit viel mehr Arbeit erforderlich. Zugleich muss Ihre IT-Abteilung stets auf geschäftliche Anforderungen reagieren. Dies erfordert manchmal lokale Ausnahmen, ohne dass jedoch die Sicherheit und die Zurechenbarkeit leiden dürfen. Außerdem müssen Unternehmen heute immer schwierigere und strengere Auditing-Anforderungen und Vorschriften erfüllen. Möglicherweise nutzen Sie die systemeigenen Sicherheitsfunktionen Ihrer Betriebssysteme. Dies bedeutet jedoch Sicherheitsprobleme hinsichtlich der Aufgabentrennung sowie unzureichende Verwaltbarkeit und Einhaltung von Vorschriften. Neben der Implementierung von Sicherheitsrichtlinien müssen Sie auch Identitäten unter UNIX pflegen und verwalten. Dies bedeutet eine weitere Herausforderung. UNIX wird im Allgemeinen in Silos verwaltet. Dies erhöht die Verwaltungskosten und den Zusatzaufwand. Chancen Sie benötigen ein einzelnes, zentrales und unabhängiges Sicherheitssystem, um Server-, Geräte- und Anwendungsressourcen im gesamten Unternehmen zu schützen. Dabei müssen Sie eine flexible und zurechenbare Möglichkeit schaffen, die Verwendung von Superuser-Konten einzuschränken, indem Sie erforderliche Berechtigungen an autorisierte Administratoren delegieren. Dieses Sicherheitssystem sollte außerdem robuste Steuerungsmechanismen bieten, mit denen Sie privilegierte Benutzer verwalten, die Authentifizierung zentralisieren sowie eine solide Auditing- und Reporting-Infrastruktur bereitstellen können. CA ControlMinder arbeitet auf Systemebene, um eine effiziente und konsistente Erzwingung der Vorgaben auf unterschiedlichen Systemen unter Windows, UNIX, Linux sowie in virtuellen Umgebungen zu ermöglichen. Indem Sie Server-Sicherheitsrichtlinien über eine fortschrittliche Richtlinienmanagement-Funktion an Endpunktgeräte, Server und Anwendungen verteilen, können Sie privilegierte Benutzer unter Kontrolle halten. Außerdem können Sie das Auditing der einzelnen Richtlinienänderungen und Erzwingungsaktionen auf sichere Weise unterstützen, um globale Vorschriften einzuhalten. CA ControlMinder bietet einen ganzheitlichen Ansatz für das Zugriffsmanagement. Die Lösung umfasst wichtige Funktionen für den Schutz und das Lock-Down wichtiger Daten und Anwendungen, das Management privilegierter Identitäten, die Zentralisierung der UNIX-Authentifizierung mit Microsoft Active Directory (AD) und die Bereitstellung einer sicheren Auditing- und Reporting-Infrastruktur. 3

4 Nutzen Mit CA ControlMinder können Sie komplexe, spezifische Zugriffssteuerungsrichtlinien erstellen, bereitstellen und verwalten, damit nur autorisierte, privilegierte Benutzer auf Ihre hoch vertraulichen Daten und Anwendungen zugreifen können. CA ControlMinder unterstützt mehrere Plattformen (einschließlich virtueller) und kann in die übrigen Lösungen der CA Identity and Access Management-Produktfamilie integriert werden. CA ControlMinder bietet folgenden Nutzen: Konsistente, plattformübergreifende Steuerung und Überprüfung des Zugriffs auf Ihre wichtigen Server, Geräte und Anwendungen Management der Passwörter privilegierter Benutzer Ermöglichen einer proaktiven Darlegung der spezifischen Kontrolle über privilegierte Benutzer Erzwingung der Einhaltung von internen Vorgaben und gesetzlichen Vorschriften durch Erstellung von Server- Zugriffsrichtlinien und entsprechendes Reporting Senkung der Verwaltungskosten durch zentrales Sicherheitsmanagement für das gesamte verteilte Unternehmen Authentifizierung privilegierter Benutzer unter UNIX und Linux über einen einzelnen Active Directory- Benutzerdatenspeicher Absicherung des Betriebssystems zur Senkung externer Sicherheitsrisiken und Erhöhung der Zuverlässigkeit der Betriebsumgebung Sofort einsatzfähige Integration in eine Auditing-Infrastruktur, die detaillierte Berichte im Hinblick auf einzelne Vorschriften generiert Abschnitt 1: Ausgangssituation Server: eine Ursache für die Komplexität heutiger Rechenzentren Das Management von Sicherheitsrichtlinien in großen Umgebungen ist stets eine Herausforderung, insbesondere, weil es so wichtig ist, flexibel auf Unternehmensanforderungen zu reagieren und dabei nötigenfalls auch lokale Ausnahmen zuzulassen. In Rechenzentren ist heute eine umfassende Transparenz für immer mehr Server-, Geräte- und Anwendungsressourcen erforderlich. Zugleich müssen Änderungen zurechenbar sein, und die vertraulichen Daten im Rechenzentrum müssen geschützt werden. Ein unzureichendes Management privilegierter Benutzer ist häufig die direkte Ursache von Kompromittierungen wichtiger Daten. Die Wahrung der Datenintegrität ist eine der wichtigsten Aufgaben von IT-Spezialisten. Ein schwerwiegender Fehler besteht darin, neue Skalierbarkeits- und Flexibilitätstechnologien für Rechenzentren einzuführen, ohne die Anforderungen an die Sicherheit und den Schutz der Daten zu berücksichtigen, die durch diese neuen Technologien entstehen. 4

