comment contrôler l accès des utilisateurs à privilèges au sein de toute l entreprise?

Transcription

1 DOSSIER SOLUTION CA ControlMinder comment contrôler l accès des utilisateurs à privilèges au sein de toute l entreprise? agility made possible

2 est une solution complète pour la gestion des identités à forts privilèges, qui vous permet de gérer les mots de passe des utilisateurs à forts privilèges, de générer des rapports sur leurs activités et d établir une séparation très précise des fonctions dans l entreprise. 2

3 Résumé Défi Vous n êtes pas le seul à vous préoccuper des défis toujours croissants liés à la protection des données et des applications sensibles situées sur vos serveurs. En raison de la hausse de la valeur des données, des réglementations de plus en plus strictes et du nombre d utilisateurs à privilèges qui ont besoin d un accès aux serveurs, aux unités et aux applications critiques, il est de plus en plus difficile de protéger les informations sensibles et la propriété intellectuelle. Le défi lié à la gestion des utilisateurs à privilèges inclut la gestion de l accès sécurisé aux données et mots de passe critiques associés à chaque utilisateur à privilèges. Cela vous oblige à augmenter considérablement vos efforts pour contrôler les utilisateurs à privilèges dans des environnements étendus, complexes et diversifiés. En parallèle, votre organisation informatique doit continuer à répondre aux exigences métier, ce qui parfois vous demande de faire des exceptions locales tout en préservant la sécurité et la responsabilité. Les organisations d aujourd hui doivent aussi faire face à des exigences réglementaires d audits de plus en plus strictes et de plus en plus complexes. Vous pouvez vous appuyer sur les fonctionnalités de sécurité natives de vos systèmes d exploitation, mais cela soulève des préoccupations de sécurité relatives à la séparation de fonctions, ainsi qu à la facilité de gestion et aux violations de la conformité. Outre l implémentation des règles de sécurité, vous devez effectuer la maintenance et gérer les identités sur UNIX, ce qui est un autre défi. UNIX est généralement géré en silos, ce qui augmente les coûts administratifs et les frais généraux. Solution Pour protéger les ressources de serveur, d unité et d application au sein de toute l entreprise, vous avez besoin d un système de sécurité unique, central et indépendant qui fournit des moyens sûrs et souples pour contenir des comptes de superutilisateurs en déléguant les droits nécessaires aux administrateurs autorisés. Le système de sécurité doit aussi être capable de fournir des contrôles robustes pour gérer les utilisateurs à privilèges, centraliser l authentification et fournir une infrastructure d audit et de reporting robuste. CA ControlMinder fonctionne au niveau du système pour permettre une application efficace et cohérente dans l ensemble des systèmes, y compris les environnements Windows, UNIX, Linux et virtualisés. En distribuant les règles de sécurité du serveur aux unités, aux serveurs et aux applications de terminal via des fonctionnalités de gestion des règles avancées, vous pouvez contrôler les utilisateurs à privilèges. Par ailleurs, vous pouvez supporter en toute sécurité l audit de chaque changement de règles et de chaque action d application afin de vous conformer aux réglementations mondiales. La solution CA ControlMinder permet une approche holistique de la gestion des accès, car elle contient des fonctionnalités clés pour protéger et sécuriser les données et applications critiques, pour gérer les identités privilégiées, pour centraliser l authentification UNIX avec Microsoft Active Directory (AD) et fournir une infrastructure d audit et de reporting sécurisée. 3

4 Avantages CA ControlMinder vous permet de créer, de déployer et de gérer des règles de contrôle d accès complexes et très précises afin de permettre uniquement aux utilisateurs à privilèges autorisés d accéder à vos données et à vos applications les plus sensibles. Grâce à un support de plates-formes multiples (y compris virtuelles) et l intégration au reste de la famille de produits de CA Identity and Access Management, la solution CA ControlMinder possède plusieurs avantages : Elle réglemente et vérifie systématiquement les accès à vos serveurs, vos unités et vos applications critiques entre les plates-formes Elle gère les mots de passe des utilisateurs à privilèges Elle vous donne la possibilité de contrôler de manière proactive et très précise les utilisateurs à forts privilèges Elle vous permet d appliquer vos exigences de conformité interne et réglementaire en créant des règles d accès au serveur et en permettant leur reporting Elle vous aide à réduire les coûts d administration en gérant la sécurité de façon centralisée dans votre entreprise distribuée à l échelle mondiale Elle vous permet d authentifier les utilisateurs à privilèges UNIX et LINUX, à partir d un annuaire des utilisateurs Active Directory unique Elle renforce le système d exploitation, ce qui réduit les risques de sécurité externes et augmente la fiabilité de l environnement d exploitation Elle peut être directement intégrée à une infrastructure d audit qui produit des rapports spécifiques de la réglementation approfondis Section 1 : Défi Les serveurs : une source de complexité dans les data centers d aujourd hui Gérer les règles de sécurité dans des environnements étendus reste un défi, parce qu il est important d être réactif aux exigences métier, ce inclut la souplesse nécessaire pour pouvoir faire des exceptions locales. Les data centers d aujourd hui nécessitent une visibilité exhaustive dans un ensemble de ressources de serveur, d unité et d application toujours plus important, tout en offrant la responsabilité des changements et en protégeant les données sensibles qui y résident. L impossibilité de gérer les utilisateurs à privilèges a été la cause directe de divulgation de données majeures. Conserver l intégrité des données est l une des tâches les plus importantes des professionnels informatiques. Adopter toutes ces technologies souples et évolutives des nouveaux data centers sans en évaluer les exigences de sécurité et de protection des données est une erreur critique. Les régulateurs surveillent Selon un rapport de Privacy Rights Clearinghouse, depuis 2005 aux États-Unis, plus 340 millions d enregistrements contenant des informations personnelles sensibles ont été concernés par les violations de 4

