Cómo puedo controlar el acceso de los usuarios con privilegios en toda la empresa?

Transcripción

1 RESUMEN DE LA SOLUCIÓN CA ControlMinder Cómo puedo controlar el acceso de los usuarios con privilegios en toda la empresa? agility made possible

2 es una completa solución para la gestión de identidades con privilegios que permite administrar contraseñas de usuarios con privilegios, informar sobre actividades de los usuarios y establecer una exhaustiva separación de funciones en toda la empresa. 2

3 resumen ejecutivo Reto No es el único que se preocupa de los crecientes retos que plantea la protección de los datos y aplicaciones confidenciales que residen en los servidores. El valor cada vez mayor de los datos, las normativas que se van haciendo más estrictas y el gran número de usuarios con privilegios que necesitan acceder a los servidores, dispositivos y aplicaciones esenciales dificultan aún más la protección de la información confidencial y de la propiedad intelectual. Entre los retos que supone la gestión de usuarios con privilegios se incluye la gestión del acceso seguro a los datos fundamentales y de las contraseñas de los usuarios privilegiados. Este aspecto nos obliga a trabajar muy duro para controlar el acceso de los usuarios con privilegios en entornos grandes, complejos y diversos. Al mismo tiempo, las organizaciones de TI deben seguir respondiendo a los requisitos empresariales, que a veces exigen realizar excepciones locales mientras se mantienen la seguridad y el establecimiento de responsabilidades. Hoy en día, las organizaciones también se enfrentan a los requisitos de normativas y auditorías cada vez más complicados y estrictos que hay que cumplir. Se puede confiar en las funciones de seguridad nativas del sistema operativo, pero, de este modo, surgirían problemas relacionados con la separación de funciones, la capacidad de gestión y las infracciones de cumplimiento. Además de la implementación de políticas de seguridad, hay que mantener y gestionar identidades de UNIX, lo cual plantea un reto más. UNIX se suele gestionar en contenedores, con lo que los gastos generales y los costes de administración se ven aumentados. Oportunidad Se necesita un único sistema de seguridad centralizado e independiente para proteger los recursos de los servidores, los dispositivos y las aplicaciones de toda la empresa. Este sistema, debe ofrecer medios flexibles y responsables que restrinjan las cuentas de superusuario mediante la delegación de los privilegios necesarios a los administradores autorizados. Por otro lado, este sistema de seguridad debería ser capaz de proporcionar sólidos controles para gestionar los usuarios con privilegios, centralizar la autenticación y ofrecer una robusta infraestructura de auditoría y generación de informes. CA ControlMinder funciona en el nivel del sistema para permitir una aplicación eficaz y uniforme en los sistemas, como Windows, UNIX, Linux y los entornos virtualizados. La avanzada capacidad de gestión de políticas posibilita la distribución de políticas de seguridad del servidor a dispositivos, servidores y aplicaciones de punto final. Con ello, se puede controlar a los usuarios con privilegios. Además, se puede realizar de forma segura la auditoría de cada cambio y aplicación de las políticas para cumplir con las normativas globales. CA ControlMinder ofrece un planteamiento holístico de la gestión de accesos, ya que incluye funciones clave para proteger y bloquear los datos y las aplicaciones esenciales, gestionar las identidades con privilegios, centralizar la autenticación de UNIX con Microsoft Active Directory (AD) y ofrecer una infraestructura segura de auditoría y generación de informes. 3

4 Beneficios CA ControlMinder permite crear, implementar y administrar complejas políticas de control de acceso exhaustivo para permitir que sólo los usuarios con privilegios autorizados puedan llegar a los datos y aplicaciones con un mayor grado de confidencialidad. La compatibilidad multiplataforma (incluida la virtual) y la integración con el resto de la familia de productos de CA Identity y Access Management hacen que CA ControlMinder pueda lograr lo siguiente: Regulación y auditorías del acceso a los servidores, dispositivos y aplicaciones esenciales de forma uniforme en todas las plataformas. Gestión de contraseñas de usuarios privilegiados. Demostración proactiva del control exhaustivo de los usuarios con privilegios. Cumplimiento de los requisitos internos y de normativas mediante la creación y presentación de informes sobre políticas de acceso a los servidores. Reducción de costes administrativos mediante la gestión centralizada de la seguridad en toda la empresa distribuida a nivel mundial. Autenticación de usuarios de UNIX y Linux con privilegios desde un único almacén de usuarios de Active Directory. Refuerzo del sistema operativo, para reducir los riesgos externos de seguridad, y mayor fiabilidad del entorno operativo. Integración de configuraciones listas para usar (OOTB) con una infraestructura de auditoría que genera informes detallados específicos sobre normativas. Sección 1: reto Los servidores: fuente de complejidad en los centros de datos actuales La gestión de políticas de seguridad en entornos de gran tamaño sigue siendo un reto, sobre todo si tenemos en cuenta la importancia de poder responder a los requisitos del negocio, que incluye ofrecer la flexibilidad necesaria para hacer excepciones locales. El centro de datos actual exige una amplia visibilidad de un conjunto cada vez mayor de recursos de servidores, dispositivos y aplicaciones, al mismo tiempo que debe establecer responsabilidades de los cambios realizados y proteger los datos confidenciales que residen en él. La falta de gestión de los usuarios con privilegios ha sido la causa directa de las infracciones de datos importantes. Mantener la integridad de los datos es una de las tareas más importantes de los profesionales de TI. Es un grave error pretender adoptar todas estas nuevas tecnologías de flexibilidad y escalabilidad de los centros de datos sin sopesar los requisitos de protección de datos y seguridad que conllevan. El control de los reguladores De acuerdo con la Privacy Rights Clearinghouse, desde el año 2005 más de 340 millones de registros con información personal confidencial han sufrido infracciones de seguridad en Estados Unidos. Todas estas infracciones han dado como resultado importantes costes derivados de las multas de cumplimiento, la supervisión del crédito 4