5 Die Aufsichtsbehörden sehen genau hin Laut dem Privacy Rights Clearinghouse waren in den USA seit 2005 über 340 Millionen Datensätze mit vertraulichen persönlichen Daten von Datenkompromittierungen betroffen. Für die Unternehmen bedeutet dies hohe Kosten für Strafgebühren, für die Überwachung der Guthaben von Opfern, die erneute Ausstellung von Kredit- und Bankkarten sowie den Versuch, den beschädigten Ruf der Marke wieder zu verbessern. 1 Diese zahlreichen Kompromittierungen haben dazu geführt, dass Behörden weltweit bessere Verfahren für den Schutz von Daten und die Informationssicherheit vorschreiben. Beispielsweise wurden HIPAA, GLBA, Sarbanes-Oxley, die EU-Richtlinie zum Schutz personenbezogener Daten, ISO27001, PIPEDA und Basel II verabschiedet, um diesen Problemen beizukommen. PCI DSS (Payment Card Industry Data Security Standard) ist in vielen Hinsichten eine noch stärkere Variante derartiger gesetzlicher Rahmenwerke. Durch Aufstellung von 12 Anforderungen, die erfüllt sein müssen, um die Daten von Karteninhabern zu schützen, erzwingt PCI DSS die Zurechenbarkeit in der IT auf einem ganz neuen Niveau. Außerdem stellt Sarbanes-Oxley strikte Anforderungen hinsichtlich der Aufgabentrennung, um sicherzustellen, dass die Verantwortung für komplexe Geschäftsprozesse auf viele Mitarbeiter verteilt wird, die einander bei diesen Tätigkeiten überprüfen und in ihre Grenzen verweisen können. Um diese Anforderungen zu erfüllen, müssen ausgefeilte Schutzmechanismen im Hinblick auf die Mitarbeiter implementiert werden. Außerdem müssen Sie bei jedem Audit differenzierte Unterlagen und Berichte bereitstellen, um Steuerungsmechanismen, Richtlinienstatus und Protokolle für den sicheren Serverzugriff nachzuweisen. In diesen Vorschriften werden spezifische Steuerungsmechanismen und plattformunabhängige Konsistenz vorgeschrieben, um die Aufgabentrennung, vor allem auch in Umgebungen mit mehreren unterschiedlichen Betriebssystemen, sicherzustellen. Außerdem sind Vorkehrungen vorgeschrieben, mit denen bei einer Kompromittierung forensische Untersuchungen des Vorfalls möglich sind. Daher müssen Auditdaten in einem zentralen Protokoll-Repository erfasst und konsolidiert werden. Da die Vorschriften immer strengere Anforderungen stellen, ist nicht zuletzt auch das Compliance Reporting inzwischen ein wichtiger Aspekt jeder Lösung für die Serversicherheit. Die Berichte sollten präzise sein, sich speziell auf die jeweilige Anforderung beziehen und Ausgaben leicht verständlich darstellen. Vertrauliche Daten befinden sich auf Ihren Servern Die Gegner, denen wir uns gegenübersehen, entwickeln sich weiter. Wir können nicht mehr davon ausgehen, dass Angreifer als Hacker ohne Namen und ohne Gesicht irgendwo da draußen sitzen. Der Angreifer kann heute mit ebenso hoher Wahrscheinlichkeit ein verärgerter Mitarbeiter, ein Saboteur oder ein gewissenloser, wenig loyaler Geschäftspartner sein. Daher müssen Sie Ihre Serverressourcen sowohl gegen externe Angreifer als auch gegen interne Mitarbeiter schützen, vor allem gegen privilegierte Benutzer, die über Zugriffsrechte für alle vertraulichen Daten auf den Servern, Geräten und Anwendungen in ihrem Zuständigkeitsbereich verfügen. Server vor diesen privilegierten Benutzern zu schützen und die Zurechenbarkeit für sie zu erzwingen, ist eine sehr komplexe Aufgabe. In vielen Unternehmen verwenden Serveradministratoren privilegierte Benutzerkonten mit generischen Anmeldenamen wie Administrator oder Root gemeinsam. Dies ist aus mehreren Gründen problematisch: Schwierigkeiten beim Auditing. Wenn Benutzerkonten gemeinsam verwendet werden, kann in Audit-Protokollen nicht wirklich identifiziert werden, welcher Administrator welche Änderungen auf den Servern vorgenommen hat. Dies unterminiert die Zurechenbarkeit, die für die Erfüllung von Vorschriften jedoch unabdingbar ist. Zugriff auf Daten. Diese gemeinsam genutzten Konten bedeuten im Allgemeinen, dass privilegierte Benutzer den Zugriff auf wichtige Systeme und Daten erhalten, vor allem, weil es zu schwierig ist, eine Richtlinie für Tausende von Servern mit differenzierten Zugriffsregeln zu verwalten. 1 Quelle: Privacy Rights Clearinghouse, Januar

6 Die Kombination aus privilegiertem Benutzerzugriff und achtlosem Verhalten von Administratoren kann der Business Continuity schaden. Zugleich bedeutet die fehlende Zurechenbarkeit, dass es fast unmöglich ist, zurückzuverfolgen, welcher Administrator die Fehler gemacht hat. Somit sind Sicherheit und Verantwortlichkeiten gefährdet. Komplexität des Portfoliomanagements für privilegierte Benutzer Nicht nur die Zurechenbarkeit für Zugriffe privilegierter Benutzer muss gewahrt bleiben, sondern diese gemeinsam genutzten Passwörter müssen auch rechtzeitig und sicher gespeichert, geändert und verteilt werden, um Sicherheitsrichtlinien des Unternehmens einzuhalten. Bei vielen Anwendungen werden außerdem fest codierte Passwörter in Shell-Scripts und Batchdateien verwendet, was das Problem noch verschlimmert. Diese Passwörter sind statisch und stehen jeder Person zur Verfügung, die auf die Scriptdatei zugreifen kann auch böswilligen Eindringlingen. Laut einem Bericht von Verizon für das Jahr 2010 wurden 48 % der Datenkompromittierungen von Personen innerhalb des Unternehmens verursacht. Das waren 26 % mehr als im Vorjahr. Zusätzlicher Verwaltungsaufwand für das Management von UNIX-Identitäten Der UNIX-Zugriff wird heute in Silos mit mehreren verteilten Kontospeichern verwaltet. Dabei verfügen Benutzer über zahlreiche Konten auf unterschiedlichen Systemen. Dies erhöht die Verwaltungskosten und den Zusatzaufwand sowie die Gesamtkomplexität der Umgebung, da die Betriebsfähigkeit und die Verfügbarkeit zahlreicher unternehmenskritischer Anwendungen von UNIX abhängig sind. Herausforderungen der Virtualisierung Angesichts der starken Heterogenität ist es unerlässlich, konsistente Richtlinien zu erzwingen und eine konsolidierte Protokollierung für alle Server zu ermöglichen. Dies ist umso wichtiger, da die Anzahl der zu verwaltenden Server und Geräte praktisch explosionsartig zunimmt. Ausufernde virtuelle Umgebungen (Virtual Sprawl) bedeuten, dass viel mehr Server verwaltet werden müssen, und da Hypervisoren unabhängig von den Betriebssystemen der Gastcomputer arbeiten, verstärkt dies die durch Heterogenität bedingten Probleme noch. Dennoch kümmern sich die meisten Unternehmen kaum um die Sicherheit dieses umfassenden, virtualisierten Rechenzentrums. Aufgrund der Virtualisierung gibt es außerdem eine neue Art privilegierter Hypervisor-Benutzer, die diese Gastbetriebssysteme erstellen, kopieren, verschieben oder anderweitig verwalten können. Dies macht es noch einmal deutlich, wie wichtig eine angemessene Aufgabentrennung ist, um zu verhindern, dass die Daten und Anwendungen auf den Gastsystemen kompromittiert werden, und um Auditing-Anforderungen zu erfüllen. Abschnitt 2: Chancen Verwalten und Steuern des Zugriffs privilegierter Benutzer im gesamten Unternehmen Das alte Modell, bei dem ein Systemadministrator für eine gewisse Anzahl von Servern mit einer bestimmten Anwendung verantwortlich ist, ist heute kein geeigneter Managementansatz mehr. Administratoren sind immer stärker spezialisiert, um die zunehmende Komplexität stärker verteilter und komplizierterer Anwendungen zu bewältigen. Die Entkopplung von Server-Hardware, Betriebssystemen und Anwendungen mit Hilfe von Virtualisierungstechnologien macht diese Spezialisierung komplizierter. Ein -Server und ein Datenbanksystem können heute auf demselben physischen Server ausgeführt werden. Dies erhöht die Komplexität der Umgebung erheblich. 6

