come posso controllare l`accesso degli utenti con

SOLUTION BRIEF
CA ControlMinder
come posso
controllare
l'accesso degli
utenti con privilegi
nell'extended
enterprise?
agility
made possible™
CA ControlMinder è una soluzione completa per la gestione
delle identità con privilegi che consente di gestire le
password degli utenti con privilegi, creare report sulle
attività degli utenti e stabilire una separazione dei compiti
molto dettagliata in tutta l'organizzazione.
2
CA ControlMinder
Executive summary
Sfida
Ormai non sono in pochi a preoccuparsi delle sfide crescenti che pone la protezione dei dati e delle
applicazioni sensibili residenti sui server. Il crescente valore dei dati, i regolamenti sempre più vincolanti e il
numero di utenti con privilegi che devono accedere a server, applicazioni e dispositivi critici rendono sempre
più ardua la protezione delle informazioni sensibili e della proprietà intellettuale. La sfida insita nella
gestione degli utenti con privilegi comprende la gestione dell'accesso protetto alle password e ai dati critici
associati a ciascun utente con privilegi.
Ciò costringe le organizzazioni a impegnarsi sempre più nel controllo degli utenti con privilegi in ambienti
vasti, complessi ed eterogenei. Allo stesso tempo, l'organizzazione IT deve continuare a conformarsi
tempestivamente ai requisiti di business, questo talvolta richiede che vengano fatte eccezioni locali pur
senza compromettere sicurezza e responsabilità. Oggi le organizzazioni devono inoltre confrontarsi con
requisiti normativi e di auditing sempre più severi e vincolanti, e questa è una questione da affrontare
senza incertezze.
Si potrebbe fare affidamento sulle funzionalità di sicurezza native dei sistemi operativi, ma se ci si limita
a questa misura non si affrontano con la dovuta attenzione i problemi di sicurezza legati alla separazione
delle mansioni, nonché alla gestibilità e alle violazioni della conformità.
Oltre a implementare policy di sicurezza, è necessario gestire e intervenire sulle identità in UNIX®, altra sfida
la cui portata non è da sottovalutare. UNIX viene solitamente gestito in silos, fattore che accresce spese
amministrative e costi comuni.
L'opportunità
È necessario un sistema di sicurezza unico, centrale e indipendente che si occupi di proteggere server,
dispositivi e applicazioni nell'extended enterprise, così da offrire strumenti flessibili e controllabili per
gestire gli account super utente delegando ad amministratori autorizzati i privilegi necessari. Questo sistema
di sicurezza deve inoltre fornire strumenti stabili per gestire gli utenti con privilegi e centralizzare
l'autenticazione, oltre a offrire un'infrastruttura solida di controllo e reporting.
CA ControlMinder™ opera a livello di sistema per abilitare l'applicazione efficiente e uniforme su sistemi
eterogenei, compresi Windows, UNIX, Linux e ambienti virtualizzati. Distribuendo le policy di sicurezza dei
server ai dispositivi endpoint, ai server e alle applicazioni tramite una funzionalità avanzata di gestione delle
policy, è possibile controllare gli utenti con privilegi. Inoltre è possibile supportare in tutta sicurezza il
controllo di ogni modifica delle policy e di ogni azione di applicazione al fine di conformarsi ai regolamenti
globali. CA ControlMinder offre un approccio olistico alla gestione degli accessi poiché include funzionalità
chiave per proteggere e bloccare l'accesso a dati e applicazioni critiche, gestire identità con privilegi,
centralizzare l'autenticazione UNIX con Microsoft® Active Directory (AD) e offrire un'infrastruttura sicura
di controllo e reporting.
3
CA ControlMinder
I vantaggi
CA ControlMinder consente di creare, implementare e gestire norme di controllo accesso complesse e
dettagliate per consentire esclusivamente gli utenti autorizzati con privilegi di accedere ai dati e alle
applicazioni più sensibili. Con il supporto (anche virtuale) multipiattaforma e l'integrazione con il resto della
famiglia di prodotti CA Identity and Access Management, CA ControlMinder:
•regola e controlla l'accesso a server, applicazioni e dispositivi critici in modo uniforme su piattaforme
eterogenee.
•Gestisce le password di utenti con privilegi.
•Consente di dimostrare in modo proattivo un controllo approfondito sugli utenti con privilegi.
•Applica i requisiti di conformità interna e normativa creando policy di accesso ai server e generando
i relativi report.
•Consente di ridurre i costi amministrativi grazie alla gestione centralizzata della sicurezza sulla struttura
enterprise distribuita a livello globale.
•Permette di autenticare gli utenti UNIX e Linux con privilegi da un unico archivio utenti Active Directory.
•Protegge ulteriormente il sistema operativo in modo da ridurre i rischi esterni, oltre a potenziare
l'affidabilità dell'ambiente operativo.
•Integra funzionalità predefinite con un'infrastruttura di controllo che genera report approfonditi su
regolamenti specifici.
Sezione 1: La sfida
Server: una fonte di complessità nei data center
di oggi
Gestire le policy di sicurezza in ambienti di notevoli dimensioni rimane una sfida, specialmente alla luce
dell'importanza che ha rispondere tempestivamente ai requisiti del business, cosa che richiede peraltro la
flessibilità necessaria per implementare eccezioni a livello locale. I data center di oggi richiedono una
visibilità estesa su un gruppo in costante crescita di risorse, ovvero server, dispositivi e applicazioni, e al
contempo bisogna garantire la documentabilità dei cambiamenti e la protezione dei dati sensibili che
risiedono in tali risorse.
La mancata gestione degli utenti con privilegi ha determinato in alcuni casi violazioni dei dati di alto profilo.
Preservare l'integrità dei dati è uno dei compiti più importanti del professionista IT. È un errore critico
adottare queste nuove tecnologie di scalabilità e flessibilità del data center senza ponderare i requisiti di
sicurezza e di protezione dei dati correlati a tali tecnologie.
Gli enti normativi osservano
Secondo la Privacy Rights Clearinghouse, a partire dal 2005 oltre 340 milioni di record contenenti
informazioni personali sensibili sono stati coinvolti in violazione della sicurezza negli USA, cosa che ha
4
CA ControlMinder
comportato notevoli costi per multe per mancata conformità, oltre che per monitorare il credito delle
vittime, emettere nuove carte di credito e ripristinare la credibilità danneggiata dei marchi.1 Queste costanti
violazioni hanno fatto sì che le organizzazioni governative in tutto il mondo imponessero pratiche più
razionali per la protezione dei dati e per la sicurezza delle informazioni. Regolamenti quali HIPAA, GLBA,
Sarbanes-Oxley, la direttiva europea sulla privacy dei dati, ISO27001, PIPEDA e Basel II sono mirati alla
gestione di questi problemi.
Il Payment Card Industry Data Security Standard (PCI DSS) ha adottato questi quadri normativi per
stabilire nuove misure. Specificando una serie di 12 requisiti che devono essere tassativamente adottati
per proteggere i dati dei titolari delle carte, il PCI DSS ha introdotto un ulteriore livello di responsabilità
all'interno delle organizzazioni IT.
Si consideri poi la normativa Sarbanes-Oxley, che presenta requisiti molto rigidi sulla separazione dei
compiti, in modo tale che la responsabilità dei complessi processi di business venga distribuita fra molte
risorse al fine di garantire controlli ed equilibri fra le varie funzioni.
Ecco quindi che è necessario implementare misure di protezione sofisticate al fine di soddisfare tali requisiti.
È inoltre necessario offrire record e report di controllo dettagliati per comprovare controlli, stato delle
policy e log di accesso sicuro ai server per ogni controllo. Questi regolamenti specificano controlli dettagliati
e uniformità multipiattaforma per garantire l'imposizione delle mansioni, specialmente in ambienti con
sistemi operativi eterogenei. Inoltre, in caso di compromesso, è necessario disporre di metodi per effettuare
un'indagine sugli incidenti. Ciò richiede la raccolta e il consolidamento dei dati di controllo in un repository
dei dati di log centrale.
Infine, dato che i requisiti normativi diventano sempre più rigorosi, il reporting della conformità diventa un
aspetto importante di qualsiasi soluzione di sicurezza del server. I report devono essere precisi, occuparsi
dello specifico requisito in questione e presentare i risultati in modo facilmente comprensibile.
Dati sensibili sui server
Il tipo di avversario da affrontare è in evoluzione, e non si può più presupporre che chi sferra gli attacchi
sia un'entità anonima, senza volto. Oggi potrebbe essere un impiegato insoddisfatto, un sabotatore, un
business partner infedele o quantomeno dall'etica disinvolta. È pertanto necessario proteggere le risorse dei
server da attacchi esterni (che comunque ci sono ancora) e da utenti interni, in special modo utenti con
privilegi che hanno accesso a tutti i dati sensibili residenti su ogni server, dispositivo o applicazione a cui
possono accedere.