5 de las víctimas, las nuevas emisiones de tarjetas bancarias y de crédito y la reparación del deterioro de la reputación de la marca. 1 Estas constantes infracciones han provocado que las organizaciones gubernamentales de todo el mundo exijan mejores prácticas de protección de datos y seguridad de la información. Las normativas, como ley de responsabilidad y portabilidad del seguro médico (HIPPA), la ley Gram-Leah Billey (GLBA) y la ley Sarbanes- Oxley de EE. UU., la Directiva de la UE sobre privacidad de datos, ISO27001, la ley de documentos electrónicos y protección de la información personal (PIPEDA) de Canadá y Basilea II se centran en abordar estas cuestiones. El estándar Payment Card Industry Data Security Standard (PCI DSS) supuso el avance de muchos de estos marcos regulatorios. El PCI DSS, que especifica 12 requisitos que deben cumplirse para proteger los datos de los titulares de las tarjetas, ha llevado a las organizaciones de TI a otro nivel más de responsabilidad. Por otra parte, la ley Sarbanes-Oxley incluye requisitos claros sobre la separación de funciones, con lo que se asegura que la responsabilidad de los procesos empresariales complejos queda distribuida entre varios recursos. De esta forma, se puede ofrecer controles y equilibrios en estas funciones. Está claro que es necesario implementar un perfeccionado sistema de protección de recursos para poder cumplir con estos requisitos. Además, hay que proporcionar informes y registros de auditoría granulares para justificar los controles y el estado de las políticas de seguridad y proteger los registros de acceso al servidor de cada auditoría. Todas estas normas indican que hay que llevar a cabo unos controles exhaustivos y conseguir la uniformidad de varias plataformas para garantizar la separación de funciones, sobre todo en aquellos entornos con sistemas operativos mixtos. Asimismo, también se hace necesario contar con la capacidad de investigación en caso de que se ponga en peligro algún recurso. Todo ello implica la recopilación y consolidación de los datos de auditoría en un repositorio de registros central. Por último, como los requisitos normativos son cada vez más estrictos, los informes de cumplimiento constituyen un aspecto muy importante de cualquier solución de seguridad de servidores. Los informes deben ser precisos, abordar el requisito específico en cuestión y presentar el resultado de una forma fácil de entender. Los datos confidenciales están en los servidores El tipo de adversario al que nos enfrentamos está evolucionando; ya no se puede asumir que los atacantes están ahí afuera, que son piratas sin nombre ni rostro. Hoy en día, es muy probable que el atacante sea un empleado descontento, un saboteador o un partner empresarial con una ética y lealtad algo cuestionables. Por tanto, es necesario proteger los recursos de los servidores tanto de los atacantes externos (que todavía están ahí) como del personal interno; sobre todo de los usuarios con privilegios que pueden llegar a todos los datos confidenciales de cada servidor, dispositivo o aplicación al que tienen acceso. La protección de los servidores y la aplicación de responsabilidades entre estos usuarios con privilegios entrañan una gran complejidad. Una técnica común que usan los administradores de servidores es compartir cuentas de usuarios con privilegios y utilizar inicios de sesión genéricos como "administrador" o "raíz". Esta práctica conlleva varios problemas, por las razones siguientes: Problemas de auditoría. Compartir las cuentas de usuario impide que los registros de auditoría puedan identificar realmente los cambios realizados en los servidores y el administrador que los llevó a cabo. De esta manera, no se puede saber quién es el responsable, algo fundamental para cumplir con los requisitos de las normativas. Acceso a los datos. Con estas cuentas compartidas se suele otorgar a los usuarios con privilegios acceso a sistemas y datos esenciales, sobre todo porque es demasiado difícil gestionar una política en miles de servidores con reglas de acceso granular. 1 Fuente: Privacy Rights Clearinghouse, enero de