7 Daher müssen diese Administratoren sich mit privilegierten Passwörtern sicher anmelden und über unterschiedliche Zugriffsebenen für ihre Anwendungen, Betriebssysteme und Hypervisoren sowie für Geräte wie Router verfügen. Allen diesen Administratoren uneingeschränkte Rechte einzuräumen, stellt ein schwerwiegendes Sicherheitsrisiko dar. Mit privilegierten Konten ( Administrator unter Windows, Root unter UNIX) können jegliche Programme ausgeführt, Dateien geändert und/oder Prozesse beendet werden. Es ist nicht möglich, diese privilegierten Benutzer so einzuschränken, dass sie nur Aufgaben ausführen können, die zu ihrer tatsächlichen Arbeit gehören, und bestimmte Verwaltungsaktionen an eine bestimmte Person zu binden. Dies führt offensichtlich zu einer Sicherheits- und Zurechenbarkeitslücke und verstößt gegen wichtige Anforderungen geltender Sicherheitsvorschriften. Privilegierte Benutzer können Fehler machen, aus Versehen oder mit Absicht. Ein effektives Management privilegierter Benutzer ermöglicht Folgendes: Automatisiertes Sichern, Verwalten und Verteilen von Anmeldeinformationen für privilegierte Benutzer Einschränken der Rechte dieser Benutzer, indem nur erforderliche Berechtigungen bei Bedarf an geeignete Mitarbeiter delegiert werden. Wahren der Zurechenbarkeit für diese Benutzer und Reporting-Möglichkeiten für ihre Aktionen Diese Administratoren können ihre Aufgaben erledigen, ohne dass sensible Daten oder unternehmenskritische Ressourcen offengelegt werden. Außerdem bietet ein solcher Ansatz ein Prüfprotokoll und erzwingt die Zurechenbarkeit für Administratoren und ihre Aktionen. Aufgrund des zunehmenden Drucks, Kosten zu senken, überwinden IT-Organisationen interne Hindernisse und vereinheitlichen die Benutzerauthentifizierung für UNIXund Windows-Umgebungen. CA ControlMinder CA ControlMinder ermöglicht die Einhaltung interner Richtlinien und externer Vorschriften durch eine zentrale Kontrolle und Verwaltung des Zugriffs privilegierter Benutzer auf unterschiedliche Server, Geräte und Anwendungen. CA ControlMinder ermöglicht die plattformunabhängige Erstellung, Bereitstellung und Verwaltung komplexer, spezifischer Zugriffsrichtlinien über eine einzelne Management-Konsole. Dies bietet weit mehr als die grundlegenden Steuerungsmechanismen, die von Betriebssystemen bereitgestellt werden, und erfüllt auch die striktesten Unternehmensrichtlinien und Vorschriften. Die gesamte Lösung heißt CA ControlMinder; sie besteht aus den folgenden Komponenten: CA ControlMinder Shared Account Management bietet sichere Speicherung und Zugriff auf Passwörter für privilegierte Benutzer. Endpunktschutz und Serverabsicherung, die Kernelemente von CA ControlMinder, sichern das Betriebssystem und stellen eine differenzierte rollenbasierte Zugriffssteuerung bereit. UNIX Authentication Bridge (UNAB) ermöglicht die Authentifizierung von UNIX- und Linux-Benutzern mit Hilfe ihrer Active Directory-Anmeldeinformationen. Integration in CA User Activity Reporting ermöglicht die zentrale Erfassung und Konsolidierung aller Auditprotokolle von CA ControlMinder in einem zentralen Repository, das für erweitertes Reporting, Ereigniskorrelation und Generierung von Warnungen verwendet werden kann. 7

8 CA ControlMinder Shared Account Management Abbildung A CA ControlMinder Shared Account Management. > Schützen Sie gemeinsam genutzte Passwörter > Stellen Sie Verantwortlichkeit bei Zugriff auf gemeinsam genutzte Konten sicher CA ControlMinder Passwort zurücksetzen Passwort auschecken Passwort validieren > Verwalten Sie Passwortrichtlinien für gemeinsam genutzte Konten > Entfernen Sie Passwörter in Klartext aus Scripts Passwort einchecken IT-Administrator Reporting zu Benutzeraktivitäten Beziehung zwischen privilegierter Aktivität und Benutzer Anmelden Web- Router/ APP- Datenbank Server Switch Speicher Switch Anwendung Desktop Virtualisierung Windows Linux Unix Shared Account Management bietet sicheren Zugriff auf privilegierte Konten, indem Kennwörter temporär zum einmaligen Nutzen oder nach Bedarf vergeben werden, und unterstützt durch sichere Überprüfungen die Verantwortlichkeit des jeweiligen Benutzers für seine Aktionen. Dies wird auch als Auschecken von Administratorkonten bezeichnet. Außerdem gewährt CA ControlMinder Anwendungen den programmgesteuerten Zugriff auf Systempasswörter und macht somit fest codierte Passwörter in Scripts, Batchdateien, ODBC- und JDBC-Wrappern überflüssig. Dies wird als Auschecken von Anwendungsberechtigungen bezeichnet. Shared Account Management wird von vielen Servern, Anwendungen (einschließlich Datenbanksystemen) und Netzwerkgeräten in einer physischen oder virtuellen Umgebung unterstützt. Funktionen von CA ControlMinder Shared Account Management Sichere Storage gemeinsam genutzter Passwörter. Shared Account Management ist ein sicherer und geschützter Datenspeicher für wichtige Anwendungs- und Systempasswörter. Benutzer, die Zugriff auf diese sensiblen Passwörter benötigen, können sie über eine intuitive verständliche Web-Benutzeroberfläche auschecken und einchecken. Shared Account Management erzwingt Richtlinien für privilegierte Zugriffe, mit denen bestimmt wird, welche Benutzer welche gemeinsam genutzten Konten verwenden können. Passwortrichtlinie für gemeinsam genutzte Konten. Jedem über Shared Account Management verwalteten Passwort kann eine Passwortrichtlinie zugeordnet werden, die seine individuellen Eigenschaften definiert. So wird sichergestellt, dass die von Shared Account Management generierten Passwörter von dem System, der Anwendung oder der Datenbank am Endpunkt akzeptiert werden. Mit Passwortrichtlinien wird außerdem ein Intervall festgelegt, in dem Password Vault automatisch ein neues Passwort für das Konto erstellt. Automatische Kontoerkennung. Shared Account Management erkennt automatisch alle Konten auf einem verwalteten Endpunkt, der mit dem Shared Account Management Enterprise Management-Server verbunden ist. Der Shared Account Management-Administrator kann dann entscheiden, welche Konten von Shared Account Management verwendet werden sollen. Diese Konten werden einer Rolle für den privilegierten Zugriff zugewiesen, in die End User im Rahmen der Shared Account Management-Richtlinie aufgenommen werden können. 8

