總覽
組織經常需要提供IT管理者存取權給共用帳號(Shared Account)和特殊權限帳戶(Privileged Account),例如root , Administrator 和 sa,這些帳號具高度特殊權限,並且在共用時會產生無法得知是由那個管理者登入的問題,因此舊有的這種控制方式有先天上的風險,因為密碼很容易外洩與未授權的使用者共用。
企業因為行之多年必須由許多使用者共用這些帳戶,所以很難確定誰應對特殊權限活動,像是帳號歸責問題(Accountability Problem),若要遵循法規 (例如 PCI、HIPAA 、SOX和 ISO 27001、ISO 27002、GDPR),這些帳戶的密碼也必須和其他任何帳戶一樣遵循原則。
此外,許多處理程式和應用程式都需要經密碼寫入批次和Shell指令碼來存取這些帳戶,例如DB帳號,但應用程式透過寫死密碼(Hard Code)的方式去存取資料庫,存在著更大的風險。
而CA Technologies針對這樣的問題,提供完整的End-to-End 安控解決方案,保護眾多異構主機系統(實體機/虛擬機器), 能控制特殊權限使用者存取及使用企業 IT 資源的方式、劃分共用帳戶活動的權責,以協助降低內部和外部風險,以管理成本、簡化稽核/遵循程序,並提供最佳的使用者體驗。
CA 安控解決方案包含了:
1. CA 特權帳號管理與行為側錄 (CA Privileged Access Manager , Session Recording):CA Privileged Access Manager 是一套特權使用者管理 (Privileged Identity Management, PIM) 產品,主要功能包括特權帳號密碼存取管理(PAM)、系統操作歷程側錄 (Session Recording),以及共用帳號的存取稽核(Auditing)。讓使用者透過跳板的方式,限定使用者存取控管和連線操作的隔離、防蛙跳等功能。並能有效隔離Data Center 的存取,防止駭客入侵。
2. CA 主機安全存取控管 (CA Privileged Access Manager Server Control)
3. 共用帳號與特權帳號威脅分析 (Threat Analytics for PAM)
4. 帳號與身份治理 (CA Identity Manager & Governance)
在Forrest Wave 第三方Privilaged Identity Management 的報告中指出,CA 特權帳號管理居於領導地位。
效益
以下是 CA 特權帳號管理解決方案一部分效益:
• 將特殊權限帳戶密碼保護在加密的儲存媒體中,以及根據記載的原則管理適當的密碼存取權,以降低風險。
• 控制誰能夠存取這些帳戶、什麼時候可以存取,以及可以存取多久。
• 讓特殊權限使用者負責。使用者不再是以匿名方式存取特殊權限使用者帳戶,其動作會確實記錄下來。
• 自動管理共用帳戶密碼及簡化特殊權限存取的配置和移除作業,幫助降低作業成本。
• 有效地控制 (例如,責任歸屬與責任劃分) 特殊權限使用者存取和使用企業資料的方式。
• 自動化執行 Windows 服務的密碼變更、Windows 排程工作及 Windows 執行身分服務等作業,完全不需要安裝代理程式,從而降低管理成本及複雜度。
• 利用 ODBC、OLEDB、OCI 和 JDBC 的應用程式指令碼、網頁和資料來源定義控制用於資料庫連線的應用程式 ID,完全不需要變更應用程式。
• 防止「背後窺視」竊取密碼,運用自動登入功能提升安全性,這也可免除剪貼密碼。
• 以跳板機的方式,限制使用者的存取權限,並在連線的過程中進行錄影。
控制特殊權限使用者
根據 Verizon資料外洩安全報告中顯示,對於企業的首要建議是「限制和監視特殊權限使用者 [因為] 48% 的破壞都肇因於使用者惡意濫用其存取公司資訊的權利。」
CA特權帳號管理功能利用自動發行密碼、自動重設關於特定時間範圍的特殊權限帳戶密碼,以及安全地將密碼儲存在中央密碼保存庫中,以提供安全的特殊權限帳戶存取,並確定特殊權限存取的責任歸屬。
CA特權帳號管理是獨立的應用程式,能夠快速地處理這些特殊權限使用者。若結合CA Privileged Access Manager Server Control的精細主機存取控制,可提供用以控制特殊權限使用者的齊全解決方案,並且全都可以從單一主控台管理。
主要功能
• 特殊權限使用者密碼管理:
即使是特殊權限使用者也可能出錯。組織將權責詳細劃分並確實保護活動的記錄後,便能夠防範權限使用者出錯或做出惡意的行為。
CA 特權帳號管理提供安全的特殊權限帳戶存取,並依需要或暫時發行單次使用密碼來協助維護特殊權限存取的權責劃分,同時透過安全稽核提供使用者動作的權責劃分。
支援廣泛的特權帳號/共用帳號管理對象:
- 各平台主機 : Windows , Linux/UNIX , zOS , OS400
- 資料庫 : Oracle , MSSQL
- 網路設備 : Router , Switch , Firewall , VPN