5 sécurité, ce qui a causé des dépenses importantes pour payer les amendes pour non-conformité, surveiller les cartes bancaires, de crédit et renouvelée et réparer le préjudice apporté à l image de marque. 1 Ces violations constantes ont poussé les organisations gouvernementales du monde entier à demander de meilleures pratiques pour la protection des données et la sécurité des informations. Des réglementations, telles que les lois HIPAA, GLBA, Sarbanes-Oxley, LPRPDE, la directive européenne pour la confidentialité des données, la norme ISO27001 et la norme Bâle II, ont pour but de résoudre ces problèmes. La norme PCI DSS (Payment Card Industry Data Security Standard) a encore renforcé la plupart de ces cadres réglementaires. En spécifiant la mise en place d une série de 12 exigences pour protéger les données des titulaires de carte, la norme PCI DSS a responsabilisé d avantage les organisations informatiques. De plus, la loi Sarbanes-Oxley contient des exigences précises relatives à la séparation des fonctions, garantissant que la responsabilité quant aux processus métier complexes est répartie entre plusieurs ressources pour apporter l équilibre des pouvoirs à ces fonctions. Par conséquent, la protection des ressources sophistiquée doit être implémentée pour répondre à ces exigences. Vous devez aussi fournir des enregistrements et des rapports d audits détaillés afin de justifier les contrôles, le statut des règles et de sécuriser les journaux d accès au serveur pour chaque audit. Ces réglementations spécifient des contrôles précis et une cohérence multiplate-forme pour garantir la séparation des fonctions, en particulier dans les environnements de système d exploitation mixtes. En outre, en cas de corruption, il est également demandé de pourvoir enquêter post-mortem sur l incident. Les données d audit sont collectées et consolidées dans un référentiel de journal central. Enfin, les exigences réglementaires devenant de plus en plus strictes, le reporting de conformité devient un aspect important de toute solution de sécurité du serveur. Les rapports doivent être précis, répondre aux exigences spécifiques en question et présenter les résultats d une manière facile à comprendre. Des données sensibles sont sur vos serveurs Le type d adversaire auquel nous sommes confrontés évolue : on ne peut plus supposer que les attaques sont extérieures et proviennent de pirates anonymes. Aujourd hui, une attaque peut tout aussi bien venir d un employé mécontent, d un saboteur ou d un partenaire métier à l éthique et à la loyauté discutables. Par conséquent, vous devez protéger vos ressources de serveur des attaques externes (qui proviennent encore de l extérieur) et du personnel interne, en particulier des utilisateurs à privilèges, qui ont accès à toutes les données sensibles qui résident sur chaque serveur, unité ou application auquel ils peuvent accéder. La protection des serveurs et la responsabilisation des utilisateurs à privilèges sont extrêmement complexes. Une technique courante utilisée par les administrateurs de serveurs est de partager les comptes des utilisateurs à privilèges et d utiliser des identifiants génériques, tels que «administrateur» ou «root». Néanmoins, cela pose problème pour plusieurs raisons. Problèmes relatifs aux audits. Partager des comptes d utilisateurs empêche les journaux d audit d identifier réellement l administrateur qui a effectué des modifications sur les serveurs, diminuant ainsi la responsabilisation si critique pour répondre aux exigences réglementaires. Accès aux données. Ces comptes partagés finissent généralement par donner l accès aux utilisateurs à privilèges aux systèmes et aux données critiques, car il est trop compliqué de gérer une règle dans des milliers de serveurs avec des règles d accès précises. 1 Source : Privacy Rights Clearinghouse, janvier

6 L accès des utilisateurs à privilèges associé à la négligence des administrateurs peut souvent affecter la continuité métier. Dans le même temps, avec le manque de responsabilité, il est presque impossible de retrouver l administrateur qui a commis les erreurs, ce qui mène à des problèmes relatifs à la responsabilité et à la sécurité. Complexité de la gestion des mots de passe des utilisateurs à privilèges Outre le maintien de la responsabilisation concernant l accès des utilisateurs à privilèges, ces mots de passe partagés doivent être stockés, modifiés et distribués en temps opportun et de manière sécurisée afin de se conformer aux règles de sécurité définies par l entreprise. De nombreuses applications utilisent des mots de passe codés en dur dans des fichiers scripts shell et des fichiers de commandes, ce qui aggrave le problème. Ces mots de passe sont statiques et disponibles pour tous ceux qui ont accès au fichier de script, y compris les intrus malveillants. D après un rapport de Verizon pour l année 2010, 48 % des divulgations de données sont causées par des initiés, soit une hausse de 26 % par rapport à l année qui a précédé. Charge administrative croissante de la gestion des identités UNIX L accès UNIX actuel est géré en silos avec de multiples référentiels de comptes distribués où les utilisateurs ont plusieurs comptes dans différents systèmes. Cela augmente les coûts d administration et les frais généraux, ainsi que la complexité globale de l environnement, car un grand nombre d applications critiques dépendent d UNIX quant à leur temps de fonctionnement et leur disponibilité. Défis de la virtualisation Dans ce monde hétérogène, tout est question de garantie de règles cohérentes et de journalisation consolidée dans les serveurs. Une explosion, au sens littéral du terme, du nombre de serveurs et d équipements en cours de gestion a aggravé ces problèmes. La prolifération anarchique des ordinateurs virtuels implique qu il y a encore plus de serveurs à gérer. De plus, comme les hyperviseurs ne se soucient pas de savoir quel système d exploitation est un invité, cela accentue le problème d hétérogénéité. Cependant, le maintien de la sécurité de ce data center étendu et virtualisé est largement négligé. La virtualisation crée aussi une nouvelle classe d utilisateurs à privilèges-hyperviseurs qui peuvent créer, copier, déplacer ou alors gérer ces systèmes d exploitation invités, en insistant sur la nécessité d une séparation des fonctions adéquate pour empêcher les données et les applications qui y sont exécutées d être mises en danger en plus des fonctionnalités d audit. Section 2 : Solution Gestion et contrôle de l accès des utilisateurs à privilèges au sein de toute l entreprise Du point de vue de la gestion, l administrateur système autrefois responsable d un certain nombre de serveurs exécutant une application spécifique ne suffit plus. Désormais, les administrateurs se spécialisent de plus en plus pour gérer la complexité inhérente des applications qui sont plus distribuées et plus compliquées. Le découplage du serveur, des systèmes d exploitation et des applications qui utilisent des technologies de virtualisation complique cette spécialisation. Un serveur de courriel et une base de données peuvent désormais être exécutés sur le même serveur physique, ce qui augmente considérablement la complexité de l environnement. 6

