解 決 方 案 簡 介 CA ControlMinder 我 要 如 何 控 制 整 個 企 業 間 的 授 權 使 用 者 存 取? agility made possible
TM 是 一 個 完 善 的 授 權 身 分 管 理 解 決 方 案, 可 供 您 管 理 企 業 間 的 授 權 使 用 者 密 碼 提 報 使 用 者 活 動, 並 進 行 精 細 的 權 責 區 分 2
高 層 摘 要 挑 戰 您 不 是 唯 一 擔 心 如 何 保 護 位 於 伺 服 器 上 敏 感 資 料 與 應 用 程 式 的 人 資 料 價 值 愈 來 愈 高, 法 規 愈 來 愈 嚴 格, 以 及 需 要 存 取 關 鍵 伺 服 器 裝 置 和 應 用 程 式 的 使 用 者 愈 來 愈 多, 這 些 因 素 都 使 得 保 護 敏 感 資 訊 與 智 慧 財 產 變 得 更 為 困 難 管 理 授 權 使 用 者 的 挑 戰 包 括 如 何 管 理 與 每 個 授 權 使 用 者 相 關 的 關 鍵 資 料 存 取 以 及 密 碼 這 迫 使 您 必 須 更 努 力 地 管 理 大 型 複 雜 和 多 樣 環 境 中 的 授 權 使 用 者 同 時, 您 的 IT 組 織 必 須 持 續 回 應 業 務 要 求, 因 此 您 有 時 需 要 破 例, 又 要 繼 續 維 護 安 全 性 並 確 認 責 任 當 今 的 組 織 也 面 對 愈 來 愈 具 挑 戰 性 且 嚴 格 的 稽 核 和 監 管 要 求, 這 都 是 您 必 須 解 決 的 問 題 您 可 以 仰 賴 作 業 系 統 中 原 始 的 安 全 性 功 能, 但 這 樣 做 將 造 成 責 任 區 分 管 理 能 力 以 及 違 例 的 安 全 考 量 除 了 實 施 安 全 性 原 則 外, 您 必 須 維 護 和 管 理 UNIX 上 的 身 分, 這 又 是 另 一 項 挑 戰 UNIX 往 往 是 獨 立 管 理 的, 因 此 提 高 了 管 理 的 成 本 與 人 力 機 會 您 需 要 一 個 單 一 集 中 且 獨 立 的 安 全 性 系 統, 用 來 保 護 整 個 企 業 間 的 伺 服 器 裝 置 和 應 用 程 式 資 源, 提 供 一 個 彈 性 且 可 靠 的 方 法, 透 過 指 派 必 要 的 權 限 給 授 權 管 理 員 以 管 理 進 階 使 用 者 的 帳 戶 這 個 安 全 系 統 也 必 須 能 夠 提 供 可 靠 的 控 制, 管 理 授 權 使 用 者 集 中 驗 證 並 提 供 一 個 可 靠 的 稽 核 與 報 告 基 礎 結 構 CA ControlMinder 於 系 統 層 級 操 作, 以 確 保 在 包 括 Windows UNIX Linux 和 虛 擬 化 環 境 的 不 同 系 統 間 實 施 有 效 率 且 一 致 的 作 業 您 可 以 透 過 進 階 原 則 管 理 功 能, 將 伺 服 器 安 全 性 政 策 分 配 到 端 點 裝 置 伺 服 器 和 應 用 程 式 以 控 管 授 權 使 用 者 此 外, 您 可 以 安 全 地 支 援 稽 核 每 個 原 則 變 更 和 實 施 活 動, 以 符 合 全 球 法 規 的 要 求 CA ControlMinder 提 供 一 個 完 整 的 存 取 管 理 方 法, 包 括 保 護 且 鎖 住 關 鍵 資 料 和 應 用 程 式, 管 理 授 權 身 分, 以 Microsoft Active Directory (AD) 集 中 驗 證 UNIX 的 主 要 功 能, 並 提 供 一 個 安 全 的 稽 核 與 報 告 基 礎 結 構 3
益 處 CA ControlMinder 可 供 您 建 立 部 署 並 管 理 複 雜 的 精 細 存 取 控 制 原 則, 確 保 只 有 已 獲 得 授 權 的 使 用 者 能 夠 存 取 您 最 敏 感 的 資 料 與 應 用 程 式 有 了 多 平 台 ( 包 括 虛 擬 ) 支 援 以 及 與 其 他 CA Identity and Access Management 系 列 產 品 的 整 合,CA ControlMinder 能 夠 : 跨 越 不 同 平 台 規 範 並 稽 核 對 您 的 關 鍵 伺 服 器 裝 置 與 應 用 程 式 的 存 取 管 理 授 權 使 用 者 密 碼 可 供 您 主 動 對 授 權 使 用 者 進 行 精 細 的 控 制 透 過 建 立 伺 服 器 存 取 原 則 並 進 行 報 告, 達 成 您 內 部 與 法 令 規 範 遵 循 的 要 求 透 過 集 中 管 理 您 在 世 界 各 地 的 企 業 之 安 全 性, 協 助 降 低 管 理 成 本 從 一 個 單 一 的 Active Directory 使 用 者 儲 存 區 驗 證 UNIX 和 Linux 授 權 使 用 者 強 化 作 業 系 統, 降 低 外 部 安 全 風 險 並 推 動 作 業 環 境 可 靠 度 整 合 OOTB 與 稽 核 基 礎 結 構, 建 立 深 入 的 特 定 監 管 報 告 第 1 節 : 挑 戰 伺 服 器 : 當 前 資 料 中 心 複 雜 性 的 根 源 管 理 大 型 環 境 間 的 安 全 性 原 則 仍 是 一 項 挑 戰, 特 別 是 必 須 回 應 業 務 要 求 的 情 況 下, 包 括 具 有 視 不 同 需 求 破 例 實 施 的 彈 性 現 在 的 資 料 中 心 需 要 完 善 的 能 見 度, 以 檢 視 不 斷 擴 張 的 伺 服 器 裝 置 以 及 應 用 程 式 資 源 的 組 合, 同 時 確 保 變 更 的 責 任 歸 屬 並 保 護 位 於 資 料 中 心 中 的 敏 感 資 訊 無 法 管 理 授 權 使 用 者 已 成 為 高 度 機 密 資 料 外 洩 的 首 要 原 因 維 護 資 料 完 整 性 是 IT 專 業 人 士 最 重 要 的 工 作 之 一 而 懷 抱 所 有 這 些 新 的 資 料 中 心 延 展 能 力 與 彈 性 的 科 技, 卻 未 權 衡 與 這 些 新 科 技 相 關 的 安 全 性 與 資 料 保 護 要 求, 是 一 個 關 鍵 的 錯 誤 監 管 人 員 正 在 監 看 中 根 據 Privacy Rights Clearinghouse ( 隱 私 權 資 料 中 心 ) 的 資 料, 自 2005 年 起, 在 美 國 有 超 過 3 億 4 千 萬 敏 感 個 人 資 訊 的 記 錄 涉 及 安 全 漏 洞 的 問 題, 其 造 成 龐 大 的 違 例 罰 款, 監 控 受 害 者 的 信 用, 重 新 發 行 信 用 卡 與 金 融 卡 以 及 修 復 受 損 的 品 牌 商 譽 1 這 些 持 續 的 漏 洞 已 使 得 世 界 各 地 的 政 府 組 織 必 須 施 行 更 有 效 的 資 料 保 護 與 資 訊 安 全 實 務 如 HIPAA GLBA Sarbanes-Oxley EU Data Privacy Directive ISO27001 PIPEDA 以 及 Basel II 等 法 規 均 致 力 於 解 決 這 些 問 題 4
付 款 卡 產 業 資 料 安 全 性 標 準 (PCI DSS) 將 上 述 許 多 法 規 架 構 帶 到 下 一 個 層 級 指 定 一 系 列 必 須 滿 足 才 能 保 護 持 卡 人 資 料 的 12 項 需 求,PCI DSS 已 強 制 IT 組 織 採 用 另 一 個 層 級 的 責 任 歸 屬 此 外,Sarbanes-Oxley 法 案 具 有 權 責 劃 分 相 關 的 固 定 需 求, 可 確 保 複 雜 商 業 程 序 的 責 任 分 散 於 許 多 資 源, 以 提 供 這 些 功 能 的 檢 查 和 平 衡 因 而 實 作 了 精 密 的 資 源 保 護, 以 符 合 這 些 需 求 您 還 必 須 提 供 精 細 的 稽 核 記 錄 和 報 表, 以 增 強 各 項 稽 核 的 控 制 原 則 狀 態 和 安 全 的 伺 服 器 存 取 日 誌 這 些 規 範 指 定 了 細 微 的 控 制 和 跨 平 台 一 致 性, 以 確 保 職 責 劃 分 ( 尤 其 是 在 混 合 的 作 業 系 統 環 境 中 ) 此 外, 在 洩 漏 事 件 中, 還 規 定 要 具 備 仔 細 研 究 事 件 的 能 力 這 樣 就 能 夠 在 集 中 日 誌 存 放 庫 中 收 集 和 整 合 稽 核 資 料 最 後, 隨 著 法 規 要 求 日 益 嚴 格, 規 範 遵 循 報 告 就 變 成 所 有 伺 服 器 安 全 性 解 決 方 案 的 重 要 層 面 報 表 必 須 很 精 確, 可 滿 足 有 問 題 的 特 定 需 求, 並 以 容 易 瞭 解 的 方 式 呈 現 輸 出 機 密 資 料 位 於 您 的 伺 服 器 上 我 們 所 面 對 的 對 手 類 型 不 斷 變 化, 再 也 不 能 夠 假 設 攻 擊 者 僅 是 外 面 的 不 露 面 無 名 駭 客 現 今 的 攻 擊 者 也 有 可 能 是 道 德 和 忠 誠 度 可 疑 的 不 滿 員 工 破 壞 份 子 或 業 務 夥 伴 因 此, 您 必 須 保 護 伺 服 器 資 源, 以 免 外 部 攻 擊 者 ( 依 然 存 在 ) 和 內 部 人 員 破 壞 尤 其 是 獲 得 授 權 的 使 用 者, 他 們 可 以 存 取 位 於 其 有 權 存 取 之 每 個 伺 服 器 裝 置 或 應 用 程 式 上 的 所 有 機 密 資 料 保 護 伺 服 器 以 及 強 制 執 行 這 些 授 權 使 用 者 的 責 任 歸 屬, 這 些 工 作 相 當 複 雜 伺 服 器 管 理 員 常 用 的 技 巧 就 是 共 用 授 權 使 用 者 帳 戶 以 及 使 用 一 般 登 入, 如 administrator 或 root 這 可 能 會 有 問 題, 原 因 如 下 : 稽 核 問 題 : 共 用 使 用 者 帳 戶 會 讓 稽 核 記 錄 無 法 確 實 識 別 哪 個 管 理 員 在 伺 服 器 上 做 了 哪 些 變 更, 進 而 損 害 符 合 法 規 需 求 的 重 要 責 任 歸 屬 資 料 存 取 : 這 些 共 用 帳 戶 通 常 會 讓 授 權 使 用 者 獲 得 重 要 系 統 和 資 料 的 存 取 權, 主 要 是 因 為 難 以 用 精 細 的 存 取 規 則 來 管 理 用 於 上 千 部 伺 服 器 的 單 一 原 則 授 權 使 用 者 存 取 權 再 加 上 管 理 員 的 粗 心 大 意, 通 常 會 對 企 業 的 永 續 經 營 造 成 影 響 同 時, 在 欠 缺 責 任 歸 屬 的 情 況 下, 幾 乎 無 法 回 溯 追 蹤 到 犯 錯 的 特 定 管 理 員, 因 而 導 致 安 全 性 和 責 任 歸 屬 問 題 1 來 源 : 隱 私 權 Clearinghouse 2010 年 1 月 5
