CA Privileged Access Manager Server Control (原名稱:CA ControlMinder) 提供跨平台伺服器作業系統保護

許多組織會部署不同的伺服器基礎結構,包括 Windows、Linux 及 UNIX 系統。CA PAM Server Control可以跨越所有這些環境,以一致、整合的作法來管理和實施存取安全原則。進階原則架構提供單一介面來集中管理安全原則,且可以將原則同時分送到 Windows 和 UNIX 主機。將 Linux、UNIX 及 Windows 伺服器合併管理可以減少必要的管理工作量,並提升系統管理員的效率,因此可節省管理成本。

CA AccessControl

作業系統存取控制與安全強化 (Host Access Control , Harden and Protect)

CA PAM Server Control 是獨立的安全實施解決方案,這表示不必依賴底層的作業系統來執行伺服器存取控制原則。CA PAM Server Control 在系統層次上運作,可監視和管理系統資源的所有存取,包括來自網域或本機系統管理員的存取。這些存取實施功能可以管理、委派及控制網域管理員或 IT 環境中的其他任何帳戶。

深度防禦策略的必要一層是避免 OS 遭受未授權外部存取或入侵。CA PAM Server Control 提供幾項外部安全措施,為伺服器添加一層安全保護:

•su 控制 : CA PAM Server Control 可以控制代理使用者委派功能,避免未獲授權使用者以加強的特殊權限來執行應用程式,達到共用帳戶活動的責任歸屬。例如,管理員可以偽裝另一人的身分資料來變更檔案的存取控制清單 (ACL) 屬性,而不對他們的行動負起任何責任。CA PAM Server Control 提供多層防護,首先會限制使用「執行身分」和 UNIX “su” 命令的人,即使在代理動作之後,也會保留原始使用者 ID,以確保稽核記錄中的使用者存取記錄顯示原始帳戶。這樣可讓使用者以自己的 ID 登入,安全地將設定檔變更為特殊權限的帳戶,而不會失去責任歸屬。

PAMSC su

•Superuser (Administrator/root) 遏制與權限限制:Administrator / root 帳戶是重大的漏洞來源,因為可能讓應用程式或使用者取得超出需求的強大特殊權限等級。CA PAM Server Control 會在系統層次上檢查所有相關的送入要求,然後根據已定義的規則和原則來實施授權。即使特殊權限的 root 帳戶也無法通過這一層管制。因此,所有授權使用者都會變成受管理使用者,必須對他們在系統上的活動負起責任。

•角色型存取控制 : 最佳做法表示每一位管理員的權限不可踰越本身的職責。在精密的角色型存取控制環境下,管理員無法分享管理員密碼,也不可能擅用相關的特殊權限。依預設,CA PAM Server Control會提供常用的管理和稽核角色,可自訂和擴充來符合 IT 組織的需求。

•實施 : 原生作業系統 (Linux、UNIX 及 Windows) 只有少許的控制功能,可以細微地及有效地將某些系統管理權限委派給權限不足的使用者帳戶。CA PAM Server Control 提供實施,並根據許多準則來控制存取,包括網路屬性每日時段行事曆存取程式。功能包括:

廣泛且細微的作業系統控制:對檔案(File)、服務(Process) 及其他 OS 層次 (重新命名、複製、停止、啟動) 功能提供特定權限的控制,可以指派給特定的管理員或管理群組。

不同的實施層次:組織常用「CA PAM Server Control 警告模型 Warning Mode」來判斷提議的安全原則是否太嚴格或太寬鬆,據以適當地修改。此外,CA PAM Server Control也能夠立即驗證安全原則的效果,而不必透過「驗證模式」設定來實施限制。

加強型 ACL:CA PAM Server Control 提供許多加強型 ACL 功能來強化安全管理員的能力,讓管理員適當地指派存取權給授權使用者,包括程式存取控制清單 (PACL),只允許從特定程式或二進位檔來存取資源。

網路型存取控制 (Network Access Control):現今的開放式環境需要嚴格控制使用者存取和網路上流通的資訊。網路型存取控制添加另一層保護來管理網路存取。CA PAM Server Control 可以管理對於網路埠或網路存取程式的存取,而網路安全原則可以依終端機 ID、主機名稱、網址、區段或其他屬性來管理雙向存取。

登入控制 (Login Access Control):CA PAM Server Control 可以依來源 IP 位址、終端機 ID、登入程式類型或當日時間來限制使用者登入,以加強登入安全。 CA PAM Server Control 也可以限制使用者的並行登入工作階段,以嚴格控制使用者對伺服器的存取。嘗試登入失敗太多次之後可以自動暫停使用者,以避免系統遭受暴力法攻擊。此外,在分散式環境中,CA PAM Server Control 還提供安全地暫停和撤銷使用者帳戶。

稽核 (Audit):CA PAM Server Control 可以針對所有存取成功或存取失敗進行稽核。

•檔案和目錄控制檔案和目錄構成作業系統的骨幹,一旦受損就可能導致拒絕服務和意外當機。

CA PAM Server Control 可以對重要的檔案和目錄系統實施變更控制,以加強資料完整性和機密性,並提供強大的萬用字元和程式存取選項來簡化檔案層次原則管理

PAMSC files

所有類型的檔案都有檔案層次防護可用,包括文字檔、目錄、程式檔、裝置檔、符號檔、NFS 裝載檔及 Windows 共用。

廣泛應用在例如Web主機、重要機密文件、研發主機,避免非法存取或竄改。

•信任的程式執行為了防止作業環境遭受惡意軟體的破壞,尤其是特洛依木馬程式,CA PAM Server Control 提供第一道信任程式防護。將敏感性資源標示為信任,就可監控這些檔案和程式,如果惡意軟體修改程式,CA PAM Server Control 就會阻止執行。只有特定使用者或使用者群組才能變更信任的資源,更進一步避免非預期的變更。

•Windows 登錄防護Windows 登錄無疑是駭客戶惡意使用者的目標,因為這個中央資料庫包含作業系統參數,包括可控制裝置驅動程式、組態詳細資料及硬體、環境和安全設定的參數。

CA PAM Server Control 支援以規則來防止管理員變更或竄改登錄設定,以及刪除登錄機碼和修改其對應的值,以提供登錄防護。

•Windows 服務防護CA PAM Server Control 提供加強防護來限制授權管理員啟動、修改或停止重要的Windows 服務。這樣可以避免正式應用程式發生拒絕服務情形,例如資料庫、Web、檔案及列印 (Windows 以服務形式來控制這些應用程式)。必須防止未授權存取這些服務。

•應用程式監控CA PAM Server Control 允許對高風險應用程式定義可接受的動作。應用程式監控功能會阻止超出這些範圍的任何行為。例如,ACL 可能根據擁有 Oracle 程序和服務的邏輯 ID 來建立,所以除了啟動 Oracle DBMS 服務之外,監控行為也會禁止一切動作。

CA AccessControl OS

凱信資訊提供 IBM Tivoli AMOS 無縫移轉至CA PAM Server Control 之專業服務,並已成功協助多家金融機構完成建置移轉,以符合金管會之要求。