业务系统安全管理.pptx

1、CA安全管理解决方案,徐英培 Solution Strategist Y,CA安全方案概览 应用身份安全解决方案 主机安全访问控制方案 Q&A,日程,3,身份,SiteMinder 单点登录（Web） Federation 跨域单点登录（Web） CA SSO 单点登录（支持非Web）,Arcot,Access Control,DLP,Application / Workflow,Host / System,Network,访问,信息保护 (“IP”),User Activity Reporting Module(“UARM”),用户身份供应,Role & Compliance Manager

2、 Identity Manager,角色合规,访问控制,用户活动报表（审计）,强认证（令牌）,一张图了解CA安全解决方案,CA应用身份安全解决方案,5,Application Layer,User Store,Operating System,SQL 2000,LDAP,IBM Directory,Oracle RDBMS,Active Directory,Oracle OID,OpenLDAP,CRM,ERP,人事,合作伙伴,SCM,客户自助服务,门户,企业安全现状及需求,SecurityLayer,众多的应用系统孤岛，管理复杂 多种认证方式并存，缺乏统一认证管理功能 员工离职后账户是否及时

3、删除？ 系统审计是否满足法规要求？,用户需要记忆多套系统用户名密码，缺乏单点登录体验 用户分散管理 用户重置密码及新系统访问请求工作流程复杂，管理员成天忙于此类工作,员工,合作伙伴,客户,zhang,zhang3,Zhang_3,CERT,ZhangSan,最大化基础设施的“可重用性”,每一个应用使用各自的基础设施,旧的方式,应用1,应用2,基础设施,应用3,基础设施可被多个应用重复共享,新的方式,基础设施包括： 系统 人员 业务流程 和一切可以重用的资源,方案设计思路 - 共享的安全服务,身份管理和访问控制管理方案,整体目标:适应业务变化，提升应用安全 身份管理和集中身份库建设 应用访问控制

4、集成,解决方案逻辑架构图,业界评测 - Gartner 用户管理和帐号供应魔力象限,统一身份管理：CA Identity Manager,CA Identity Manager提供了一个集成的身份管理平台，该平台可以自动的创建、修改及删除（禁用）账户，控制账户对企业资源的访问，并且提供了自主服务、工作流审批等高级功能。,委托用户管理 用户自主服务 灵活的多级审批工作流 密码管理 合规支持 众多目标系统身份同步集成 开放接口,10,身份信息生命周期管理,系统的定义： 集中用户管理系统是一套全面的建立和维护数字身份，并提供有效地、安全地IT资源访问的业务流程和管理手段，从而实现组织信息资产统一的身

5、份认证、授权和身份数据集中管理与审计的解决方案。 集中用户管理系统是一套业务处理流程，也是一个用于创建和维护和使用数字身份的支持基础结构。,身份管理生命周期,让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产，提供集中式的数字身份管理、认证、授权、审计的模式和平台,IAM，即Identity and Access Management的缩写。,Enterprise/ Cloud Apps,Windows/ UNIX,Virtualized Apps,责权分离检查,角色模型,CA身份控制组件,未被管理用户,被管理应用,业务用户,用户, 角色, 权限,权限认证,CA Identity Ma

6、nager,委托管理,用户自助服务,审批工作流,Active Directory,Mainframe,Enterprise/ Cloud Apps,Windows/ UNIX,Virtualized Apps,Active Directory,Mainframe,权限信息,身份供应,Role Modeling/ Management,用户活动合规,13,工作流 提供持续、自动的审批工作流,员工入职/离职 确保及时授予/删除访问权限，保护企业信息,集中控制 建立企业权威 身份源,集成 从Web应用到主机,审计和报告 事件及权限记录,安全策略 提供身份控制，实现 职权分离,身份自动供应(Provi

7、sioning)的功能,身份自动供应,CA Technologies Security Solutions Copyright 2010 CA. All rights reserved.,终端用户访问请求 提供持续、自动的 审批工作流,重置密码 减少对IT人员的依赖，提高用户满意度,角色建议 帮助用户决定 恰当的角色,自助服务管理 基于Web的用户 信息自助管理,保证合规性 安全的身份策略(例如确保职责),服务请求管理的功能,服务请求管理,与身份供应的集成 自动启动身份供应 工作流,CA Technologies Security Solutions Copyright 2010 CA. Al