9 Architektur ohne Agenten. CA ControlMinder Shared Account Management bietet eine Architektur ohne Agenten, um Arbeitsaufwand und Risiko der Bereitstellung zu minimieren. Auf den von CA ControlMinder Shared Account Management verwalteten Endpunkten sind keine Agenten erforderlich. Alle Verbindungen werden vom CA ControlMinder Enterprise Management-Server mit Hilfe systemeigener Leistungsmerkmale verarbeitet. Beispielsweise verwenden Datenbanksysteme JDBC, UNIX und Linux verwenden SSH, und Windows verwendet WMI. Integration in Ticketing- und Help-Desk-Systeme. Die Integration in CA Service Desk Manager ermöglicht das Hinzufügen eines Service Desk-Tickets bei Anforderungs- und Notfalltasks, das Bestätigen des Service Desk- Tickets sowie das Anzeigen des Tickets durch einen Benutzer, der es genehmigen soll und der dazu weitere Informationen wünscht. Auditing und Reporting für privilegierte Zugriffe. Alle privilegierten Zugriffe werden in CA ControlMinder Shared Account Management überprüft und protokolliert. CA User Activity Reporting bietet erweiterte Protokollierungs- und Korrelationsfunktionen, darunter die Möglichkeit, die systemeigenen Protokolle, die von Systemen, Anwendungen oder Datenbanksystemen generiert werden, mit Shared Account Management- Protokollen zu korrelieren. Wenn CA ControlMinder auf Server-Endpunkten (unter UNIX, Linux und Windows) installiert wird, werden außerdem die Aktivitäten aller privilegierten Benutzer verfolgt und überprüft. Diese Protokolle können auch in CA User Activity Reporting zentralisiert und mit den von CA ControlMinder Shared Account Management generierten Auscheck-Ereignissen korreliert werden. Wiederherstellung und Rollback von Passwörtern. Nach einem Ausfall eines mit CA ControlMinder Shared Account Management verwalteten Endpunkts wird dieser Endpunkt von einem Backup wiederhergestellt, der möglicherweise nicht aktuell ist. In diesem Fall stimmen in Shared Account Management gespeicherte Passwörter nicht mit den wiederhergestellten Passwörtern auf dem Endpunkt überein. Der CA ControlMinder Enterprise Management-Server zeigt eine Liste zuvor verwendeter Passwörter an und bietet die Option, auf dem Endpunkt die aktuelle Password Vault-Konfiguration wiederherzustellen. Auschecken von Administratorkonten über Shared Account Management Zurechenbarkeit bei Zugriff auf gemeinsam genutzte Konten. CA ControlMinder Shared Account Management bietet eine Funktion für das exklusive Auschecken, mit der ein Konto zu jedem Zeitpunkt nur von einer einzelnen, namentlich bekannten Person ausgecheckt sein kann. Außerdem kann Shared Account Management die Aktionen des ursprünglichen Benutzers verfolgen, indem Zugriffsereignisse auf den Systemen mit dem von Shared Account Management generierten Auscheck-Ereignis korreliert werden. Automatische Anmeldung über Shared Account Management. Dieses Leistungsmerkmal optimiert und sichert den Prozess, indem es einem Benutzer ermöglicht, mit einem Mausklick ein Passwort anzufordern und zu verwenden. Dazu meldet Password Vault den Benutzer automatisch als den privilegierten Benutzer am Zielsystem an, ohne dass das Passwort dabei für den Benutzer sichtbar wird. Somit kann niemand dem Benutzer über die Schulter sehen und dabei das Passwort stehlen, und das Verfahren wird beschleunigt. Erweiterte Integration von Shared Account Management in CA ControlMinder. Dank der erweiterten Integration von Shared Account Management in CA ControlMinder können Sie die Aktivitäten von Benutzern, die privilegierte Konten auschecken, auf den Endpunkten verfolgen. Diese Funktion wird nur unterstützt, wenn sie zusammen mit der oben beschriebenen Funktion von Shared Account Management für die automatische Anmeldung verwendet wird. Dabei können Sie angeben, dass ein Benutzer ein privilegiertes Konto über den Enterprise Management-Server auschecken muss, um sich an einem CA ControlMinder-Endpunkt anmelden zu können. Aufzeichnung und Wiedergabe privilegierter Sitzungen. Mit Hilfe einer Integration in Drittanbietersoftware wird jetzt die Aufzeichnung und Wiedergabe privilegierter Sitzungen über CA ControlMinder Shared Account Management bereitgestellt. Über Funktionalität, die einem digitalen Videorecorder (DVR) ähnelt, können Sitzungen privilegierter Benutzer aufgezeichnet und wiedergegeben werden, um Audits zu erleichtern. 9

10 Vollständige Workflow-Funktionalität. CA ControlMinder Shared Account Management stellt Workflow- Funktionen mit vollständiger dualer Kontrolle für gewöhnlichen und notfallmäßigen Zugriff auf privilegierte Konten bereit. Optional können Workflows für bestimmte End User und/oder bestimmte privilegierte Konten aktiviert werden. Notfallzugriff. Benutzer führen ein notfallmäßiges Auschecken durch, wenn sie sofortigen Zugriff auf ein Konto benötigen, für dessen Verwaltung sie nicht autorisiert sind. Notfallkonten sind privilegierte Konten, die dem Benutzer anhand seiner gewöhnlichen Rolle nicht zugewiesen werden, deren Passwort der Benutzer jedoch ohne Eingriffe oder Verzögerungen erhalten kann, wenn dies notwendig wird. Bei einem Notfall- Auscheckvorgang wird eine Benachrichtigung an den Administrator gesendet. Der Administrator kann den Vorgang jedoch weder genehmigen noch stoppen. Auschecken von Anwendungsberechtigungen über Shared Account Management Shared Account Management zwischen Anwendung und Anwendung. CA ControlMinder Shared Account Management automatisiert das Management von Servicekonto-Passwörtern, das andernfalls manuell durchgeführt werden müsste (Windows Services), verwaltet von geplanten Windows-Tasks verwendete Passwörter zur Anmeldung am System (Windows Scheduled Tasks) und kann in den Ausführen als - Mechanismus von Windows integriert werden, um die Passwörter der relevanten privilegierten Benutzer von Shared Account Management abzurufen. Shared Account Management zwischen Anwendung und Datenbank. CA ControlMinder Shared Account Management kann Passwörter von Anwendungs-IDs automatische zurücksetzen. Shared Account Management kann Servicekonten verwalten, die von einem IIS- oder J2EE-Anwendungsserver und den darauf gehosteten Anwendungen verwendet werden. Dazu fängt Password Vault ODBC- und JDBC-Verbindungen ab und nimmt eine Ersetzung durch die aktuellen Anmeldeinformationen privilegierter Konten vor. In den meisten Fällen stellt CA ControlMinder Shared Account Management diese Funktionalität bereit, ohne dass Änderungen an den Anwendungen erforderlich sind. Für diese Funktionalität muss der Shared Account Management-Agent auf dem Endpunkt installiert werden, auf dem die Anwendung ausgeführt wird, oder im Fall einer Webanwendung auf dem J2EE-Server. Programmgesteuertes Auschecken durch Shell-Scripts und Batchdateien. Sie können den Shared Account Management-Agenten in einem Script verwenden, um fest codierte Passwörter durch Passwörter zu ersetzen, die aus CA ControlMinder Shared Account Management Enterprise Management ausgecheckt werden können. Somit müssen Sie keine fest codierten Passwörter in Scripts einschließen. Technische Details zu Shared Account Management finden Sie im Artikel Technik im Überblick zu CA ControlMinder Shared Account Management. 10