7 Par conséquent, ces administrateurs doivent s authentifier de manière sécurisée avec des mots de passe à privilèges et disposer de différents niveaux d accès à leurs applications, leurs systèmes d exploitation et leurs hyperviseurs, ainsi qu à des unités telles que des routeurs. Fournir des fonctionnalités illimitées à tous ces administrateurs représente un risque majeur pour la sécurité. Les comptes à privilèges (administrateur sous Windows, root sous UNIX) peuvent faire fonctionner n importe quel programme, modifier n importe quel fichier et/ou arrêter n importe quel processus. Cette incapacité à limiter ces utilisateurs à privilèges, afin qu ils puissent uniquement effectuer des tâches pour lesquelles ils sont responsables, et d associer des actions administratives spécifiques à une personne spécifique entraîne un manque de sécurité et de responsabilisation et constitue une violation des exigences clés des réglementations de la sécurité actuelles. Les utilisateurs à privilèges peuvent faire des erreurs, soit par accident, soit par malveillance. La gestion efficace des utilisateurs à privilèges apporte la capacité de : Sécuriser, gérer et distribuer des informations d identification aux utilisateurs à privilèges de manière automatique Contenir ces utilisateurs en déléguant les droits nécessaires au personnel approprié uniquement quand ils en ont besoin Maintenir la responsabilisation de ces utilisateurs et avoir la capacité de générer des rapports sur leurs actions Ces administrateurs peuvent travailler sans exposer de données sensibles ou de ressources métier critiques. Par ailleurs, une telle approche fournit une piste d audit et l application de la responsabilisation des administrateurs et de leurs actions. En outre, faisant face à la pression croissante de la réduction des coûts, les organisations informatiques surmontent les barrières internes pour unifier les environnements UNIX et Windows dans la zone d authentification des utilisateurs. CA ControlMinder CA ControlMinder répond aux règles internes et aux réglementations de conformité externes en contrôlant et en gérant de façon centralisée l accès des utilisateurs à privilèges aux différents ensembles de serveurs, d unités et d applications. En permettant la création d une multiplate-forme, le déploiement et la gestion de règles de contrôle d accès très précises, tout cela à partir d une console de gestion unique, CA ControlMinder dépasse les contrôles basiques disponibles pour les systèmes d exploitation natifs et répond aux besoins des règles et des réglementations les plus strictes définies par l entreprise. L intégralité de la solution est appelée CA ControlMinder et est constituée des composants suivants : CA ControlMinder Shared Account Management offre un stockage sécurisé des mots de passe des utilisateurs à forts privilèges qui bénéficient ainsi d un accès en toute sécurité La protection du terminal et le renforcement des serveurs incluent les éléments centraux de CA ControlMinder, utilisés pour renforcer le système d exploitation et appliquer le contrôle des accès en fonction des rôles La transition avec l authentification UNIX (UNAB) permet aux utilisateurs UNIX et Linux de s authentifier en utilisant leurs informations d identification Active Directory L intégration à CA User Activity Reporting vous permet de collecter et de consolider, de manière centralisée, tous les journaux d audit de CA ControlMinder dans un référentiel central qui peut être utilisé pour le reporting, l alerte ou la corrélation d événements avancés 7

8 CA ControlMinder Shared Account Management Illustration A. CA ControlMinder Shared Account Management > Protection des mots de passe partagés > Responsabilisation de l accès aux comptes partagés > Gestion des règles de mots de passe des comptes partagés > Suppression des mots de passe en texte clair des scripts CA ControlMinder Réinitialiser le mot de passe Extraire le mot de passe Administrateur Valider le mot de passe Archiver le mot de passe IT Reporting sur l activité utilisateur Corréler une activité à forts privilèges à un utilisateur Connexion Base de données Serveur Web Commutateur Commutateur de routage Stockage APP Application Ordinateur de bureau Virtualisation Windows Linux Unix Shared Account Management fournit un accès sécurisé aux comptes à forts privilèges, ce qui permet de contrôler les accès à forts privilèges via l émission de mots de passe pour une utilisation temporaire, ponctuelle ou, au besoin, en rendant compte aux utilisateurs de leurs actions via un audit sécurisé. Cela fait aussi référence à ce qu on appelle l extraction administrative. La solution CA ControlMinder est également conçue pour permettre aux applications d accéder aux mots de passe du système par programmation et supprime ainsi les mots de passe codés en dur à partir de scripts, de fichiers de commandes, d ODBC et de wrappers JDBC. Cela fait aussi référence à ce qu on appelle l extraction applicative. Le support pour Shared Account Management est compatible avec une multitude de serveurs, d applications (y compris des bases de données) et d unités réseau dans un environnement physique ou virtuel. Fonctions de CA ControlMinder Shared Account Management Stockage sécurisé des mots de passe partagés. Shared Account Management stocke les mots de passe des applications critiques et du système dans un référentiel de données sécurisé et protégé. Les utilisateurs qui ont besoin d accéder à ces mots de passe sensibles peuvent «extraire» et «archiver» ces mots de passe en utilisant une interface utilisateur Web conviviale. Shared Account Management permet l application de «règles d accès privilégié» qui déterminent quels utilisateurs peuvent utiliser quels comptes partagés. Règle des mots de passe de compte partagé. Chaque mot de passe géré par le biais de Shared Account Management peut être associé à une règle de mot de passe qui définit son unicité. Les mots de passe générés par ce biais sont acceptés par le système, l application ou la base de données du terminal. Les règles des mots de passe déterminent aussi l intervalle pendant lequel Password Vault crée automatiquement un nouveau mot de passe pour le compte. Détection automatique des comptes. Shared Account Management détecte automatiquement tous les comptes d un terminal géré connecté au serveur de gestion de l entreprise prévu à cet effet. L administrateur de Shared Account Management peut alors décider quels comptes utiliser. Ces comptes sont ensuite attribués à un «rôle d accès privilégié» qui peut être accordé aux utilisateurs finals en tant que règle Shared Account Management. 8