管 理 授 權 使 用 者 密 碼 的 複 雜 度 除 了 維 護 授 權 使 用 者 存 取 權 的 責 任 歸 屬, 還 必 須 適 時 以 安 全 的 方 式 儲 存 變 更 和 散 佈 這 些 共 用 密 碼, 才 能 符 合 公 司 安 全 性 原 則 有 很 多 應 用 程 式 也 會 在 Shell 指 令 碼 和 批 次 檔 中 使 用 硬 式 密 碼, 實 際 上 會 使 問 題 變 得 更 嚴 重 這 些 密 碼 屬 於 靜 態 密 碼, 能 夠 存 取 指 令 碼 的 任 何 人 都 能 使 用, 包 含 惡 意 入 侵 者 在 內 增 加 管 理 UNIX 身 分 的 管 理 負 擔 UNIX 存 取 權 目 前 是 以 多 個 分 散 式 帳 戶 存 放 區 來 獨 立 管 理, 而 使 用 者 在 不 同 系 統 上 擁 有 許 多 帳 戶 這 會 提 高 管 理 成 本 和 負 擔, 還 會 提 高 環 境 的 整 體 複 雜 性, 因 為 有 大 量 關 鍵 任 務 應 用 程 式 需 仰 賴 UNIX 才 能 執 行 與 使 用 根 據 一 份 Verizon 2010 年 的 報 告,48% 的 資 料 外 洩 是 因 為 內 部 使 用 者 造 成 的, 比 前 一 年 增 加 了 26% 虛 擬 化 挑 戰 在 這 個 多 樣 化 的 世 界 中, 最 重 要 的 就 是 強 制 實 施 一 致 的 原 則 並 整 合 各 伺 服 器 的 記 錄 作 業 需 要 管 理 的 伺 服 器 和 裝 置 數 目 急 劇 增 加, 使 這 些 問 題 變 得 更 複 雜 虛 擬 機 器 不 斷 擴 增, 代 表 需 要 管 理 的 伺 服 器 愈 來 愈 多, 而 因 為 Hypervisor 不 在 意 哪 個 作 業 系 統 是 來 賓, 此 舉 使 異 質 問 題 加 劇 然 而, 維 護 此 擴 充 虛 擬 化 資 料 中 心 的 安 全 性 極 度 受 到 忽 視 除 了 稽 核 功 能 以 外, 虛 擬 化 還 可 產 生 新 的 Hypervisor 虛 擬 層 授 權 使 用 者 類 別, 這 類 使 用 者 可 以 建 立 複 製 移 動 或 管 理 這 些 來 賓 作 業 系 統, 進 而 增 加 適 當 劃 分 職 責 的 需 求, 以 免 在 這 些 來 賓 中 執 行 的 資 料 和 應 用 程 式 受 到 危 害 第 2 節 : 機 會 管 理 和 控 制 整 個 外 延 企 業 的 授 權 使 用 者 存 取 從 管 理 觀 點 而 言, 由 一 位 系 統 管 理 員 負 責 管 理 若 干 執 行 特 定 應 用 程 式 的 伺 服 器, 這 種 舊 的 模 式 已 不 敷 需 要 管 理 員 現 在 越 來 越 專 精 於 處 理 更 分 散 和 更 複 雜 的 應 用 程 式 與 生 俱 來 的 複 雜 性 由 於 伺 服 器 硬 體 作 業 系 統 及 採 用 虛 擬 化 技 術 的 應 用 程 式 各 自 發 展, 使 這 種 專 業 能 力 更 加 複 雜 現 在 的 電 子 郵 件 伺 服 器 和 資 料 庫 可 以 在 相 同 的 實 體 伺 服 器 上 執 行, 使 環 境 大 為 複 雜 因 此, 這 些 管 理 員 需 要 以 特 殊 權 限 的 密 碼 來 安 全 地 登 入, 也 需 要 有 不 同 等 級 的 權 限 來 存 取 應 用 程 式 作 業 系 統 Hypervisor 及 裝 置 ( 例 如 路 由 器 ) 6
如 果 讓 所 有 這 些 管 理 員 擁 有 無 上 限 的 權 限, 會 引 起 嚴 重 的 安 全 風 險 特 殊 權 限 帳 戶 (Windows 中 的 系 統 管 理 員 UNIX 中 的 root) 可 以 執 行 任 何 程 式 修 改 任 何 檔 案, 及 / 或 停 止 任 何 處 理 程 序 如 果 無 法 約 束 這 些 授 權 使 用 者, 讓 他 們 只 執 行 職 責 範 圍 內 的 工 作, 以 及 將 特 定 的 管 理 動 作 指 派 由 特 定 人 員 負 責, 無 疑 地 將 會 造 成 安 全 和 責 任 缺 口, 並 違 反 目 前 安 全 法 規 的 重 要 規 定 授 權 使 用 者 可 能 不 小 心 或 惡 意 犯 錯 有 效 地 管 理 獲 授 權 使 用 者 能 夠 : 以 自 動 方 式 保 護 管 理 及 分 送 授 權 使 用 者 認 證 只 在 適 當 人 員 有 需 要 時, 才 將 必 要 的 許 可 權 委 派 給 他 們, 藉 以 掌 控 這 些 使 用 者 維 持 這 些 使 用 者 的 責 任 歸 屬, 也 能 夠 報 告 他 們 的 動 作 這 些 管 理 員 在 工 作 時 不 會 洩 露 機 密 資 料 或 業 務 關 鍵 資 源 此 外, 對 於 管 理 員 及 其 動 作, 這 種 作 法 也 提 供 稽 核 記 錄 和 責 任 歸 屬 實 施 再 者, 面 對 與 日 俱 增 的 成 本 縮 減 壓 力, 在 使 用 者 認 證 領 域 方 面, 為 了 整 合 UNIX 和 Windows 環 境,IT 組 織 需 要 克 服 內 部 障 礙 CA ControlMinder CA ControlMinder 可 集 中 控 管 授 權 使 用 者 對 於 各 種 伺 服 器 裝 置 及 應 用 程 式 的 存 取 權, 以 符 合 內 部 原 則 和 外 部 法 規 CA ControlMinder 優 於 原 生 作 業 系 統 可 用 的 基 本 控 制, 且 符 合 最 嚴 格 的 公 司 政 策 和 規 章, 能 夠 從 單 一 管 理 主 控 台 來 跨 平 台 建 立 部 署 及 管 理 複 雜 又 精 細 的 存 取 控 制 原 則 整 個 解 決 方 案 稱 為 CA ControlMinder, 由 下 列 元 件 組 成 : CA ControlMinder Shared Account Management 可 以 安 全 地 存 放 和 存 取 授 權 使 用 者 密 碼 端 點 防 護 與 伺 服 器 強 化 包 含 CA ControlMinder 的 核 心 元 素, 用 來 強 化 作 業 系 統 和 執 行 細 微 的 角 色 型 存 取 控 制 UNIX 驗 證 橋 接 (UNAB) 可 讓 UNIX 和 Linux 使 用 者 以 Active Directory 認 證 來 進 行 驗 證 CA User Activity Reporting 整 合 可 讓 您 將 所 有 CA ControlMinder 稽 核 記 錄 集 中 收 集 和 合 併 到 中 央 儲 存 庫, 而 這 個 儲 存 庫 可 用 於 進 階 報 告 事 件 交 互 關 聯 及 警 示 7
CA ControlMinder Shared Account Management 圖 A CA ControlMinder Shared Account Management 共 用 帳 戶 管 理 可 安 全 地 存 取 特 殊 權 限 帳 戶, 這 有 助 於 核 發 暫 時 單 次 使 用 的 密 碼, 以 確 認 特 殊 權 限 存 取 的 責 任 歸 屬, 或 依 需 要 來 核 發 密 碼, 以 透 過 安 全 稽 核 來 確 認 使 用 者 動 作 的 責 任 歸 屬 這 也 稱 為 管 理 移 出 (Administrative Check-out) CA ControlMinder 的 設 計 也 可 讓 應 用 程 式 透 過 程 式 設 計 存 取 系 統 密 碼, 如 此, 即 可 從 指 令 碼 批 次 檔 ODBC 及 JDBC 包 裝 函 式 中 移 除 硬 式 密 碼 這 稱 為 應 用 移 出 (Applicative Check-out) 共 用 帳 戶 管 理 的 支 援 適 用 於 實 體 或 虛 擬 環 境 中 的 許 多 伺 服 器 應 用 程 式 ( 包 括 資 料 庫 ) 及 網 路 裝 置 CA ControlMinder Shared Account Management 功 能 共 用 密 碼 的 安 全 存 放 共 用 帳 戶 管 理 將 重 要 的 應 用 程 式 和 系 統 密 碼 儲 存 在 安 全 保 護 的 資 料 存 放 區 需 要 存 取 這 些 機 密 密 碼 的 使 用 者 可 利 用 直 覺 簡 易 的 Web UI 來 移 出 和 移 入 這 些 密 碼 共 用 帳 戶 管 理 實 施 特 殊 權 限 存 取 原 則 來 控 管 哪 些 使 用 者 可 使 用 哪 些 共 用 帳 戶 共 用 帳 戶 密 碼 原 則 每 一 個 透 過 共 用 帳 戶 管 理 所 管 理 的 密 碼, 皆 可 有 相 關 聯 的 密 碼 原 則 來 定 義 密 碼 的 唯 一 性 這 樣 可 確 保 端 點 系 統 應 用 程 式 或 資 料 庫 可 接 受 共 用 帳 戶 管 理 所 產 生 的 密 碼 密 碼 原 則 也 決 定 密 碼 驗 證 自 動 為 帳 戶 建 立 新 密 碼 的 間 隔 時 間 自 動 探 索 帳 戶 共 用 帳 戶 管 理 會 在 連 接 到 Shared Account Management Enterprise Management 伺 服 器 的 受 管 理 端 點 上, 自 動 探 索 所 有 帳 戶 如 此, 共 用 帳 戶 管 理 管 理 者 即 可 決 定 要 使 用 哪 些 帳 戶 這 些 帳 戶 再 指 派 給 特 殊 權 限 的 存 取 角 色, 而 這 個 角 色 可 以 在 共 用 帳 戶 管 理 原 則 中 授 與 一 般 使 用 者 8