6 La combinación del acceso de los usuarios con privilegios y los descuidos del administrador pueden, por lo general, afectar a la continuidad del negocio. Mientras tanto, la falta de establecimiento de responsabilidades hace que sea casi imposible hacer un seguimiento para detectar el administrador que cometió los errores causantes de los problemas de seguridad y responsabilidad. La complejidad de la gestión de contraseñas de usuarios con privilegios Además de mantener la responsabilidad del acceso de los usuarios con privilegios, hay que guardar, cambiar y distribuir estas contraseñas compartidas de una forma oportuna y segura para cumplir con las políticas de seguridad corporativas. Muchas aplicaciones utilizan también contraseñas no modificables en scripts de shell y archivos por lotes, lo que empeora el problema. Estas contraseñas son estáticas y están disponibles para cualquier persona que tenga acceso al archivo de script, incluso para los intrusos maliciosos. Según un informe de Verizon del año 2010, el 48 % de las infracciones de datos las llevó a cabo personal interno, lo que supuso un aumento del 26 % con respecto al año anterior. Mayor carga administrativa en la gestión de identidades de UNIX Actualmente, el acceso de UNIX se gestiona en contenedores con múltiples almacenes de cuentas distribuidas, donde los usuarios tienen varias cuentas en diferentes sistemas. Este hecho aumenta los gastos generales y los costes de administración, así como la complejidad general del entorno, ya que un gran número de aplicaciones fundamentales se basan en el sistema UNIX para determinar el tiempo de funcionamiento y la disponibilidad. Desafíos de la virtualización En este mundo tan diverso todo se basa en la aplicación de políticas uniformes y en la posibilidad de realizar registros consolidados en los servidores. El importante aumento en el número de servidores y dispositivos que se gestionan ha agravado todos estos inconvenientes. La expansión de la máquina virtual se traduce en la gestión de un número mayor de servidores y, como los hipervisores no tienen en cuenta qué sistema operativo actúa como invitado, el problema de la heterogeneidad se ha visto acrecentado. Sin embargo, se pasa por alto el mantenimiento de la seguridad de este centro de datos expandido y virtualizado. La virtualización también crea una nueva clase de usuarios del hipervisor con privilegios que pueden crear, copiar, mover o gestionar estos sistemas operativos invitados. Este hecho acentúa aún más la necesidad de una adecuada separación de funciones, que evite que los datos y las aplicaciones que se ejecutan en estos invitados se pongan en peligro, y de capacidades de auditoría. Sección 2: oportunidad Gestión y control de acceso de usuarios con privilegios en toda la empresa Desde un punto de vista de gestión, ya es suficiente con el anterior modelo basado en un administrador del sistema que era responsable de un determinado número de servidores que ejecutaban una aplicación específica. Los administradores están cada vez más especializados para poder hacer frente a la complejidad inherente de las aplicaciones más distribuidas y complicadas. La separación del hardware de los servidores, los sistemas operativos y las aplicaciones que utilizan tecnologías de virtualización dificultan esta especialización. Hoy en día, un servidor de correo electrónico y una base de datos se puedes ejecutar en el mismo servidor físico, con lo que se aumenta en gran medida la complejidad del entorno. 6

7 Por ello, estos administradores deben iniciar sesión de forma segura con contraseñas con privilegios y contar con diferentes niveles de acceso a las aplicaciones, los sistemas operativos y los hipervisores, así como a dispositivos como routers. Ofrecer a todos estos administradores funciones ilimitadas supone grandes riesgos de seguridad. Las cuentas con privilegios (administrador en Windows o raíz en UNIX) pueden ejecutar cualquier programa, modificar cualquier archivo o detener cualquier proceso. La incapacidad de limitar estos usuarios con privilegios, de forma que sólo puedan realizar las tareas correspondientes a sus responsabilidades laborales, y de vincular determinadas acciones administrativas a una persona en concreto puede provocar lagunas de seguridad y de responsabilidad e infracciones de los requisitos esenciales de las normativas de seguridad actuales. Los usuarios privilegiados pueden cometer errores, ya sea por accidente o de forma intencionada. Gracias a una gestión eficaz de los usuarios con privilegios se consigue lo siguiente: Protección, gestión y distribución de las credenciales de los usuarios con privilegios de forma automatizada. Inclusión de estos usuarios mediante la delegación de los privilegios necesarios al personal apropiado, sólo cuando sea necesario. Mantenimiento de la responsabilidad de estos usuarios y capacidad de informar sobre sus acciones. Los administradores pueden desempeñar su trabajo sin exponer los datos confidenciales ni los recursos esenciales de la empresa. Además, este enfoque proporciona una pista de auditoría y asigna responsabilidades a los administradores y a sus acciones. Por otra parte, como respuesta a la creciente presión por reducir costes, las organizaciones de TI están superando las barreras internas de unificación de entornos UNIX y Windows en el ámbito de la autenticación de usuarios. CA ControlMinder CA ControlMinder satisface las políticas internas y las normativas de cumplimiento externas, ya que controla y gestiona de forma centralizada el acceso de los usuarios con privilegios a un conjunto diverso de servidores, dispositivos y aplicaciones. Permite la creación, implementación y gestión de complejas y minuciosas políticas de control de acceso en varias plataformas desde una única consola de gestión. Por ello, CA ControlMinder, supera los controles básicos disponibles en los sistemas operativos nativos y satisface las necesidades de las normativas y políticas corporativas más estrictas. La solución completa se denomina CA ControlMinder y consiste en los siguientes componentes: CA ControlMinder Shared Account Management ofrece almacenamiento y acceso seguros a las contraseñas de los usuarios con privilegios. La protección del punto final y el refuerzo de los servidores incluyen los elementos centrales de CA ControlMinder, que se utilizan para intensificar el sistema operativo y aplicar un control de acceso granular basado en roles. El puente de autenticación de UNIX (UNAB) permite a los usuarios de UNIX y Linux autenticarse mediante las credenciales de Active Directory. La integración con CA User Activity Reporting permite recopilar y consolidar de forma centralizada todos los registros de auditoría de CA ControlMinder en un repositorio central, que se puede utilizar para la presentación de informes avanzados, la correlación de eventos y la creación de alertas. 7

