come posso controllare l'accesso degli utenti con privilegi nell'extended enterprise?

Transcript

1 SOLUTION BRIEF CA ControlMinder come posso controllare l'accesso degli utenti con privilegi nell'extended enterprise? agility made possible

2 è una soluzione completa per la gestione delle identità con privilegi che consente di gestire le password degli utenti con privilegi, creare report sulle attività degli utenti e stabilire una separazione dei compiti molto dettagliata in tutta l'organizzazione. 2

3 Executive summary Sfida Ormai non sono in pochi a preoccuparsi delle sfide crescenti che pone la protezione dei dati e delle applicazioni sensibili residenti sui server. Il crescente valore dei dati, i regolamenti sempre più vincolanti e il numero di utenti con privilegi che devono accedere a server, applicazioni e dispositivi critici rendono sempre più ardua la protezione delle informazioni sensibili e della proprietà intellettuale. La sfida insita nella gestione degli utenti con privilegi comprende la gestione dell'accesso protetto alle password e ai dati critici associati a ciascun utente con privilegi. Ciò costringe le organizzazioni a impegnarsi sempre più nel controllo degli utenti con privilegi in ambienti vasti, complessi ed eterogenei. Allo stesso tempo, l'organizzazione IT deve continuare a conformarsi tempestivamente ai requisiti di business, questo talvolta richiede che vengano fatte eccezioni locali pur senza compromettere sicurezza e responsabilità. Oggi le organizzazioni devono inoltre confrontarsi con requisiti normativi e di auditing sempre più severi e vincolanti, e questa è una questione da affrontare senza incertezze. Si potrebbe fare affidamento sulle funzionalità di sicurezza native dei sistemi operativi, ma se ci si limita a questa misura non si affrontano con la dovuta attenzione i problemi di sicurezza legati alla separazione delle mansioni, nonché alla gestibilità e alle violazioni della conformità. Oltre a implementare policy di sicurezza, è necessario gestire e intervenire sulle identità in UNIX, altra sfida la cui portata non è da sottovalutare. UNIX viene solitamente gestito in silos, fattore che accresce spese amministrative e costi comuni. L'opportunità È necessario un sistema di sicurezza unico, centrale e indipendente che si occupi di proteggere server, dispositivi e applicazioni nell'extended enterprise, così da offrire strumenti flessibili e controllabili per gestire gli account super utente delegando ad amministratori autorizzati i privilegi necessari. Questo sistema di sicurezza deve inoltre fornire strumenti stabili per gestire gli utenti con privilegi e centralizzare l'autenticazione, oltre a offrire un'infrastruttura solida di controllo e reporting. CA ControlMinder opera a livello di sistema per abilitare l'applicazione efficiente e uniforme su sistemi eterogenei, compresi Windows, UNIX, Linux e ambienti virtualizzati. Distribuendo le policy di sicurezza dei server ai dispositivi endpoint, ai server e alle applicazioni tramite una funzionalità avanzata di gestione delle policy, è possibile controllare gli utenti con privilegi. Inoltre è possibile supportare in tutta sicurezza il controllo di ogni modifica delle policy e di ogni azione di applicazione al fine di conformarsi ai regolamenti globali. CA ControlMinder offre un approccio olistico alla gestione degli accessi poiché include funzionalità chiave per proteggere e bloccare l'accesso a dati e applicazioni critiche, gestire identità con privilegi, centralizzare l'autenticazione UNIX con Microsoft Active Directory (AD) e offrire un'infrastruttura sicura di controllo e reporting. 3

4 I vantaggi CA ControlMinder consente di creare, implementare e gestire norme di controllo accesso complesse e dettagliate per consentire esclusivamente gli utenti autorizzati con privilegi di accedere ai dati e alle applicazioni più sensibili. Con il supporto (anche virtuale) multipiattaforma e l'integrazione con il resto della famiglia di prodotti CA Identity and Access Management, CA ControlMinder: regola e controlla l'accesso a server, applicazioni e dispositivi critici in modo uniforme su piattaforme eterogenee. Gestisce le password di utenti con privilegi. Consente di dimostrare in modo proattivo un controllo approfondito sugli utenti con privilegi. Applica i requisiti di conformità interna e normativa creando policy di accesso ai server e generando i relativi report. Consente di ridurre i costi amministrativi grazie alla gestione centralizzata della sicurezza sulla struttura enterprise distribuita a livello globale. Permette di autenticare gli utenti UNIX e Linux con privilegi da un unico archivio utenti Active Directory. Protegge ulteriormente il sistema operativo in modo da ridurre i rischi esterni, oltre a potenziare l'affidabilità dell'ambiente operativo. Integra funzionalità predefinite con un'infrastruttura di controllo che genera report approfonditi su regolamenti specifici. Sezione 1: La sfida Server: una fonte di complessità nei data center di oggi Gestire le policy di sicurezza in ambienti di notevoli dimensioni rimane una sfida, specialmente alla luce dell'importanza che ha rispondere tempestivamente ai requisiti del business, cosa che richiede peraltro la flessibilità necessaria per implementare eccezioni a livello locale. I data center di oggi richiedono una visibilità estesa su un gruppo in costante crescita di risorse, ovvero server, dispositivi e applicazioni, e al contempo bisogna garantire la documentabilità dei cambiamenti e la protezione dei dati sensibili che risiedono in tali risorse. La mancata gestione degli utenti con privilegi ha determinato in alcuni casi violazioni dei dati di alto profilo. Preservare l'integrità dei dati è uno dei compiti più importanti del professionista IT. È un errore critico adottare queste nuove tecnologie di scalabilità e flessibilità del data center senza ponderare i requisiti di sicurezza e di protezione dei dati correlati a tali tecnologie. Gli enti normativi osservano Secondo la Privacy Rights Clearinghouse, a partire dal 2005 oltre 340 milioni di record contenenti informazioni personali sensibili sono stati coinvolti in violazione della sicurezza negli USA, cosa che ha 4