無 代 理 程 式 架 構 CA ControlMinder Shared Account Management 提 供 伺 服 器 型 架 構, 將 部 署 工 作 和 風 險 降 到 最 低 CA ControlMinder Shared Account Management 所 管 理 的 端 點 上 不 需 要 代 理 程 式 所 有 連 線 都 是 從 CA ControlMinder Enterprise Management 伺 服 器 上 利 用 原 生 功 能 來 處 理 例 如, 資 料 庫 使 用 JDBC,UNIX 和 Linux 使 用 SSH, Windows 使 用 WMI 與 問 題 工 單 和 服 務 台 系 統 整 合 與 CA Service Desk Manager 整 合, 可 以 在 請 求 和 緊 急 作 業 中 新 增 服 務 台 問 題 工 單 驗 證 服 務 台 問 題 工 單, 以 及 讓 核 准 者 檢 視 問 題 工 單 的 其 他 資 訊 特 殊 權 限 的 存 取 稽 核 和 報 告 所 有 特 殊 權 限 的 存 取 都 是 在 CA ControlMinder Shared Account Management 內 稽 核 和 記 錄 CA User Activity Reporting 提 供 強 大 的 記 錄 和 相 互 關 聯 功 能, 包 括 能 夠 使 系 統 應 用 程 式 或 資 料 庫 產 生 的 原 生 記 錄 與 共 用 帳 戶 管 理 記 錄 相 互 關 聯 再 者, 如 果 CA ControlMinder 安 裝 在 伺 服 器 端 點 (UNIX Linux 及 Windows), 則 還 可 追 蹤 和 稽 核 所 有 授 權 使 用 者 的 活 動 這 些 記 錄 也 可 以 集 中 在 CA User Activity Reporting 中, 並 且 與 CA ControlMinder Shared Account Management 所 產 生 的 移 出 事 件 相 互 關 聯 密 碼 還 原 和 回 復 如 果 CA ControlMinder Shared Account Management 端 點 故 障, 端 點 可 能 從 不 是 最 新 的 備 份 來 還 原 在 此 情 況 下, 共 用 帳 戶 管 理 儲 存 的 密 碼 不 符 合 從 端 點 還 原 的 密 碼 CA ControlMinder Enterprise Management 伺 服 器 會 顯 示 先 前 使 用 的 密 碼 清 單, 並 提 供 選 項 將 端 點 還 原 到 目 前 的 共 用 帳 戶 管 理 組 態 共 用 帳 戶 管 理 管 理 移 出 共 用 帳 戶 存 取 的 責 任 歸 屬 CA ControlMinder Shared Account Management 提 供 獨 佔 移 出 功 能, 只 允 許 特 定 個 人 隨 時 移 出 帳 戶 再 者, 共 用 帳 戶 管 理 還 可 將 系 統 上 的 存 取 事 件 與 共 用 帳 戶 管 理 應 用 程 式 產 生 的 移 出 事 件 相 互 關 聯, 以 追 蹤 原 始 使 用 者 動 作 共 用 帳 戶 管 理 自 動 登 入 這 項 功 能 可 讓 使 用 者 申 請 密 碼, 然 後 按 一 下 按 鈕 即 可 使 用, 將 使 用 者 以 授 權 使 用 者 身 分 登 入 目 標 系 統, 且 完 全 看 不 到 實 際 密 碼, 以 此 簡 化 和 保 護 程 序 這 樣 可 防 止 竊 聽 密 碼 並 加 速 密 碼 申 請 程 序 共 用 帳 戶 管 理 與 CA ControlMinder 的 進 階 整 合 進 階 的 共 用 帳 戶 管 理 /CA ControlMinder 整 合 可 讓 您 整 合 CA ControlMinder 端 點 與 共 用 帳 戶 管 理, 以 追 蹤 移 出 特 殊 權 限 帳 戶 的 使 用 者 所 執 行 的 活 動 唯 有 與 上 述 的 共 用 帳 戶 管 理 自 動 登 入 功 能 一 起 使 用 時, 才 支 援 這 項 功 能, 且 這 項 功 能 可 讓 您 指 定 使 用 者 必 須 先 透 過 Enterprise Management 伺 服 器 移 出 特 殊 權 限 帳 戶, 才 能 登 入 CA ControlMinder 端 點 9
特 殊 權 限 工 作 階 段 錄 製 和 播 放 CA ControlMinder Shared Account Management 與 協 力 廠 商 軟 體 整 合 後, 現 在 可 以 錄 製 和 播 放 特 殊 權 限 工 作 階 段 這 項 功 能 可 透 過 DVR 類 型 功 能 來 協 助 稽 核, 以 錄 製 和 播 放 授 權 使 用 者 工 作 階 段 使 用 內 容 完 整 工 作 流 程 功 能 CA ControlMinder Shared Account Management 提 供 完 整 的 雙 重 控 制 工 作 流 程 功 能, 以 支 援 正 常 和 緊 急 存 取 特 殊 權 限 的 帳 戶 對 於 某 些 一 般 使 用 者 及 / 或 某 些 特 殊 權 限 帳 戶, 可 以 選 擇 性 地 啟 用 此 工 作 流 程 緊 急 存 取 當 使 用 者 需 要 立 即 存 取 他 們 無 權 管 理 的 帳 戶 時, 他 們 可 以 執 行 緊 急 移 出 緊 急 帳 戶 是 指 根 據 使 用 者 傳 統 角 色 而 未 指 派 給 使 用 者 的 特 殊 權 限 帳 戶 不 過, 必 要 時, 使 用 者 可 以 立 即 取 得 帳 戶 密 碼, 不 受 干 預 也 毫 不 延 遲 在 緊 急 移 出 過 程 中, 通 知 訊 息 會 傳 送 給 管 理 員 不 過, 管 理 員 無 法 核 准 也 無 法 停 止 程 序 共 用 帳 戶 管 理 應 用 移 出 共 用 帳 戶 管 理 應 用 程 式 對 應 用 程 式 CA ControlMinder Shared Account Management 可 以 自 動 管 理 原 本 手 動 的 服 務 帳 戶 密 碼 (Windows 服 務 ) 管 理 需 要 登 入 系 統 的 Windows 排 程 工 作 使 用 的 密 碼 (Windows 排 程 工 作 ), 以 及 與 Windows 執 行 身 分 機 制 整 合 來 從 共 用 帳 戶 管 理 擷 取 相 關 授 權 使 用 者 的 密 碼 共 用 帳 戶 管 理 應 用 程 式 對 資 料 庫 CA ControlMinder Shared Account Management 也 可 以 自 動 重 設 應 用 程 式 ID 密 碼 共 用 帳 戶 管 理 可 以 攔 截 ODBC 和 JDBC 連 線, 更 換 成 特 殊 權 限 帳 戶 的 目 前 認 證, 以 管 理 IIS 或 J2EE 應 用 程 式 伺 服 器 及 其 代 管 的 應 用 程 式 所 使 用 的 服 務 帳 戶 在 大 部 分 情 況 下,CA ControlMinder Shared Account Management 提 供 這 項 功 能 完 全 不 必 變 更 應 用 程 式 在 執 行 應 用 程 式 的 端 點 上, 或 J2EE 伺 服 器 上 ( 如 果 是 Web 應 用 程 式 ), 必 須 安 裝 共 用 帳 戶 管 理 代 理 程 式, 才 能 使 用 這 項 功 能 以 程 式 設 計 方 式 從 Shell 指 令 檔 和 批 次 檔 移 出 您 可 以 在 指 令 檔 內 使 用 共 用 帳 戶 管 理 代 理 程 式, 將 硬 式 密 碼 取 代 為 可 從 CA ControlMinder Shared Account Management Enterprise Management 移 出 的 密 碼 這 樣 可 以 避 免 在 指 令 檔 內 包 含 硬 式 密 碼 如 需 共 用 帳 戶 管 理 的 技 術 性 和 深 入 的 詳 細 資 訊, 請 參 閱 CA ControlMinder Shared Account Management 技 術 摘 要 10
使 用 CA ControlMinder 加 強 端 點 保 護 和 伺 服 器 強 化 圖 B CA ControlMinder 提 供 角 色 型 的 安 全 性 原 則 實 施 CA ControlMinder 的 核 心 元 素 是 安 全 強 化 的 代 理 程 式, 本 質 上 與 作 業 系 統 整 合, 可 實 施 和 稽 核 為 了 符 合 規 範 要 求 所 需 要 的 細 微 原 則 端 點 代 理 程 式 適 用 於 所 有 主 要 作 業 系 統, 包 括 所 有 重 要 的 Linux UNIX 及 Windows 版 本 如 需 最 新 的 支 援 系 統 清 單, 請 參 閱 CA 支 援 網 站 CA ControlMinder 提 供 原 生 套 件 格 式, 方 便 在 支 援 的 作 業 系 統 上 直 接 安 裝 和 管 理 CA ControlMinder 這 有 助 於 全 球 企 業 環 境 快 速 部 署 許 多 受 管 理 伺 服 器 此 外,CA ControlMinder 還 提 供 方 便 使 用 和 一 致 的 Web 型 介 面 來 管 理 端 點 原 則 應 用 程 式 及 裝 置 CA ControlMinder 原 本 就 支 援 大 部 分 的 虛 擬 化 平 台, 包 括 VMware ESX Solaris 10 Zone 和 LDOM Microsoft Hyper-V IBM VIO 和 AIX LPAR HP-UX VPAR Linux Xen 及 Mainframe x/vm - 可 同 時 保 護 Hypervisor 層 和 該 層 次 上 執 行 的 來 賓 作 業 系 統 在 企 業 環 境 中, 採 用 目 錄 進 行 使 用 者 管 理 及 啟 用 目 錄 功 能 的 應 用 程 式 部 署 已 成 為 常 見 做 法 CA ControlMinder 支 援 企 業 使 用 者 存 放 區, 也 就 是 OS 內 建 的 使 用 者 和 群 組 的 存 放 區 這 種 原 生 整 合 可 讓 您 為 企 業 使 用 者 和 群 組 定 義 存 取 規 則, 而 不 必 將 使 用 者 和 群 組 同 步 化 或 匯 入 到 CA ControlMinder 資 料 庫 11