8 CA ControlMinder Shared Account Management Ilustración A. CA ControlMinder Shared Account Management. > Protección de contraseñas compartidas Gestión de políticas de > Establecimientos de responsabilidad contraseñas de cuentas de acceso con cuentas compartidas compartidas > Eliminación de contraseñas de texto claro de scripts CA ControlMinder Restablecimiento de contraseña Extracción de contraseña Administrador Validación de contraseña Registro de contraseña de TI Generación de informes sobre Correlación de la actividad privilegiada con el usuario Inicio de sesión Base de datos Servidor Interruptor Web del enrutador Interruptor Almacenamiento de la apl. Aplicación Escritorio Virtualización Windows Linux Unix La gestión de la contraseña de usuario con privilegios proporciona un acceso seguro a las cuentas con privilegios y ayuda a establecer la responsabilidad del acceso con privilegios a través de la generación de contraseñas de forma temporal y basada en la hora o, cuando sea necesario, al tiempo que asigna a los usuarios la responsabilidad de sus acciones a través de una auditoría segura. Esta función también se conoce como obtención administrativa. CA ControlMinder también está diseñado para permitir que las aplicaciones accedan de forma programática a las contraseñas del sistema y, de esta forma, se eliminan las contraseñas no modificables de scripts, archivos por lotes o encapsuladores ODBC y JDBC. Esta función se conoce como obtención de la aplicación. La compatibilidad con Shared Account Management está diseñada para su uso en numerosos servidores, aplicaciones (incluidas las bases de datos) y dispositivos de entornos físicos o virtuales. Características de CA ControlMinder Shared Account Management Almacenamiento seguro de contraseñas compartidas. Shared Account Management almacena las contraseñas de las aplicaciones y los sistemas más importantes en un almacén de datos seguro y protegido. Los usuarios que necesitan acceder a estas contraseñas confidenciales pueden obtener y registrar estas contraseñas mediante una interfaz de usuario Web intuitiva y fácil de usar. Shared Account Management hace cumplir las políticas de acceso privilegiado que determinan los usuarios que pueden utilizar las cuentas compartidas. Política de contraseñas de cuentas compartidas. Cada una de las contraseñas gestionadas a través de Shared Account Management puede tener asociada una política de contraseñas que define su exclusividad. De este modo, se asegura que las contraseñas generadas por Shared Account Management se aceptan en el sistema, la aplicación o la base de datos del punto final. Las políticas de contraseña también determinan un intervalo en el cual Password Vault crea automáticamente una nueva contraseña para la cuenta. Detección automática de la cuenta. Shared Account Management detecta automáticamente todas las cuentas en un punto final gestionado, que se conecta al servidor Shared Account Management Enterprise Management. A continuación, el administrador de Shared Account Management puede decidir qué cuentas se utilizarán. A estas cuentas se les asigna un "rol de acceso privilegiado", que se puede conceder a usuarios finales como parte de la política de Shared Account Management. 8