11 Endpunktschutz und Serverabsicherung mit CA ControlMinder Abbildung B CA ControlMinder erzwingt Sicherheitsrichtlinien anhand von Rollen. Die wichtigsten Elemente von CA ControlMinder sind die sicheren, abgesicherten Agenten, die von Haus aus in das Betriebssystem integriert sind, um die differenzierten Richtlinien zu erzwingen und zu überprüfen, die für die Einhaltung von Vorschriften erforderlich sind. Endpunkt-Agenten sind für alle wichtigen Betriebssysteme verfügbar, einschließlich aller führenden Linux-, UNIX- und Windows-Versionen. Die aktuelle Liste unterstützter Systeme finden Sie auf der CA Support-Website. Für die Installation und Verwaltung von CA ControlMinder auf unterstützten Betriebssystemen stehen Pakete in systemeigenen Formaten zur Verfügung. So können in einer globalen Unternehmensumgebung leicht zahlreiche verwaltete Server bereitgestellt werden. Außerdem stellt CA ControlMinder eine benutzerfreundliche und konsistente webgestützte Benutzeroberfläche für das Management von Endpunktrichtlinien, Anwendungen und Geräten bereit. CA ControlMinder unterstützt von Haus aus die meisten Virtualisierungsplattformen, einschließlich VMware ESX, Solaris 10 Zones und LDOMs, Microsoft Hyper-V, IBM VIO und AIX LPAR, HP-UX VPAR, Linux Xen und Mainframe x/vm. Dabei werden sowohl die Hypervisor-Ebene als auch die darauf ausgeführten Gastbetriebssysteme geschützt. In Unternehmensumgebungen ist es inzwischen üblich, ein Verzeichnis für das Benutzermanagement und die Bereitstellung verzeichnisfähiger Anwendungen zu verwenden. CA ControlMinder unterstützt Benutzerdatenspeicher für Unternehmen. Dabei handelt es sich um Speicher für Benutzer- und Gruppendaten, die Teil des Betriebssystems sind. Dank dieser Integration in systemeigene Funktionen können Sie Zugriffsregeln für Ihre Unternehmensbenutzer und -gruppen definieren, ohne die Benutzer und Gruppen mit der CA ControlMinder- Datenbank synchronisieren oder in sie importieren zu müssen. 11

12 Plattformunabhängiger Schutz von Servern In vielen Unternehmen wird eine heterogene Serverinfrastruktur mit Windows-, Linux- und UNIX-Systemen bereitgestellt. CA ControlMinder ermöglicht eine konsistente, integrierte Verwaltung und Erzwingung von Zugriffs-Sicherheitsrichtlinien in allen diesen Umgebungen. Die fortschrittliche Richtlinienarchitektur stellt eine einzelne Benutzeroberfläche bereit, über die Richtlinien verwaltet und gleichzeitig an Abonnenten unter Windows und unter UNIX verteilt werden können. Ein konsolidiertes Management von Servern unter Linux, UNIX und Windows verringert den Umfang der erforderlichen Verwaltungsarbeit und erhöht die Effizienz der Systemadministration. Somit können Kosten eingespart werden. Spezifische Zugriffssteuerung CA ControlMinder ist eine unabhängige Sicherheitslösung. Dies bedeutet, dass sie nicht auf das zugrunde liegende Betriebssystem angewiesen ist, um Zugriffssteuerungs-Richtlinien für Server zu erzwingen. Da CA ControlMinder auf Systemebene arbeitet, können alle Zugriffe auf Systemressourcen überwacht und gesteuert werden, einschließlich derjenigen, die von Administratoren der Domäne oder des lokalen Systems stammen. Diese spezifischen Zugriffssicherheitsfunktionen ermöglichen die Steuerung, Delegierung und Einschränkung von Domänenadministratorkonten sowie allen anderen Konten in der IT-Umgebung. Außerdem bieten sie Folgendes: Steuerung des Identitätswechsels. CA ControlMinder steuert Funktionen für die Delegierung an Ersatzbenutzer, um zu vermeiden, dass nicht autorisierte Benutzer Anwendungen mit erhöhten Rechten ausführen und um die Zurechenbarkeit von Aktivitäten mit gemeinsam genutzten Konten zu erreichen. Andernfalls könnte beispielsweise ein Administrator das Identitätsprofil einer anderen Person verwenden, um Attribute in der Zugriffssteuerungsliste (Access Control List, ACL) für eine Datei zu ändern, ohne dass diese Aktionen diesem Administrator zurechenbar sind. CA ControlMinder bietet Schutz auf mehreren Ebenen. Zuerst werden Einschränkungen für Benutzer eingerichtet, die den Befehl Ausführen als unter Windows bzw. su unter UNIX verwenden, und die ursprüngliche Benutzer-ID wird auch dann in Audit-Protokollen aufgezeichnet, wenn für den Zugriff ein Ersatzbenutzer verwendet wird. Somit können Benutzer sich mit ihrer eigenen ID anmelden und dann ihr Profil auf das eines privilegierten Kontos ändern, ohne dass die Sicherheit oder die Zurechenbarkeit darunter leiden. Einschränkung der Verwendung von Superuser-Konten (Administrator/Root). Das Root-Konto stellt eine wesentliche Schwachstelle dar, weil es Anwendungen oder Benutzern ermöglicht, mit höheren Rechten zu arbeiten als notwendig. CA ControlMinder untersucht alle relevanten eingehenden Anforderungen auf Systemebene und erzwingt die Autorisierung anhand der definierten Regeln und Richtlinien. Nicht einmal das privilegierte Root-Konto kann diese Kontrolle umgehen. Somit werden alle privilegierten Benutzer zu verwalteten Benutzern, und ihre Aktivitäten im System sind ihnen stets zurechenbar. Rollenbasierte Zugriffssteuerung. Eine Best Practice besteht darin, jedem Administrator genug Rechte für seine Aufgaben zuzuweisen aber nicht mehr. In einer ausgereiften Umgebung mit rollenbasierter Zugriffssteuerung können Administratoren ein Administrator-Passwort nicht gemeinsam nutzen und somit zugehörige Rechte nicht in unangemessener Weise nutzen. CA ControlMinder stellt standardmäßig häufig verwendete Rollen für Administration und Auditing bereit, die angepasst und erweitert werden können, um die Anforderungen Ihrer IT-Organisation zu erfüllen. Spezifische Erzwingung. Die Betriebssysteme selbst (Linux, UNIX und Windows) bieten nur begrenzte Möglichkeiten, bestimmte Systemadministratorrechte differenziert und effektiv an Benutzerkonten mit geringeren Rechten zu delegieren. CA ControlMinder stellt eine spezifische Erzwingung bereit und steuert den Zugriff anhand zahlreicher Kriterien, wie Netzwerkattribute, Tageszeit, Kalender oder zugreifendes Programm. Folgende Leistungsmerkmale werden bereitgestellt: 12