9 Architecture sans agent. CA ControlMinder Shared Account Management fournit une architecture basée sur un serveur afin de réduire les efforts et les risques liés au déploiement. Aucun agent n est requis sur les terminaux gérés de CA ControlMinder Shared Account Management. Toutes les connexions sont traitées à partir du serveur de gestion de l entreprise CA ControlMinder à l aide des fonctionnalités natives. Par exemple, les bases de données utilisent JDBC, UNIX et Linux utilisent SSH. Quant à Windows, il utilise WMI. Intégration aux systèmes de centre d assistance et d émission de tickets. L intégration à CA Service Desk Manager permet l ajout d un ticket de centre de services pour les tâches de requête et d urgence, la validation du ticket de centre de services et fournit un approbateur qui affiche le ticket pour plus d informations. Audit et reporting des accès à forts privilèges. Tous les accès à forts privilèges sont audités et journalisés dans CA ControlMinder Shared Account Management. CA User Activity Reporting fournit des fonctionnalités de corrélation et de journalisation améliorées, y compris la possibilité de corréler les journaux natifs générés à partir de systèmes, d applications ou de bases de données avec des journaux Shared Account Management. De plus, si CA ControlMinder est installé sur des terminaux de serveur (UNIX, Linux et Windows), l activité de tous les utilisateurs à privilèges peut également être suivie et auditée. Ces journaux peuvent aussi être centralisés dans CA User Activity Reporting et corrélés aux événements d extraction générés par CA ControlMinder Shared Account Management. Restauration et annulation de mot de passe. En cas d échec du terminal CA ControlMinder Shared Account Management, le terminal est restauré à partir d une sauvegarde qui peut ne pas être la sauvegarde actuelle. Dans ce cas, les mots de passe enregistrés dans Shared Account Management ne correspondront pas à ceux restaurés à partir du terminal. Le serveur de gestion de l entreprise CA ControlMinder affiche une liste des anciens mots de passe utilisés et propose une option permettant de restaurer le terminal avec la configuration actuelle de Shared Account Management. Extraction administrative de Shared Account Management Responsabilisation de l accès au compte partagé. CA ControlMinder Shared Account Management possède une fonction d «extraction exclusive» qui permet uniquement à certains utilisateurs d extraire un compte à un moment donné. De plus, Shared Account Management peut suivre les actions de l utilisateur d origine en corrélant les événements d accès sur les systèmes à l événement d extraction généré par l application Shared Account Management. Connexion automatique à Shared Account Management. Cette fonctionnalité est conçue pour rationaliser et sécuriser le processus en permettant à un utilisateur de demander un mot de passe et de l utiliser d un simple clic en connectant automatiquement l utilisateur au système cible en tant qu utilisateur à privilèges, tout en ne voyant pas le mot de passe réel. Cela évite de se faire voler le mot de passe d un simple coup d oeil par-dessus l épaule et accélère le processus pour le demandeur. Intégration avancée de Shared Account Management à CA ControlMinder. L intégration avancée de Shared Account Management/CA ControlMinder vous permet d intégrer vos terminaux CA ControlMinder à Shared Account Management pour suivre les activités des utilisateurs qui extraient des comptes à forts privilèges. Cette fonctionnalité est uniquement supportée lorsqu elle est utilisée en association avec la fonction de connexion automatique Shared Account Management, décrite ci-dessus, et vous permet de spécifier qu un utilisateur doit extraire un compte à forts privilèges via le serveur de gestion de l entreprise avant de se connecter à un terminal CA ControlMinder. Enregistrement de session et lecture privilégiés. L enregistrement de session et la lecture privilégiés sont désormais inclus dans CA ControlMinder Shared Account Management via l intégration à un logiciel tiers. Cette fonctionnalité facilite les audits grâce à un magnétoscope numérique pour enregistrer et lire les sessions des utilisateurs à privilèges. 9

10 Fonctionnalités complètes de workflow. CA ControlMinder Shared Account Management fournit des fonctionnalités complètes de double contrôle du workflow pour un accès régulier et urgent aux comptes à forts privilèges. Le workflow peut éventuellement être activé pour certains utilisateurs finals et/ou certains comptes à privilèges. Accès d urgence. Les utilisateurs effectuent une «extraction d urgence» lorsqu ils ont besoin de l accès immédiat à un compte qu ils ne sont pas autorisés à gérer. Les comptes d urgence sont des comptes à privilèges qui ne sont pas affectés à l utilisateur selon le rôle traditionnel de l utilisateur. Cependant, l utilisateur peut obtenir le mot de passe du compte sans intervention ni retard, le cas échéant. Dans un processus d extraction urgente, un message de notification est envoyé à l administrateur. Cependant, l administrateur ne peut ni approuver, ni arrêter le processus. Extraction applicative de Shared Account Management Application Shared Account Management vers une autre application. CA ControlMinder Shared Account Management automatise la gestion des mots de passe de compte de service qui, autrement, serait manuelle (Windows Services), gère les mots de passe utilisés par les tâches planifiées Windows qui nécessitent de se connecter au système (tâches planifiées Windows) et s intègre au mécanisme exécuté en tant que Windows pour récupérer le mot de passe de l utilisateur à forts privilèges en question à partir de Shared Account Management. Application Shared Account Management vers une autre application. CA ControlMinder Shared Account Management peut également réinitialiser automatiquement les mots de passe d ID d application. Il peut gérer les comptes de service utilisés par un serveur d applications IIS ou J2EE, ainsi que les applications qu ils hébergent, en interceptant les connexions ODBC et JDBC et en les remplaçant par les informations d identification actuelles des comptes à forts privilèges. Dans la plupart des cas, aucune modification des applications n est nécessaire pour bénéficier de cette fonctionnalité. Cette fonctionnalité nécessite d installer l agent Shared Account Management sur le terminal où l application est exécutée, ou sur le serveur J2EE s il s agit d une application Web. Extraction par programmation dans les scripts shell ou les fichiers de commandes. Vous pouvez utiliser l agent Shared Account Management à l intérieur d un script pour remplacer des mots de passe codés en dur par des mots de passe qui peuvent être extraits à partir de CA ControlMinder Shared Account Management Enterprise Management. Cela vous évite d avoir à inclure des mots de passe codés en dur à l intérieur de scripts. Pour des détails plus techniques et plus approfondis sur Shared Account Management, consultez la fiche de présentation technique de CA ControlMinder Shared Account Management. 10