9 Arquitectura sin agentes. CA ControlMinder Shared Account Management ofrece una arquitectura basada en servidor que proporciona una implementación que conlleva un esfuerzo y unos riesgos mínimos. No se necesitan agentes en los puntos finales gestionados de CA ControlMinder Shared Account Management. Todas las conexiones se controlan desde el servidor Shared Account Management Enterprise Management mediante el uso de funciones nativas. Por ejemplo, las bases de datos utilizan JDBC, UNIX y Linux usa SSH. Por otro lado, Windows utiliza WMI. Integración con sistemas de generación de tickets y asistencia técnica. La integración con CA Service Desk Manager permite añadir un ticket de asistencia técnica tanto en la solicitud como en tareas de emergencia, validar el ticket de asistencia técnica y utilizar un aprobador que pueda ver el ticket para obtener más información. Generación de informes y auditoría de acceso privilegiado. Todo el acceso privilegiado se audita y registra en CA ControlMinder Shared Account Management. CA User Activity Reporting ofrece mejores funciones de correlación y creación de registros, incluida la habilidad de correlacionar los registros nativos generados en sistemas, aplicaciones o bases de datos con los registros de Shared Account Management. Además, si CA ControlMinder se instala en los puntos finales del servidor (UNIX, Linux y Windows), se puede hacer un seguimiento de la actividad de todos los usuarios con privilegios y realizar una auditoría de la misma. Estos registros se pueden centralizar también en CA User Activity Reporting y correlacionarse con los eventos de obtención generados por Shared Account Management. Restauración y reversión de contraseñas. En caso de que se produzca un fallo en el punto final de CA ControlMinder Shared Account Management, éste se restaurará a partir de una copia de seguridad que puede no estar actualizada. En este caso, las contraseñas guardadas en Shared Account Management no coincidirán con las contraseñas restauradas en el punto final. El servidor Shared Account Management Enterprise Management muestra una lista de las contraseñas utilizadas anteriormente y tiene la opción de volver a restaurar el punto final a la configuración de Shared Account Management. Obtención administrativa de Shared Account Management Responsabilidad de acceso con cuentas compartidas. CA ControlMinder Shared Account Management cuenta con una función de "obtención exclusiva" que sólo permite que un individuo específico obtenga una cuenta en un momento dado. Asimismo, Shared Account Management puede realizar un seguimiento de las acciones del usuario original mediante la correlación de los eventos de acceso a los sistemas con el evento de obtención generado por CA ControlMinder Shared Account Management. Inicio de sesión automático de Shared Account Management. Esta característica está diseñada para agilizar y proteger el proceso, pues permite que un usuario solicite una contraseña y la utilice con un único clic con el que podrá iniciar sesión automáticamente en el sistema de destino como usuario privilegiado. Y todo ello, sin ver la contraseña real. Así se evita el robo de contraseñas "por encima del hombro" y se acelera el proceso para el solicitante de la contraseña. Integración avanzada de Shared Account Management con CA ControlMinder. La integración avanzada de Shared Account Management y CA ControlMinder permite integrar los puntos finales de CA ControlMinder con Shared Account Management para realizar un seguimiento de las actividades de los usuarios que utilizan cuentas privilegiadas. Esta característica sólo se admite si se utiliza junto con la función de inicio de sesión automático de Shared Account Management, descrita anteriormente, y permite especificar que un usuario debe obtener una cuenta con privilegios a través del servidor Enterprise Management antes de que se conecte a un punto final de CA ControlMinder. 9

10 Grabación y reproducción de la sesión con privilegios. Gracias a la integración con software de terceros de CA ControlMinder Shared Account Management, ahora está disponible la grabación y reproducción de una sesión con privilegios. Esta característica facilita las auditorías mediante una funcionalidad de tipo DVR que graba y reproduce las sesiones de los usuarios con privilegios. Funciones completas del flujo de trabajo. CA ControlMinder Shared Account Management ofrece completas funciones de control doble del flujo de trabajo para ofrecer un acceso normal y de emergencia a las cuentas con privilegios. El flujo de trabajo se puede habilitar opcionalmente para determinados usuarios finales o determinadas cuentas privilegiadas. Acceso de emergencia. Los usuarios realizan una "obtención de emergencia" cuando necesitan acceder de inmediato a una cuenta para la que no tienen autorización. Las cuentas de emergencia son las cuentas privilegiadas que no están asignadas al usuario en función de su rol normal. No obstante, cuando se necesario, el usuario puede obtener la contraseña de la cuenta sin realizar ninguna acción y sin ningún retraso. En un proceso de obtención de emergencia, se envía un mensaje de notificación al administrador. Sin embargo, el administrador no puede aprobar ni detener el proceso. Obtención de la aplicación de Shared Account Management Shared Account Management, aplicación a aplicación. CA ControlMinder Shared Account Management automatiza la gestión de contraseñas de cuentas de servicio que se llevaría a cabo de forma manual (servicios de Windows), gestiona las contraseñas utilizadas en las tareas planificadas de Windows que requieren el inicio de sesión en el sistema (tareas programadas de Windows) y se integra con el mecanismo de ejecutar como de Windows para recuperar de Shared Account Management la contraseña del usuario con privilegios correspondiente. Shared Account Management, aplicación a base de datos. CA ControlMinder Shared Account Management también puede restablecer automáticamente las contraseñas de identificación de las aplicaciones. Shared Account Management puede gestionar las cuentas de servicio utilizadas por el servidor de aplicaciones IIS o J2EE y las aplicaciones alojadas en ellos; para ello, intercepta las conexiones ODBC y JDBC y las sustituye por las credenciales actuales de las cuentas privilegiadas. En la mayoría de los casos, CA ControlMinder Shared Account Management ofrece esta funcionalidad sin necesidad de realizar cambios en las aplicaciones. Para esta funcionalidad hay que instalar el agente de Shared Account Management en el punto final donde se ejecuta la aplicación o en el servidor J2EE, en caso de una aplicación Web. Obtención programática de scripts de shell archivos por lotes. Se puede utilizar el agente de Shared Account Management dentro de un script para sustituir las contraseñas no modificables por contraseñas que se pueden extraer de CA ControlMinder Shared Account Management Enterprise Management. Así, se evita el tener que incluir las contraseñas no modificables dentro de los scripts. Si desea obtener más información y más detalles técnicos sobre Shared Account Management, consulte el informe técnico de CA ControlMinder Shared Account Management. 10