5 comportato notevoli costi per multe per mancata conformità, oltre che per monitorare il credito delle vittime, emettere nuove carte di credito e ripristinare la credibilità danneggiata dei marchi. 1 Queste costanti violazioni hanno fatto sì che le organizzazioni governative in tutto il mondo imponessero pratiche più razionali per la protezione dei dati e per la sicurezza delle informazioni. Regolamenti quali HIPAA, GLBA, Sarbanes-Oxley, la direttiva europea sulla privacy dei dati, ISO27001, PIPEDA e Basel II sono mirati alla gestione di questi problemi. Il Payment Card Industry Data Security Standard (PCI DSS) ha adottato questi quadri normativi per stabilire nuove misure. Specificando una serie di 12 requisiti che devono essere tassativamente adottati per proteggere i dati dei titolari delle carte, il PCI DSS ha introdotto un ulteriore livello di responsabilità all'interno delle organizzazioni IT. Si consideri poi la normativa Sarbanes-Oxley, che presenta requisiti molto rigidi sulla separazione dei compiti, in modo tale che la responsabilità dei complessi processi di business venga distribuita fra molte risorse al fine di garantire controlli ed equilibri fra le varie funzioni. Ecco quindi che è necessario implementare misure di protezione sofisticate al fine di soddisfare tali requisiti. È inoltre necessario offrire record e report di controllo dettagliati per comprovare controlli, stato delle policy e log di accesso sicuro ai server per ogni controllo. Questi regolamenti specificano controlli dettagliati e uniformità multipiattaforma per garantire l'imposizione delle mansioni, specialmente in ambienti con sistemi operativi eterogenei. Inoltre, in caso di compromesso, è necessario disporre di metodi per effettuare un'indagine sugli incidenti. Ciò richiede la raccolta e il consolidamento dei dati di controllo in un repository dei dati di log centrale. Infine, dato che i requisiti normativi diventano sempre più rigorosi, il reporting della conformità diventa un aspetto importante di qualsiasi soluzione di sicurezza del server. I report devono essere precisi, occuparsi dello specifico requisito in questione e presentare i risultati in modo facilmente comprensibile. Dati sensibili sui server Il tipo di avversario da affrontare è in evoluzione, e non si può più presupporre che chi sferra gli attacchi sia un'entità anonima, senza volto. Oggi potrebbe essere un impiegato insoddisfatto, un sabotatore, un business partner infedele o quantomeno dall'etica disinvolta. È pertanto necessario proteggere le risorse dei server da attacchi esterni (che comunque ci sono ancora) e da utenti interni, in special modo utenti con privilegi che hanno accesso a tutti i dati sensibili residenti su ogni server, dispositivo o applicazione a cui possono accedere. La complessità che implica proteggere i server e applicare l'attribuzione di responsabilità a questi utenti con privilegi è di portata notevole. Una tecnica comune adottata dagli amministratori di server consiste nel condividere gli account utente con privilegi e utilizzare accessi generici quali "administrator" o "root". Questo metodo però comporta una serie di problemi: Problemi di controllo. Con la condivisione degli account utente, i log di controllo non possono indicare con certezza quale amministratore ha apportato determinate modifiche sul server. Ciò compromette l'aspetto della responsabilità, così essenziale per soddisfare i requisiti normativi. Accesso ai dati. In ultima analisi questi account condivisi in genere offrono agli utenti con privilegi l'accesso a sistemi e dati critici, soprattutto perché è difficile gestire una policy su migliaia di server con regole di accesso granulari. 1 Origine: Privacy Rights Clearinghouse Gennaio

6 L'associazione dell'accesso degli utenti con privilegi con la noncuranza talvolta dimostrata dagli amministratori può compromettere gravemente la business continuity. Al contempo, la mancanza di responsabilità rende praticamente impossibile risalire allo specifico amministratore che ha commesso gli errori, cosa che determina problemi di sicurezza e responsabilità. La complessità nella gestione delle password degli utenti con privilegi Oltre a gestire la responsabilità per l'accesso di utenti con privilegi, è necessario memorizzare, modificare e distribuire queste password condivise in modo tempestivo e sicuro, al fine di conformarsi alla policy di sicurezza aziendale. Molte applicazioni si avvalgono inoltre di password hard-coded in file script della shell e in file batch, fattore che rende il problema ancora più complesso. Tali password sono statiche e disponibili per chiunque abbia accesso al file script, e quindi anche per i malintenzionati. Stando a un report Verizon del 2010, il 48% delle violazioni di dati è stato provocato da utenti interni, pari a una crescita del 26% dall'anno precedente. La pressione amministrativa crescente della gestione di identità UNIX Oggi l'accesso UNIX viene gestito in silos con più account store distribuiti, in cui gli utenti dispongono di più account su sistemi diversi. Questa struttura fa lievitare i costi amministrativi e i costi comuni, e determina una maggiore complessità dell'ambiente, in cui un grande numero di applicazioni mission-critical fanno affidamento sull'uptime e sulla disponibilità dei sistemi UNIX. Le sfide della virtualizzazione In questo mondo così eterogeneo, l'essenziale è applicare una policy coerente e abilitare il logging consolidato su server diversi. La crescita esponenziale del numero di server e dispositivi da gestire aggrava ulteriormente questi problemi. La proliferazione dei computer virtuali comporta un maggior numero di server da gestire, e poiché gli hypervisor non prendono in considerazione il sistema operativo guest, il problema dell'eterogeneità risulta ancora più pressante. E nonostante ciò si continua a trascurare la sicurezza di questo data center virtualizzato espanso. La virtualizzazione genera inoltre una nuova categoria di utenti hypervisor con privilegi che possono creare, copiare, spostare o gestire in altro modo questi sistemi operativi guest, rendendo ancor più forte l'esigenza di un'adeguata imposizione delle mansioni per impedire che i dati e le applicazioni presenti su questi guest risultino compromessi insieme alle funzionalità di controllo. Sezione 2: L'opportunità Gestire e controllare l'accesso degli utenti con privilegi nell'extended enterprise Dal punto di vista della gestione, il vecchio modello che prevedeva un amministratore di sistema responsabile di un determinato numero di server su cui veniva eseguita una specifica applicazione risulta oggi insufficiente. Oggi gli amministratori sono sempre più specializzati nella gestione della complessità che caratterizza le applicazioni più distribuite e articolate. La disgiunzione fra l'hardware del server i sistemi operativi e le applicazioni che utilizzano la tecnologia della virtualizzazione rendono ulteriormente complessa questa specializzazione. Oggi un server di posta elettronica e un database possono coesistere sullo stesso sistema fisico, così rendendo estremamente complesso l'ambiente. 6