La complessità che implica proteggere i server e applicare l'attribuzione di responsabilità a questi utenti con
privilegi è di portata notevole. Una tecnica comune adottata dagli amministratori di server consiste nel
condividere gli account utente con privilegi e utilizzare accessi generici quali "administrator" o "root".
Questo metodo però comporta una serie di problemi:
Problemi di controllo. Con la condivisione degli account utente, i log di controllo non possono indicare con
certezza quale amministratore ha apportato determinate modifiche sul server. Ciò compromette l'aspetto
della responsabilità, così essenziale per soddisfare i requisiti normativi.
Accesso ai dati. In ultima analisi questi account condivisi in genere offrono agli utenti con privilegi
l'accesso a sistemi e dati critici, soprattutto perché è difficile gestire una policy su migliaia di server con
regole di accesso granulari.
1 Origine: Privacy Rights Clearinghouse Gennaio 2010.
5
CA ControlMinder
L'associazione dell'accesso degli utenti con privilegi con la noncuranza talvolta dimostrata dagli
amministratori può compromettere gravemente la business continuity. Al contempo, la mancanza di
responsabilità rende praticamente impossibile risalire allo specifico amministratore che ha commesso gli
errori, cosa che determina problemi di sicurezza e responsabilità.
La complessità nella gestione delle password degli utenti con privilegi
Oltre a gestire la responsabilità per l'accesso di utenti con privilegi, è necessario memorizzare, modificare
e distribuire queste password condivise in modo tempestivo e sicuro, al fine di conformarsi alla policy di
sicurezza aziendale. Molte applicazioni si avvalgono inoltre di password hard-coded in file script della shell
e in file batch, fattore che rende il problema ancora più complesso. Tali password sono statiche e disponibili
per chiunque abbia accesso al file script, e quindi anche per i malintenzionati.
La pressione amministrativa crescente della gestione di identità UNIX
Stando a un report
Verizon del 2010,
il 48% delle
violazioni di dati è
stato provocato da
utenti interni, pari
a una crescita del
26% dall'anno
precedente.
Oggi l'accesso UNIX viene gestito in silos con più account store distribuiti, in cui gli utenti dispongono di più
account su sistemi diversi. Questa struttura fa lievitare i costi amministrativi e i costi comuni, e determina
una maggiore complessità dell'ambiente, in cui un grande numero di applicazioni mission-critical fanno
affidamento sull'uptime e sulla disponibilità dei sistemi UNIX.
Le sfide della virtualizzazione
In questo mondo così eterogeneo, l'essenziale è applicare una policy coerente e abilitare il logging
consolidato su server diversi. La crescita esponenziale del numero di server e dispositivi da gestire aggrava
ulteriormente questi problemi. La proliferazione dei computer virtuali comporta un maggior numero di
server da gestire, e poiché gli hypervisor non prendono in considerazione il sistema operativo guest, il
problema dell'eterogeneità risulta ancora più pressante. E nonostante ciò si continua a trascurare la
sicurezza di questo data center virtualizzato espanso.
La virtualizzazione genera inoltre una nuova categoria di utenti hypervisor con privilegi che possono creare,
copiare, spostare o gestire in altro modo questi sistemi operativi guest, rendendo ancor più forte l'esigenza
di un'adeguata imposizione delle mansioni per impedire che i dati e le applicazioni presenti su questi guest
risultino compromessi insieme alle funzionalità di controllo.
Sezione 2: L'opportunità
Gestire e controllare l'accesso degli utenti con
privilegi nell'extended enterprise
Dal punto di vista della gestione, il vecchio modello che prevedeva un amministratore di sistema
responsabile di un determinato numero di server su cui veniva eseguita una specifica applicazione risulta
oggi insufficiente. Oggi gli amministratori sono sempre più specializzati nella gestione della complessità che
caratterizza le applicazioni più distribuite e articolate.
La disgiunzione fra l'hardware del server i sistemi operativi e le applicazioni che utilizzano la tecnologia della
virtualizzazione rendono ulteriormente complessa questa specializzazione. Oggi un server di posta
elettronica e un database possono coesistere sullo stesso sistema fisico, così rendendo estremamente
complesso l'ambiente.
6
CA ControlMinder
Per questo motivo gli amministratori devono eseguire il sign-on sicuro con password con privilegi e disporre
di livelli diversi di accesso ad applicazioni, sistemi operativi e hypervisor, oltre che a dispositivi quali i router.
Fornire a tutti gli amministratori prerogative illimitate costituisce un notevole rischio per la sicurezza.
Gli account con privilegi (administrator in Windows, root in UNIX) possono eseguire qualsiasi programma,
modificare qualsiasi file e/o arrestare qualsiasi processo. L'impossibilità di limitare le prerogative a questi
utenti con privilegi in modo che possano eseguire solo attività specifiche nell'ambito delle loro mansioni e
l'incapacità di vincolare determinate azioni amministrative a una persona specifica costituiscono una lacuna
nella sicurezza e nell'attribuzione di responsabilità, oltre a violare i requisiti chiave degli attuali regolamenti
in materia di sicurezza. Gli utenti con privilegi possono commettere errori, accidentali o intenzionali. Una
gestione efficiente degli utenti con privilegi consente di:
•Proteggere, gestire e distribuire in modo automatico le credenziali utente.
•Limitare il raggio di azione di tali utenti delegando i privilegi necessari al personale appropriato solo
quando necessario.
•Gestire la responsabilità di questi utenti e generare report sulle operazioni da loro effettuate.
Questi amministratori possono svolgere il loro lavoro senza compromettere l'integrità di dati o risorse
business critical. Inoltre, un approccio di questo genere offre un audit trail e permette di applicare
l'attribuzione di responsabilità agli amministratori e alle operazioni che essi svolgono. In più, alla luce della
crescente pressione per la riduzione dei costi, le organizzazioni IT stanno superando gli ostacoli interni
all'unificazione di ambienti UNIX e Windows dal punto di vista dell'autenticazione degli utenti.
CA ControlMinder
CA ControlMinder soddisfa le policy interne e le normative di conformità esterna controllando e gestendo a
livello centrale l'accesso degli utenti con privilegi a una serie eterogenea di server, dispositivi e applicazioni.
Consentendo la creazione, il deployment e la gestione multipiattaforma di criteri di controllo dell'accesso
complesso e dettagliati, il tutto da una singola console di gestione, CA ControlMinder va oltre i controlli di
base disponibili a livello dei sistemi operativi nativi e soddisfa le esigenze delle policy e dei regolamenti
aziendali più rigorosi.
La soluzione completa è denominata CA ControlMinder ed è composta dai seguenti componenti:
•CA ControlMinder Shared Account Management fornisce storage e accesso alle password degli utenti
con privilegi protetti
•Protezione degli endpoint e rafforzamento dei server comprendente gli elementi fondamentali di
CA ControlMinder utilizzati per applicare una protezione avanzata del sistema operativo e applicare il
controllo dettagliato degli accessi basato su ruoli.
•UNIX Authentication Broker (UNAB) consente agli utenti UNIX e Linux di effettuare l'autenticazione
utilizzando le credenziali Active Directory.
•L'integrazione con CA User Activity Reporting consente di raccogliere e consolidare a livello centrale
tutti i registri di controllo di CA ControlMinder in un singolo repository centrale utilizzabile per funzionalità
avanzate di reporting, correlazione degli eventi e avviso.
7
CA ControlMinder
CA ControlMinder Shared Account Management
Figura A.
> Protezione password condivise
> Garanzia di tracciabilità dell'accesso
ad account condivisi
CA ControlMinder
Shared Account
Management.
> Gestione delle policy per le
password di account condivisi
> Rimozione delle password non
crittografate dagli script
CA ControlMinder
Estrazione password
Reset password
Convalida password
Archiviazione password
Amministratore
IT
Reporting sulle
attività utente
Accesso
Correlazione tra attività
con privilegi e utente
Database
Server
Web
Switch
router
Storage
Switch
APP
Applicazione
Desktop
Virtualizzazione
Windows
Linux
Unix

Shared Account Management offre accesso protetto agli account con privilegi e consente di fornire
accountability per l'accesso con privilegi, tramite l'emissione di password temporanee, utilizzabili una sola
volta, o in base alle necessità, fornendo all'utente accountability delle sue azioni tramite le verifiche di
sicurezza. Questa funzionalità viene anche definita Administrative Check-out.
CA ControlMinder è anche progettato in modo da consentire alle applicazione di accedere in modo
programmatico alle password di sistema ed eliminare contestualmente password hard coded da script, file
batch, wrapper ODBC e JDBC. Questa funzionalità viene anche definita Applicative Check-out.
Il supporto per Shared Account Management è disponibile per una varietà di server, applicazioni (inclusi
database) e dispositivi di rete, in un ambiente fisico o virtuale.