跨 平 台 伺 服 器 保 護 許 多 組 織 會 部 署 不 同 的 伺 服 器 基 礎 結 構, 包 括 Windows Linux 及 UNIX 系 統 CA ControlMinder 可 以 跨 越 所 有 這 些 環 境, 以 一 致 整 合 的 作 法 來 管 理 和 實 施 存 取 安 全 原 則 進 階 原 則 架 構 提 供 單 一 介 面 來 管 理 原 則, 且 可 以 將 原 則 同 時 分 送 到 Windows 和 UNIX 訂 閱 者 將 Linux UNIX 及 Windows 伺 服 器 合 併 管 理 可 以 減 少 必 要 的 管 理 工 作 量, 並 提 升 系 統 管 理 員 的 效 率, 因 此 可 節 省 管 理 成 本 微 調 存 取 控 制 CA ControlMinder 是 獨 立 的 安 全 實 施 解 決 方 案, 這 表 示 不 必 依 賴 底 層 的 作 業 系 統 來 執 行 伺 服 器 存 取 控 制 原 則 CA ControlMinder 在 系 統 層 次 上 運 作, 可 監 視 和 管 理 系 統 資 源 的 所 有 存 取, 包 括 來 自 網 域 或 本 機 系 統 管 理 員 的 存 取 這 些 微 調 存 取 實 施 功 能 可 以 管 理 委 派 及 控 制 網 域 管 理 員 或 IT 環 境 中 的 其 他 任 何 帳 戶, 並 且 提 供 : 模 擬 控 制 CA ControlMinder 可 以 控 制 代 理 使 用 者 委 派 功 能, 避 免 未 獲 授 權 使 用 者 以 加 強 的 特 殊 權 限 來 執 行 應 用 程 式, 達 到 共 用 帳 戶 活 動 的 責 任 歸 屬 例 如, 管 理 員 可 以 偽 裝 另 一 人 的 身 分 資 料 來 變 更 檔 案 的 存 取 控 制 清 單 (ACL) 屬 性, 而 不 對 他 們 的 行 動 負 起 任 何 責 任 CA ControlMinder 提 供 多 層 防 護, 首 先 會 限 制 使 用 執 行 身 分 和 UNIX su 命 令 的 人, 即 使 在 代 理 動 作 之 後, 也 會 保 留 原 始 使 用 者 ID, 以 確 保 稽 核 記 錄 中 的 使 用 者 存 取 記 錄 顯 示 原 始 帳 戶 這 樣 可 讓 使 用 者 以 自 己 的 ID 登 入, 安 全 地 將 設 定 檔 變 更 為 特 殊 權 限 的 帳 戶, 而 不 會 失 去 責 任 歸 屬 Superuser ( 管 理 員 /root) 遏 制 Root 帳 戶 是 重 大 的 漏 洞 來 源, 因 為 可 能 讓 應 用 程 式 或 使 用 者 取 得 超 出 需 求 的 強 大 特 殊 權 限 等 級 CA ControlMinder 會 在 系 統 層 次 上 檢 查 所 有 相 關 的 送 入 要 求, 然 後 根 據 已 定 義 的 規 則 和 原 則 來 實 施 授 權 即 使 特 殊 權 限 的 root 帳 戶 也 無 法 通 過 這 一 層 管 制 因 此, 所 有 授 權 使 用 者 都 會 變 成 受 管 理 使 用 者, 必 須 對 他 們 在 系 統 上 的 活 動 負 起 責 任 角 色 型 存 取 控 制 最 佳 做 法 表 示 每 一 位 管 理 員 的 權 限 不 可 踰 越 本 身 的 職 責 在 精 密 的 角 色 型 存 取 控 制 環 境 下, 管 理 員 無 法 分 享 管 理 員 密 碼, 也 不 可 能 擅 用 相 關 的 特 殊 權 限 依 預 設,CA ControlMinder 會 提 供 常 用 的 管 理 和 稽 核 角 色, 可 自 訂 和 擴 充 來 符 合 IT 組 織 的 需 求 微 調 實 施 原 生 作 業 系 統 (Linux UNIX 及 Windows) 具 有 少 許 功 能, 可 以 細 微 地 及 有 效 地 將 某 些 系 統 管 理 權 限 委 派 給 權 限 不 足 的 使 用 者 帳 戶 CA ControlMinder 提 供 微 調 實 施, 並 根 據 許 多 準 則 來 控 制 存 取, 包 括 網 路 屬 性 每 日 時 段 行 事 曆 或 存 取 程 式 功 能 包 括 : 12
其 他 細 微 控 制 對 檔 案 服 務 及 其 他 OS 層 次 ( 重 新 命 名 複 製 停 止 啟 動 ) 功 能 提 供 特 定 權 限 的 控 制, 可 以 指 派 給 特 定 的 管 理 員 或 管 理 群 組 不 同 的 實 施 層 次 組 織 常 用 CA ControlMinder 警 告 模 型 來 判 斷 提 議 的 安 全 原 則 是 否 太 嚴 格 或 太 寬 鬆, 據 以 適 當 地 修 改 此 外,CA ControlMinder 也 能 夠 立 即 驗 證 安 全 原 則 的 效 果, 而 不 必 透 過 驗 證 模 式 設 定 來 實 施 限 制 加 強 型 ACL CA ControlMinder 提 供 許 多 加 強 型 ACL 功 能 來 強 化 安 全 管 理 員 的 能 力, 讓 管 理 員 適 當 地 指 派 存 取 權 給 授 權 使 用 者, 包 括 程 式 存 取 控 制 清 單 (PACL), 只 允 許 從 特 定 程 式 或 二 進 位 檔 來 存 取 資 源 網 路 型 存 取 控 制 現 今 的 開 放 式 環 境 需 要 嚴 格 控 制 使 用 者 存 取 和 網 路 上 流 通 的 資 訊 網 路 型 存 取 控 制 添 加 另 一 層 保 護 來 管 理 網 路 存 取 CA ControlMinder 可 以 管 理 對 於 網 路 埠 或 網 路 存 取 程 式 的 存 取, 而 網 路 安 全 原 則 可 以 依 終 端 機 ID 主 機 名 稱 網 址 區 段 或 其 他 屬 性 來 管 理 雙 向 存 取 登 入 控 制 CA ControlMinder 可 以 依 來 源 IP 位 址 終 端 機 ID 登 入 程 式 類 型 或 當 日 時 間 來 限 制 使 用 者 登 入, 以 加 強 登 入 安 全 CA ControlMinder 也 可 以 限 制 使 用 者 的 並 行 登 入 工 作 階 段, 以 嚴 格 控 制 使 用 者 對 伺 服 器 的 存 取 嘗 試 登 入 失 敗 太 多 次 之 後 可 以 自 動 暫 停 使 用 者, 以 避 免 系 統 遭 受 暴 力 法 攻 擊 此 外, 在 分 散 式 環 境 中,CA ControlMinder 還 提 供 安 全 地 暫 停 和 撤 銷 使 用 者 帳 戶 管 理 和 控 制 虛 擬 環 境 的 存 取 虛 擬 化 將 多 個 伺 服 器 執 行 個 體 合 併 在 單 一 實 體 機 器 上, 降 低 擁 有 權 總 成 本 並 提 高 機 器 使 用 率 很 遺 憾, 虛 擬 化 創 造 另 一 個 等 級 的 Hypervisor 授 權 使 用 者, 這 些 使 用 者 可 以 建 立 複 製 移 動 或 管 理 這 些 來 賓 作 業 系 統 如 此 又 需 要 適 當 的 權 責 劃 分 及 合 併 的 伺 服 器 資 源 防 護, 才 能 稽 核 和 避 免 損 壞 所 有 資 料 及 這 些 來 賓 作 業 系 統 中 執 行 的 所 有 應 用 程 式 使 用 CA ControlMinder 就 可 以 控 制 這 些 Hypervisor 管 理 員, 並 實 施 適 當 的 權 責 劃 分 這 項 功 能 提 供 一 層 必 要 保 護 來 降 低 虛 擬 化 風 險 端 點 代 理 程 式 支 援 許 多 以 來 賓 形 式 執 行 的 OS 版 本, 以 及 所 有 主 要 的 OS 虛 擬 化 主 機, 包 括 VMware ESX Solaris 10 Zone 和 LDOM Microsoft Hyper-V IBM VIO 和 AIX LPAR HP-UX VPAR Linux Xen 及 Mainframe x/vm 作 業 系 統 強 化 深 度 防 禦 策 略 的 必 要 一 層 是 避 免 OS 遭 受 未 授 權 外 部 存 取 或 入 侵 CA ControlMinder 提 供 幾 項 外 部 安 全 措 施, 為 伺 服 器 添 加 一 層 安 全 保 護 13