13 Zusätzliche differenzierte Steuerungsmechanismen. Steuerungsmechanismen, die spezielle Privilegien für Dateifunktionen, Services und andere Funktionen auf Betriebssystemebene (Umbenennen, Kopieren, Stoppen, Starten) bieten, können einem bestimmten Administrator oder einer Administratorgruppe zugeordnet werden. Unterschiedliche Erzwingungs-Levels. CA ControlMinder Warning Mode wird im Allgemeinen von Unternehmen verwendet, um zu bestimmen, ob vorgeschlagene Sicherheitsrichtlinien zu strikt oder zu großzügig sind, damit sie entsprechend geändert werden können. Außerdem bietet CA ControlMinder die Möglichkeit, die Auswirkungen einer Sicherheitsrichtlinie sofort zu überprüfen, ohne die Einschränkung über die Einstellung für den Überprüfungsmodus zu erzwingen. Erweiterte ACLs. CA ControlMinder stellt zahlreiche erweiterte ACL-Funktionen bereit, damit der Sicherheitsadministrator bessere Möglichkeiten hat, autorisierten Benutzern ordnungsgemäß Zugriffsrechte zuzuweisen. Dazu gehören Zugriffssteuerungslisten für Programme (Program Access Control Lists, PACLs), die den Ressourcenzugriff ausschließlich über ein bestimmtes Programm oder eine bestimmte Binärdatei gestatten. Netzwerkbasierte Zugriffssteuerung. In den heutigen offenen Umgebungen müssen Benutzerzugriffe und Informationsfluss über das Netzwerk strikt kontrolliert werden. Die netzwerkbasierte Zugriffssteuerung bietet eine zusätzliche Schutzebene, um den Zugriff auf das Netzwerk unter Kontrolle zu halten. CA ControlMinder kann den Zugriff auf Netzwerkports oder Netzwerkzugriffs-Programme verwalten. Mit Netzwerk-Sicherheitsrichtlinien kann der bidirektionale Zugriff nach Terminal-ID, Hostnamen, Netzwerkadresse, Segmenten oder anderen Attributen verwaltet werden. Steuerung von Anmeldungen. CA ControlMinder kann die Anmeldungssicherheit erhöhen, indem Benutzeranmeldungen nach IP-Adresse des Benutzers, Terminal-ID, Art des für die Anmeldung verwendeten Programms oder Tageszeit beschränkt werden. CA ControlMinder kann außerdem die gleichzeitigen Anmeldungssitzungen eines Benutzers begrenzen, um den Zugriff eines Benutzers auf einen Server strikt zu kontrollieren. Benutzer können nach zu vielen fehlgeschlagenen Anmeldeversuchen automatisch gesperrt werden, um das System gegen Brute Force-Angriffe zu schützen. Außerdem bietet CA ControlMinder eine sichere Deaktivierung und Stilllegung von Benutzerkonten in verteilten Umgebungen. Management und Steuerung des Zugriffs auf virtuelle Umgebungen Bei der Virtualisierung werden mehrere Serverinstanzen auf einem einzelnen physischen Computer konsolidiert. Dies verringert die Gesamtbetriebskosten und verbessert die Auslastung der Computer. Durch die Virtualisierung entsteht eine neue Art von Benutzern, die über Rechte für Hypervisoren verfügen und die diese Gastbetriebssysteme erstellen, kopieren, verschieben oder anderweitig verwalten können. Dies bedeutet zusätzliche Erfordernisse an eine angemessene Aufgabentrennung und an den Schutz konsolidierter Serverressourcen, um sicherzustellen, dass alle Daten und Anwendungen auf den Gastsystemen überprüft und gegen Kompromittierungen geschützt werden. Mit CA ControlMinder können diese Hypervisor-Administratoren kontrolliert werden, und eine geeignete Aufgabentrennung kann implementiert werden. Dieses Leistungsmerkmal bietet eine kritische Schutzebene, mit der Risiken der Virtualisierung gemindert werden können. Die Endpunkt-Agenten unterstützen eine lange Liste von Betriebssystemversionen als Gastsystemen sowie die Virtualisierungs-Hosts aller verbreiteten Betriebssysteme, einschließlich VMware ESX, Solaris 10 Zones und LDOMs, Microsoft Hyper-V, IBM VIO und AIX LPAR, HP-UX VPAR, Linux Xen und Mainframe x/vm. Absicherung des Betriebssystems Eine wichtige Ebene der mehrschichtigen Verteidigungsstrategie ( Defense in Depth ) ist der Schutz des Betriebssystems gegen unbefugte externe Zugriffe oder Eindringversuche. CA ControlMinder bietet mehrere Maßnahmen für die externe Sicherheit, um Ihre Server zusätzlich zu schützen. 13

14 Steuerungsmechanismen für Dateien und Verzeichnisse. Dateien und Verzeichnisse bilden das Rückgrat von Betriebssystemen, und jede Kompromittierung kann zu Denial-of-Service-Zuständen sowie zu unerwarteten Ausfallzeiten führen. CA ControlMinder bietet leistungsstarke Zugriffsoptionen, die Platzhalter oder Programmnamen enthalten, um das Richtlinienmanagement auf Dateiebene zu vereinfachen. CA ControlMinder kann eine Steuerung von Änderungen an wichtigen Datei- und Verzeichnissystemen erzwingen. Dies verbessert die Datenintegrität und den Schutz vertraulicher Daten. Der Schutz auf Dateiebene steht für alle Arten von Dateien zur Verfügung, einschließlich Textdateien, Verzeichnissen, Programmdateien, Gerätedateien, symbolischer Links, auf NFS gemounteter Dateien und Windows-Freigaben. Ausführung vertrauenswürdiger Programme. Um zu verhindern, dass die Betriebsumgebung mit Malware (insbesondere Trojanern) infiziert wird, stellt CA ControlMinder einen ersten Schutz vertrauenswürdiger Programme bereit. Sensible Ressourcen können als vertrauenswürdig markiert werden. Diese Dateien und Programme werden dann überwacht, und CA ControlMinder blockiert ihre Ausführung, wenn das Programm von Malware geändert wird. Änderungen an vertrauenswürdigen Ressourcen können bestimmten Benutzern oder Benutzergruppen vorbehalten werden, um die Wahrscheinlichkeit unerwarteter Änderungen weiter zu reduzieren. Schutz der Windows-Registry. Die Windows-Registry ist ein attraktives Ziel für Hacker und böswillige Benutzer, da sie als zentrale Datenbank Betriebssystemparameter enthält, mit denen unter anderem Gerätetreiber, Konfigurationsdetails sowie Hardware-, Umgebungs- und Sicherheitseinstellungen gesteuert werden. CA ControlMinder schützt die Registry mit Hilfe von Regeln, mit denen Administratoren am Ändern oder Manipulieren der Registry-Einstellungen gehindert werden können. CA ControlMinder kann verhindern, dass Registry-Schlüssel gelöscht oder ihre Werte geändert werden. Schutz von Windows-Services. CA ControlMinder bietet einen erweiterten Schutz, mit dem sichergestellt wird, dass nur autorisierte Administratoren kritische Windows-Services starten, ändern oder stoppen können. Auch dies schützt gegen Denial-of-Service-Zustände bei Produktionsanwendungen, wie Datenbank-, Web-, Datei- und Druckanwendungen, die als Services unter Windows gesteuert werden. Diese Services müssen unbedingt gegen unbefugte Zugriffe geschützt werden. Anwendungs-Jailing. Mit CA ControlMinder kann definiert werden, welche Aktionen für risikoträchtige Anwendungen akzeptabel sind. Jedes Verhalten, das diese Grenzen überschreitet, wird durch eine Jailing- Funktion für die jeweilige Anwendung eingeschränkt. Beispielsweise kann eine ACL basierend auf einer logischen ID erstellt werden, die Besitzer von Oracle-Prozessen und -Services ist. Mit Jailing kann dann verhindert werden, dass diese ID andere Aktionen ausführt als das Starten von Services des Oracle-DBMS. Keyboard Logger (KBL) für UNIX/Linux CA ControlMinder kann Aktionen gewöhnlicher und sensibler Benutzer einschränken und kann sogar Sitzungen ausgewählter Benutzer verfolgen. Was ist jedoch, wenn Sie alle Aktionen aufzeichnen möchten, die in der Sitzung eines sensiblen Benutzers ausgeführt werden? Diese Möglichkeit haben Sie mit der Funktion CA ControlMinder KBL. KBL befindet sich zwischen der Shell und dem Terminal bzw. der Tastatur und erfasst alles, was auf der Tastatur eingegeben wird (Eingabe) und was auf dem Terminal angezeigt wird (Ausgabe). Sie können KBL aktivieren, indem Sie einfach den Audit-Modus des Administrators/Benutzers ändern, für den Sie die Tastaturaktivitäten erfassen möchten. 14