11 Protección del punto final y refuerzo de los servidores con CA ControlMinder Ilustración B. CA ControlMinder ofrece aplicación de políticas de seguridad basadas en roles. CA ControlMinder Los elementos centrales de CA ControlMinder son los agentes seguros y reforzados que se integran de forma nativa con el sistema operativo, para aplicar y auditar las políticas granulares necesarias para cumplir con los requisitos de cumplimiento. Los agentes de punto final están disponibles para los principales sistemas operativos, como las versiones más conocidas de Linux, UNIX y Windows. En el sitio Web de soporte de CA se puede encontrar la lista con los sistemas compatibles más actualizada. CA ControlMinder ofrece formatos de paquetes nativos para la instalación y gestión de CA ControlMinder de forma nativa en los sistemas operativos compatibles. Así se facilita la creación de un entorno empresarial global donde se puedan implementar rápidamente un gran número de servidores gestionados. Además, CA ControlMinder dispone de una interfaz basada en Web uniforme e intuitiva para la gestión de las políticas, las aplicaciones y los dispositivos de punto final. CA ControlMinder es compatible de forma nativa con la mayoría de las plataformas de virtualización, como VMware ESX, Solaris 10 Zones y LDOMs, Microsoft Hyper-V, IBM VIO y AIX LPAR, HP-UX VPAR, Linux Xen y Mainframe x/vm. De este modo, se protege tanto la capa del hipervisor como los sistemas operativos invitados que se ejecutan en ella. En los entornos empresariales, ya es una práctica habitual utilizar un directorio para la gestión de usuarios y un directorio habilitado para la implementación de las aplicaciones. CA ControlMinder admite almacenes de usuarios corporativos, es decir, almacenes de usuarios y grupos nativos del sistema operativo. Gracias a esta integración es posible definir reglas de acceso para los usuarios y grupos corporativos sin tener que sincronizar ni importar dichos usuarios y grupos a la base de datos de CA ControlMinder. 11

12 Protección de servidores en varias plataformas Muchas organizaciones implementan una infraestructura de varios servidores, que incluye sistemas de Windows, Linux y UNIX. CA ControlMinder permite gestionar y aplicar de una forma uniforme e integrada las políticas de seguridad de acceso en todos estos entornos. La arquitectura avanzada de políticas proporciona una única interfaz, a través del cual se pueden administrar políticas y distribuirlas a suscriptores de Windows y UNIX al mismo tiempo. La gestión consolidada de los servidores de Linux, UNIX y Windows alivia la carga administrativa necesario y mejora la eficiencia del administrador del sistema, con lo que se consiguen ahorros en los costes de gestión. Control de acceso exhaustivo CA ControlMinder es una solución de aplicación de seguridad independiente; esto quiere decir que no se basa en el sistema operativo subyacente para hacer cumplir las políticas de control de acceso de servidores. Al operar a nivel del sistema, CA ControlMinder supervisa y regula todo el acceso a los recursos del sistema, incluso a aquellos procedentes de administradores de dominios o del sistema local. Esta capacidad de control exhaustivo del acceso sirve para regular, delegar y restringir los administradores de dominios o cualquier otra cuenta del entorno de TI y para proporcionar los siguientes aspectos: Control de suplantación. CA ControlMinder controla las capacidades de delegación de los usuarios subrogados, para reducir la exposición de los usuarios no autorizados que ejecutan aplicaciones con mayores privilegios, y logra establecer responsabilidades sobre las actividades con cuentas compartidas. Por ejemplo, un administrador podría asumir el perfil de identidad de otra persona para cambiar los atributos de una la lista de control de acceso (ACL) de un archivo sin ningún tipo de responsabilidad sobre sus acciones. CA ControlMinder ofrece protección en varios niveles. Para ello, en primer lugar, limita aquellos usuarios que utilizan la función de ejecutar como y el comando "su" de UNIX y, a continuación, conserva el ID de usuario original incluso después de que las acciones subrogadas se hayan llevado a cabo. De este modo, garantiza que los registros de acceso de los usuarios de los registros de auditoría muestren la cuenta original. Así se permite a los usuarios iniciar sesión con su propio ID y cambiar de forma segura su perfil a una cuenta con privilegios, sin que se dejen de asumir responsabilidades. Limitación del superusuario (administrador/raíz). La cuenta raíz es una fuente importante de vulnerabilidad, ya que permite a las aplicaciones o a los usuarios asumir un nivel de privilegios más poderoso del que pueden necesitar. CA ControlMinder inspecciona todas las solicitudes de entrada pertinentes en el nivel del sistema y lleva a cabo la autorización en función de reglas y políticas definidas. Ni siquiera la privilegiada cuenta raíz puede pasar por alto este nivel de control. Por tanto, todos los usuarios privilegiados se convierten en usuarios gestionados y son responsables de sus actividades en el sistema. Control de acceso basado en roles. Las prácticas recomendadas establecen que cada administrador cuenta con privilegios suficientes para desempeñar únicamente sus tareas, y ninguna más. Gracias a un entorno de control de accesos basado en roles, los administradores no pueden compartir una contraseña de administrador y ni aprovechar las ventajas de los privilegios asociados a ésta. De forma predeterminada, CA ControlMinder ofrece los conocidos roles administrativos y de auditoría, que se pueden personalizar y ampliar para satisfacer las necesidades de la organización de TI. Aplicación minuciosa. Los sistemas operativos nativos (Linux, UNIX y Windows) ofrecen funciones limitadas para delegar de forma granular y eficaz determinados derechos de administración los sistemas a cuentas de usuarios con menos poder. CA ControlMinder proporciona una aplicación minuciosa y regula el acceso en función de varios criterios, como los atributos de red, la hora del día, el calendario o los programas de acceso. Entre las funciones se incluyen las siguientes: 12