11 Protection du terminal et renforcement des serveurs avec CA ControlMinder Illustration B. CA ControlMinder propose une application des règles de sécurité basée sur des rôles. CA ControlMinder Les éléments centraux de CA ControlMinder sont les agents sécurisés et renforcés qui s intègrent en natif au système d exploitation pour appliquer et auditer les règles précises nécessaires afin d assurer le respect des obligations de conformité. Les agents de terminal sont disponibles pour les principaux systèmes d exploitation, y compris les dernières versions de Linux, UNIX et Windows. La liste la plus récente des systèmes supportés se trouve sur le site Web de support de CA. CA ControlMinder propose des formats de package natifs pour l installation et la gestion de CA ControlMinder en natif sur les systèmes d exploitation supportés. Cela permet à l environnement d une grande entreprise de déployer rapidement de nombreux serveurs gérés. De plus, CA ControlMinder fournit une interface Web conviviale et cohérente pour gérer des règles, les applications et les unités de terminal. CA ControlMinder supporte en natif la plupart des plates-formes de virtualisation, y compris VMware ESX, Solaris 10 Zones et les LDOM, Microsoft Hyper-V, IBM VIO et AIX LPAR, HP-UX VPAR, Linux Xen et Mainframe x/vm, ce qui protège la couche hyperviseur et les systèmes d exploitation invités qui y sont exécutés. Dans les environnements d entreprise, il est devenu courant d utiliser un annuaire pour la gestion des utilisateurs et pour le déploiement des applications basé sur annuaire. CA ControlMinder supporte les référentiels des utilisateurs de l entreprise, c est-à-dire les référentiels pour utilisateurs et groupes natifs du système d exploitation. Cette intégration native vous permet de définir des règles d accès pour vos utilisateurs et groupes d entreprise sans avoir à synchroniser ou à importer les utilisateurs et les groupes dans la base de données de CA ControlMinder. 11

12 Protection du serveur multiplate-forme De nombreuses organisations déploient une infrastructure de serveur diversifiée, incluant les systèmes WIndows, Linux et UNIX. CA ControlMinder permet une gestion et une application cohérentes et intégrées des règles de sécurité d accès dans tous ces environnements. L architecture des règles avancée fournit une interface unique par laquelle les règles peuvent être administrées et distribuées aux souscripteurs Windows et UNIX en même temps. La consolidation de la gestion des serveurs Linux, UNIX et Windows réduit la quantité de travail d administration requise et améliore l efficacité de l administrateur système, permettant ainsi d économiser sur les coûts de gestion. Contrôle d accès très précis CA ControlMinder est une solution d application de sécurité indépendante, ce qui signifie qu elle ne s appuie pas sur le système d exploitation sous-jacent pour appliquer les règles de contrôle d accès au serveur. En fonctionnant au niveau du système, CA ControlMinder surveille et réglemente l accès aux ressources système, y compris celles qui émanent d administrateurs système domaine ou local. Ces fonctionnalités d application d accès très précises servent à réglementer, à déléguer et à contenir des administrateurs de domaine ou tout autre compte dans l environnement informatique et permet les éléments suivants : Le contrôle d emprunt d identité. CA ControlMinder contrôle les fonctionnalités de délégation des utilisateurs de substitution pour réduire l exposition des utilisateurs non autorisés qui exécutent des applications avec des privilèges avancés et pour assurer la responsabilisation de l activité des comptes partagés. Par exemple, un administrateur pourrait emprunter le profil d identité d une autre personne pour modifier les attributs de la liste de contrôle d accès d un fichier (ACL, Access Control List) sans en être tenu responsable. CA ControlMinder protège sur plusieurs niveaux en limitant d abord le nombre de ceux qui utilisent la commande Run-As et UNIX su et en préservant l ID d utilisateur d origine même après les actions d un substitut, garantissant ainsi que les enregistrements des accès des utilisateurs dans les journaux d audit affichent le compte d origine. Cela permet aux utilisateurs de se connecter en utilisant leur propre ID et en transformant leur profil en un compte à privilèges en toute sécurité et sans perte de responsabilité. Maîtrise des superutilisateurs (administrateur/root). Le compte root est une source significative de vulnérabilité, car il permet aux applications ou aux utilisateurs d endosser un niveau de privilège plus élevé que nécessaire. CA ControlMinder inspecte toutes les demandes entrantes en question au niveau du système et applique l autorisation basée sur des règles définies. Même les comptes root à privilèges ne peuvent pas contourner ce niveau de contrôle. Par conséquent, tous les utilisateurs à privilèges deviennent des utilisateurs gérés et sont responsables de leurs activités sur le système. Contrôle des accès en fonction des rôles. Les meilleures pratiques imposent que chaque administrateur dispose de privilèges suffisants pour pouvoir exercer uniquement ses fonctions. En fournissant un environnement sophistiqué de contrôle des accès basés sur des rôles, les administrateurs sont incapables de partager un mot de passe administrateur et potentiellement de tirer profit de ses privilèges associés. Par défaut, CA ControlMinder fournit des rôles d administration et d audits généraux qui peuvent être personnalisés et développés pour satisfaire les besoins de votre organisation informatique. Application très précise. Les systèmes d exploitation natifs (Linux, UNIX et Windows) proposent des fonctionnalités limitées pour déléguer de manière très précise et efficace certains droits d administration système aux comptes d utilisateurs moins puissants. CA ControlMinder fournit une application très précise et réglemente l accès en fonction de nombreux critères, y compris les attributs de réseau, l heure, le calendrier ou le programme d accès. Ses fonctionnalités sont décrites ci-dessous : 12