Funzioni CA ControlMinder Shared Account Management
•Storage sicuro di password protette. Shared Account Management immagazzina le password critiche di
applicazioni e di sistemi in un data store sicuro e protetto. Gli utenti che devono accedere a tali password
critiche possono eseguire il "check-out" e il "check in" a tali password mediante un'interfaccia utente Web
intuitiva e di semplice utilizzo. Shared Account Management applica "policy di accesso con privilegi" che
gestiscono quali utenti possano utilizzare determinati account condivisi.
•Policy per password di account condivisi. Ogni password gestita tramite Shared Account Management
può disporre di una policy per le password associata che ne definisce l'unicità. In questo modo le
password generate da Shared Account Management vengono accettate dal sistema, dall'applicazione
o dal database dell'endpoint. Le policy per le password determinano anche l'intervallo dopo il quale
Password Vault debba generare automaticamente una nuova password per l'account.
•Rilevazione automatica degli account. Shared Account Management rileva automaticamente tutti
gli account su un end-point gestito che è connesso al server di gestione aziendale Shared Account
Management. L'amministratore di Shared Account Management può quindi decidere quali account
utilizzare. A questi account viene poi assegnato un "ruolo accesso con privilegi" che può essere concesso
agli utenti finali nell'ambito di una policy Shared Account Management.
8
CA ControlMinder
•Architettura priva di agenti. CA ControlMinder Shared Account Management fornisce un'architettura
server-based per una riduzione al minimo dei rischi e degli sforzi per il deployment. Non sono necessari
agenti sugli end-point gestiti di CA ControlMinder Shared Account Management. Tutte le connessioni sono
gestite dal server CA ControlMinder Enterprise Management utilizzando le funzionalità native; ad esempio,
i database utilizzano JDBC e UNIX, e Linux utilizza SSH, mentre Windows usa WMI.
•Integrazione con ticketing e sistemi help-desk. Integrazione con CA Service Desk Manager consente di
aggiungere un desk ticket di servizio nelle attività di richiesta e break glass, la convalida del desk ticket di
servizio e un responsabile dell'approvazione per esaminare il ticket per ulteriori informazioni.
•Controllo e reporting degli accessi con privilegi. Tutti gli accessi con privilegi sono controllati e registrati
in CA ControlMinder Shared Account Management. CA User Activity Reporting offre funzionalità migliorate
di logging e correlazione, e permette di correlare i log nativi generati da sistemi, applicazioni o database
con i log di Shared Account Management. Inoltre, se sugli endpoint del server (UNIX, Linux e Windows) è
installato CA ControlMinder, viene registrata e controllata l'attività di tutti gli utenti con privilegi. Questi
log possono essere inoltre centralizzati in CA User Activity Reporting e correlati agli eventi di check-out
generati CA ControlMinder Shared Account Management
•Ripristino e rollback delle password. In caso di malfunzionamento di un endpoint di CA ControlMinder
Shared Account Management, l'endpoint verrà ripristinato da un backup che potrebbe non essere
aggiornato. In tal caso, le password salvate in Shared Account Management non corrisponderanno a quelle
ripristinate dall'endpoint. Il server CA ControlMinder Enterprise Management visualizza un elenco delle
password precedenti e offre un'opzione per ripristinare l'endpoint alla configurazione corrente di Shared
Account Management.
Check-out amministrativo di Shared Account Management
•Attribuzione della responsabilità dell'accesso condiviso agli account. CA ControlMinder Shared
Account Management offre una funzionalità di "check-out esclusivo" che consente solo a una persona
specifica di eseguire il check-out di un account in qualsiasi momento. Inoltre, Shared Account Management
è in grado di monitorare le azioni originali dell'utente correlando gli eventi di accesso sul sistema all'evento
di check-out generato dell'applicazione Shared Account Management.
•Accesso automatico di Shared Account Management. Questa funzionalità è stata studiata per
semplificare e proteggere il processo consentendo a un utente di richiedere una password e utilizzarla con
un semplice clic facendo accedere automaticamente l'utente al sistema di destinazione come utente con
privilegi, pur senza essere in grado di visualizzare la password. In questo modo è possibile evitare che le
password vengano spiate e le operazioni risultano più rapide per il richiedente della password.
•Integrazione avanzata di Shared Account Management con CA ControlMinder. L'integrazione di Shared
Account Management e CA ControlMinder consente di integrare gli endpoint CA ControlMinder con Shared
Account Management per tenere traccia delle attività degli utenti che eseguono il check-out di account con
privilegi. Questa funzionalità è supportata solo quando utilizzata insieme alla funzionalità sopra descritta
di accesso automatico di Shared Account Management, e consente di specificare che un utente esegua il
check-out di un account con privilegi attraverso il server Enterprise Management prima che questi esegua
l'accesso a un endpoint CA ControlMinder.
•Registrazione e riproduzione di sessioni con privilegi. La registrazione e la riproduzione di sessioni
con privilegi ora sono fornite come parte di CA ControlMinder Shared Account Management tramite
l'integrazione con software di terze parti. Questa funzionalità facilita i controlli tramite funzionalità simili
a quelle dei sistemi di videoregistrazione digitali per la registrazione e la riproduzione di sessioni di utenti
con privilegi.
9
CA ControlMinder
•Funzionalità complete del workflow. CA ControlMinder Shared Account Management fornisce
funzionalità complete per il flusso di lavoro dual-control destinate all'accesso normale e di emergenza agli
account con privilegi. Il workflow può essere facoltativamente abilitato per alcuni utenti finali e/o per
alcuni account con privilegi.
•Accesso break glass e di emergenza. Gli utenti eseguono un "check-out break glass" quando devono
accedere immediatamente a un account che non sono autorizzati a gestire. Gli account break glass sono
account con privilegi che non sono assegnati all'utente in base al ruolo consueto dell'utente. Tuttavia, tale
utente può ottenere la password dell'account senza interventi e ritardi, qualora ciò fosse necessario. In un
processo di check-out break glass, un messaggio di notifica viene inviato all'amministratore, il quale
tuttavia non può né approvare né arrestare il processo.
Check-out applicativo di Shared Account Management
•Passaggio da applicazione ad applicazione di Shared Account Management. CA ControlMinder Shared
Account Management automatizza la gestione delle password degli account di servizio automatizzando un
processo che sarebbe altrimenti manuale (Windows Services), gestisce le password usate dalle attività
pianificate di Windows che richiedono l'accesso al sistema (Windows Scheduled Tasks) e si integra con il
meccanismo Windows Run-As per recuperare da Shared Account Management la password dell'utente con
privilegi interessato.
•Passaggio da applicazione a database di Shared Account Management. CA ControlMinder Shared
Account Management è inoltre in grado di reimpostare automaticamente le password con ID applicazioni.
Shared Account Management può gestire gli account di servizio utilizzati da server di applicazione IIS o
J2EE e le applicazioni da essi gestite intercettando le connessioni ODBC e JDBC e sostituendole con le
credenziali correnti degli account con privilegi. Nella maggior parte dei casi, CA ControlMinder Shared
Account Management fornisce questa funzionalità senza richiedere alcuna modifica alle applicazioni.
Questa funzionalità richiede che l'agente Shared Account Management sia installato sull'endpoint su cui
è in esecuzione l'applicazione, oppure sul server J2EE in caso di applicazione Web.
•Check-out programmatico da script shell e file batch. È possibile utilizzare l'agente Shared Account
Management in uno script per sostituire le password hard-coded con le password il cui check-out è
eseguibile dalla gestione aziendale di CA ControlMinder Shared Account Management. In questo modo
è possibile evitare l'inserimento di password hard-coded negli script.
Per informazioni più approfondite e tecniche su Shared Account Management, consultare il technical brief di
CA ControlMinder Shared Account Management.
10
CA ControlMinder
Protezione degli endpoint e protezione avanzata
dei server con CA ControlMinder
Figura B.
CA ControlMinder offre
un'applicazione delle
policy di sicurezza
basata sul ruolo.
ControlMinder
CA

Gli elementi
fondamentali di CA ControlMinder sono gli agenti sicuri e dalla protezione avanzata che si
integrano a livello nativo con il sistema operativo per applicare e controllare le policy dettagliate richieste
per soddisfare i requisiti di conformità. Gli agenti endpoint sono disponibili per tutti i principali sistemi
operativi, comprese tutte le versioni più diffuse di Linux, UNIX e Windows. L'elenco aggiornato dei sistemi
supportati è riportato sul sito Web CA Support.
CA ControlMinder offre formati pacchetto nativi per installare e gestire CA ControlMinder a livello nativo sui
sistemi operativi supportati. Ciò consente, nell'ambiente enterprise globale, di implementare numerosi
server gestiti.