7 Per questo motivo gli amministratori devono eseguire il sign-on sicuro con password con privilegi e disporre di livelli diversi di accesso ad applicazioni, sistemi operativi e hypervisor, oltre che a dispositivi quali i router. Fornire a tutti gli amministratori prerogative illimitate costituisce un notevole rischio per la sicurezza. Gli account con privilegi (administrator in Windows, root in UNIX) possono eseguire qualsiasi programma, modificare qualsiasi file e/o arrestare qualsiasi processo. L'impossibilità di limitare le prerogative a questi utenti con privilegi in modo che possano eseguire solo attività specifiche nell'ambito delle loro mansioni e l'incapacità di vincolare determinate azioni amministrative a una persona specifica costituiscono una lacuna nella sicurezza e nell'attribuzione di responsabilità, oltre a violare i requisiti chiave degli attuali regolamenti in materia di sicurezza. Gli utenti con privilegi possono commettere errori, accidentali o intenzionali. Una gestione efficiente degli utenti con privilegi consente di: Proteggere, gestire e distribuire in modo automatico le credenziali utente. Limitare il raggio di azione di tali utenti delegando i privilegi necessari al personale appropriato solo quando necessario. Gestire la responsabilità di questi utenti e generare report sulle operazioni da loro effettuate. Questi amministratori possono svolgere il loro lavoro senza compromettere l'integrità di dati o risorse business critical. Inoltre, un approccio di questo genere offre un audit trail e permette di applicare l'attribuzione di responsabilità agli amministratori e alle operazioni che essi svolgono. In più, alla luce della crescente pressione per la riduzione dei costi, le organizzazioni IT stanno superando gli ostacoli interni all'unificazione di ambienti UNIX e Windows dal punto di vista dell'autenticazione degli utenti. CA ControlMinder CA ControlMinder soddisfa le policy interne e le normative di conformità esterna controllando e gestendo a livello centrale l'accesso degli utenti con privilegi a una serie eterogenea di server, dispositivi e applicazioni. Consentendo la creazione, il deployment e la gestione multipiattaforma di criteri di controllo dell'accesso complesso e dettagliati, il tutto da una singola console di gestione, CA ControlMinder va oltre i controlli di base disponibili a livello dei sistemi operativi nativi e soddisfa le esigenze delle policy e dei regolamenti aziendali più rigorosi. La soluzione completa è denominata CA ControlMinder ed è composta dai seguenti componenti: CA ControlMinder Shared Account Management fornisce storage e accesso alle password degli utenti con privilegi protetti Protezione degli endpoint e rafforzamento dei server comprendente gli elementi fondamentali di CA ControlMinder utilizzati per applicare una protezione avanzata del sistema operativo e applicare il controllo dettagliato degli accessi basato su ruoli. UNIX Authentication Broker (UNAB) consente agli utenti UNIX e Linux di effettuare l'autenticazione utilizzando le credenziali Active Directory. L'integrazione con CA User Activity Reporting consente di raccogliere e consolidare a livello centrale tutti i registri di controllo di CA ControlMinder in un singolo repository centrale utilizzabile per funzionalità avanzate di reporting, correlazione degli eventi e avviso. 7

8 CA ControlMinder Shared Account Management Figura A. CA ControlMinder Shared Account Management. > Protezione password condivise > Garanzia di tracciabilità dell'accesso ad account condivisi CA ControlMinder Reset password Estrazione password Convalida password > Gestione delle policy per le password di account condivisi > Rimozione delle password non crittografate dagli script Archiviazione password Amministratore IT Reporting sulle attività utente Correlazione tra attività con privilegi e utente Accesso Server Switch Switch Database Web router Storage APP Applicazione Desktop Virtualizzazione Windows Linux Unix Shared Account Management offre accesso protetto agli account con privilegi e consente di fornire accountability per l'accesso con privilegi, tramite l'emissione di password temporanee, utilizzabili una sola volta, o in base alle necessità, fornendo all'utente accountability delle sue azioni tramite le verifiche di sicurezza. Questa funzionalità viene anche definita Administrative Check-out. CA ControlMinder è anche progettato in modo da consentire alle applicazione di accedere in modo programmatico alle password di sistema ed eliminare contestualmente password hard coded da script, file batch, wrapper ODBC e JDBC. Questa funzionalità viene anche definita Applicative Check-out. Il supporto per Shared Account Management è disponibile per una varietà di server, applicazioni (inclusi database) e dispositivi di rete, in un ambiente fisico o virtuale. Funzioni CA ControlMinder Shared Account Management Storage sicuro di password protette. Shared Account Management immagazzina le password critiche di applicazioni e di sistemi in un data store sicuro e protetto. Gli utenti che devono accedere a tali password critiche possono eseguire il "check-out" e il "check in" a tali password mediante un'interfaccia utente Web intuitiva e di semplice utilizzo. Shared Account Management applica "policy di accesso con privilegi" che gestiscono quali utenti possano utilizzare determinati account condivisi. Policy per password di account condivisi. Ogni password gestita tramite Shared Account Management può disporre di una policy per le password associata che ne definisce l'unicità. In questo modo le password generate da Shared Account Management vengono accettate dal sistema, dall'applicazione o dal database dell'endpoint. Le policy per le password determinano anche l'intervallo dopo il quale Password Vault debba generare automaticamente una nuova password per l'account. Rilevazione automatica degli account. Shared Account Management rileva automaticamente tutti gli account su un end-point gestito che è connesso al server di gestione aziendale Shared Account Management. L'amministratore di Shared Account Management può quindi decidere quali account utilizzare. A questi account viene poi assegnato un "ruolo accesso con privilegi" che può essere concesso agli utenti finali nell'ambito di una policy Shared Account Management. 8