13 Contrôles supplémentaires très précis. Des contrôles qui offrent certains droits pour des fichiers, des services. D autres fonctions, au niveau du système d exploitation (renommer, copier, arrêter, démarrer), peuvent être affectées à un administrateur ou à un groupe d administration spécifique. Différents niveaux d application. CA ControlMinder Warning Mode est généralement utilisé par les organisations pour déterminer si les règles de sécurité proposées sont trop strictes ou trop laxistes, afin qu elles puissent être modifiées en conséquence. De plus, CA ControlMinder permet de valider instantanément les effets d une règle de sécurité sans appliquer la restriction via les paramètres de mode de Validation. Listes de contrôle d accès améliorées. CA ControlMinder propose plusieurs fonctionnalités de listes de contrôle d accès améliorées pour renforcer la capacité de l administrateur système à affecter correctement des droits d accès aux utilisateurs autorisés, y compris les listes de contrôle d accès au programme (PACL, Program Access Control List), qui permettent uniquement l accès aux ressources à partir d un programme ou d un binaire en particulier. Contrôle des accès en fonction du réseau. Les environnements ouverts d aujourd hui requièrent un contrôle strict des accès utilisateur et des informations qui circulent sur le réseau. Le contrôle des accès basé sur le réseau ajoute une autre couche de protection pour réglementer l accès au réseau. CA ControlMinder peut gérer l accès au port de réseau ou aux programmes d accès du réseau, et les règles de sécurité du réseau peuvent gérer l accès bidirectionnel par l ID, le nom d hôte, l adresse réseau, les segments ou d autres attributs du terminal. Contrôle des connexions. CA ControlMinder peut améliorer la sécurité des connexions grâce à la limitation des connexions utilisateur en initiant une adresse IP, un ID de terminal, un type de programme de connexion ou l heure de la connexion. CA ControlMinder peut également limiter les sessions de connexion simultanées d un utilisateur pour appliquer un accès utilisateur strict à un serveur. Les utilisateurs peuvent être suspendus automatiquement après trop d échecs de tentatives de connexion, ce qui protège les systèmes des attaques par force brute. De plus, CA ControlMinder propose la suspension et la révocation sécurisées des comptes d utilisateurs dans les environnements distribués. Gestion et contrôle de l accès aux environnements virtuels La virtualisation consolide plusieurs instances de serveur dans un seul ordinateur physique, en permettant un coût total de propriété plus faible et une meilleure utilisation des ordinateurs. Malheureusement, la virtualisation crée une nouvelle classe d utilisateurs à privilèges-hyperviseurs qui peuvent créer, copier, déplacer ou alors gérer ces systèmes d exploitation invités. Cela engendre un besoin supplémentaire de séparation des fonctions adéquate et de protection des ressources serveur consolidée pour s assurer que toutes les données et toutes les applications exécutées dans ces systèmes invités sont auditées et protégées de toute corruption. En utilisant CA ControlMinder, vous pourrez contrôler ces administrateurs hyperviseurs et implémenter une séparation des fonctions appropriée. Cette fonctionnalité fournit une couche de protection critique pour limiter les risques de la virtualisation. Les agents de terminal supportent une longue liste de versions de systèmes d exploitation exécutés en tant qu invités, y compris VMware ESX, Solaris 10 Zones et les LDOM, Microsoft Hyper-V, IBM VIO et AIX LPAR, HP-UX VPAR, Linux Xen et Mainframe x/vm. Renforcement du système d exploitation Une couche critique intégrée à la stratégie de défense approfondie protège le système d exploitation des accès ou des pénétrations externes non autorisées. CA ControlMinder propose plusieurs mesures de sécurité pour ajouter une couche supplémentaire de sécurité à vos serveurs. 13

14 Contrôles des fichiers et des annuaires. Les fichiers et les annuaires constituent l épine dorsale des systèmes d exploitation, toute corruption peut mener à un refus de service et à un temps d indisponibilité inattendu. CA ControlMinder fournit un caractère générique puissant et des options d accès au programme qui simplifient la gestion des règles de niveau fichier. CA ControlMinder peut appliquer le contrôle des modifications aux fichiers critiques et aux systèmes d annuaire, ce qui améliore l intégrité et la confidentialité des données. La protection de niveau fichier est disponible pour tous les types de fichiers, y compris les fichiers texte, les annuaires, les fichiers programme, les fichiers d unité, les liens symboliques, les fichiers montés NFS et les partages Windows. Exécution du programme autorisé. Pour éviter que l environnement d exploitation ne soit victime d un programme malveillant, en particulier des chevaux de Troie, CA ControlMinder fournit une protection de programme autorisé de première ligne. Les ressources sensibles peuvent être marquées comme autorisées et ces fichiers et programmes sont alors surveillés. De plus, CA ControlMinder bloque l exécution en cas de modification du programme par un programme malveillant. Les modifications au niveau des ressources autorisées peuvent être limitées à certains utilisateurs ou groupes d utilisateurs pour réduire encore plus la probabilité de modification inattendue. Protection du registre Windows. Le registre Windows est une cible facile pour les pirates et les utilisateurs malveillants, car la base de données centralisée contient des paramètres du système d exploitation, y compris ceux qui contrôlent les pilotes, les informations de configuration et le matériel d unité, ainsi que les paramètres de sécurité, d environnement et du matériel. CA ControlMinder fournit une protection du registre via le support de règles qui peut empêcher les administrateurs de modifier ou de trafiquer les paramètres de registre. CA ControlMinder peut empêcher que les clés de registre soient supprimées et que leurs valeurs correspondantes soient modifiées. Protection des services Windows. CA ControlMinder fournit une protection renforcée pour limiter le nombre d administrateurs autorisés pouvant démarrer, modifier ou arrêter les services Windows critiques. Cela protège des refus de service des applications de production, telles que les bases de données, le Web, les fichiers et l impression, qui sont toutes contrôlées en tant que services sous Windows. Il est important de protéger ces services des accès non autorisés. Confinement d application. CA ControlMinder permet de définir des actions acceptées pour les applications à haut risque. Tout comportement qui dépasse ces limites sera restreint par une fonction de confinement d application. Par exemple, une liste de contrôle d accès peut être créée en se basant sur un ID logique qui détient des processus et des services Oracle afin que son confinement lui permette uniquement de démarrer les services de système de gestion de bases de données Oracle. Enregistreur de frappes de clavier UNIX/Linux (KBL) CA ControlMinder peut limiter les actions d utilisateurs réguliers ou sensibles et peut même suivre les sessions de certains utilisateurs, mais que pouvez-vous faire pour enregistrer tout ce qui a été fait au cours d une session d utilisateur sensible? La fonctionnalité KBL de CA ControlMinder vous donne cette possibilité. KBL se situe entre le shell et le terminal/clavier et capture toutes les actions sur le clavier (entrée) et ce qui est affiché sur le terminal (sortie). Vous pouvez activer KBL simplement en modifiant le mode d audit de l administrateur/utilisateur duquel vous voulez enregistrer l activité du clavier. 14