15 CA ControlMinder Abbildung C Auswahl des interaktiven KBL-Modus für UNIX/Linux in CA ControlMinder Endpoint Management. Leistungsmerkmale von KBL Wiedergabe der Sitzung (ausschließlich im lokalen Modus auf dem CA ControlMinder-Endpunkt) Drucken der Sitzungseingabe/-ausgabe Drucken von Sitzungsbefehlen Korrelation mit der CA ControlMinder-Nachverfolgung für den Benutzer Zentraler Speicher mit Berichten von CA User Activity Reporting Abbildung D KBL-Sitzungsausgabe in CA ControlMinder. KBL-Berichte in CA User Activity Reporting bieten jetzt Drilldown-Ansichten mit allen Befehlen, die an der Eingabeaufforderung eingegeben wurden, und der jeweils zugehörigen Ausgabe. 15

16 Abbildung E Beispiel für einen KBL-Bericht, der über CA User Activity Reporting zur Verfügung steht. Zentrales Management von UNIX-Identitäten über Active Directory UNAB Mit der Funktion UNIX Authentication Broker (UNAB) in CA ControlMinder können Sie UNIX-Benutzer über Microsoft AD verwalten. Dies ermöglicht die Konsolidierung von Authentifizierungs- und Kontoinformationen in AD statt einer lokalen Verwaltung der UNIX-Anmeldeinformationen auf jedem System. Leistungsmerkmale von UNAB Zentrales Management der UNIX-Authentifizierung. UNAB vereinfacht das Management lokaler UNIX-Benutzer durch Überprüfung ihrer Anmeldeinformationen anhand von AD. Benutzer und Gruppen müssen weder in NIS noch lokal in der Datei /etc/passwd definiert werden. Benutzerattribute wie Stammverzeichnis, Shell, UID, GECOS und Passwortrichtlinien werden aus AD abgerufen. Schlankes PAM-Modul. UNAB stellt ein kleines, schlankes PAM-Modul unter UNIX bereit, das dem PAM-Stack des Endpunkts hinzugefügt wird. Erstellung systemeigener Pakete. UNAB bietet eine Erstellung systemeigener Pakete zur leichten Installation und Bereitstellung. Integration in das systemeigene Windows-Ereignisprotokoll. Alle UNAB-Protokolle werden an systemeigene Windows-Ereignisprotokolle geroutet. Dies konsolidiert und vereinfacht das Auditing und ermöglicht eine Integration in SIM-Tools von Drittanbietern. Flexible Betriebsmodi. UNAB kann im Modus für die teilweise oder vollständige Integration konfiguriert werden. Dies erleichtert den Migrationsvorgang. Modus für die teilweise Integration. In diesem Modus wird das Benutzerpasswort in AD gespeichert. Bei der Authentifizierung wird nur das Passwort anhand von AD überprüft. Benutzerattribute wie UID, Stammverzeichnis und primäre Gruppe werden vom lokalen UNIX-Host oder aus NIS abgerufen, nicht jedoch aus AD. Beim Hinzufügen eines neuen Benutzers zum Unternehmen sollte der Administrator den Benutzer sowohl in AD als auch in der lokalen Datei /etc/passwd oder in NIS erstellen. Es sind keine Schemaänderungen an AD erforderlich, damit UNAB im Modus für die teilweise Integration verwendet werden kann. 16

17 Modus für die vollständige Integration. Hier werden Benutzerinformationen ausschließlich in AD gespeichert. In der lokalen Datei /etc/passwd oder in NIS befindet sich kein Benutzereintrag. Benutzerattribute wie UID, Stammverzeichnis und primäre Gruppe werden in Active Directory gespeichert, nicht jedoch auf dem lokalen UNIX-Host oder in NIS. Beim Hinzufügen eines neuen Benutzers zum Unternehmen erstellt der Administrator den Benutzer ausschließlich in AD und stellt die erforderlichen UNIX-Attribute bereit. Für den Modus für die vollständige Integration ist Windows 2003 R2 erforderlich, da diese Version UNIX-Attribute unterstützt. Dynamische Zuordnung von LDAP-Attributen. Für den Fall, dass Ihr Unternehmen Windows 2003 R2 nicht unterstützt (wie für den Modus für die vollständige Integration erforderlich), stellt UNAB eine Funktion bereit, mit der Sie UNIX-Attribute dynamisch zu nicht standardmäßigen AD-Attributen zuordnen können. So müssen Sie nicht das AD-Schema erweitern oder verändern, was eine komplexe Aufgabe wäre. Erweiterte Cache-Funktionen und Offline-Unterstützung. UNAB speichert jede erfolgreiche Anmeldung in der als Cache verwendeten SQLite-Datenbank. Dabei werden Benutzername, Benutzerattribute, Gruppenmitgliedschaft und der Hashwert des Passworts im Cache gespeichert. Falls UNAB keine Verbindung zu AD herstellen kann, werden die Anmeldeinformationen von Benutzern anhand des lokalen Caches überprüft. Dies wird als Offline-Unterstützung für Anmeldungen bezeichnet. Für wie viele Tage Benutzer-Datensätze im lokalen Cache verbleiben, kann konfiguriert werden. Lokale Benutzer wie Root und andere System- und Anwendungskonten können sich unabhängig von der AD-Konnektivität anmelden. UNAB SSO. Ermöglicht die Verwendung von Single Sign-On (SSO) für alle mit Kerberos geschützten UNAB-Hosts in der Umgebung. Wenn Sie sich bei einem mit Kerberos geschützten UNAB-Host anmelden, können Sie danach mit Ihren Kerberos-Anmeldeinformationen automatisch bei jedem anderen UNAB-Host angemeldet werden. Dies bietet effektiv eine Single Sign-On-Lösung innerhalb der Umgebung. Zentralisierte Anmelderichtlinien. Nach der Aktivierung von UNAB auf einem UNIX-Endpunkt wird mit zentralen Anmelderichtlinien gesteuert, welche Benutzer sich an welchen UNIX-Host oder an welche Gruppe von UNIX-Hosts anmelden können. Diese Anmelderichtlinien werden über die Benutzeroberfläche von CA ControlMinder Enterprise Management verwaltet und verteilt und werden lokal auf jedem Endpunkt in der SQLite-Datenbank gespeichert. Anmelderichtlinien können entweder auf einen einzelnen UNIX-Host oder auf eine logische Hostgruppe von Servern angewendet werden. Bereichsdefinitionsregeln können auf AD-Benutzern und -Gruppen basieren. Dies verringert den Verwaltungsaufwand. Abbildung F UNIX Authentication Broker. 17