9 Architettura priva di agenti. CA ControlMinder Shared Account Management fornisce un'architettura server-based per una riduzione al minimo dei rischi e degli sforzi per il deployment. Non sono necessari agenti sugli end-point gestiti di CA ControlMinder Shared Account Management. Tutte le connessioni sono gestite dal server CA ControlMinder Enterprise Management utilizzando le funzionalità native; ad esempio, i database utilizzano JDBC e UNIX, e Linux utilizza SSH, mentre Windows usa WMI. Integrazione con ticketing e sistemi help-desk. Integrazione con CA Service Desk Manager consente di aggiungere un desk ticket di servizio nelle attività di richiesta e break glass, la convalida del desk ticket di servizio e un responsabile dell'approvazione per esaminare il ticket per ulteriori informazioni. Controllo e reporting degli accessi con privilegi. Tutti gli accessi con privilegi sono controllati e registrati in CA ControlMinder Shared Account Management. CA User Activity Reporting offre funzionalità migliorate di logging e correlazione, e permette di correlare i log nativi generati da sistemi, applicazioni o database con i log di Shared Account Management. Inoltre, se sugli endpoint del server (UNIX, Linux e Windows) è installato CA ControlMinder, viene registrata e controllata l'attività di tutti gli utenti con privilegi. Questi log possono essere inoltre centralizzati in CA User Activity Reporting e correlati agli eventi di check-out generati CA ControlMinder Shared Account Management Ripristino e rollback delle password. In caso di malfunzionamento di un endpoint di CA ControlMinder Shared Account Management, l'endpoint verrà ripristinato da un backup che potrebbe non essere aggiornato. In tal caso, le password salvate in Shared Account Management non corrisponderanno a quelle ripristinate dall'endpoint. Il server CA ControlMinder Enterprise Management visualizza un elenco delle password precedenti e offre un'opzione per ripristinare l'endpoint alla configurazione corrente di Shared Account Management. Check-out amministrativo di Shared Account Management Attribuzione della responsabilità dell'accesso condiviso agli account. CA ControlMinder Shared Account Management offre una funzionalità di "check-out esclusivo" che consente solo a una persona specifica di eseguire il check-out di un account in qualsiasi momento. Inoltre, Shared Account Management è in grado di monitorare le azioni originali dell'utente correlando gli eventi di accesso sul sistema all'evento di check-out generato dell'applicazione Shared Account Management. Accesso automatico di Shared Account Management. Questa funzionalità è stata studiata per semplificare e proteggere il processo consentendo a un utente di richiedere una password e utilizzarla con un semplice clic facendo accedere automaticamente l'utente al sistema di destinazione come utente con privilegi, pur senza essere in grado di visualizzare la password. In questo modo è possibile evitare che le password vengano spiate e le operazioni risultano più rapide per il richiedente della password. Integrazione avanzata di Shared Account Management con CA ControlMinder. L'integrazione di Shared Account Management e CA ControlMinder consente di integrare gli endpoint CA ControlMinder con Shared Account Management per tenere traccia delle attività degli utenti che eseguono il check-out di account con privilegi. Questa funzionalità è supportata solo quando utilizzata insieme alla funzionalità sopra descritta di accesso automatico di Shared Account Management, e consente di specificare che un utente esegua il check-out di un account con privilegi attraverso il server Enterprise Management prima che questi esegua l'accesso a un endpoint CA ControlMinder. Registrazione e riproduzione di sessioni con privilegi. La registrazione e la riproduzione di sessioni con privilegi ora sono fornite come parte di CA ControlMinder Shared Account Management tramite l'integrazione con software di terze parti. Questa funzionalità facilita i controlli tramite funzionalità simili a quelle dei sistemi di videoregistrazione digitali per la registrazione e la riproduzione di sessioni di utenti con privilegi. 9

10 Funzionalità complete del workflow. CA ControlMinder Shared Account Management fornisce funzionalità complete per il flusso di lavoro dual-control destinate all'accesso normale e di emergenza agli account con privilegi. Il workflow può essere facoltativamente abilitato per alcuni utenti finali e/o per alcuni account con privilegi. Accesso break glass e di emergenza. Gli utenti eseguono un "check-out break glass" quando devono accedere immediatamente a un account che non sono autorizzati a gestire. Gli account break glass sono account con privilegi che non sono assegnati all'utente in base al ruolo consueto dell'utente. Tuttavia, tale utente può ottenere la password dell'account senza interventi e ritardi, qualora ciò fosse necessario. In un processo di check-out break glass, un messaggio di notifica viene inviato all'amministratore, il quale tuttavia non può né approvare né arrestare il processo. Check-out applicativo di Shared Account Management Passaggio da applicazione ad applicazione di Shared Account Management. CA ControlMinder Shared Account Management automatizza la gestione delle password degli account di servizio automatizzando un processo che sarebbe altrimenti manuale (Windows Services), gestisce le password usate dalle attività pianificate di Windows che richiedono l'accesso al sistema (Windows Scheduled Tasks) e si integra con il meccanismo Windows Run-As per recuperare da Shared Account Management la password dell'utente con privilegi interessato. Passaggio da applicazione a database di Shared Account Management. CA ControlMinder Shared Account Management è inoltre in grado di reimpostare automaticamente le password con ID applicazioni. Shared Account Management può gestire gli account di servizio utilizzati da server di applicazione IIS o J2EE e le applicazioni da essi gestite intercettando le connessioni ODBC e JDBC e sostituendole con le credenziali correnti degli account con privilegi. Nella maggior parte dei casi, CA ControlMinder Shared Account Management fornisce questa funzionalità senza richiedere alcuna modifica alle applicazioni. Questa funzionalità richiede che l'agente Shared Account Management sia installato sull'endpoint su cui è in esecuzione l'applicazione, oppure sul server J2EE in caso di applicazione Web. Check-out programmatico da script shell e file batch. È possibile utilizzare l'agente Shared Account Management in uno script per sostituire le password hard-coded con le password il cui check-out è eseguibile dalla gestione aziendale di CA ControlMinder Shared Account Management. In questo modo è possibile evitare l'inserimento di password hard-coded negli script. Per informazioni più approfondite e tecniche su Shared Account Management, consultare il technical brief di CA ControlMinder Shared Account Management. 10