15 CA ControlMinder Illustration C. Sélection de mode interactif KBL sous UNIX/ Linux dans la gestion des terminaux de CA ControlMinder. Fonctionnalités KBL Répéter la session (mode local sur le terminal CA ControlMinder uniquement) Imprimer la sortie/l entrée de session Imprimer les commandes de session Corrélation avec le suivi de l utilisateur CA ControlMinder Référentiel central avec les rapports CA User Activity Reporting Illustration D. Sortie de session KBL de CA ControlMinder. Les rapports KBL sont désormais disponibles dans CA User Activity Reporting avec des vues détaillées qui affichent toutes les commandes entrées dans l invite de commande et leur sortie respective. 15

16 Illustration E. Exemple de rapport KBL disponible via CA User Activity Reporting. Gestion centralisée des identités UNIX à partir d Active Directory UNAB La fonctionnalité UNAB (UNIX Authentification Broker, courtier d authentification UNIX) de CA ControlMinder vous permet de gérer les utilisateurs UNIX à partir de Microsoft AD. Il est ainsi possible de consolider les informations d authentification et de compte dans AD, plutôt que d avoir à gérer les informations d identification UNIX localement sur chaque système. Fonctionnalités UNAB Gestion centralisée de l authentification UNIX. UNAB permet de simplifier la gestion des utilisateurs UNIX locaux en validant leurs informations d identification par rapport à AD. Il n est pas nécessaire de définir les utilisateurs et les groupes dans le NIS ou localement dans le fichier /etc/passwd. Les attributs d utilisateurs, tels que le répertoire de base, le shell, l UID, le GECOS et les règles de mots de passe sont récupérés à partir d AD. Module PAM léger. UNAB apporte un petit module PAM léger sous UNIX qui est ajouté à la pile PAM du terminal. Packaging natif. UNAB propose le packaging natif, pour une installation et un déploiement facilités. Intégration avec le journal d événements Windows natif. Tous les journaux UNAB sont acheminés vers les journaux d événements Windows natifs. L audit est ainsi simplifié et consolidé, mais cela permet également l intégration avec des outils SIM tiers. Modes de fonctionnement flexibles. Vous pouvez configurer UNAB de manière à travailler en mode d intégration partielle ou totale, afin de faciliter le processus de migration. Mode d intégration partielle. Dans ce mode, le mot de passe de l utilisateur est stocké dans AD. Lors de l authentification, seule une validation du mot de passe par rapport à AD est effectuée. Les attributs d utilisateurs, tels que l UID, le répertoire de base et le groupe principal sont récupérés depuis l hôte UNIX local ou le NIS, et non depuis AD. Lorsqu un nouvel utilisateur est ajouté à l organisation, l administrateur doit le créer à la fois dans AD et dans le fichier local/etc/passwd ou dans le NIS. Les changements de schéma apportés à AD ne sont pas nécessaires au fonctionnement d UNAB en mode d intégration partielle. 16

17 Mode d intégration totale. Dans ce mode, les informations sur l utilisateur sont uniquement stockées dans AD. Il n existe aucune entrée utilisateur dans le fichier local/etc/passwd ni dans le NIS. Les attributs d utilisateurs, tels que l UID, le répertoire de base et le groupe principal sont stockés dans Active Directory et non sur l hôte UNIX local ou sur le NIS. Lorsqu un nouvel utilisateur est ajouté à l organisation, l administrateur doit uniquement le créer dans AD et fournir les attributs UNIX requis. Le mode d intégration totale nécessite Windows 2003 R2, qui supporte les attributs UNIX. Mappage d attributs LDAP dynamique. Si Windows 2003 R2, nécessaire pour le mode d intégration totale, n est pas supporté par votre organisation, UNAB dispose d une fonctionnalité qui vous permet de mapper de manière dynamique des attributs UNIX à des attributs AD non standard. L extension ou le changement du schéma AD est ainsi simplifié. Fonctionnalités de mise en cache améliorées et support local. UNAB met en cache chaque connexion établie dans sa base de données SQLite locale. Les informations mises en cache incluent le nom d utilisateur, les attributs d utilisateurs, l appartenance au groupe et la valeur de hachage du mot de passe. Si UNAB ne parvient pas à se connecter à AD, il va alors tenter de valider les informations d identification de l utilisateur par rapport au cache local. C est ce que l on appelle le support de la «connexion hors-ligne». Vous pouvez configurer la durée de conservation des enregistrements utilisateurs dans le cache local. Les utilisateurs locaux, par exemple l utilisateur «root» ou les comptes d application et les comptes système, peuvent se connecter quelle que soit la connectivité AD. Authentification unique UNAB. Cette fonctionnalité vous permet de mettre en oeuvre l authentification unique sur tous les hôtes UNAB compatibles avec Kerberos dans votre environnement. Si vous vous connectez à un hôte UNAB compatible avec Kerberos, vous pouvez alors vous connecter automatiquement à tout autre hôte UNAB à l aide de vos informations d identification Kerberos. En pratique, cela correspond à une solution d authentification unique au sein de l environnement. Règles de noms d utilisateurs centralisées. Une fois que vous avez activé UNAB sur un terminal UNIX, des règles de noms d utilisateurs centralisées contrôlent les utilisateurs ayant accès à tel ou tel hôte ou groupe d hôtes UNIX. Ces règles de noms d utilisateurs sont gérées et distribuées à l aide de l IU de CA ControlMinder Enterprise Management et sont stockées localement sur chaque terminal de la base de données SQLite. Des règles de noms d utilisateurs peuvent être appliquées à un hôte ou à un groupe d hôtes UNIX. Des règles de portée peuvent être définies en fonction des utilisateurs et des groupes AD, permettant ainsi de réduire les frais généraux d administration. Illustration F. Courtier d authentification UNIX. 17