8、l rights reserved.,数据清理及矫正 标示不符合要求及例外的用户,角色发现 采用经过验证的方法论定义角色: 自上而下, 自下而上,审计/评估分析 评估和审计系统状况,模型适应 与身份和合规系统集成提供核实、验证及报表功能,报表 了解模型情况， 标示变化及例外情况,CA Role & Compliance Manager - 角色管理的功能,角色管理,B/S统一访问：Siteminder,市场的创造者 SiteMinder于1996推出，是市场上第一款针对Web访问控制的解决方案。 技术领导者 Siteminder是业界公认的标准，被称为Web访问控制产品的“蓝图”。 被Gart

9、ner, Meta, Burton和Forrester多家咨询公司公认为该领域的唯一领导者。 绝对领先的市场份额，财富100强中的57家,SiteMinder技术优势 唯一同时支持Agent和Proxy两种单点登录模式 简单可靠的可扩展性和高可用性 与PeopleSoft等企业级应用的无缝集成 支持各类OS平台，与各种目录服务无缝集成（LDAP，AD，RDBMS等） 支持最广泛的认证模式（静态密码、动态密码、证书等等） 提供全面的API 方便定制和扩展 与主流Web开发工具强大的集成功能,Merill Lynch 827个代理, 339名管理员, 505 个策略domainE*TRADE 35

10、0万用户, 所有在线交易系统American Express 2500万用户JP Morgan Chase 2000万用户Bank of America 350多万用户Cisco 1000+个应用, 250+万用户Verizon 5百万个在线交易用户,16,主机安全访问控制方案,对资源的所有访问权限 典型的共享帐号 缺乏审计 没有责权分离 缺少日志整合 缺少访问透明度 虚拟化和云的挑战,主机特权帐号的管理挑战,18,特权用户,Privileged User Password Manager,控制共享帐号 授权工作流，包括 break glass 共享帐号可计量 自动登录 与用户行为审计集成 管

11、理应用密码 Windows服务及日程任务,1,单一解决方案实现最佳覆盖 CA Access Control,19,CA Access Control提供端到端的主机访问控制解决方案,20,June 6, 2019,主机,UNAB,PUPM,UARM,网络分区,主机,UNAB,PUPM,UARM,网络分区,主机,UNAB,PUPM,UARM,网络分区,适用于 虚拟环境的 CA Access Control,Hypervisor,访问控制,访问控制,访问控制,受适用于虚拟环境的 CA Access Control 保护,CA Access Control Premium Edition,受 CA

12、Access Control Premium Edition 保护,讨论,两种 CA Access Control 产品可以结合使用，以提供端 到端的虚拟化安全，包括 Hypervisor 和 虚拟机Gust OS这两种 CA Access Control 产品同时部署时，CA Access Control PE 提供 PUPM 和 UARM 功能,CA Access Control,透明的限制特权用户权限 消除对超级用户帐号的共享 对共享访问可计量,加固操作系统 保护主要进程和文件 开箱即用的报告和策略管理,21,特权用户密码管理 (PUPM),保护共享密码 确认共享帐号访问可计量,管理共享

13、帐号密码策略 避免在应用或脚本文件中使用明文密码,22,PUPM 主要功能,使用一次性密码机制管理密码 取出/交回(check out/check in) 应急事件处理（Break glass）和请求工作流 从脚本文件、批处理文件、ODBC和JDBC应用中消除写死的密码 为Windows服务管理密码更改和管理定期执行的任务中所使用的写死密码 发现特权帐号 单一管理控制台 特权用户权限报告 为所选择的应用使用Active X控件实现自动登录 用户行为审计，提供类似于录像回放的功能 对所有终端无需安装Agent（代理），实现快速部署,23,统一的管理控制台,特权帐号管理单一控制台,24,Power