CA ControlMinder offre inoltre un'interfaccia basata su Web intuitiva e uniforme per gestire policy,
applicazioni e dispositivi endpoint. CA ControlMinder supporta a livello nativo la maggior parte delle
piattaforme di virtualizzazione, ovvero VMware ESX, Solaris 10 Zones e LDOMs, Microsoft Hyper-V, IBM VIO
e AIX LPAR, HP-UX VPAR, Linux Xen e Mainframe x/VM, così da proteggere sia il livello hypervisor che i
sistemi operativi guest che vengono eseguiti su tali piattaforme.
Negli ambienti enterprise, l'uso di una directory per la gestione degli utenti e il deployment di applicazioni
abilitate da directory sono diventate pratiche comuni. CA ControlMinder supporta archivi utente enterprise,
ossia archivi per utenti e gruppi nativi del sistema operativo. Questa integrazione nativa consente di
definire regole di accesso per gli utenti e i gruppi enterprise senza dover sincronizzare o importare gli utenti
e i gruppi nel database CA ControlMinder.
11
CA ControlMinder
Protezione server multipiattaforma
Molte organizzazioni implementano un'infrastruttura di server eterogenea, comprendente sistemi Windows,
Linux e UNIX. CA ControlMinder abilita la gestione e l'applicazione uniformi e integrate delle policy di
protezione degli accessi in tutti questi ambienti. L'architettura avanzata delle policy offre una singola
interfaccia tramite la quale le policy possono essere amministrate e distribuite simultaneamente agli iscritti
Windows e UNIX. La gestione consolidata di server Linux, UNIX e Windows riduce la quantità di impegno
amministrativo richiesto e potenzia l'efficienza dell'amministratore di sistema, permettendo così di
risparmiare sui costi di gestione.
Controllo dettagliato degli accessi
CA ControlMinder è una soluzione di applicazione della protezione indipendente, ovvero che non si basa sul
sistema operativo esistente per applicare le policy di controllo degli accessi al server. Operando a livello di
sistema, CA ControlMinder monitora e regolamenta tutti gli accessi alle risorse di sistema, inclusi quelli
che hanno origine da amministratori di dominio o di sistema locale. Queste funzionalità dettagliate di
applicazione degli accessi regolamentano, delegano e limitano le operazioni degli amministratori di
dominio o di qualsiasi altro account nell'ambiente IT e forniscono:
•Controllo della rappresentazione. CA ControlMinder controlla le funzionalità di delega degli utenti
sostituti per ridurre l'esposizione dei dati a utenti non autorizzati che eseguono applicazioni con privilegi
avanzati, e in questo modo permette di gestire l'attribuzione della responsabilità per le attività di
account condivisi. Un amministratore potrebbe ad esempio assumere il profilo di un altra persona per
modificare gli attributi dell'elenco di controllo accessi, o ACL (Access Control List) di un file senza alcuna
responsabilità delle sue azioni. CA ControlMinder esercita protezione su più livelli limitando innanzitutto le
prerogative di chi utilizza Run-As e il comando UNIX "su" preservando l'ID utente originaria anche dopo
operazioni come sostituto; in questo modo i record di accesso dell'utente nei log di controllo riporteranno
l'account originario. L'utente può in questo modo eseguire l'accesso utilizzando il proprio ID e modificare in
tutta sicurezza il suo profilo in un account con privilegi senza che la sua responsabilità vada perduta.
•Limitazione delle prerogative del super user (administrator/root). L'account root è un elemento da cui
scaturisce una notevole vulnerabilità poiché consente ad applicazioni o utenti di assumere un livello di
privilegio superiore rispetto al necessario. CA ControlMinder ispeziona tutte le richieste in entrata a livello
di sistema e applica l'autorizzazione in base alle regole e alle policy definite. Nemmeno l'account root con
privilegi può ignorare questo livello di controllo. In questo modo tutti gli utenti con privilegi diventano
utenti gestiti e sono responsabili delle proprie attività sul sistema.
•Controllo degli accessi basato su ruolo. Le best practice impongono di attribuire a ogni amministratore
privilegi sufficienti per svolgere esclusivamente le mansioni di lavoro che gli competono. Se si fornisce
un complesso ambiente di controllo basato su ruolo, gli amministratori non sono più in grado di
condividere una password di amministratore e di sfruttare i vantaggi dei privilegi associati a tale ruolo.
CA ControlMinder viene fornito con una serie di ruoli amministrativi e di controllo predefiniti che possono
essere personalizzati e ampliati al fine di soddisfare le esigenze dell'organizzazione IT.
•Applicazione dettagliata. I sistemi operativi nativi (Linux, UNIX e Windows) offrono capacità limitate di
delega dettagliata ed efficiente di alcuni diritti di amministrazione di sistema ad account utente con meno
prerogative. CA ControlMinder consente di applicare le regole in modo dettagliato e gestisce l'accesso in
base a diversi criteri, ovvero attributi di rete, ora del giorno, calendario o programma di accesso. Le
funzionalità includono:
12
CA ControlMinder
–– Controlli dettagliati aggiuntivi. I controlli che offrono privilegi specifici per file, servizi e altre funzioni
a livello di sistema operativo (ridenominazione, copia, arresto, avvio) possono essere assegnati a uno
specifico amministratore o a un gruppo di amministrazione.
–– Livelli diversi di applicazione. CA ControlMinder Warning Mode viene utilizzato generalmente dalle
organizzazioni per determinare se le policy di sicurezza proposte sono troppo rigide oppure troppo
permissive, in modo da poterle modificare di conseguenza. CA ControlMinder offre inoltre la possibilità
di convalidare istantaneamente gli effetti di una policy di sicurezza senza applicare la limitazione
tramite l'impostazione Validation Mode.
–– Elenchi di controllo accessi migliorati. CA ControlMinder offre molte funzionalità migliorate di controllo
degli accessi per consentire all'amministratore della sicurezza di assegnare in modo più razionale e
appropriato diritti di accesso agli utenti autorizzati, compresi Program Access Control Lists (PACL),
che consente l'accesso alle risorse solo da un particolare programma o file binario.
–– Controllo degli accessi basato sulla rete. Gli attuali ambienti aperti richiedono un controllo rigido degli
accessi degli utenti e delle informazioni che scorrono in rete. Il controllo degli accessi basato sulla rete
va a costituire un ulteriore livello di protezione per regolamentare l'accesso alla rete. CA ControlMinder
può gestire l'accesso alle porte di rete o ai programmi di accesso alla rete e le policy di sicurezza di rete
possono gestire l'accesso bidirezionale in base a ID terminale, nome host, indirizzo di rete, segmenti
o altri attributi.
–– Controllo dell'accesso. CA ControlMinder può potenziare la sicurezza dell'accesso limitando l'accesso
degli utenti in base a indirizzo IP di origine, ID terminale, tipo di programma di accesso oppure ora del
giorno. CA ControlMinder può inoltre limitare sessioni di accesso concomitanti da parte di un singolo
utente per applicare la restrizione dell'accesso utente a un server. Gli utenti possono essere
automaticamente sospesi dopo un numero eccessivo di tentativi di accesso non andati a buon fine,
così da proteggere i sistemi dagli attacchi di forza bruta. CA ControlMinder fornisce inoltre funzionalità
di sospensione e revoca sicure degli account utente in ambienti distribuiti.
Gestione e controllo dell'accesso agli ambienti virtuali
La virtualizzazione consolida istanze server multiple in un singolo computer fisico, permettendo così di
ridurre i costi di proprietà e di ottimizzare l'utilizzo dei computer. Purtroppo la virtualizzazione genera una
nuova classe di utenti privilegiati hypervisor che possono creare, copiare, spostare o in altro modo gestire
questi sistemi operativi guest. Ciò accentua l'esigenza di un'adeguata imposizione delle mansioni e di una
protezione consolidata delle risorse server per fare in modo che tutti i dati e tutte le applicazioni in questi
sistemi guest vengano controllati e protetti da manipolazioni.
Tramite CA ControlMinder, questi amministratori hypervisor possono essere controllati; anche l'imposizione
delle mansioni può essere facilmente implementata.
Questa funzionalità offre un livello essenziale di protezione per ridurre al minimo i rischi che comporta la
virtualizzazione. Gli agenti dell'endpoint supportano una vasta gamma di versioni di sistemi operativi in
esecuzione come guest, oltre che tutti i principali host di virtualizzazione dei sistemi operativi, ovvero
VMware ESX, Solaris 10 Zones and LDOMs, Microsoft Hyper-V, IBM VIO e AIX LPAR, HP-UX VPAR, Linux Xen e
Mainframe x/VM.
13
CA ControlMinder
Protezione avanzata del sistema operativo
Un livello critico per la strategia di difesa in profondità consiste nel proteggere il sistema operativo
dall'accesso o dalla violazione da parte di elementi esterni. CA ControlMinder offre diverse misure di
sicurezza contro attacchi esterni al fine di aggiungere un ulteriore livello di sicurezza per i server.