18 Auditing und Reporting des Zugriffs privilegierter Benutzer mit CA User Activity Reporting Um Vorschriften einzuhalten, müssen Sie die richtigen Richtlinien einrichten und bereitstellen. Am wichtigsten ist es jedoch, nachweisen zu können, dass Sie sowohl Unternehmensrichtlinien als auch gesetzliche Vorschriften einhalten, und jegliche Abweichungen begründen zu können. Um die Einhaltung von Vorschriften nachzuweisen, müssen Schutzlösungen für Serverressourcen Berichte generieren, in denen Passwortrichtlinien, Berechtigungsebenen und die Aufgabentrennung dargelegt werden. CA ControlMinder umfasst eine CA User Activity Reporting-Lizenz, mit der Sie den Sicherheitsstatus von Benutzern, Gruppen und Ressourcen anzeigen können, indem Sie Daten von allen Endpunkten im Unternehmen erfassen, sie an einem zentralen Ort aggregieren, die Ergebnisse anhand der Unternehmensrichtlinien analysieren und dann abschließend einen Bericht generieren. Diese CA User Activity Reporting-Lizenz dient ausschließlich für die Erfassung und das Reporting von CA ControlMinder-Ereignissen. Wenn umfassendere Reporting-Funktionen gewünscht sind, muss eine Lizenz für die Vollversion des User Activity Reporting-Moduls erworben werden. Der Reporting-Service arbeitet unabhängig, um anhand eines Zeitplans die auf jedem Endpunkt geltenden Richtlinien zu erfassen. Das System ist von Haus aus robust, da zum Berichten des Endpunktstatus keine manuellen Eingriffe erforderlich sind und es nicht relevant ist, ob der Erfassungsserver aktiv oder inaktiv ist. Außerdem sind die Reporting-Service-Komponenten nicht Teil des CA ControlMinder-Erzwingungssystems und erfordern beim Neukonfigurieren oder Anpassen von Berichten keine Unterbrechungen der Erzwingungsfunktionen auf den Endpunkten. Der Reporting-Service ist so strukturiert, dass der Status der Richtlinien berichtet werden kann, die von jedem Endpunkt erzwungen werden. Sie können benutzerdefinierte Berichte für viele unterschiedliche Zwecke erstellen oder die mehr als 60 vorhandenen Berichte verwenden, die sofort einsatzfähig mit CA ControlMinder mitgeliefert werden. Berichte zur Einhaltung von Richtlinien und zu Berechtigungen Für das Compliance Reporting reicht es nicht mehr aus, ereignisbasierte Berichte zu erstellen, die sich auf vergangene Aktionen beziehen. Vielmehr sind für die Einhaltung von Vorschriften heute auch proaktive Berichte erforderlich, mit denen der Richtlinienstatus zu jedem beliebigen Zeitpunkt sichtbar gemacht werden kann. Deshalb stellt CA ControlMinder ein proaktives Reporting zu Benutzerzugriffsrechten sowie Nachweise der vorhandenen Zugriffssteuerung bereit. Der Reporting-Service von CA ControlMinder wird mit über 60 sofort einsatzfähigen Standardberichten installiert, die detaillierte Informationen zu Berechtigungen, zum aktuellen Status bereitgestellter Richtlinien und zu Abweichungen von diesen Richtlinien bereitstellen. Sie bieten sofortigen Nutzen, indem sie das vorhandene ereignisbasierte Auditing ergänzen, um Compliance-Anforderungen zu überwachen und vorhandene Abweichungen kenntlich zu machen. Standardberichte beziehen sich auf folgende Bereiche: Berichte zum Richtlinienmanagement ermöglichen es Ihnen, den Status der Richtlinienbereitstellung sowie Abweichungen von den Standardrichtlinien anzuzeigen. Berichte zu Berechtigungen ermöglichen es Ihnen, die Berechtigungen anzuzeigen, die Benutzer und Gruppen für Systemressourcen besitzen, oder zu zeigen, wer auf bestimmte Ressourcen zugreifen kann. Diese Berichte werden häufig verwendet, um zu erkennen, wer über Root-Zugriff auf die Systeme verfügt. Berichte zum Benutzermanagement ermöglichen es Ihnen, inaktive Konten, Benutzer und Gruppenmitgliedschaften sowie Administratorkonten anzuzeigen und die Aufgabentrennung zu verwalten. 18

19 Berichte zum Passwortmanagement enthalten Informationen zum Alter von Passwörtern, zur Einhaltung von Passwortrichtlinien usw. Berichte zu Zugriffen privilegierter Benutzer enthalten detaillierte Informationen zu allen Aktivitäten privilegierter Benutzer, einschließlich Einchecken, Auschecken, Workflow-Genehmigungen und anderer Aktionen. Abbildung G Bericht von CA ControlMinder Shared Account Management, in dem privilegierte Konten nach Endpunkttyp gezeigt werden. Berichte zur UNIX-Authentifizierung enthalten alle Berechtigungs- und Berichtsdaten zur UNAB-Komponente von CA ControlMinder. Abbildung H Detaillierter UNAB- Bericht, in dem globale AD-Benutzer mit UNIX-Attributen gezeigt werden. Erkennungs-Assistent für privilegierte Benutzer (für Benutzer ausgeführter Assistent) sucht unternehmensweit nach privilegierten Benutzern und erstellt automatisch einen Bericht. 19

20 Das von CA ControlMinder bereitgestellte offene Richtlinien-Reporting basiert auf einem standardmäßigen RDBMS. Die Interoperabilität mit externen Systemen ermöglicht Administratoren das Erstellen von Richtlinienberichten mit ihrem bevorzugten Reporting-Tool sowie das Anpassen von Berichtslayouts, um interne Standards oder Anforderungen von Auditoren zu erfüllen. Scorecard für die Richtlinienbereitstellung Abbildung I Beispielbericht, in dem ein Zeitpunkt-Snapshot der Hosts gezeigt wird, die eine bestimmte Richtlinie einhalten. CA ControlMinder Enterprise Management Angesichts der Komplexität und der Skalierbarkeit, die heute von Serverressourcen gefordert werden, ist es unerlässlich, dass Sie eine zentrale Zugriffssteuerungsrichtlinie für das gesamte, globale Unternehmen implementieren und erzwingen, zugleich aber auch lokale Ausnahmen und Unternehmensanforderungen berücksichtigen können. CA ControlMinder umfasst eine Reihe ausgereifter Funktionen, mit denen das Zugriffsmanagement erleichtert und optimiert werden kann, während Ausnahmen auf zurechenbare und transparente Weise einbezogen werden können. Logische Gruppierung von Hosts Sie können Ihre Endpunkte in logische Hostgruppen einteilen und dann Richtlinien anhand dieser Hostgruppenmitgliedschaft zuweisen, unabhängig davon, wie Ihre Endpunkte physisch angeordnet sind. Hosts können mehreren logischen Hostgruppen angehören. Dies ist von ihren Eigenschaften und den Anforderungen der Richtlinien abhängig. Wenn Sie beispielsweise über Hosts verfügen, auf denen ein Red Hat-Betriebssystem und Oracle ausgeführt werden, können diese einer logischen Hostgruppe für Red Hat angehören, um die Zugriffssteuerungsrichtlinien für das Red Hat-Grundverhalten zu bekommen, und zugleich der logischen Hostgruppe für Oracle, um die Zugriffssteuerungsrichtlinien für Oracle zu bekommen. Logische Hostgruppen können in den CA ControlMinder-Komponenten Shared Account Management und UNAB verwendet werden. In Shared Account Management können logische Gruppen von Hosts, wie etwa Datenbankservern, über eine gemeinsame Richtlinie verfügen, die den Zugriff auf privilegierte Konten auf diesen Servern ermöglicht. In UNAB kann ein gemeinsamer Satz von Anmelderichtlinien auf eine logische Hostgruppe angewendet werden, mit der Benutzer sich anhand ihrer Active Directory-Anmeldeinformationen selektiv anmelden können. 20