18 Accès à l audit et au reporting à l aide de CA User Activity Reporting pour les utilisateurs à privilèges La conformité signifie que vous devez disposer des règles appropriées, que ces dernières doivent être déployées et, plus important encore, que vous devez être en mesure de prouver que vous êtes en conformité, à la fois avec les règles d entreprise et les normes réglementaires. Vous devez également tenir compte de tout écart vis à vis de ces règles. Pour être en mesure de garantir la conformité, les solutions de protection des ressources serveur doivent générer des rapports qui attestent des règles de mots de passe, des niveaux d autorisation et de la séparation de fonctions. CA ControlMinder comprend une licence CA User Activity Reporting. Elle vous permet de visualiser l état de sécurité des utilisateurs, des groupes et des ressources en collectant des données à partir de chaque terminal de l entreprise. Ces données sont ensuite cumulées à un emplacement central et leurs résultats sont analysés et comparés à la règle d entreprise. Enfin, un rapport est généré. Cette licence CA User Activity Reporting est limitée à la collecte et au reporting des événements CA ControlMinder. Si vous souhaitez disposer de davantage de fonctionnalités de reporting, vous devez vous procurer une licence CA User Activity Reporting Module complète. Le service de reporting fonctionne de manière indépendante pour la collecte des règles effectives sur chaque terminal, de façon périodique. Le système dispose d une fonctionnalité de résilience intégrée. En effet, le reporting de l état des terminaux ne nécessite aucune intervention manuelle, que le serveur de collecte fonctionne ou non. En outre, les composants du service de reporting sont extérieurs au système d application CA ControlMinder et ils ne nécessitent aucune interruption des fonctions d application des terminaux en cas de reconfiguration ou de personnalisation des rapports. Le service de reporting est structuré de manière à permettre le reporting de l état des règles appliquées par chaque terminal. Vous pouvez élaborer des rapports personnalisés à différentes fins ou utiliser l un des 60 rapports prêts à l emploi fournis par CA ControlMinder. Conformité aux règles et rapports sur les droits Aujourd hui, le reporting de conformité ne se limite plus à la génération de rapports basés sur les événements relatifs à des actions passées. À présent, la mise en conformité nécessite également des rapports proactifs qui permettent de mettre en valeur l état des règles à tout moment. Pour cela, CA ControlMinder dispose d une fonction de reporting proactif des droits d accès des utilisateurs et des preuves des contrôles d accès existants. Par défaut, le service de reporting de CA ControlMinder intègre plus de 60 rapports standard qui offrent des informations détaillées sur les droits et sur l état actuel des règles déployées (et des déviations observées). Ces rapports fournissent immédiatement de la valeur car ils constituent un complément à l audit basé sur les événements pour la surveillance des exigences de conformité et pour la mise en valeur des incohérences existantes. Voici les principaux rapports standard. Les rapports de gestion des règles vous permettent de voir l état du déploiement des règles et les écarts par rapport aux règles standard. Les rapports sur les droits vous permettent de voir les droits dont bénéficient les utilisateurs et les groupes sur les ressources système. Ils peuvent également servir à identifier les personnes qui ont accès à des ressources spécifiques. Ils sont utilisés notamment pour voir qui dispose d un accès root aux ressources. Les rapports de gestion des utilisateurs vous permettent de voir les comptes inactifs, l appartenance à un utilisateur ou à un groupe et les comptes d administration, mais également de gérer la séparation de fonctions. 18

19 Les rapports de gestion de mots de passe fournissent des informations relatives au vieillissement des mots de passe, à la conformité aux règles de mots de passe, etc. Les rapports d accès des utilisateurs à privilèges apportent des informations détaillées sur toutes les activités des utilisateurs à privilèges, notamment l extraction, l archivage, l approbation de flux de travaux, ainsi que d autres actions. Illustration G. Rapport CA ControlMinder Shared Account Management affichant les comptes à forts privilèges par type de terminal. Les rapports d authentification UNIX fournissent toutes les données de droits et de rapport relatives au composant UNAB de CA ControlMinder. Illustration H. Rapport UNAB détaillé affichant les utilisateurs AD globaux avec attributs UNIX. L assistant de découverte des utilisateurs à privilèges (assistant initié par l utilisateur) recherche les utilisateurs à privilèges au sein de l organisation et produit automatiquement un rapport. 19

20 Le reporting de règles ouvert fourni par CA ControlMinder repose sur un système RDBMS standard. L interopérabilité avec des systèmes externes permet aux administrateurs d exécuter des rapports de règles à l aide de l outil de reporting de leur choix. Ils peuvent également personnaliser la mise en page des rapports pour les rendre conformes aux normes internes ou aux exigences de l auditeur. Fiche d évaluation du déploiement des règles Illustration I. Exemple de rapport affichant un cliché à un point donné dans le temps conforme à des règles spécifiques. CA ControlMinder Enterprise Management Avec des ressources de serveur toujours plus complexes et exigeantes en termes d évolutivité, il est essentiel d être en mesure d implémenter et d appliquer une règle centralisée pour le contrôle des accès au sein de toute l entreprise. Il est cependant nécessaire de s adapter aux exceptions locales et aux besoins métier. CA ControlMinder compte un grand nombre de fonctionnalités de pointe destinées à faciliter et à rationaliser la gestion des accès, tout en permettant des exceptions de manière responsable et visible. Regroupement d hôtes logique Vous pouvez regrouper vos terminaux en groupes d hôtes logiques, pour ensuite affecter des règles basées sur l appartenance à ces groupes, quelle que soit l organisation physique de vos terminaux. Les hôtes peuvent appartenir à un certain nombre de groupes d hôtes logiques, en fonction de leurs propriétés et de leurs exigences en termes de règles. Par exemple, si vous disposez d hôtes fonctionnant sous Red Hat et sous Oracle, ils peuvent être membres d un groupe d hôtes logique Red Hat, afin de disposer des règles de contrôle des accès Red Hat de référence, tout en appartenant à un groupe d hôtes logique Oracle, afin de disposer des règles de contrôle des accès Oracle de référence. Les groupes d hôtes logiques sont utilisables aussi bien dans Shared Account Management que dans les composants UNAB de CA ControlMinder. Dans Shared Account Management, les groupes d hôtes logiques, tels que les serveurs de bases de données peuvent disposer d une règle commune qui autorise les utilisateurs à forts privilèges à accéder à ces serveurs. Dans UNAB, il est possible d appliquer un ensemble de règles de noms d utilisateurs à un groupe d hôtes logique, afin de permettre aux utilisateurs de se connecter de manière sélective, en fonction de leurs informations d identification Active Directory. 20