•Controlli di file e directory. File e directory costituiscono la colonna portante dei sistemi operativi
e qualsiasi tipo di violazione può determinare situazioni di DoS e tempi di inattività imprevisti.
CA ControlMinder offre potenti opzioni wildcard e di accesso ai programmi che semplificano la gestione
delle policy a livello di file. CA ControlMinder può applicare il controllo delle modifiche su file e sistemi
di directory essenziali, cosa che favorisce l'integrità e la riservatezza dei dati. La protezione a livello di file
è disponibile per tutti i tipi di file, compresi file di testo, directory, file eseguibili, file di dispositivi,
collegamenti simbolici, file con mounting NFS e share Windows.
•Esecuzione attendibile dei programmi. Per evitare che l'ambiente operativo venga compromesso dal
malware, e in particolar modo da trojan, CA ControlMinder offre una protezione dei programmi attendibili
di prima linea. Le risorse critiche possono essere contrassegnate come attendibili; tali file e programmi
verranno in seguito monitorati e CA ControlMinder ne bloccherà l'esecuzione qualora venissero modificati
da malware. È possibile consentire solo a determinati utenti o gruppi di utenti di apportare cambiamenti
alle risorse attendibili al fine di ridurre ulteriormente la possibilità di modifiche impreviste.
•Protezione del registro di Windows. Il registro di Windows è un obiettivo ovvio per hacker e utenti
malintenzionati poiché il database centralizzato contiene i parametri del sistema operativo, compresi
quelli che controllano i driver di dispositivo, i dati di configurazione e le impostazioni di hardware,
ambiente e sicurezza. CA ControlMinder consente di proteggere il registro tramite il supporto di regole in
grado di impedire agli amministratori di modificare o manomettere le impostazioni del registro.
CA ControlMinder può proteggere le chiavi di registro dall'eliminazione e i loro valori dalla modifica.
•Protezione dei servizi Windows. CA ControlMinder offre una protezione avanzata per limitare il raggio
di azione di amministratori che possono avviare, modificare o arrestare servizi Windows critici. Questa
funzionalità costituisce una forma di protezione contro il DoS di applicazioni di produzione quali Database,
Web, File e Stampa, che sono tutte controllati come servizi in Windows. È fondamentale proteggere questi
servizi dall'accesso non autorizzato.
•Blocco delle applicazioni. CA ControlMinder consente di definire azioni accettabili di applicazioni ad alto
rischio. Tutti i comportamenti che esulano da questi limiti verranno bloccati da una funzione di blocco
dell'applicazione. È ad esempio possibile realizzare un ACL basato su un ID logico a cui appartengono
processi e servizi Oracle in modo tale che il suo comportamento bloccato impedisca qualsiasi azione non
sia quella dell'avvio di dei servizi DBMS Oracle.
Registratore di tastiera UNIX/Linux
CA ControlMinder può limitare le azioni di utenti normali e speciali e può addirittura tenere traccia delle
sessioni di determinati utenti, oltre a permettere di registrare tutto quello che tali utenti fanno durante una
sessione tramite funzionalità KBL, che si interpone fra la shell e il terminale/tastiera acquisendo tutto
quanto viene digitato (input) e visualizzato sul terminale (output).
È possibile abilitare la funzionalità KBL semplicemente modificando la modalità di controllo
dell'amministratore/utente del quale si desidera acquisire l'attività da tastiera.
14
CA ControlMinder
Figura C.
Selezione della modalità
interattiva UNIX/Linux
KBL in CA ControlMinder
Endpoint Management.

Caratteristiche di KBL
•Riproduzione della sessione (solo modalità locale sull'endpoint CA ControlMinder)
•Stampa dell'output/input della sessione
•Stampa dei comandi della sessione
•Correlazione con i dati raccolti da CA ControlMinder sull'utente
•Store centrale con report di CA User Activity Reporting
Figura D.
Output di una sessione
CA ControlMinder KBL.

I report KBL ora sono disponibili in CA User Activity Reporting con viste drill-down che visualizzano tutti
i comandi digitati al prompt dei comandi e il loro rispettivo output.
15
CA ControlMinder
Figura E.
Un rapporto KBL
campione disponibile
in CA User Activity
Reporting.

Gestione centralizzata delle identità UNIX da
Active Directory: UNAB
La funzionalità UNAB (UNIX Authentication Broker) di CA ControlMinder permette di gestire gli utenti da
Microsoft AD. Ciò consente il consolidamento dei dati di autenticazione e dell'account in AD, in modo tale
che le credenziali UNIX non devono più essere gestite localmente in ciascun sistema.
Caratteristiche di UNAB
Gestione centralizzata dell'autenticazione UNIX. UNAB semplifica la gestione degli utenti UNIX locali
convalidando le loro credenziali di autenticazione con AD. Utenti e gruppi non devono essere definiti in NIS
o, localmente, nel file /etc/passwd. Attributi utente quali directory principale, shell, UID, GECOS e policy
relative alle password vengono reperiti da AD.
Agile modulo PAM. UNAB offre un agile modulo PAM (Pluggable Authentication Module) di dimensioni
ridotte in UNIX che viene aggiunto allo stack PAM dell'endpoint.
Packaging nativo. UNAB offre un packaging nativo per un'installazione e un deployment semplici.
Integrazione con registro eventi Windows nativo. Tutti i registri UNAB sono instradati ai registri eventi
Windows nativi. Ciò permette di consolidare e semplificare il controllo, oltre a consentire l'integrazione con
strumenti SIM di terze parti.
Modalità di funzionamento flessibili. UNAB può essere configurato per operare in modalità di integrazione
parziale o totale, così da facilitare il processo di migrazione.
• Modalità di integrazione parziale. In questa modalità la password utente è memorizzata AD.
Al momento dell'autenticazione, solo la convalida della password viene eseguita con AD. Attributi
utente quali UID, directory principale e gruppo principale sono derivati dall'host UNIX locale o da NIS
e non da AD. Quando si aggiunge un nuovo utente all'organizzazione, l'amministratore deve creare
l'utente sia su AD che nel file /etc/passwd locale o in NIS. Non sono richieste modifiche di schema ad
AD affinché UNAB funzioni in modalità di integrazione parziale.
16
CA ControlMinder
• Modalità di integrazione totale. In questa modalità, le informazioni dell'utente sono memorizzate
solo in AD. Non vi sono voci utente nel file /etc/passwd locale o in NIS. Attributi utente quali UID,
directory principale e gruppo principale sono memorizzati in Active Directory e non sull'host UNIX
locale o in NIS. Quando si aggiunge un nuovo utente all'organizzazione, l'amministratore deve creare
l'utente solo in AD e deve fornire gli attributi UNIX richiesti. L'integrazione totale richiede Windows 2003
R2, che supporta gli attributi UNIX.
Mapping degli attributi LDAP dinamica. Qualora l'organizzazione non supporti Windows 2003 R2, che è
richiesto per la modalità di integrazione totale, UNAB offre una funzionalità che consente di eseguire la
mappatura dinamica degli attributi UNIX ad attributi AD non standard, al fine di evitare le complessità che
comporterebbe l'estensione o la modifica dello schema AD.
Migliori funzionalità di caching e di supporto offline. UNAB esegue il caching di ogni accesso effettuato
correttamente nel suo database SQLite locale. Le informazioni nella cache comprendono nome utente,
attributi utente, appartenenza a gruppi e valore hash della password. Qualora UNAB non sia in grado di
effettuare la connessione ad AD, tenterà di convalidare le credenziali dell'utente con la cache locale. Questa
caratteristica è denominata supporto dell'"accesso offline". I record utente verranno conservati nella cache
locale per un numero di giorni configurabile. Gli utenti locali, quali "root" e altri account di sistema e di
applicazione, possono eseguire l'accesso indipendentemente dalla connettività AD.
Single Sign-On UNAB. Consente di eseguire il Single Sign-On fra tutti gli host UNAB con Kerberos
nell'ambiente. Se si accede a un host UNAB abilitato Kerberos, è possibile in seguito accedere
automaticamente a qualsiasi altro host UNAB utilizzando le credenziali Kerberos; in questo modo l'ambiente
viene dotato di una vera e propria soluzione Single Sign-On.
Policy di accesso centralizzate. Una volta attivato UNAB su un endpoint UNIX, le policy di accesso centrali
determinano quali utenti possano accedere a determinati host o gruppi di host UNIX. Queste policy di
accesso sono gestite e distribuite utilizzando l'interfaccia utente di CA ControlMinder Enterprise
Management e sono memorizzate localmente su ciascun end-point nel database SQLite. Le policy di accesso
possono essere applicate a un host UNIX singolo o a un "gruppo host" logico di server. Le regole relative
all'ambito possono basarsi su utenti e gruppi AD, cosa che semplifica le attività amministrative.