檔 案 和 目 錄 控 制 檔 案 和 目 錄 構 成 作 業 系 統 的 骨 幹, 一 旦 受 損 就 可 能 導 致 拒 絕 服 務 和 意 外 當 機 CA ControlMinder 提 供 強 大 的 萬 用 字 元 和 程 式 存 取 選 項 來 簡 化 檔 案 層 次 原 則 管 理 CA ControlMinder 可 以 對 重 要 的 檔 案 和 目 錄 系 統 實 施 變 更 控 制, 以 加 強 資 料 完 整 性 和 機 密 性 所 有 類 型 的 檔 案 都 有 檔 案 層 次 防 護 可 用, 包 括 文 字 檔 目 錄 程 式 檔 裝 置 檔 符 號 檔 NFS 裝 載 檔 及 Windows 共 用 信 任 的 程 式 執 行 為 了 防 止 作 業 環 境 遭 受 惡 意 軟 體 的 破 壞, 尤 其 是 特 洛 依 木 馬 程 式, CA ControlMinder 提 供 第 一 道 信 任 程 式 防 護 將 敏 感 性 資 源 標 示 為 信 任, 就 可 監 控 這 些 檔 案 和 程 式, 如 果 惡 意 軟 體 修 改 程 式,CA ControlMinder 就 會 阻 止 執 行 只 有 特 定 使 用 者 或 使 用 者 群 組 才 能 變 更 信 任 的 資 源, 更 進 一 步 避 免 非 預 期 的 變 更 Windows 登 錄 防 護 Windows 登 錄 無 疑 是 駭 客 戶 惡 意 使 用 者 的 目 標, 因 為 這 個 中 央 資 料 庫 包 含 作 業 系 統 參 數, 包 括 可 控 制 裝 置 驅 動 程 式 組 態 詳 細 資 料 及 硬 體 環 境 和 安 全 設 定 的 參 數 CA ControlMinder 支 援 以 規 則 來 防 止 管 理 員 變 更 或 竄 改 登 錄 設 定, 以 提 供 登 錄 防 護 CA ControlMinder 可 以 防 止 刪 除 登 錄 機 碼 和 修 改 其 對 應 的 值 Windows 服 務 防 護 CA ControlMinder 提 供 加 強 防 護 來 限 制 授 權 管 理 員 啟 動 修 改 或 停 止 重 要 的 Windows 服 務 這 樣 可 以 避 免 正 式 應 用 程 式 發 生 拒 絕 服 務 情 形, 例 如 資 料 庫 Web 檔 案 及 列 印 (Windows 以 服 務 形 式 來 控 制 這 些 應 用 程 式 ) 必 須 防 止 未 授 權 存 取 這 些 服 務 應 用 程 式 監 控 CA ControlMinder 允 許 對 高 風 險 應 用 程 式 定 義 可 接 受 的 動 作 應 用 程 式 監 控 功 能 會 阻 止 超 出 這 些 範 圍 的 任 何 行 為 例 如,ACL 可 能 根 據 擁 有 Oracle 程 序 和 服 務 的 邏 輯 ID 來 建 立, 所 以 除 了 啟 動 Oracle DBMS 服 務 之 外, 監 控 行 為 也 會 禁 止 一 切 動 作 UNIX/Linux 按 鍵 側 錄 程 式 (KBL) CA ControlMinder 可 以 限 制 一 般 和 敏 感 的 使 用 者 動 作, 甚 至 可 以 追 蹤 某 些 使 用 者 的 工 作 階 段, 但 如 果 您 想 要 記 錄 敏 感 性 使 用 者 工 作 階 段 的 一 切 動 作, 又 該 如 何?CA ControlMinder KBL 功 能 提 供 這 個 選 項 KBL 介 於 Shell 與 終 端 機 / 鍵 盤 之 間, 可 擷 取 鍵 盤 ( 輸 入 ) 上 鍵 入 的 任 何 字 元 和 終 端 機 ( 輸 出 ) 上 顯 示 的 任 何 內 容 對 於 您 要 擷 取 其 鍵 盤 活 動 的 管 理 員 / 使 用 者, 您 只 要 變 更 稽 核 模 式, 即 可 啟 用 KBL 14
圖 C CA ControlMinder Endpoint Management 中 的 UNIX/Linux KBL 反 覆 模 式 選 擇 KBL 特 色 播 放 工 作 階 段 ( 僅 限 CA ControlMinder 端 點 上 的 本 機 模 式 ) 列 印 工 作 階 段 輸 出 / 輸 入 列 印 工 作 階 段 命 令 與 CA ControlMinder 追 蹤 使 用 者 相 互 關 聯 儲 存 CA User Activity Reporting 報 告 的 集 中 存 放 區 圖 D CA ControlMinder KBL 工 作 階 段 輸 出 KBL 報 告 現 在 可 在 CA User Activity Reporting 中 使 用, 還 有 向 下 鑽 研 檢 視 可 顯 示 命 令 提 示 字 元 中 鍵 入 的 所 有 命 令 及 其 個 別 輸 出 15
圖 E 可 透 過 CA User Activity Reporting 取 得 KBL 樣 本 報 告 從 Active Directory 集 中 管 理 UNIX 身 分 - UNAB CA ControlMinder 中 的 UNIX Authentication Broker (UNAB) 功 能 可 讓 您 從 Microsoft AD 管 理 UNIX 使 用 者 這 樣 可 以 在 AD 中 合 併 驗 證 和 帳 戶 資 訊, 與 在 每 一 個 系 統 上 直 接 管 理 UNIX 認 證 相 反 UNAB 特 色 集 中 管 理 UNIX 驗 證 UNAB 會 根 據 AD 來 驗 證 本 機 UNIX 使 用 者 的 驗 證 認 證, 以 簡 化 使 用 者 管 理 不 需 要 在 NIS 或 直 接 在 /etc/passwd 檔 中 定 義 使 用 者 和 群 組 從 AD 擷 取 使 用 者 屬 性, 例 如 起 始 目 錄 Shell UID GECOS 及 密 碼 原 則 輕 量 型 PAM 模 組 UNAB 在 UNIX 上 提 供 小 型 輕 量 型 PAM 模 組, 此 模 組 會 新 增 至 端 點 的 PAM 堆 疊 原 生 封 裝 UNAB 提 供 原 生 封 裝 來 安 裝 和 部 署 與 原 生 Windows 事 件 記 錄 檔 整 合 所 有 UNAB 記 錄 會 傳 遞 到 原 生 Windows 事 件 記 錄 檔 這 樣 可 以 合 併 和 簡 化 稽 核, 又 可 以 與 協 力 廠 商 SIM 工 具 整 合 彈 性 作 業 模 式 UNAB 可 以 設 定 為 在 局 部 或 完 全 整 合 模 式 下 運 作, 以 順 利 完 成 移 轉 程 序 局 部 整 合 模 式 在 此 模 式 下, 使 用 者 密 碼 儲 存 在 AD 中 在 驗 證 時, 只 會 根 據 AD 執 行 密 碼 驗 證 使 用 者 屬 性 ( 例 如 UID 起 始 目 錄 及 主 要 群 組 ) 取 自 於 本 機 UNIX 主 機 或 NIS, 而 非 取 自 於 AD 將 新 使 用 者 新 增 至 組 織 時, 管 理 員 應 該 同 時 在 AD 和 本 機 /etc/passwd 檔 或 NIS 中 建 立 使 用 者 UNAB 在 局 部 整 合 模 式 下 運 作 並 不 需 要 對 AD 變 更 結 構 描 述 16
完 全 整 合 模 式 在 此, 使 用 者 資 訊 只 儲 存 在 AD 中 local/etc/passwd 檔 或 NIS 中 並 沒 有 使 用 者 項 目 使 用 者 屬 性 ( 例 如 UID 起 始 目 錄 及 主 要 群 組 ) 儲 存 在 Active Directory 中, 而 非 本 機 UNIX 主 機 或 NIS 中 將 新 的 使 用 者 新 增 至 組 織 時, 管 理 員 只 在 AD 中 建 立 使 用 者, 並 提 供 必 要 的 UNIX 屬 性 完 全 整 合 模 式 需 要 可 支 援 UNIX 屬 性 的 Windows 2003 R2 動 態 LDAP 屬 性 對 映 如 果 您 的 組 織 不 支 援 Windows 2003 R2 ( 完 全 整 合 模 式 需 要 這 個 版 本 ),UNAB 還 有 一 項 功 能 可 讓 您 動 態 地 將 UNIX 屬 性 對 映 至 非 標 準 AD 屬 性 這 樣 可 避 免 在 擴 充 或 變 更 AD 結 構 描 述 時 所 引 起 的 複 雜 性 增 強 的 快 取 功 能 和 離 線 支 援 UNAB 會 將 每 一 次 成 功 登 入 快 取 到 本 機 SQLite 資 料 庫 中 快 取 的 資 訊 包 括 使 用 者 名 稱 使 用 者 屬 性 群 組 成 員 資 格 及 密 碼 雜 湊 值 如 果 UNAB 無 法 連 線 到 AD, 則 會 嘗 試 對 比 本 機 快 取 來 驗 證 使 用 者 認 證 這 稱 為 離 線 登 入 支 援 使 用 者 記 錄 會 保 留 在 本 機 快 取 中, 保 存 天 數 可 設 定 本 機 使 用 者 ( 例 如 root ) 及 其 他 系 統 和 應 用 程 式 帳 戶 都 可 以 登 入, 與 AD 連 線 功 能 無 關 UNAB SSO 可 讓 您 在 環 境 中 的 所 有 Kerberose 化 UNAB 主 機 之 間 執 行 SSO 如 果 您 登 入 1 部 已 啟 用 Kerberos 的 UNAB 主 機, 則 可 以 使 用 Kerberos 認 證 來 自 動 登 入 其 他 任 何 UNAB 主 機, 實 際 上 就 是 在 環 境 內 提 供 SSO 類 型 的 解 決 方 案 集 中 登 入 原 則 在 UNIX 端 點 上 啟 動 UNAB 後, 集 中 登 入 原 則 可 以 控 制 哪 些 使 用 者 可 以 登 入 哪 一 部 UNIX 主 機 或 哪 一 群 UNIX 主 機 這 些 登 入 原 則 是 利 用 CA ControlMinder Enterprise Management UI 來 管 理 和 分 送, 且 儲 存 在 每 一 個 端 點 的 本 機 SQLite 資 料 庫 中 登 入 原 則 可 以 套 用 至 單 一 UNIX 主 機 或 邏 輯 上 的 伺 服 器 主 機 群 組 範 圍 規 則 可 以 根 據 AD 使 用 者 和 群 組, 因 而 簡 化 管 理 負 荷 圖 F UNIX 驗 證 代 理 程 式 17
