如今,对提供访问和管理在线信息服务的业务需求日益增长,数据中心也变得更加复杂,并且往往包括物理和虚拟系统,兼具传统和云应用。如何管理用户身份、访问和信息使用的复杂性是企业面临的艰巨挑战。由于缺乏集中的安全控制,大多数企业无法采用虚拟化、云计算这样的新一代技术,从而无法迅速推出新的在线服务以支持业务拓展。
CA Technologies中国区安全方案战略规划架构师徐英培表示:“应用于管理或自动化中的技术应当成为业务的推动者,这在设置安全控制方面亦是如此。安全孤岛这样的常见问题,增加了企业无法一致执行安全策略的风险。因此,创建账户和身份,以及分配访问权限的自动化进程,对确保安全和提高效率至关重要。同时,自动化令收集和分析信息变得更加简单,也进一步降低了企业合规的成本。”
如今的虚拟环境中,具有过度特权的管理用户可能会令业务应用瘫痪,获得企业或客户的机密信息,甚至可能通过让整个数据中心崩溃的方式潜在地破坏企业业务。我们都曾看到过因为特权用户滥用特权而造成重大损失的事件。因此,对于控制和追踪用户如何访问企业关键IT资源,特权用户管理是最基础的。特权用户管理的第一步是管理特权账户(如管理员)自身的访问。企业应确保对每一个特权用户的问责,以便可以将每一个特定操作(例如在日志文件中)与具体的人相联系。同时,若特权用户管理密码功能可以提供一次性使用的动态管理密码,则可以有效提高安全性,并帮助简化企业的合规审计程序。此外,职责划分则能够有效减少特权访问,帮助企业确保特权用户只执行相关系统中的必要操作。
CA Technologies 基于内容感知的身份认证与访问管理(IAM)解决方案提供了一套集成功能,可以在企业的物理、虚拟和云环境中,确保正确的用户通过正确的方式访问正确的信息。传统的IAM系统只管理用户身份和访问,并不能够提供充分保护,无法防止用户滥用访问过的信息。而CA Technologies基于内容感知的方法不仅能控制信息访问,还能控制信息使用,可以有效避免疏忽或恶意意图造成的信息使用不当对企业造成的灾难性影响。
CA Technologies基于内容感知的身份认证与访问管理(IAM)解决方案能够提供特权用户管理能力,其核心CA ControlMinder包括以下几个模块:
? 特权用户密码管理(PUPM)
? UNIX身份认证代理(UNIX Authentication Broker)
? 用户活动报告模块(User Activity Reporting Module)
? 会话录音(Session Recording)
CA ControlMinder提供了控制特权用户操作的粒度级别,使每一个特权用户只执行必要的操作。在这种粒度控制下,企业可以有效管理特权账户,减少企业的整体风险暴露,从而使控制成为业务的推动者,而不仅仅是抑制剂。
实现对特权用户的可视性和控制之后,培养这些用户群的责任感非常重要。会话录音(Session Recording)是一项重要的功能,能够提供特权用户在系统中操作的完整记录,就像交通摄像头能够确保高速公路上的良好交通行为一样。同时,它可以在操作发生的时间点再次采取权限以了解实际发生的事件。此外,其元数据搜索功能还可以对需要调查的特定操作执行关键词、自由文本搜索和快速缩放。换句话说,会话录音不仅提供了监控和录音功能,而且可以提供用户行为鉴定功能。作为会话录音功能的有力补充,用户活动报告模块(User Activity Reporting Module)则可对所有用户活动能力进行报告和合并。这两种功能能够把所有用户活动事件合并到一个集中图表中,以实现对用户活动的监控、报告、重播和调查。
风险减缓的另一个要求是确保一致性,尤其针对具有混合UNIX 和Windows基础设施的数据中心环境。Windows环境通常会连接到活动目录(Active Directory)管理帐户,然而UNIX系统是孤岛,容易导致这些系统管理账户无法一致管理。 CA ControlMinder的UNIX身份认证代理(UNIX Authentication Broker)功能,通过允许活动目录(Active Directory)中的账户登录到UNIX系统,彻底解决了这个问题,进而减少在个人UNIX系统下创建账户的需要。
徐英培补充道:“可靠性和可视性是实现特权账户管理优化和效益的基础。CA Technologies基于内容感知的身份认证与访问管理解决方案能够帮助企业确保正确的用户在正确的时间通过正确的方式访问正确的信息。目前,超过1500个的全球领先企业正在使用CA Technologies基于内容感知的IAM解决方案,企业可以依靠我们远离内外部威胁,并满怀信心地拓展业务。”