Figura F.
Broker di
autenticazione UNIX.

17
CA ControlMinder
Controllo e reporting degli accessi degli utenti con
privilegi mediante CA User Activity Reporting
La conformità richiede che vengano applicate policy appropriate, e che tali policy siano implementate, ma
soprattutto è necessario essere in grado di dimostrare di essere conformi alle policy aziendali e agli standard
normativi. Inoltre è necessario tenere traccia di tutte le deviazioni dalle policy.
Al fine di dimostrare la conformità, le soluzioni di protezione delle risorse server devono generare report che
dimostrino l'esistenza e l'applicazione di policy relative alle password, livelli di diritto e separazione dei
compiti. CA ControlMinder comprende una licenza per CA User Activity Reporting, grazie al quale è possibile
esaminare lo stato di sicurezza di utenti, gruppi e risorse. Questa soluzione raccoglie i dati da ciascun
endpoint nell'azienda, li raccoglie in un'ubicazione centrale, analizza i risultati confrontandoli alle policy
aziendali e infine genera un report. Questa licenza per CA User Activity Reporting copre solo la raccolta di
dati e la generazione di report relativi agli eventi di CA ControlMinder; qualora fossero necessarie
funzionalità più estese, è necessario acquistare una licenza completa per CA User Activity Reporting Module.
Il servizio di reporting funziona in modo indipendente e raccoglie, a scadenze pianificate, le policy in vigore
su ciascun endpoint. Il sistema è caratterizzato dalla resilienza, e infatti i report relativi allo stato degli
endpoint vengono generati senza che siano necessari interventi manuali, e indipendentemente dallo stato
del server di raccolta. Inoltre i componenti del servizio di reporting si trovano all'esterno del sistema di
applicazione di CA ControlMinder e non richiedono l'interruzione delle funzioni di applicazione quando si
riconfigurano o personalizzano i report.
Il servizio di reporting è strutturato in modo da consentire il reporting dello stato delle policy applicate da
ogni endpoint. È possibile generare report personalizzati destinati a vari scopi, oppure utilizzare i 60 tipi
forniti direttamente con CA ControlMinder.
Conformità alle policy e report sulle autorizzazioni
Ai fini del reporting di conformità non è più sufficiente generare report basati su eventi relativi alle
operazioni effettuate in passato. Oggi per raggiungere la conformità sono necessari report proattivi in grado
di evidenziare lo stato della conformità in qualsiasi momento. A tal fine, CA ControlMinder offre il reporting
proattivo sui privilegi di accesso degli utenti e la prova dei controlli di accesso esistenti.
Il servizio di reporting di CA ControlMinder è dotato di oltre 60 report standard che indicano
autorizzazioni e stato corrente delle policy implementate, nonché deviazioni dalle stesse. Questi report
sono immediatamente utilizzabili, e costituiscono un utile complemento al controllo basato sugli eventi
per il monitoraggio dei requisiti di conformità e per il rilevamento delle discrepanze esistenti. I report
standard comprendono:
Report sulla gestione delle policy che consentono di esaminare lo stato del deployment delle policy e le
deviazioni rispetto alle policy standard.
I report sui diritti consentono di visualizzare i diritti di utenti e gruppi sulle risorse di sistema, oppure di
visualizzare chi può accedere a specifiche risorse. Potrebbero risultare utili ad esempio per vedere chi
dispone dell'accesso root ai sistemi.
I report sulla gestione degli utenti mettono in evidenza account inattivi, appartenenza a gruppi e account
amministrativi e permettono di gestire la separazione dei compiti.
18
CA ControlMinder
I report di gestione delle password forniscono informazioni sull'età delle password, sulla conformità delle
password alle policy ecc.
I report sull'accesso degli utenti con privilegi riportano informazioni dettagliati su tutte le attività degli
utenti con privilegi, inclusi check-in, check-out, approvazioni del workflow e altre operazioni.
Figura G.
Report di CA
ControlMinder Shared
Account Management
che mostra gli account
con privilegi in base al
tipo di end-point.

I report sull'autenticazione UNIX forniscono tutti i dati su diritti e report relativi al componente UNAB di
CA ControlMinder.
Figura H.
Report UNAB
dettagliato che mostra
gli utenti AD globali con
attributi UNIX.

La procedura guidata di rilevamento degli utenti con privilegi (che va avviata dall'utente) cercherà gli
utenti con privilegi all'interno dell'organizzazione e genera automaticamente un report.
19
CA ControlMinder
Il sistema aperto di reporting relativo alle policy fornito da CA ControlMinder si basa su un sistema
relazionale per la gestione di database (RDBMS) standard. L'interoperabilità con sistemi esterni consente agli
amministratori di generare report sulle policy tramite lo strumento di reporting che preferiscono e di
personalizzare il layout dei report in base agli standard interni o alle richieste dei responsabili del controllo.
Scheda punteggi di deployment delle policy
Figura I.
Report campione che
mostra uno snapshot
point-in-time degli host
conformi a una
specifica policy.

CA ControlMinder Enterprise Management
Vista la complessità e la scalabilità richieste al giorno d'oggi per le risorse server, è essenziale poter
implementare e applicare una policy centralizzata per il controllo degli accessi nell'extended enterprise,
pur rispettando eccezioni locali ed esigenze di business. CA ControlMinder offre una serie di funzionalità
avanzate che facilitano e semplificano la gestione degli accessi e che consentono le eccezioni in modo
documentabile e visibile.
Raggruppamento logico degli host
È possibile raggruppare gli endpoint in gruppi host logici e quindi assegnare policy basate su tale
appartenenza al gruppo host indipendentemente dall'organizzazione fisica degli endpoint. Gli host possono
appartenere a una serie di gruppi host logici in base alle loro proprietà e ai requisiti delle policy. Se ad
esempio vi sono host con sistema operativo Red Hat e Oracle, tali host possono appartenere a un gruppo
host logico Red Hat per poter ottenere le policy di controllo degli accessi Red Hat di base, e possono
appartenere anche al gruppo host logico Oracle per ottenere le policy di controllo degli accessi Oracle.
I gruppi host logici sono utilizzabili dai componenti Shared Account Management e UNAB di
CA ControlMinder. In Shared Account Management, i gruppi host logici di host quali i server di database
possono avere una policy comune che consente l'accesso ad account con privilegi su questi server. In UNAB,
un set comune di policy di accesso può essere applicato a un gruppo host logico che consente agli utenti
di accedere in modo selettivo in base alle credenziali Active Directory.
20
CA ControlMinder
Gruppi di host logici
Figura J.
L'amministratore della
sicurezza può definire
gruppi host logici,
assegnare loro policy e
disporre della totale
visibilità della
conformità di questi
host alle policy.

Controllo della versione delle policy
CA ControlMinder permette di tenere traccia dei cambiamenti delle policy rappresentando ciascuna policy
come entità singola con versioni multiple. Quando si crea una nuova versione di una policy, questa viene
memorizzata, insieme a informazioni sul deployment della versione e relative regole, sulla persona che ha
creato la versione (a scopi di controllo e attribuzione di responsabilità) e sulla data di creazione. Un processo
di aggiornamento consente inoltre di aggiornare il deployment della policy su tutti gli host assegnati
all'ultima versione della policy.
Interfaccia utente Web Common Enterprise Management
L'interfaccia Web Enterprise Management è semplice, intuitiva e consente di eseguire la gestione avanzata
delle policy, fornendo al contempo una visione integrata sull'intero ambiente di server CA ControlMinder.
L'interfaccia Web consente inoltre di gestire endpoint o modelli di policy individuali e permette di:
•Creare host
•Assegnare host a gruppi di host
•Creare e aggiornare policy
•Assegnare e rimuovere policy a host o gruppi di host
•Implementare e rimuovere direttamente policy in host o gruppi di host
•Aggiornare all'ultima versione le policy assegnate
•Controllare il deployment delle policy nell'ambiente enterprise
•Analizzare l'ambiente enterprise per host, gruppo o policy
•Gestire endpoint CA ControlMinder discreti tramite la gestione degli endpoint
•Rilevare gli account di utenti con privilegi sugli end-point gestiti di Shared Account Management
•Gestire le password degli utenti con privilegi sugli end-point di Shared Account Management
•Creare e gestire le policy di accesso che controllano l'accesso agli endpoint UNAB
21
CA ControlMinder
L'interfaccia utente è uniforme in tutte le soluzioni CA Identity and Access Management poiché utilizza
il framework comune di CA Technologies per la definizione dell'ambito amministrativo e per la delega
delle attività.
Console CA ControlMinder Enterprise Management
Figura K.
L'Enterprise
Management World
View offre una vista
dell'ambiente dal punto
di vista dell'endpoint,
del gruppo host o
della policy, così da
permettere di
analizzare la
gerarchia fino al
livello di gestione
dell'endpoint,
se necessario.