使 用 CA User Activity Reporting 的 授 權 使 用 者 存 取 稽 核 和 報 告 符 合 規 範 表 示 您 已 有 正 確 的 原 則, 且 已 部 署 這 些 原 則, 最 重 要 的 是, 您 可 以 證 明 遵 守 公 司 政 策 和 監 管 標 準, 並 解 釋 偏 離 原 則 的 原 因 為 了 證 明 符 合 規 範, 伺 服 器 資 源 防 護 解 決 方 案 必 須 產 生 報 告 來 證 實 密 碼 原 則 權 利 等 級 和 職 責 劃 分 CA User Activity Reporting 授 權 隨 附 於 CA ControlMinder, 可 從 整 個 企 業 的 每 一 個 端 點 收 集 資 料, 彙 總 到 中 央 位 置, 再 根 據 公 司 政 策 來 分 析 結 果, 最 後 產 生 報 告, 讓 您 檢 視 使 用 者 群 組 及 資 源 的 安 全 狀 態 這 個 CA User Activity Reporting 授 權 只 能 收 集 和 報 告 CA ControlMinder 事 件 ; 如 果 需 要 更 廣 泛 的 報 告 功 能, 則 需 要 取 得 完 整 的 使 用 者 活 動 報 告 模 組 授 權 報 告 服 務 會 獨 立 地 定 期 收 集 每 一 個 端 點 上 生 效 的 原 則 系 統 內 建 恢 復 力, 不 需 要 手 動 介 入, 也 不 論 收 集 伺 服 器 是 否 關 機, 都 會 報 告 端 點 狀 態 此 外, 報 告 服 務 元 件 在 CA ControlMinder 實 施 系 統 的 外 部, 在 重 設 或 自 訂 任 何 報 告 時 不 必 中 斷 端 點 實 施 功 能 報 告 服 務 的 設 計 可 以 報 告 每 一 個 端 點 所 實 施 的 原 則 的 狀 態 您 可 以 建 立 各 種 用 途 的 自 訂 報 告, 也 可 以 使 用 CA ControlMinder 提 供 的 60 個 以 上 立 即 可 用 的 報 告 原 則 規 範 和 權 利 報 告 對 於 過 去 發 生 的 動 作 產 生 事 件 型 報 告, 已 難 以 滿 足 規 範 報 告 的 用 途 相 反 地, 現 在 要 符 合 規 範 還 需 要 主 動 式 報 告, 以 隨 時 突 顯 原 則 狀 態 CA ControlMinder 提 供 使 用 者 存 取 權 限 的 主 動 式 報 告, 協 助 證 明 現 有 的 存 取 控 制 CA ControlMinder 報 告 服 務 隨 附 60 個 以 上 立 即 可 用 的 標 準 報 告, 詳 述 權 利 的 資 訊 及 預 設 產 品 安 裝 時 所 部 署 的 原 則 的 目 前 狀 態 ( 和 偏 離 ) 這 些 報 告 補 充 現 有 的 事 件 型 稽 核 來 監 視 規 範 需 求, 並 突 顯 現 有 的 不 一 致, 具 有 立 即 可 用 的 價 值 標 準 報 告 包 括 : 原 則 管 理 報 告 可 讓 您 檢 視 原 則 部 署 的 狀 態 及 標 準 原 則 的 偏 離 情 形 權 利 報 告 可 讓 您 檢 視 使 用 者 和 群 組 在 系 統 資 源 上 擁 有 的 權 利 - 或 顯 示 誰 可 以 存 取 特 定 的 資 源 一 種 常 見 的 用 法 是 查 看 誰 具 有 系 統 的 root 存 取 權 使 用 者 管 理 報 告 可 讓 您 檢 視 非 使 用 中 帳 戶 使 用 者 和 群 組 成 員 資 格 及 管 理 帳 戶, 以 及 管 理 權 責 劃 分 18
密 碼 管 理 報 告 提 供 密 碼 過 期 密 碼 原 則 規 範 等 資 訊 授 權 使 用 者 存 取 報 告 詳 述 所 有 授 權 使 用 者 活 動 的 相 關 資 訊, 包 括 移 入 移 出 工 作 流 程 核 准 及 其 他 動 作 圖 G CA ControlMinder Shared Account Management 報 告 依 據 端 點 類 型 顯 示 授 權 帳 戶 UNIX 驗 證 報 告 提 供 CA ControlMinder 的 UNAB 元 件 相 關 的 所 有 權 利 和 報 告 資 料 圖 H 詳 細 的 UNAB 報 告 顯 示 全 域 AD 使 用 者 並 包 含 UNIX 屬 性 授 權 使 用 者 探 索 精 靈 ( 使 用 者 完 成 的 精 靈 ) 會 搜 尋 整 個 組 織 的 授 權 使 用 者 並 自 動 產 生 報 告 19
CA ControlMinder 提 供 的 開 放 式 原 則 報 告 只 依 賴 標 準 RDBMS 與 外 部 系 統 之 間 的 交 互 操 作 性 可 讓 管 理 員 透 過 他 們 選 擇 的 報 告 工 具 來 執 行 原 則 報 告, 並 自 訂 報 告 版 面 配 置, 以 符 合 內 部 標 準 或 稽 核 員 要 求 原 則 部 署 計 分 卡 圖 I 顯 示 主 機 特 定 時 點 快 照 符 合 特 定 原 則 的 樣 本 報 告 CA ControlMinder Enterprise Management 有 鑑 於 當 今 伺 服 器 資 源 所 需 的 複 雜 性 和 延 展 性, 必 須 為 整 個 全 球 外 延 企 業 實 作 並 執 行 集 中 的 存 取 控 制 原 則, 同 時 隨 著 地 區 例 外 和 商 業 需 求 而 調 整 CA ControlMinder 有 許 多 精 密 的 功 能 可 協 助 和 簡 化 存 取 管 理, 並 且 以 顯 而 易 見 的 方 式 來 容 許 例 外 邏 輯 主 機 分 組 您 可 以 將 端 點 分 組 為 邏 輯 主 機 群 組, 再 根 據 這 種 主 機 群 組 成 員 資 格 來 指 派 原 則, 不 必 考 慮 端 點 的 實 體 組 織 情 形 主 機 可 以 隸 屬 於 許 多 邏 輯 主 機 群 組, 視 其 屬 性 和 原 則 需 求 而 定 例 如, 如 果 您 有 執 行 Red Hat 作 業 系 統 和 Oracle 的 主 機, 則 這 些 可 以 是 Red Hat 邏 輯 主 機 群 組 的 成 員, 以 取 得 基 準 Red Hat 存 取 控 制 原 則, 也 可 以 是 Oracle 邏 輯 主 機 群 組 的 成 員, 以 取 得 Oracle 存 取 控 制 原 則 CA ControlMinder 的 Shared Account Management 和 UNAB 元 件 中 可 以 使 用 邏 輯 主 機 群 組 在 共 用 帳 戶 管 理 中, 主 機 ( 例 如 資 料 庫 伺 服 器 ) 的 邏 輯 群 組 可 以 有 通 用 原 則, 以 允 許 存 取 這 些 伺 服 器 上 的 特 殊 權 限 帳 戶 在 UNAB 中, 一 組 通 用 登 入 原 則 可 以 套 用 至 邏 輯 主 機 群 組, 讓 使 用 者 根 據 Active Directory 認 證 而 選 擇 性 登 入 20
邏 輯 主 機 群 組 圖 J 安 全 管 理 員 可 以 定 義 邏 輯 主 機 群 組, 指 派 原 則, 並 完 整 檢 視 這 些 主 機 的 原 則 遵 循 狀 態 原 則 版 本 控 制 CA ControlMinder 可 讓 您 將 每 一 個 原 則 視 為 具 有 多 種 版 本 的 單 一 實 體, 以 追 蹤 原 則 變 更 當 您 建 立 原 則 的 新 版 本 時, 前 一 個 版 本 仍 然 儲 存 下 來, 且 包 含 原 則 版 本 部 署 和 解 除 部 署 規 則 誰 建 立 版 本 ( 基 於 稽 核 和 責 任 歸 屬 用 途 ) 及 何 時 建 立 等 資 訊 此 外, 升 級 程 序 可 讓 您 將 所 有 指 派 的 主 機 上 的 原 則 部 署 升 級 到 最 新 的 原 則 版 本 通 用 Enterprise Management Web 使 用 者 介 面 Enterprise Management Web 型 企 業 簡 單 又 直 覺, 可 讓 您 執 行 進 階 原 則 管 理, 也 提 供 整 體 CA ControlMinder 伺 服 器 環 境 的 整 合 觀 點 Web 型 介 面 也 有 助 於 您 管 理 個 別 端 點 或 原 則 模 型, 還 可 讓 您 : 建 立 主 機 將 主 機 指 派 給 主 機 群 組 建 立 和 更 新 原 則 對 主 機 或 主 機 群 組 指 派 和 移 除 原 則 直 接 對 主 機 或 主 機 群 組 部 署 和 移 除 原 則 將 指 派 的 原 則 升 級 到 最 新 版 本 稽 核 企 業 中 的 原 則 部 署 依 主 機 主 機 群 組 或 原 則 來 瀏 覽 企 業 透 過 端 點 管 理 來 管 理 分 散 的 CA ControlMinder 端 點 在 受 管 理 共 用 帳 戶 管 理 端 點 上 探 索 授 權 使 用 者 帳 戶 在 共 用 帳 戶 管 理 端 點 上 管 理 授 權 使 用 者 密 碼 建 立 和 管 理 登 入 原 則 來 控 制 對 UNAB 端 點 的 存 取 21
所 有 CA Identity and Access Management 產 品 都 有 一 致 的 使 用 者 介 面, 採 用 通 用 的 CA Technologies 架 構 來 支 援 外 觀 與 風 格, 以 及 管 理 領 域 和 作 業 委 派 CA ControlMinder Enterprise Management 主 控 台 圖 K Enterprise Management World View 提 供 端 點 角 度 主 機 群 組 角 度, 或 原 則 角 度 的 環 境 檢 視, 可 供 您 瀏 覽 不 同 階 層, 並 視 需 要 深 入 端 點 管 理 層 級 與 企 業 LDAP 目 錄 整 合 CA ControlMinder Enterprise Management 可 以 使 用 Microsoft Active Directory 和 Sun-One LDAP 作 為 後 端 使 用 者 存 放 區 如 需 這 些 目 錄 的 詳 細 設 定 步 驟, 請 參 閱 CA ControlMinder 產 品 文 件 圖 L 配 置 CA Enterprise Management Console 以 將 LDAP (Sun One) 做 為 使 用 者 儲 存 區 22