11 Protezione degli endpoint e protezione avanzata dei server con CA ControlMinder Figura B. CA ControlMinder offre un'applicazione delle policy di sicurezza basata sul ruolo. CA ControlMinder Gli elementi fondamentali di CA ControlMinder sono gli agenti sicuri e dalla protezione avanzata che si integrano a livello nativo con il sistema operativo per applicare e controllare le policy dettagliate richieste per soddisfare i requisiti di conformità. Gli agenti endpoint sono disponibili per tutti i principali sistemi operativi, comprese tutte le versioni più diffuse di Linux, UNIX e Windows. L'elenco aggiornato dei sistemi supportati è riportato sul sito Web CA Support. CA ControlMinder offre formati pacchetto nativi per installare e gestire CA ControlMinder a livello nativo sui sistemi operativi supportati. Ciò consente, nell'ambiente enterprise globale, di implementare numerosi server gestiti. CA ControlMinder offre inoltre un'interfaccia basata su Web intuitiva e uniforme per gestire policy, applicazioni e dispositivi endpoint. CA ControlMinder supporta a livello nativo la maggior parte delle piattaforme di virtualizzazione, ovvero VMware ESX, Solaris 10 Zones e LDOMs, Microsoft Hyper-V, IBM VIO e AIX LPAR, HP-UX VPAR, Linux Xen e Mainframe x/vm, così da proteggere sia il livello hypervisor che i sistemi operativi guest che vengono eseguiti su tali piattaforme. Negli ambienti enterprise, l'uso di una directory per la gestione degli utenti e il deployment di applicazioni abilitate da directory sono diventate pratiche comuni. CA ControlMinder supporta archivi utente enterprise, ossia archivi per utenti e gruppi nativi del sistema operativo. Questa integrazione nativa consente di definire regole di accesso per gli utenti e i gruppi enterprise senza dover sincronizzare o importare gli utenti e i gruppi nel database CA ControlMinder. 11

12 Protezione server multipiattaforma Molte organizzazioni implementano un'infrastruttura di server eterogenea, comprendente sistemi Windows, Linux e UNIX. CA ControlMinder abilita la gestione e l'applicazione uniformi e integrate delle policy di protezione degli accessi in tutti questi ambienti. L'architettura avanzata delle policy offre una singola interfaccia tramite la quale le policy possono essere amministrate e distribuite simultaneamente agli iscritti Windows e UNIX. La gestione consolidata di server Linux, UNIX e Windows riduce la quantità di impegno amministrativo richiesto e potenzia l'efficienza dell'amministratore di sistema, permettendo così di risparmiare sui costi di gestione. Controllo dettagliato degli accessi CA ControlMinder è una soluzione di applicazione della protezione indipendente, ovvero che non si basa sul sistema operativo esistente per applicare le policy di controllo degli accessi al server. Operando a livello di sistema, CA ControlMinder monitora e regolamenta tutti gli accessi alle risorse di sistema, inclusi quelli che hanno origine da amministratori di dominio o di sistema locale. Queste funzionalità dettagliate di applicazione degli accessi regolamentano, delegano e limitano le operazioni degli amministratori di dominio o di qualsiasi altro account nell'ambiente IT e forniscono: Controllo della rappresentazione. CA ControlMinder controlla le funzionalità di delega degli utenti sostituti per ridurre l'esposizione dei dati a utenti non autorizzati che eseguono applicazioni con privilegi avanzati, e in questo modo permette di gestire l'attribuzione della responsabilità per le attività di account condivisi. Un amministratore potrebbe ad esempio assumere il profilo di un altra persona per modificare gli attributi dell'elenco di controllo accessi, o ACL (Access Control List) di un file senza alcuna responsabilità delle sue azioni. CA ControlMinder esercita protezione su più livelli limitando innanzitutto le prerogative di chi utilizza Run-As e il comando UNIX "su" preservando l'id utente originaria anche dopo operazioni come sostituto; in questo modo i record di accesso dell'utente nei log di controllo riporteranno l'account originario. L'utente può in questo modo eseguire l'accesso utilizzando il proprio ID e modificare in tutta sicurezza il suo profilo in un account con privilegi senza che la sua responsabilità vada perduta. Limitazione delle prerogative del super user (administrator/root). L'account root è un elemento da cui scaturisce una notevole vulnerabilità poiché consente ad applicazioni o utenti di assumere un livello di privilegio superiore rispetto al necessario. CA ControlMinder ispeziona tutte le richieste in entrata a livello di sistema e applica l'autorizzazione in base alle regole e alle policy definite. Nemmeno l'account root con privilegi può ignorare questo livello di controllo. In questo modo tutti gli utenti con privilegi diventano utenti gestiti e sono responsabili delle proprie attività sul sistema. Controllo degli accessi basato su ruolo. Le best practice impongono di attribuire a ogni amministratore privilegi sufficienti per svolgere esclusivamente le mansioni di lavoro che gli competono. Se si fornisce un complesso ambiente di controllo basato su ruolo, gli amministratori non sono più in grado di condividere una password di amministratore e di sfruttare i vantaggi dei privilegi associati a tale ruolo. CA ControlMinder viene fornito con una serie di ruoli amministrativi e di controllo predefiniti che possono essere personalizzati e ampliati al fine di soddisfare le esigenze dell'organizzazione IT. Applicazione dettagliata. I sistemi operativi nativi (Linux, UNIX e Windows) offrono capacità limitate di delega dettagliata ed efficiente di alcuni diritti di amministrazione di sistema ad account utente con meno prerogative. CA ControlMinder consente di applicare le regole in modo dettagliato e gestisce l'accesso in base a diversi criteri, ovvero attributi di rete, ora del giorno, calendario o programma di accesso. Le funzionalità includono: 12