- 儲存設備 : Storage
- Windows Run As
- Windows 服務 (Windows Services)
• 自動登入(Auto Login , Single Sign On),不讓使用者取得密碼:
這項功能的設計可簡化和保護程式。它允許使用者申請密碼,然後按一下按鈕使用密碼,將使用者自動登入目標系統成為特殊權限使用者,整個過程中完全不會出現實際的密碼。這可防止「背後窺視」竊取密碼,並加快密碼申請者的程序。如果目標系統是受 CA Access Control 保護的伺服器,使用者的原始身分便會散播至AC,以便稽核原始使用者,並提供額外的權責劃分。與協力廠商工作階段錄影軟體整合而可錄製工作階段,以加強安全保護。
• 檢核流程(Workflow approval)與密碼簽出 (Password Check-Out):
用來要求及簽出系統產生之單次使用密碼的簡單工作流程,有助於密碼簽出。可以強制要求使用者在完成工作後將密碼簽入,或者設定 CA特權帳號管理 在一段具體時間後自動將密碼簽入。也可以手動簽入密碼。另外也可以設定密碼供單次使用。
• 急用與要求工作流程 (Break glass):
當特殊權限使用者需要立即存取其未獲授權管理的帳戶時,就會有急用狀況。急用帳戶是未根據使用者角色指派給使用者的特殊權限帳戶。但是如有需要,使用者可以不經核准,立即取得帳戶密碼。這能夠消除管理員延遲核准要求的可能性。與急用狀況相關的所有交易會安全地記錄起來以備稽核之用。要求狀況可讓組織依照要求只在限定的時間內提供密碼。在此狀況中,需要存取權的使用者向其管理員提出要求,以便核准在指定的時間內使用。一旦管理員核准之後,使用者就可以簽出密碼,並存取要求的系統,直到核准的期間到期為止。
•在連線的過程中,自動進行行為錄側,包含Windows操作畫面及Linux/UNIX指令,以便進行事後稽核與調查。
• 利用程式存取密碼系統,解決應用程式Hard code密碼的問題,移除在程式碼中包含密碼:
程式開發人員常會將密碼內嵌在應用程式對應用程式通訊的指令碼中以加快工作執行,這是很嚴重的安全性風險。透過CA特權帳號管理,可以在需要時使用 CA特權帳號管理系統所產生的特殊權限帳戶密碼取代寫入指令碼中的密碼。
CA特權帳號管理的設計允許應用程式利用程式存取系統密碼,如此一來可移除具有潛在安全性風險的寫入指令碼中的密碼。CA特權帳號管理也可以自動重設應用程式 ID 密碼。
CA特權帳號管理能夠攔截 ODBC 及 JDBC 連線,並以特殊權限帳戶的最新認證加以取代,從而管理 IIS 或 J2EE 應用程式伺服器使用的服務帳戶及所代管的應用程式。在大多數情況下,CA特權帳號管理 不需要進行應用程式的變更,即可提供此功能。
支援廣泛的特權帳號/共用帳號管理對象:
- 應用程式 JDBC Connection 共用帳號,包含JBOSS , Tomcat
- 應用程式 Hard Code 共用帳號連線資料庫,支援 Java 與 .NET
- 批次作業/排程作業之程式 (Windows Scheduled Task , Script)
• 解決Windows 服務(Windows service)或排程工作(Windows Scheduled Task or Cron) 定期要變更密碼的困擾:
CA特權帳號管理也將手動的服務帳戶密碼管理 (Windows 服務) 自動化、Windows 排程工作管理需要登入系統的帳戶密碼 (Windows 排程工作),並且與 Windows 執行身分機制整合,以便從 CA特權帳號管理 擷取相關權限使用者的密碼。CA特權帳號管理具有「搜尋特殊權限帳戶」精靈,並且能夠自動將目標系統及特殊權限帳戶傳送至系統。
• 搜尋特殊權限使用者:
內建的「搜尋特殊權限使用者」精靈可讓管理員掃描企業,尋找必須控制的新特殊權限帳戶。這可以針對特定端點類型執行 (例如 Oracle admin)。這個精靈可讓管理員主動掌握組織中特殊權限使用者的最新狀態。另外還可自動將目標系統和特殊權限使用者傳送到 CA特權帳號管理 系統中。
• 整合式主控台:
CA 特權帳號管理系統供單一的 Web 使用者介面,將特殊權限使用者管理的所有層面整合在單一主控台中 - 實體與虛擬系統、裝置和應用程式的主機存取控制和特殊權限使用者管理。
• 廣泛的虛擬化支援:
組織可運用虛擬化整合伺服器,並降低擁有權總成本。不過,虛擬化技術有虛擬化平臺系統管理方面的新風險。CA特權帳號管理的設計可支援眾多的虛擬化平台,包括:VMware ESX、Solaris 10 Zones 與 LDOMs、Microsoft Hyper-V、IBM VIO 與 AIX LPAR、HP-UX VPAR、Linux Xen 與 Mainframe x/VM,除了實體平臺之外,還提供更一致的虛擬磁碟分割的存取控制風險安全性管理。
• 共用帳號/特權帳號存取稽核與報告:
透過稽核報告,能快速得知那些共用帳號或特權帳號(Account)被組織的那個人(Requester)所使用。