提 供 採 用 RSA SecurID 金 鑰 的 強 式 多 重 要 素 驗 證 CA ControlMinder Enterprise Management Web UI 現 在 可 以 採 用 RSA SecurID 金 鑰 來 執 行 強 式 驗 證 以 下 是 這 項 整 合 所 需 的 元 件 : 搭 配 JBoss 執 行 的 Access Control 12.5 SP4 Enterprise Management 使 用 Proxy 模 組 來 編 譯 的 Apache Web Server RSA 驗 證 管 理 員 RSA 驗 證 網 頁 代 理 程 式 RSA 金 鑰 產 生 器 使 用 者 通 過 RSA 驗 證 管 理 員 的 驗 證 後, 在 RSA Cookie 逾 時 期 間 不 需 要 提 供 使 用 者 ID 或 密 碼, 也 可 以 自 動 登 入 CA ControlMinder Enterprise Management 超 過 逾 時 期 限 後, 使 用 者 必 須 以 RSA 重 新 驗 證, 才 能 存 取 CA ControlMinder Enterprise Management CA ControlMinder Enterprise Management 可 以 同 時 支 援 RSA SecurID 和 一 般 的 使 用 者 ID/ 密 碼 方 法 如 果 使 用 者 未 以 RSA 驗 證, 仍 然 可 以 提 供 使 用 者 ID/ 密 碼 來 存 取 CA ControlMinder Enterprise Management 精 密 安 全 的 稽 核 功 能 規 範 通 常 需 要 透 過 稽 核 記 錄, 來 控 制 和 證 實 系 統 內 的 必 要 使 用 者 動 作 為 了 有 效 配 合 一 般 規 範 稽 核, 也 應 該 集 中 收 集 和 安 全 地 管 理 這 項 資 料 CA ControlMinder 提 供 獨 立 的 稽 核 記 錄, 未 授 權 使 用 者 無 法 修 改 這 些 記 錄, 包 括 網 域 或 系 統 管 理 員 CA ControlMinder 會 產 生 安 全 又 可 靠 的 稽 核 記 錄, 將 實 際 使 用 者 ID 與 所 有 受 保 護 的 資 源 動 作 產 生 關 聯 ( 即 使 在 代 理 作 業 之 後 ) 使 用 者 嘗 試 的 任 何 關 於 存 取 原 則 的 動 作 都 可 以 記 錄, 包 括 是 否 允 許 使 用 者 順 利 完 成 這 項 要 求 如 果 需 要 調 查, 這 項 詳 細 又 準 確 的 稽 核 資 料 能 夠 加 速 完 成 攻 擊 來 源 和 活 動 的 識 別 過 程 完 整 的 稽 核 模 式 CA ControlMinder 提 供 下 列 三 個 稽 核 設 定 : 成 功, 只 要 順 利 存 取 稽 核 的 資 源 就 會 產 生 事 件 失 敗, 追 蹤 並 記 錄 任 何 和 所 有 存 取 遭 拒 警 告, 即 使 CA ControlMinder 未 拒 絕 存 取, 只 要 違 反 存 取 原 則 就 產 生 稽 核 記 錄 23
您 可 以 定 義 應 該 對 每 一 個 使 用 者 群 組 或 資 源 實 施 的 稽 核 模 式 或 模 式 組 合 例 如, 安 全 管 理 員 群 組 的 稽 核 和 檔 案 的 一 般 稽 核 層 次 可 以 設 為 失 敗, 但 針 對 系 統 組 態 檔, 成 功 和 失 敗 都 會 產 生 稽 核 事 件 記 錄 遞 送 將 所 有 相 關 的 存 取 事 件 遞 送 到 安 全 的 單 一 位 置, 是 有 效 管 理 規 範 的 重 要 條 件 CA ControlMinder 有 助 於 遞 送 和 集 中 所 有 存 取 控 制 記 錄 這 樣 不 僅 有 益 於 記 錄 合 併, 也 能 夠 在 網 路 中 斷 或 系 統 受 損 時 提 供 並 整 合 這 些 記 錄 即 時 通 知 CA ControlMinder 支 援 立 即 發 出 安 全 事 件 通 知, 此 通 知 可 遞 送 至 呼 叫 器 或 外 部 的 問 題 解 決 主 控 台, 或 其 他 安 全 資 訊 管 理 系 統 自 我 保 護 稽 核 常 駐 程 式 和 記 錄 本 身 必 須 預 防 可 能 的 攻 擊 關 閉 或 竄 改 CA ControlMinder 稽 核 服 務 和 記 錄 會 自 我 保 護, 無 法 關 閉 或 修 改 這 樣 有 助 於 未 來 調 查 時 的 記 錄 完 整 性 和 資 訊 可 用 性 CA User Activity Reporting 整 合 CA ControlMinder 與 CA User Activity Reporting 整 合 ;CA ControlMinder 包 含 CA User Activity Reporting 的 授 權, 用 途 僅 限 於 收 集 CA ControlMinder 事 件 因 此,CA ControlMinder 中 的 事 件 會 傳 送 到 CA User Activity Reporting 來 進 一 步 處 理, 以 彙 整 記 錄 檔 與 整 個 IT 環 境 的 其 他 事 件 相 互 關 聯, 以 及 建 立 原 則 專 用 報 告 這 樣 可 以 協 助 稽 核 程 序, 並 支 援 詳 細 調 查 和 驗 證 重 要 的 規 範 稽 核 和 監 視 度 量 CA User Activity Reporting 的 功 能 還 包 括 : 跨 平 台 資 料 收 集 聚 集 各 種 來 源 的 事 件 資 料, 包 括 : 作 業 系 統 商 業 應 用 程 式 網 路 裝 置 安 全 裝 置 大 型 主 機 存 取 控 制 系 統 及 Web 服 務 收 集 檢 視 及 報 告 的 即 時 工 具 為 對 應 的 特 定 使 用 者 角 色 提 供 可 自 訂 的 檢 視 和 報 告 警 示 管 理 可 篩 選 和 監 視 重 要 事 件, 並 根 據 已 建 立 的 原 則 來 執 行 警 示 及 其 他 動 作 中 央 安 全 資 料 儲 存 庫 將 稽 核 資 料 儲 存 在 中 央 儲 存 庫 中, 以 可 延 伸 的 關 聯 式 資 料 庫 為 核 心, 存 取 更 方 便, 且 提 供 報 告, 可 進 行 歷 史 分 析 24
ControlMinder for Virtual Environments ControlMinder for Virtual Environments 是 一 個 管 理 授 權 使 用 者 對 虛 擬 機 器 和 虛 擬 層 的 存 取 的 解 決 方 案, 可 協 助 組 織 控 制 授 權 使 用 者 的 動 作, 保 護 對 虛 擬 環 境 的 存 取, 並 符 合 業 界 的 規 範 它 可 提 供 重 要 功 能, 以 管 理 授 權 使 用 者 密 碼 強 化 虛 擬 層, 以 及 稽 核 授 權 使 用 者 活 動 主 要 好 處 CA ControlMinder for Virtual Environments 結 合 主 機 存 取 控 制 以 及 授 權 使 用 者 管 理, 可 降 低 管 理 虛 擬 環 境 中 授 權 使 用 者 的 風 險 與 成 本 CA ControlMinder for Virtual Environments 是 設 計 用 來 為 您 的 組 織 達 成 以 下 目 標 : 使 虛 擬 資 料 中 心 達 到 規 範 遵 循 取 得 虛 擬 環 境 的 能 見 度 與 控 制 自 動 化 安 全 性 作 業 並 降 低 安 全 性 成 本 促 進 關 鍵 應 用 程 式 採 用 虛 擬 化 科 技 建 立 安 全 的 多 租 戶 環 境 第 3 節 : 益 處 CA ControlMinder 強 大 的 授 權 使 用 者 管 理 解 決 方 案 CA ControlMinder 提 供 的 解 決 方 案 有 助 於 管 理 和 控 制 授 權 使 用 者 的 存 取 權 如 上 所 述, CA ControlMinder 的 三 個 主 要 元 件 如 下 : 用 於 控 制 授 權 使 用 者 的 CA ControlMinder Shared Account Management 用 於 增 強 保 護 的 端 點 伺 服 器 強 化 功 能 用 於 認 證 單 一 使 用 者 存 放 區 中 之 使 用 者 的 UNIX Authentication Broker (UNAB) 這 些 元 件 全 都 可 以 獨 立 或 一 起 部 署 成 為 整 體 解 決 方 案 的 一 部 分 CA ControlMinder 端 點 伺 服 器 強 化 功 能 UNAB 和 Shared Account Management 共 用 相 同 的 Enterprise Management 和 報 告 基 礎 結 構 內 嵌 原 則 存 放 區 身 分 和 存 取 管 理 架 構 委 派 和 範 圍 界 定 模 型 和 Web UI 這 樣 就 能 夠 迅 速 實 作 和 改 善 獲 益 時 程 CA ControlMinder 可 管 理 和 控 制 授 權 使 用 者 的 存 取 權, 同 時 以 可 稽 核 和 可 理 解 的 方 式 有 彈 性 地 支 援 本 機 例 外 情 況, 藉 此 解 決 您 對 於 應 用 程 式 資 料 庫 和 伺 服 器 可 用 性 的 顧 慮 CA ControlMinder 可 幫 助 您 : 25