13 Controlli dettagliati aggiuntivi. I controlli che offrono privilegi specifici per file, servizi e altre funzioni a livello di sistema operativo (ridenominazione, copia, arresto, avvio) possono essere assegnati a uno specifico amministratore o a un gruppo di amministrazione. Livelli diversi di applicazione. CA ControlMinder Warning Mode viene utilizzato generalmente dalle organizzazioni per determinare se le policy di sicurezza proposte sono troppo rigide oppure troppo permissive, in modo da poterle modificare di conseguenza. CA ControlMinder offre inoltre la possibilità di convalidare istantaneamente gli effetti di una policy di sicurezza senza applicare la limitazione tramite l'impostazione Validation Mode. Elenchi di controllo accessi migliorati. CA ControlMinder offre molte funzionalità migliorate di controllo degli accessi per consentire all'amministratore della sicurezza di assegnare in modo più razionale e appropriato diritti di accesso agli utenti autorizzati, compresi Program Access Control Lists (PACL), che consente l'accesso alle risorse solo da un particolare programma o file binario. Controllo degli accessi basato sulla rete. Gli attuali ambienti aperti richiedono un controllo rigido degli accessi degli utenti e delle informazioni che scorrono in rete. Il controllo degli accessi basato sulla rete va a costituire un ulteriore livello di protezione per regolamentare l'accesso alla rete. CA ControlMinder può gestire l'accesso alle porte di rete o ai programmi di accesso alla rete e le policy di sicurezza di rete possono gestire l'accesso bidirezionale in base a ID terminale, nome host, indirizzo di rete, segmenti o altri attributi. Controllo dell'accesso. CA ControlMinder può potenziare la sicurezza dell'accesso limitando l'accesso degli utenti in base a indirizzo IP di origine, ID terminale, tipo di programma di accesso oppure ora del giorno. CA ControlMinder può inoltre limitare sessioni di accesso concomitanti da parte di un singolo utente per applicare la restrizione dell'accesso utente a un server. Gli utenti possono essere automaticamente sospesi dopo un numero eccessivo di tentativi di accesso non andati a buon fine, così da proteggere i sistemi dagli attacchi di forza bruta. CA ControlMinder fornisce inoltre funzionalità di sospensione e revoca sicure degli account utente in ambienti distribuiti. Gestione e controllo dell'accesso agli ambienti virtuali La virtualizzazione consolida istanze server multiple in un singolo computer fisico, permettendo così di ridurre i costi di proprietà e di ottimizzare l'utilizzo dei computer. Purtroppo la virtualizzazione genera una nuova classe di utenti privilegiati hypervisor che possono creare, copiare, spostare o in altro modo gestire questi sistemi operativi guest. Ciò accentua l'esigenza di un'adeguata imposizione delle mansioni e di una protezione consolidata delle risorse server per fare in modo che tutti i dati e tutte le applicazioni in questi sistemi guest vengano controllati e protetti da manipolazioni. Tramite CA ControlMinder, questi amministratori hypervisor possono essere controllati; anche l'imposizione delle mansioni può essere facilmente implementata. Questa funzionalità offre un livello essenziale di protezione per ridurre al minimo i rischi che comporta la virtualizzazione. Gli agenti dell'endpoint supportano una vasta gamma di versioni di sistemi operativi in esecuzione come guest, oltre che tutti i principali host di virtualizzazione dei sistemi operativi, ovvero VMware ESX, Solaris 10 Zones and LDOMs, Microsoft Hyper-V, IBM VIO e AIX LPAR, HP-UX VPAR, Linux Xen e Mainframe x/vm. 13

14 Protezione avanzata del sistema operativo Un livello critico per la strategia di difesa in profondità consiste nel proteggere il sistema operativo dall'accesso o dalla violazione da parte di elementi esterni. CA ControlMinder offre diverse misure di sicurezza contro attacchi esterni al fine di aggiungere un ulteriore livello di sicurezza per i server. Controlli di file e directory. File e directory costituiscono la colonna portante dei sistemi operativi e qualsiasi tipo di violazione può determinare situazioni di DoS e tempi di inattività imprevisti. CA ControlMinder offre potenti opzioni wildcard e di accesso ai programmi che semplificano la gestione delle policy a livello di file. CA ControlMinder può applicare il controllo delle modifiche su file e sistemi di directory essenziali, cosa che favorisce l'integrità e la riservatezza dei dati. La protezione a livello di file è disponibile per tutti i tipi di file, compresi file di testo, directory, file eseguibili, file di dispositivi, collegamenti simbolici, file con mounting NFS e share Windows. Esecuzione attendibile dei programmi. Per evitare che l'ambiente operativo venga compromesso dal malware, e in particolar modo da trojan, CA ControlMinder offre una protezione dei programmi attendibili di prima linea. Le risorse critiche possono essere contrassegnate come attendibili; tali file e programmi verranno in seguito monitorati e CA ControlMinder ne bloccherà l'esecuzione qualora venissero modificati da malware. È possibile consentire solo a determinati utenti o gruppi di utenti di apportare cambiamenti alle risorse attendibili al fine di ridurre ulteriormente la possibilità di modifiche impreviste. Protezione del registro di Windows. Il registro di Windows è un obiettivo ovvio per hacker e utenti malintenzionati poiché il database centralizzato contiene i parametri del sistema operativo, compresi quelli che controllano i driver di dispositivo, i dati di configurazione e le impostazioni di hardware, ambiente e sicurezza. CA ControlMinder consente di proteggere il registro tramite il supporto di regole in grado di impedire agli amministratori di modificare o manomettere le impostazioni del registro. CA ControlMinder può proteggere le chiavi di registro dall'eliminazione e i loro valori dalla modifica. Protezione dei servizi Windows. CA ControlMinder offre una protezione avanzata per limitare il raggio di azione di amministratori che possono avviare, modificare o arrestare servizi Windows critici. Questa funzionalità costituisce una forma di protezione contro il DoS di applicazioni di produzione quali Database, Web, File e Stampa, che sono tutte controllati come servizi in Windows. È fondamentale proteggere questi servizi dall'accesso non autorizzato. Blocco delle applicazioni. CA ControlMinder consente di definire azioni accettabili di applicazioni ad alto rischio. Tutti i comportamenti che esulano da questi limiti verranno bloccati da una funzione di blocco dell'applicazione. È ad esempio possibile realizzare un ACL basato su un ID logico a cui appartengono processi e servizi Oracle in modo tale che il suo comportamento bloccato impedisca qualsiasi azione non sia quella dell'avvio di dei servizi DBMS Oracle. Registratore di tastiera UNIX/Linux CA ControlMinder può limitare le azioni di utenti normali e speciali e può addirittura tenere traccia delle sessioni di determinati utenti, oltre a permettere di registrare tutto quello che tali utenti fanno durante una sessione tramite funzionalità KBL, che si interpone fra la shell e il terminale/tastiera acquisendo tutto quanto viene digitato (input) e visualizzato sul terminale (output). È possibile abilitare la funzionalità KBL semplicemente modificando la modalità di controllo dell'amministratore/utente del quale si desidera acquisire l'attività da tastiera. 14