13 Más controles granulares. Los controles ofrecen privilegios específicos para archivos, servicios y otras funciones del nivel del SO (cambiar el nombre, copiar, detener, iniciar), que se pueden asignar a un administrador o a un grupo de administración determinado. Distintos niveles de aplicación. Las organizaciones suelen utilizar el modo de advertencia de CA ControlMinder para determinar si las políticas de seguridad propuestas son demasiado estrictas o indulgentes y poder modificarlas como corresponda. Asimismo, CA ControlMinder ofrece la habilidad de validar al instante los efectos de una política de seguridad sin aplicar las restricciones a través del ajuste del modo de validación. Listas de control de acceso mejoradas. CA ControlMinder ofrece varias funciones mejoradas de listas de control de acceso para aumentar la capacidad de los administradores de seguridad de asignar apropiadamente derechos de acceso a usuarios autorizados, incluidas las listas de control de acceso de programa (PACL) que sólo permiten el acceso de los recursos desde un programa o binario en concreto. Control de acceso basado en red. Los abiertos entornos actuales exigen un sólido control del acceso de los usuarios y de la información que fluye por la red. El control de acceso basado en red agrega otra capa de protección para regular el acceso a la red. CA ControlMinder puede gestionar el acceso a los puertos de red o programas de acceso a redes y las políticas de seguridad de redes pueden gestionar el acceso bidireccional mediante el ID del terminal, el nombre del host, la dirección de red, los segmentos u otros atributos. Control de inicio de sesión. CA ControlMinder puede mejorar la seguridad al limitar el inicio de sesión de los usuarios gracias a la dirección IP de origen, el ID del terminal, el tipo de programa de inicio de sesión o la hora del día. Por otro lado, CA ControlMinder también puede restringir las sesiones de inicio de sesión simultáneo de un usuario para aplicar un acceso más estricto de los usuarios al servidor. Es posible suspender automáticamente a los usuarios después de varios intentos de inicio de sesión fallidos, con lo que se protegen los sistemas frente a los atacantes de "fuerza bruta". Además, CA ControlMinder ofrece suspensión y revocación seguras de cuentas de usuarios en entornos distribuidos. Gestión y control de acceso a entornos virtuales La virtualización consolida varias instancias de servidores en una única máquina física, con lo que se consigue un coste total de propiedad más bajo y una mejor utilización de la máquina. Desafortunadamente, la virtualización también crea una nueva clase de usuarios del hipervisor con privilegios, que pueden crear, copiar, mover o gestionar estos sistemas operativos invitados. Este hecho acentúa aún más la necesidad de una adecuada separación de funciones y de una protección consolidada de los servidores que permita auditar y proteger los datos y las aplicaciones que se ejecutan en estos invitados. Con CA ControlMinder, es posible controlar estos administradores del hipervisor e implementar una separación de funciones adecuada. Esta función ofrece una capa esencial de protección para mitigar los riesgos derivados de la virtualización. Los agentes de punto final son compatibles con una amplia lista de versiones de SO que se ejecutan como invitados, así como con host de virtualización de los principales SO como VMware ESX, Solaris 10 Zones and LDOMs, Microsoft Hyper-V, IBM VIO y AIX LPAR, HP-UX VPAR, Linux Xen y Mainframe x/vm. Refuerzo del sistema operativo La protección del SO contra el acceso externo no autorizado constituye una capa esencial de una profunda estrategia de defensa. CA ControlMinder ofrece varias medidas externas de seguridad para agregar una capa más de seguridad a los servidores. 13