減 輕 風 險 規 範 和 稽 核 授 權 使 用 者 的 存 取 權 強 制 實 施 以 伺 服 器 為 基 礎 的 規 範 遵 循 和 報 告 降 低 管 理 成 本 和 複 雜 度 免 除 指 令 碼 批 次 檔 ODBC 和 JDBC 應 用 程 式 中 的 硬 式 密 碼 減 輕 風 險 CA ControlMinder 會 保 護 授 權 使 用 者 的 密 碼, 並 且 讓 使 用 者 對 自 己 的 動 作 負 責, 藉 以 減 輕 風 險 如 此 即 可 降 低 利 用 密 碼 破 解 程 式 非 法 取 得 伺 服 器 或 應 用 程 式 存 取 權 的 風 險 因 而 降 低 風 險 及 提 高 資 料 完 整 性 規 範 和 稽 核 授 權 使 用 者 的 存 取 權 CA ControlMinder 根 據 使 用 者 在 組 織 中 的 角 色 實 作 精 細 的 存 取 原 則, 以 保 護 關 鍵 的 伺 服 器 ( 實 體 和 虛 擬 ), 同 時 避 免 遺 失 機 密 資 料 所 有 管 理 活 動 都 會 回 溯 追 蹤 到 特 定 使 用 者, 以 達 到 真 正 的 系 統 層 級 權 責 劃 分, 並 透 過 稽 核 軌 跡 提 供 責 任 歸 屬 依 據 強 制 實 施 以 伺 服 器 為 基 礎 的 規 範 遵 循 和 報 告 CA ControlMinder 能 夠 為 整 個 企 業 建 立 及 部 署 符 合 組 織 內 部 和 法 令 規 範 遵 循 需 求 的 特 定 存 取 原 則, 幫 助 您 保 護 關 鍵 的 伺 服 器 超 過 60 份 內 建 報 告 涵 蓋 重 要 的 規 範 遵 循 元 素 ( 例 如 權 責 劃 分 授 權 和 密 碼 原 則 ), 讓 組 織 可 以 主 動 回 報 重 要 規 範 遵 循 原 則 的 狀 態 這 不 但 可 提 供 規 範 遵 循 和 安 全 性 原 則 的 能 見 度 和 責 任 歸 屬, 還 可 提 供 IT 管 理 上 的 彈 性 降 低 管 理 成 本 和 複 雜 度 集 中 管 理 的 伺 服 器 存 取 原 則 使 用 者 帳 戶 UNIX 驗 證 和 自 動 化 授 權 使 用 者 密 碼 管 理, 減 輕 了 管 理 全 球 性 分 散 式 多 平 台 企 業 之 安 全 性 的 負 擔 這 在 虛 擬 資 料 中 心 中 會 更 複 雜 CA ControlMinder 提 供 了 進 階 的 原 則 管 理 功 能, 只 要 設 定 原 則 一 次 並 按 下 按 鈕, 即 可 將 這 些 原 則 向 外 推 送 到 世 界 各 地 的 伺 服 器 CA ControlMinder 的 共 用 帳 戶 管 理 功 能 簡 化 了 即 時 管 理 和 散 佈 授 權 使 用 者 密 碼 的 程 序 CA ControlMinder 的 UNAB 功 能 可 整 合 使 用 者 存 放 區 及 為 所 有 的 UNIX 使 用 者 維 護 單 一 帳 戶, 以 降 低 管 理 成 本 和 強 化 安 全 性 免 除 指 令 碼 批 次 檔 和 ODBC/JDBC 應 用 程 式 中 的 硬 式 密 碼 CA ControlMinder 的 共 用 帳 戶 管 理 功 能 免 除 了 在 指 令 碼 中 將 應 用 程 式 密 碼 硬 式 編 碼 的 需 求 共 用 帳 戶 管 理 的 可 程 式 化 簽 出 功 能 會 即 時 從 CA ControlMinder 共 用 帳 戶 管 理 伺 服 器 動 態 擷 取 密 碼, 進 而 提 高 應 用 程 式 與 其 對 應 資 料 的 效 率 和 整 體 安 全 性 這 項 功 能 有 助 於 釋 出 寶 貴 的 系 統 或 應 用 程 式 管 理 週 期, 要 不 然 就 必 須 進 行 維 護 變 更 及 散 佈 這 些 密 碼 變 更 26
第 4 節 : 結 論 CA ControlMinder 能 夠 有 效 控 制 授 權 使 用 者, 並 強 制 實 施 安 全 性 規 範 遵 循 CA ControlMinder 提 供 優 越 的 伺 服 器 裝 置 和 應 用 程 式 保 護 層 級, 可 減 輕 管 理 分 散 於 全 球 性 企 業 內 各 種 系 統 之 安 全 性 的 負 擔 您 不 必 再 按 照 使 用 者 和 伺 服 器, 逐 一 定 義 和 管 理 授 權 使 用 者 權 限 利 用 進 階 的 原 則 管 理 功 能 邏 輯 主 機 群 組 功 能 和 集 中 式 點 選 介 面 來 部 署 企 業 原 則, 您 ( 和 稽 核 者 ) 可 以 放 心 地 認 為 每 個 授 權 使 用 者 只 能 存 取 自 己 的 職 務 所 需 的 資 料 和 系 統 您 可 以 讓 所 有 受 管 理 的 伺 服 器 裝 置 和 應 用 程 式 共 用 使 用 者 帳 戶 密 碼 和 安 全 性 原 則, 以 便 在 不 同 伺 服 器 環 境 中 強 制 實 施 一 致 的 安 全 性 原 則 實 施 為 了 補 充 不 足 之 處,CA User Activity Reporting 能 夠 收 集 安 全 可 擴 充 和 可 靠 的 稽 核 資 訊, 以 記 錄 每 個 使 用 者 與 特 定 系 統 的 互 動 情 形 提 供 廣 泛 支 援 的 平 台 企 業 擴 充 性 高 可 用 性 架 構 以 及 富 有 彈 性 的 原 則 管 理 環 境, 企 業 組 織 即 可 放 心 地 認 為 不 論 是 現 在 或 未 來,CA ControlMinder 都 會 支 援 其 規 範 遵 循 和 伺 服 器 保 護 需 求 大 型 身 分 和 存 取 管 理 解 決 方 案 的 必 備 要 件 CA ControlMinder 可 以 獨 立 安 裝 並 提 供 全 方 位 的 防 護, 而 不 需 相 依 於 其 他 CA Technologies 或 協 力 廠 商 產 品 但 是,CA 身 分 與 存 取 管 理 解 決 方 案 會 共 用 Web 使 用 者 介 面 的 通 用 方 法 和 元 件 管 理 概 念 責 任 委 派 和 報 告 功 能, 以 確 保 擁 有 一 致 的 管 理 經 驗 假 設 作 業 系 統 存 取 保 護 可 以 是 深 度 防 禦 策 略 的 其 中 一 個 元 件,CA ControlMinder 即 可 提 供 與 CA Technologies 安 全 性 產 品 的 整 合, 其 中 包 含 CA IdentityMinder CA SiteMinder 和 CA GovernanceMinder CA IdentityMinder 提 供 身 分 生 命 週 期 管 理 功 能, 可 管 理 整 個 企 業 內 的 身 分 CA IdentityMinder 的 功 能 包 括 : 佈 建 使 用 者 帳 戶 權 限 管 理 變 更 要 求 和 工 作 流 程 核 准 密 碼 和 註 冊 自 助 服 務 27
CA SiteMinder 為 外 部 網 路 應 用 程 式 提 供 安 全 的 網 路 存 取 控 制 CA SiteMinder 的 功 能 包 括 : 網 頁 SSO 驗 證 管 理 原 則 型 授 權 廣 泛 的 Web 應 用 程 式 和 伺 服 器 支 援 CA GovernanceMinder 可 存 取 稽 核 及 清 除 對 於 系 統 和 應 用 程 式 的 權 限, 這 些 權 限 可 定 義 和 認 證 在 組 織 中 使 用 的 角 色 模 型 CA GovernanceMinder 的 功 能 包 括 : 建 置 集 中 式 身 分 倉 儲 稽 核 定 義 / 驗 證 原 則 認 證 權 限 和 矯 正 作 業 規 範 遵 循 報 告 與 儀 表 板 若 想 進 一 步 瞭 解 CA ControlMinder 的 架 構 與 技 術 方 法, 請 參 閱 ca.com/controlminder CA Technologies 是 一 個 IT 管 理 軟 體 與 解 決 方 案 公 司, 在 所 有 IT 環 境 -- 從 大 型 主 機 和 分 散 式 到 虛 擬 和 雲 端 各 方 面 都 具 有 豐 富 的 經 驗 CA Technologies 管 理 並 保 護 IT 環 境, 使 客 戶 能 夠 提 供 更 多 彈 性 的 IT 服 務 CA Technologies 創 新 的 產 品 與 服 務 為 IT 組 織 提 供 見 解 與 掌 控, 是 增 進 業 務 彈 性 不 可 或 缺 的 一 環 全 球 財 富 五 百 (Fortune 500) 的 企 業 多 數 仰 賴 CA Technologies 來 管 理 其 不 斷 變 化 的 IT 環 境 如 需 其 他 資 訊, 請 造 訪 CA Technologies, 網 址 是 ca.com Copyright 2012 CA. All rights reserved. UNIX 是 AT&T 的 註 冊 商 標 此 處 所 提 及 的 所 有 商 標 商 業 名 稱 服 務 標 章 及 標 誌 均 屬 於 個 別 公 司 所 有 本 文 件 僅 供 您 參 考 使 用 在 相 關 法 律 許 可 的 情 況 下,CA 係 依 原 有 形 式 提 供 本 文 件 且 不 做 任 何 形 式 之 保 證, 其 包 括 但 不 限 於 任 何 針 對 特 定 目 的 之 適 售 性 或 適 用 性 或 不 侵 權 的 暗 示 保 證 在 任 何 情 況 下,CA 對 於 使 用 本 文 件 而 引 起 的 直 接 間 接 損 失 或 傷 害, 其 包 括 但 不 限 於 利 潤 損 失 業 務 中 斷 商 譽 或 資 料 遺 失, 即 使 CA 已 被 明 確 告 知 此 類 損 害 的 可 能 性,CA 均 毋 須 負 責 CA 不 提 供 法 律 諮 詢 此 處 所 提 及 之 任 何 軟 體 產 品 均 不 得 替 代 您 對 此 處 所 提 及 之 任 何 法 律 ( 包 括 但 不 限 於 任 何 法 案 法 令 法 規 規 定 指 令 準 則 政 策 行 政 命 令 總 統 行 政 命 令 等 等 ( 統 稱 為 法 律 )) 所 應 盡 的 遵 循 責 任 或 任 何 與 協 力 廠 商 之 間 的 合 約 義 務 您 應 該 諮 詢 專 業 的 法 律 顧 問 以 瞭 解 此 等 法 律 或 合 約 義 務 的 相 關 事 宜 CS2078_0212