15 CA ControlMinder Figura C. Selezione della modalità interattiva UNIX/Linux KBL in CA ControlMinder Endpoint Management. Caratteristiche di KBL Riproduzione della sessione (solo modalità locale sull'endpoint CA ControlMinder) Stampa dell'output/input della sessione Stampa dei comandi della sessione Correlazione con i dati raccolti da CA ControlMinder sull'utente Store centrale con report di CA User Activity Reporting Figura D. Output di una sessione CA ControlMinder KBL. I report KBL ora sono disponibili in CA User Activity Reporting con viste drill-down che visualizzano tutti i comandi digitati al prompt dei comandi e il loro rispettivo output. 15

16 Figura E. Un rapporto KBL campione disponibile in CA User Activity Reporting. Gestione centralizzata delle identità UNIX da Active Directory: UNAB La funzionalità UNAB (UNIX Authentication Broker) di CA ControlMinder permette di gestire gli utenti da Microsoft AD. Ciò consente il consolidamento dei dati di autenticazione e dell'account in AD, in modo tale che le credenziali UNIX non devono più essere gestite localmente in ciascun sistema. Caratteristiche di UNAB Gestione centralizzata dell'autenticazione UNIX. UNAB semplifica la gestione degli utenti UNIX locali convalidando le loro credenziali di autenticazione con AD. Utenti e gruppi non devono essere definiti in NIS o, localmente, nel file /etc/passwd. Attributi utente quali directory principale, shell, UID, GECOS e policy relative alle password vengono reperiti da AD. Agile modulo PAM. UNAB offre un agile modulo PAM (Pluggable Authentication Module) di dimensioni ridotte in UNIX che viene aggiunto allo stack PAM dell'endpoint. Packaging nativo. UNAB offre un packaging nativo per un'installazione e un deployment semplici. Integrazione con registro eventi Windows nativo. Tutti i registri UNAB sono instradati ai registri eventi Windows nativi. Ciò permette di consolidare e semplificare il controllo, oltre a consentire l'integrazione con strumenti SIM di terze parti. Modalità di funzionamento flessibili. UNAB può essere configurato per operare in modalità di integrazione parziale o totale, così da facilitare il processo di migrazione. Modalità di integrazione parziale. In questa modalità la password utente è memorizzata AD. Al momento dell'autenticazione, solo la convalida della password viene eseguita con AD. Attributi utente quali UID, directory principale e gruppo principale sono derivati dall'host UNIX locale o da NIS e non da AD. Quando si aggiunge un nuovo utente all'organizzazione, l'amministratore deve creare l'utente sia su AD che nel file /etc/passwd locale o in NIS. Non sono richieste modifiche di schema ad AD affinché UNAB funzioni in modalità di integrazione parziale. 16

17 Modalità di integrazione totale. In questa modalità, le informazioni dell'utente sono memorizzate solo in AD. Non vi sono voci utente nel file /etc/passwd locale o in NIS. Attributi utente quali UID, directory principale e gruppo principale sono memorizzati in Active Directory e non sull'host UNIX locale o in NIS. Quando si aggiunge un nuovo utente all'organizzazione, l'amministratore deve creare l'utente solo in AD e deve fornire gli attributi UNIX richiesti. L'integrazione totale richiede Windows 2003 R2, che supporta gli attributi UNIX. Mapping degli attributi LDAP dinamica. Qualora l'organizzazione non supporti Windows 2003 R2, che è richiesto per la modalità di integrazione totale, UNAB offre una funzionalità che consente di eseguire la mappatura dinamica degli attributi UNIX ad attributi AD non standard, al fine di evitare le complessità che comporterebbe l'estensione o la modifica dello schema AD. Migliori funzionalità di caching e di supporto offline. UNAB esegue il caching di ogni accesso effettuato correttamente nel suo database SQLite locale. Le informazioni nella cache comprendono nome utente, attributi utente, appartenenza a gruppi e valore hash della password. Qualora UNAB non sia in grado di effettuare la connessione ad AD, tenterà di convalidare le credenziali dell'utente con la cache locale. Questa caratteristica è denominata supporto dell'"accesso offline". I record utente verranno conservati nella cache locale per un numero di giorni configurabile. Gli utenti locali, quali "root" e altri account di sistema e di applicazione, possono eseguire l'accesso indipendentemente dalla connettività AD. Single Sign-On UNAB. Consente di eseguire il Single Sign-On fra tutti gli host UNAB con Kerberos nell'ambiente. Se si accede a un host UNAB abilitato Kerberos, è possibile in seguito accedere automaticamente a qualsiasi altro host UNAB utilizzando le credenziali Kerberos; in questo modo l'ambiente viene dotato di una vera e propria soluzione Single Sign-On. Policy di accesso centralizzate. Una volta attivato UNAB su un endpoint UNIX, le policy di accesso centrali determinano quali utenti possano accedere a determinati host o gruppi di host UNIX. Queste policy di accesso sono gestite e distribuite utilizzando l'interfaccia utente di CA ControlMinder Enterprise Management e sono memorizzate localmente su ciascun end-point nel database SQLite. Le policy di accesso possono essere applicate a un host UNIX singolo o a un "gruppo host" logico di server. Le regole relative all'ambito possono basarsi su utenti e gruppi AD, cosa che semplifica le attività amministrative. Figura F. Broker di autenticazione UNIX. 17