Integrazione con directory LDAP enterprise
CA ControlMinder Enterprise Management può utilizzare Microsoft Active Directory e Sun-One LDAP come
archivi utenti back-end user. La documentazione che accompagna CA ControlMinder spiega come
configurare queste directory.
Figura L.
Configurazione di CA
Enterprise Management
Console per l'utilizzo di
LDAP (Sun One) come
archivio utenti.

22
CA ControlMinder
Autenticazione forte multi-factor con token RSA SecurID
L'interfaccia utente Web di CA ControlMinder Enterprise Management ora può utilizzare i token RSA SecurID
per l'autenticazione forte.
Di seguito sono riportati i componenti richiesti per questa integrazione:
•Access Control 12.5 SP4 Enterprise Management con JBoss
•Server Web Apache compilato con Proxy Module
•RSA Authentication Manager
•RSA Authentication Web Agent
•RSA Token Generator
Una volta verificato da RSA Authentication Manager, l'utente può accedere automaticamente a
CA ControlMinder Enterprise Management senza dover fornire ID utente o password per l'intera durata
del cookie RSA. Scaduto questo periodo, l'utente dovrà effettuare nuovamente l'autenticazione su RSA per
accedere a CA ControlMinder Enterprise Management.
CA ControlMinder Enterprise Management supporta contemporaneamente il metodo di autenticazione RSA
SecurID e quello consueto che richiede l'immissione di ID utente e password. Se un utente non effettua
l'autenticazione con RSA, può comunque fornire ID utente e password per accedere a CA ControlMinder
Enterprise Management.
Funzionalità di controllo avanzate e sicure
Spesso la conformità richiede che l'utente compia operazioni chiave all'interno del sistema, al fine di fornire
i dati necessari per il controllo e l'attribuzione di responsabilità nella traccia di verifica. Per soddisfare in
modo efficiente i requisiti dei normali controlli di conformità, questi dati devono anche essere raccolti a
livello centrale e gestiti in modo sicuro. CA ControlMinder offre registri di controllo indipendenti che non
possono essere modificati da utenti non autorizzati, compresi gli amministratori di dominio o di sistema.
CA ControlMinder genera registri di controllo sicuri e affidabili che associano i reali ID utente a tutte le
operazioni sulle risorse protette (anche in seguito a operazioni sostitutive). Tutte le operazioni che l'utente
tenta di eseguire su una policy di accesso possono essere registrate, indipendentemente dal fatto che tale
utente sia autorizzato o meno a portare a termine correttamente queste operazioni. Se fosse necessario
effettuare un'analisi approfondita di queste operazioni, i dati di controlli dettagliati e precisi possono
velocizzare il processo di identificazione dell'origine dell'attacco e delle attività.
Modalità di controllo complete
CA ControlMinder presenta tre impostazioni di controllo:
•Success, che genera un evento ogni qualvolta venga eseguito correttamente l'accesso a una
risorsa controllata
•Failure, che tiene traccia e registra tutti gli accessi negati
•Warning, che genera un record di controllo ogni qualvolta una policy di accesso venga violata
(pur considerando che CA ControlMinder non nega l'accesso)
23
CA ControlMinder
È possibile definire la modalità o la combinazione di modalità di controllo che vanno applicate a ciascun
utente, gruppo o risorsa. Ad esempio, il controllo del gruppo degli amministratori della sicurezza e il
livello di controllo generale per i file possono essere impostati su Failure, ma specificamente per i file di
configurazione di sistema, gli eventi di controllo verranno generati sia per Success che per Failure.
Routing dei registri
Il routing di tutti gli eventi di accesso di una certa rilevanza a un'ubicazione unica e protetta è un requisito
fondamentale per la gestione della conformità. CA ControlMinder consente di instradare e centralizzare tutti
i registri di controllo degli accessi. Ciò costituisce un vantaggio non solo perché consente il consolidamento
dei registri, ma anche perché ne garantisce la disponibilità e l'integrità in caso di violazioni della rete o
malfunzionamento dei sistemi.
Notifica in tempo reale
CA ControlMinder supporta la notifica immediata degli eventi relativi alla sicurezza, che può essere
inviata a cercapersone o console esterne per la risoluzione dei problemi, oppure ad altri sistemi di
gestione delle informazioni.
Protezione intrinseca
I daemon di controllo e i registri stessi devono essere protetti da potenziali attacchi, interruzioni o
manomissioni. I servizi e i registri di controllo di CA ControlMinder sono intrinsecamente protetti e non
possono essere interrotti o modificati. Ciò garantisce l'integrità dei registri e la disponibilità delle
informazioni a scopi di analisi futura.
Integrazione con CA User Activity Reporting
CA ControlMinder è integrato a CA User Activity Reporting e comprende una licenza per CA User Activity
Reporting per la raccolta dei soli eventi di CA ControlMinder. In questo modo gli eventi di CA ControlMinder
vengono inviati a CA User Activity Reporting per essere ulteriormente analizzati, consentendo l'aggregazione
di file di registro, la correlazione con altri eventi nell'ambiente IT a livello enterprise e la creazione di
report relativi a policy. Ciò facilita il processo di controllo e supporta l'analisi e la verifica dettagliate dei
dati di controllo e monitoraggio della conformità. CA User Activity Reporting comprende anche le
seguenti funzionalità:
La Raccolta di dati multipiattaforma consente di aggregare i dati degli eventi da una vasta gamma di
origini, ovvero sistemi operativi, applicazioni business, dispositivi di rete, dispositivi di sicurezza, mainframe,
sistemi di controllo degli accessi e servizi Web.
Gli strumenti in tempo reale per la raccolta, la visualizzazione e il reporting offrono viste e report
personalizzati per specifici ruoli utente.
La gestione degli avvisi filtra e monitora gli eventi critici e implementa avvisi e altre attività in base a
policy prestabilite.
Il repository dei dati di sicurezza centrale memorizza i dati di controllo in un repository centrale,
basato su un database relazionale scalabile, per un facile accesso, e offre funzionalità di reporting per
l'analisi cronologica.
24
CA ControlMinder
ControlMinder for Virtual Environments
CA ControlMinder for Virtual Environments è una soluzione unica per la gestione dell'accesso degli utenti
con privilegi a computer virtuali e hypervisor, che consente di controllare le azioni degli utenti con privilegi,
proteggere l'accesso all'ambiente virtuale e assicurare la conformità ai requisiti di settore. Offre inoltre le
funzionalità chiave per gestire le password degli utenti con privilegi, per rafforzare la sicurezza degli
hypervisor e per monitorare l'attività di questo tipo di utenti.
Vantaggi principali
Combinando i controlli per gli accessi host con la gestione degli utenti con privilegi, CA ControlMinder for
Virtual Environments consente di abbattere i costi e i rischi associati alla gestione di questi utenti in un
ambiente virtuale. CA ControlMinder for Virtual Environments è stato studiato per aiutare le organizzazioni a:
•Garantire la conformità del data center virtuale
•Ottenere visibilità e controllo sull'ambiente virtuale
•Automatizzare le operazioni di sicurezza e ridurne i costi
•Accelerare l’adozione delle tecnologie di virtualizzazione per le applicazioni critiche
•Creare un ambiente multi-tenant sicuro
Sezione 3: I vantaggi
CA ControlMinder: una soluzione di comprovata
efficacia per la gestione degli utenti con privilegi
CA ControlMinder offre una soluzione per la gestione e il controllo dell'accesso degli utenti con privilegi.
Come spiegato sopra, i tre componenti essenziali di CA ControlMinder sono:
•CA ControlMinder Shared Account Management per il controllo degli utenti con privilegi
•Protezione avanzata dei server endpoint per potenziare la sicurezza
•UNIX Authentication Broker (UNAB) per l'autenticazione degli utenti da un singolo archivio utenti
Questi componenti possono essere implementati in modo indipendente oppure tutti insieme come parti di
una soluzione completa.
La protezione avanzata dei server endpoint di CA ControlMinder, UNAB e Shared Account Management
condividono l'infrastruttura Enterprise Management e di reporting, un archivio delle policy integrato, il
framework di gestione degli accessi e delle identità, il modello di delega e ambito e l'interfaccia utente Web.
Ciò consente una rapida implementazione e velocizza il time-to-value.
CA ControlMinder soddisfa i requisiti di disponibilità di applicazioni, server e database gestendo e
controllando l'accesso degli utenti con privilegi e al contempo offrendo la flessibilità necessaria per
supportare eccezioni locali in modo controllabile e con una chiara attribuzione delle responsabilità.