14、ful Control of Privileged Users Copyright 2011 CA,集成钻取式审计,25,Powerful Control of Privileged Users Copyright 2011 CA,PUPM 特性 自动登录,在密码check-out方面, 用户可以选择采用允许PUPM来自动登录，而无需提供登录客户端应用的密码 实现这种方式采用的是Active X来控制，自动的填入用户ID和PUPM生成的密码到目标窗口 支持自动登录的应用包括: UNIX / Linux SSH (Putty) Windows Terminal Services (RDP) Or

15、acle DB Login SQL DB Login 节省了需要为密码“复制/粘贴”的工作。增强安全性，因为密码不需要在屏幕上显示 另外有可选的会话记录和回放,26,Powerful Control of Privileged Users Copyright 2011 CA,PUPM 特性 应用到应用,Windows服务 - 自动管理服务密码，替代手工操作 Windows 定期任务 管理Windows定期任务中需要用户认证的密码 Windows Run As 集成 集成Windows “run as”机制，从PUPM获取特权用户密码,27,PUPM 特性 应用到数据库,拦截ODBC连接并替换特

16、权帐号的密码 在IIS实例架构中管理所有特权帐号, 应用系统运行在IIS实例中 在IIS中这些特权帐号需要连接到后台上的数据库中，需要连接密码 拦截JDBC连接并替换特权帐号的密码 典型的J2EE应用服务器认证授权 支持主流J2EE应用服务器 拦截 .NET,28,用户行为审计（Session Recording）: 如同在您的服务器安装了摄像头,录像+文字日志记录 填补日志空白： 自动为应用生成日志，无需应用自身产生日志! 日志清晰：以易于读懂的日志替代系统级产生的技术级别日志 视频回放： 每个日志记录对应着用户动作的回放每个用户的会话都被记录 完整的覆盖：Windows, Unix/Lin

17、ux 服务器和桌面 所有的协议： SSH, RDP, Citrix, VMWare等 远程和本地会话 所有的用户 无论是业务用户还是特权（共享）用户,Session Recording在工作,审计日志,每个用户会话列表,录像回放,视频回放用户的动作,每个用户会话，详细列出了其所作的事情,30,改变IP地址：无盲点!,审计日志：清晰的显示其打开了“高级网络设定,视频回放：可以看到用户做了什么,31,获取sudo权限：没有盲点,审计日志：列出了每个用户发出的系统调用,视频回放:看到了用户所作的事情,32,以管理员权限运行服务器：没有盲点!,审计日志: 现实服务属性窗口被打开,视频回放:看到用户所作

18、的事情,33,编辑文件: 没有盲点!,审计日志: 列出了每个用户的动作,视频回放: 详细观看用户的操作,34,合规报告修饰: 从系统级日志到易于读懂的日志帮助您满足合规性要求,之前: 保准的合规审计,从系统产生的日志来，对于一般人看不出用户实际到底做了什么。 失败的审计!,之后: 由Session Recording修饰后的日志,扩充活动细节：为同样的事件产生了易于读懂的审计日志 合规审计!,可用于作为证据的审计：可以回放用户的实际操作行为。 易于做调查!,UNIX / Linux 键盘录入记录 审计钻取,36,Powerful Control of Privileged Users Copy

19、right 2011 CA,CA Access Control企业管理可以采用 Microsoft Active Directory 和 Sun-One LDAP 作为后端的用户存储,与企业LDAP库集成,37,Powerful Control of Privileged Users Copyright 2011 CA,高阶体系架构 CA Access Control,无Agent日志收集,过滤策略,基于Agent的日志收集,访问策略部署,策略报告,Active Directory Enterprise LDAP,访问,特权帐号管理,CA UARM,IT User,Access Request,审计报告,CA ELM,数据和资源保护,38,Powerful Control of Privileged Users Copyright 2011 CA,CA主机安全访问控制特性,CA是提供完整特权帐号访问管理的方案提供商 特权用户密码管理 特权用户访问管理 特权用户活动审计和报告 CA 提供了完整特权访问可计量解决方案 与日志管理解决方案整合 将访问时间与原始用户链接 CA 身份供应集成 采用相同的连接器架构 通用IAM框架,39,Powerful Control of Privileged Users Copyright 2011 CA,Thank You,Q&A,