18 Controllo e reporting degli accessi degli utenti con privilegi mediante CA User Activity Reporting La conformità richiede che vengano applicate policy appropriate, e che tali policy siano implementate, ma soprattutto è necessario essere in grado di dimostrare di essere conformi alle policy aziendali e agli standard normativi. Inoltre è necessario tenere traccia di tutte le deviazioni dalle policy. Al fine di dimostrare la conformità, le soluzioni di protezione delle risorse server devono generare report che dimostrino l'esistenza e l'applicazione di policy relative alle password, livelli di diritto e separazione dei compiti. CA ControlMinder comprende una licenza per CA User Activity Reporting, grazie al quale è possibile esaminare lo stato di sicurezza di utenti, gruppi e risorse. Questa soluzione raccoglie i dati da ciascun endpoint nell'azienda, li raccoglie in un'ubicazione centrale, analizza i risultati confrontandoli alle policy aziendali e infine genera un report. Questa licenza per CA User Activity Reporting copre solo la raccolta di dati e la generazione di report relativi agli eventi di CA ControlMinder; qualora fossero necessarie funzionalità più estese, è necessario acquistare una licenza completa per CA User Activity Reporting Module. Il servizio di reporting funziona in modo indipendente e raccoglie, a scadenze pianificate, le policy in vigore su ciascun endpoint. Il sistema è caratterizzato dalla resilienza, e infatti i report relativi allo stato degli endpoint vengono generati senza che siano necessari interventi manuali, e indipendentemente dallo stato del server di raccolta. Inoltre i componenti del servizio di reporting si trovano all'esterno del sistema di applicazione di CA ControlMinder e non richiedono l'interruzione delle funzioni di applicazione quando si riconfigurano o personalizzano i report. Il servizio di reporting è strutturato in modo da consentire il reporting dello stato delle policy applicate da ogni endpoint. È possibile generare report personalizzati destinati a vari scopi, oppure utilizzare i 60 tipi forniti direttamente con CA ControlMinder. Conformità alle policy e report sulle autorizzazioni Ai fini del reporting di conformità non è più sufficiente generare report basati su eventi relativi alle operazioni effettuate in passato. Oggi per raggiungere la conformità sono necessari report proattivi in grado di evidenziare lo stato della conformità in qualsiasi momento. A tal fine, CA ControlMinder offre il reporting proattivo sui privilegi di accesso degli utenti e la prova dei controlli di accesso esistenti. Il servizio di reporting di CA ControlMinder è dotato di oltre 60 report standard che indicano autorizzazioni e stato corrente delle policy implementate, nonché deviazioni dalle stesse. Questi report sono immediatamente utilizzabili, e costituiscono un utile complemento al controllo basato sugli eventi per il monitoraggio dei requisiti di conformità e per il rilevamento delle discrepanze esistenti. I report standard comprendono: Report sulla gestione delle policy che consentono di esaminare lo stato del deployment delle policy e le deviazioni rispetto alle policy standard. I report sui diritti consentono di visualizzare i diritti di utenti e gruppi sulle risorse di sistema, oppure di visualizzare chi può accedere a specifiche risorse. Potrebbero risultare utili ad esempio per vedere chi dispone dell'accesso root ai sistemi. I report sulla gestione degli utenti mettono in evidenza account inattivi, appartenenza a gruppi e account amministrativi e permettono di gestire la separazione dei compiti. 18

19 I report di gestione delle password forniscono informazioni sull'età delle password, sulla conformità delle password alle policy ecc. I report sull'accesso degli utenti con privilegi riportano informazioni dettagliati su tutte le attività degli utenti con privilegi, inclusi check-in, check-out, approvazioni del workflow e altre operazioni. Figura G. Report di CA ControlMinder Shared Account Management che mostra gli account con privilegi in base al tipo di end-point. I report sull'autenticazione UNIX forniscono tutti i dati su diritti e report relativi al componente UNAB di CA ControlMinder. Figura H. Report UNAB dettagliato che mostra gli utenti AD globali con attributi UNIX. La procedura guidata di rilevamento degli utenti con privilegi (che va avviata dall'utente) cercherà gli utenti con privilegi all'interno dell'organizzazione e genera automaticamente un report. 19

20 Il sistema aperto di reporting relativo alle policy fornito da CA ControlMinder si basa su un sistema relazionale per la gestione di database (RDBMS) standard. L'interoperabilità con sistemi esterni consente agli amministratori di generare report sulle policy tramite lo strumento di reporting che preferiscono e di personalizzare il layout dei report in base agli standard interni o alle richieste dei responsabili del controllo. Scheda punteggi di deployment delle policy Figura I. Report campione che mostra uno snapshot point-in-time degli host conformi a una specifica policy. CA ControlMinder Enterprise Management Vista la complessità e la scalabilità richieste al giorno d'oggi per le risorse server, è essenziale poter implementare e applicare una policy centralizzata per il controllo degli accessi nell'extended enterprise, pur rispettando eccezioni locali ed esigenze di business. CA ControlMinder offre una serie di funzionalità avanzate che facilitano e semplificano la gestione degli accessi e che consentono le eccezioni in modo documentabile e visibile. Raggruppamento logico degli host È possibile raggruppare gli endpoint in gruppi host logici e quindi assegnare policy basate su tale appartenenza al gruppo host indipendentemente dall'organizzazione fisica degli endpoint. Gli host possono appartenere a una serie di gruppi host logici in base alle loro proprietà e ai requisiti delle policy. Se ad esempio vi sono host con sistema operativo Red Hat e Oracle, tali host possono appartenere a un gruppo host logico Red Hat per poter ottenere le policy di controllo degli accessi Red Hat di base, e possono appartenere anche al gruppo host logico Oracle per ottenere le policy di controllo degli accessi Oracle. I gruppi host logici sono utilizzabili dai componenti Shared Account Management e UNAB di CA ControlMinder. In Shared Account Management, i gruppi host logici di host quali i server di database possono avere una policy comune che consente l'accesso ad account con privilegi su questi server. In UNAB, un set comune di policy di accesso può essere applicato a un gruppo host logico che consente agli utenti di accedere in modo selettivo in base alle credenziali Active Directory. 20