CA ControlMinder aiuta a:
•Ridurre il rischio
•Regolare e controllare l'accesso degli utenti con privilegi
25
CA ControlMinder
•Applicare la conformità e il reporting basati su server
•Ridurre i costi amministrativi e la complessità
•Eliminare le password hard-coded da script, file batch e applicazioni ODBC e JDBC
Ridurre il rischio
CA ControlMinder riduce il rischio proteggendo le password degli utenti con privilegi e attribuendo la
rispettiva responsabilità ai singoli utenti. In questo modo viene ridotto drasticamente il rischio che i
programmi di violazione delle password vengano utilizzati per accedere illegalmente a server o applicazioni,
riducendo così il rischio e potenziando l'integrità dei dati.
Regolare e controllare l'accesso degli utenti con privilegi
CA ControlMinder protegge i server critici (fisici e virtuali) implementando policy di accesso dettagliate che
allineano il ruolo dell'utente nell'organizzazione, proteggendo dalla perdita di dati sensibili. Tutte le attività
amministrative vengono fatte risalire allo specifico utente per abilitare una vera imposizione delle mansioni
e per attribuire la responsabilità tramite una traccia di verifica.
Applicare la conformità e il reporting basati su server
CA ControlMinder consente di proteggere i server critici con la possibilità di creare e implementare policy
di accesso specifiche che rispondono ai requisiti di conformità interna e normativa a livello dell'intera
organizzazione. Più dei 60 report predefiniti gestiscono elementi chiave della conformità, quale separazione
dei compiti, autorizzazioni e policy relative alle password, e consentono alle organizzazioni di generare
report proattivi sullo stato delle policy chiave relative alla conformità. Ciò fornisce visibilità e responsabilità
sulla conformità e sulle policy di sicurezza, offrendo il giusto livello di flessibilità a chi si occupa della
gestione IT.
Ridurre i costi amministrativi e la complessità
Policy di accesso ai server gestite centralmente, account utente, autenticazione UNIX e gestione
automatizzata delle password degli utenti con privilegi facilitano le procedure di gestione della sicurezza in
ambienti enterprise globali, distribuiti e multipiattaforma, cosa che risulta molto più complessa in un data
center virtuale.
CA ControlMinder offre funzionalità di gestione delle policy avanzate che consentono di impostare le
policy una volta e implementarle su tutti i server ovunque nel mondo semplicemente premendo un
pulsante. La funzionalità Shared Account Management di CA ControlMinder semplifica il processo di
gestione e distribuzione delle password degli utenti con privilegi in tempo reale. La funzionalità UNAB di
CA ControlMinder può contribuire a ridurre i costi di gestione e a rafforzare la sicurezza consolidando gli
archivi utenti e gestendo un singolo account per tutti gli utenti UNIX.
Eliminare le password hard-coded da script, file batch e applicazioni ODBC e JDBC
La funzionalità Shared Account Management di CA ControlMinder permette di fare a meno delle password
hard-coded delle applicazioni negli script. La funzione per il check-out programmatico di Shared Account
Management recupera dinamicamente le password dal server di CA ControlMinder Shared Account
Management in tempo reale, aumentando pertanto l'efficienza e la protezione generale dell'applicazione
e dei relativi dati. Questa funzionalità rende disponibili preziosi cicli di amministrazione di sistemi o di
applicazioni che altrimenti dovrebbero essere utilizzati per gestire, modificare e distribuire le sostituzioni
delle password.
26
CA ControlMinder
Sezione 4: Conclusioni
CA ControlMinder consente un controllo estremo
degli utenti con privilegi e facilita l'applicazione
della conformità di sicurezza
CA ControlMinder offre una protezione avanzata di server, dispositivi e applicazioni e facilita le attività
amministrative di gestione della sicurezza su sistemi eterogenei distribuiti nelle organizzazioni a livello
globale. Non è più necessario definire e gestire i permessi degli utenti con privilegi a livello di singolo utente
o di singolo server. Con la gestione avanzata delle policy, il raggruppamento logico degli host e un'interfaccia
centralizzata point-and-click per implementare le policy aziendali, l'organizzazione e le persone preposte al
controllo saranno certi che ogni utente con privilegi potrà accedere esclusivamente ai dati e ai sistemi
necessari per lo svolgimento delle sue mansioni.
È possibile applicare policy di sicurezza uniformi in ambienti server eterogenei abilitando policy relative ad
account utente, password e sicurezza, nonché policy di sicurezza che verranno condivise fra tutti i server, le
applicazioni e i dispositivi gestiti. A completamento di ciò, CA User Activity Reporting consente di raccogliere
informazioni sicure, scalabili e affidabili per il controllo, al fine di documentare le interazioni di ciascun
utente con sistemi specifici.
Grazie al supporto di una vasta gamma di piattaforme, alla scalabilità a livello enterprise, all'architettura
altamente disponibile e all'ambiente di gestione delle policy estremamente flessibile, le organizzazioni
possono contare su CA ControlMinder per le loro esigenze di conformità e protezione dei server, oggi e
in futuro.
Un componente essenziale della soluzione completa di gestione di identità e accessi
CA ControlMinder può essere installato in modo indipendente e offre una protezione completa senza dover
dipendere da altri prodotti di CA Technologies o di terze parti. Tuttavia, tutti i prodotti della soluzione
CA Identity & Access Management condividono approcci e componenti comuni, ovvero interfaccia utente
Web, principi amministrativi, delega delle responsabilità e reporting al fine di offrire un'esperienza
amministrativa coerente.
Dato che la protezione dell'accesso al sistema operativo può costituire un singolo componente di una
strategia di difesa articolata, CA ControlMinder può essere integrato a prodotti di CA Technologies, ovvero
CA IdentityMinder™, CA SiteMinder® e CA GovernanceMinder™.
CA IdentityMinder offre funzionalità di gestione del ciclo di vita delle identità per gestire le identità in
tutta l'organizzazione. Le funzionalità di CA IdentityMinder sono le seguenti:
•Provisioning di utenti, account e privilegi
•Gestione delle richieste di modifiche e approvazioni dei workflow
•Self-service di password e registrazione
27
CA ControlMinder
CA SiteMinder offre il controllo degli accessi Web sicuri per applicazioni extranet. Le funzionalità di
CA SiteMinder sono le seguenti:
•Web SSO
•Gestione dell'autenticazione
•Autorizzazione basata su policy
•Ampio supporto ad applicazioni Web e server
CA GovernanceMinder valuta, controlla e gestisce i diritti di accesso in sistemi e applicazioni che
consentono di definire e certificare i modelli di ruolo usati nell'organizzazione. Le funzionalità di
CA GovernanceMinder sono le seguenti:
•Generazione di warehouse delle identità centralizzati
•Controllo, definizione/verifica delle policy, autorizzazioni di certificazione e rimedi
•Report e dashboard di conformità
Per saperne di più sull'architettura e sull'approccio tecnico di CA ControlMinder, visitare il sito
ca.com/controlminder.
CA Technologies è un'azienda di soluzioni e software di gestione IT con esperienza e
competenze in tutti gli ambienti IT, dagli ambienti mainframe e distribuiti fino a quelli
virtuali e cloud. CA Technologies gestisce e protegge gli ambienti IT e consente ai
clienti di fornire servizi informatici più flessibili. I prodotti e i servizi innovativi di
CA Technologies offrono alle organizzazioni IT la visibilità e il controllo essenziali per
stimolare l'agilità del business. La maggior parte delle aziende incluse nella classifica
Global Fortune 500 si affida a CA Technologies per la gestione degli ecosistemi IT in
continua evoluzione. Per ulteriori informazioni, visitare il sito CA Technologies
all’indirizzo www.ca.com.
Copyright © 2012 CA Technologies. Tutti i diritti riservati. UNIX è un marchio registrato di AT&T. Tutti i marchi, i nomi commerciali, i marchi di servizio
e i logo citati nel presente documento sono di proprietà delle rispettive società. Questo documento ha esclusivamente scopo informativo. Nella misura
consentita dalle leggi applicabili, CA rende disponibile questo documento "così com'è" senza garanzie di alcun tipo, incluse, a titolo esemplificativo
ma non esaustivo, le garanzie implicite di commerciabilità, idoneità a un determinato scopo e non violazione di diritti altrui. In nessun caso CA potrà
essere ritenuta responsabile di perdite o danni, diretti o indiretti, derivanti dall'utilizzo del presente documento incluse, a titolo esemplificativo ma
non esaustivo, perdite di profitti, interruzioni dell'attività, perdite di dati o benefici, anche nel caso in cui CA venga espressamente informata di tali
danni. CA non fornisce consulenza legale. Nessun prodotto software qui citato sostituisce la conformità dell'utente con qualsivoglia norma (inclusi,
a titolo esemplificativo ma non esaustivo, leggi, normative, regolamenti, norme, direttive, standard, policy, ordini amministrativi e così via, di seguito
collettivamente definitivi "leggi") o con qualsiasi obbligazione contrattuale verso terzi. Contattare un consulente legale competente per qualsiasi
informazione in merito alle suddette Leggi o obbligazioni contrattuali.
CS2078_0212