14 Controles de archivos y directorios. Los archivos y directorios constituyen la espina dorsal de los sistemas operativos y cualquier exposición puede conllevar la denegación de servicio y tiempos de inactividad inesperados. CA ControlMinder ofrece potentes opciones de acceso de programas y de carácter comodín que simplifican la gestión de políticas al nivel del archivo. CA ControlMinder puede aplicar el control de cambios en sistemas de directorios y archivos fundamentales, con lo que se aumenta la integridad y confidencialidad de los datos. La protección a nivel de archivos está disponible para todos los tipos de archivos, como archivos de texto, directorios, archivos de programa, archivos de dispositivos, vínculos simbólicos, archivos montados en NFS y archivos compartidos de Windows. Ejecución de programas de confianza. Para evitar que el software maligno, sobre todo los troyanos, contaminen el entorno operativo, CA ControlMinder ofrece protección de primera línea para los programas de confianza. Los recursos confidenciales se pueden marcar como de confianza; de este modo, estos archivos y programas se supervisarán y CA ControlMinder bloqueará la ejecución en caso de que un software maligno modifique el programa. Los cambios de los recursos de confianza se pueden limitar a usuarios o grupos de usuarios específicos para reducir aún más la posibilidad de un cambio imprevisto. Protección del registro de Windows. El registro de Windows es un destino claro de los piratas y los usuarios malintencionados, porque la base de datos centralizada contiene parámetros del sistema operativo, incluidos aquellos que controlan los controladores de dispositivos, los detalles de configuración y los ajustes de seguridad, del entorno y del hardware. CA ControlMinder ofrece protección de registros, ya que admite reglas que pueden impedir que los administradores cambien o manipulen los ajustes de los registros. CA ControlMinder puede proteger las claves de registro e impedir que se eliminen y que los valores correspondientes se modifiquen. Protección de servicios de Windows. CA ControlMinder proporciona protección mejorada para limitar los administradores autorizados que pueden iniciar, modificar o detener servicios de Windows esenciales. De este modo, protege contra la denegación de servicios de aplicaciones de producción, como bases de datos, Web, archivos o impresión, que se controlan como servicios en Windows. Resulta esencial proteger estos servicios del acceso no autorizado. Captura por parte de la aplicación. CA ControlMinder permite definir las acciones que se puedan aceptar para las aplicaciones de alto riesgo. Cualquier comportamiento que supere estas limitaciones quedará bloqueado por una función de captura de la aplicación. Por ejemplo, se puede crear una lista de control de acceso basada en un ID que gestione procesos y servicios de Oracle, de forma que la función de captura impida que realice acciones diferentes al inicio de servicios de Oracle DBMS. Registrador de teclas (KBL) de UNIX/Linux CA ControlMinder puede restringir las acciones normales y confidenciales de usuarios e incluso puede realizar el seguimiento de las sesiones de los usuarios que se seleccionen, pero qué sucede si se desea grabar todo lo que se hace en una sesión de usuario confidencial? La función de registrador de teclas de CA ControlMinder le ofrece esa opción. El KBL se encuentra entre la shell y el terminal o el teclado y registra todo lo que se escribe con el teclado (entrada) y lo que aparece en el terminal (salida). El KBL se habilita fácilmente; sólo hay que cambiar el modo de auditoría del administrador/usuario del que se desea registrar la actividad del teclado. 14

15 CA ControlMinder Ilustración C. Selección de modo interactiva del registrador de teclas de UNIX/Linux en CA ControlMinder Endpoint Management. Funciones del KBL Reproducción de la sesión (modo local sólo en el punto final de CA ControlMinder) Impresión del resultado de la sesión o de los datos introducidos durante ésta Impresión de los comandos de la sesión Correlación con el seguimiento del usuario de CA ControlMinder Almacén central con informes de CA User Activity Reporting Ilustración D Resultado de la sesión del registrador de teclas de CA ControlMinder. Los informes de KBL ya están disponibles en CA User Activity Reporting con vistas detalladas que muestran todos los comandos introducidos en el símbolo del sistema y el resultado obtenido. 15

16 Ilustración E Informe de muestra del registrador de teclas disponible a través de CA User Activity Reporting. Identidades de UNIX gestionadas desde Active Directory: UNAB La función de agente de autenticación de Unix (UNAB) de CA ControlMinder permite gestionar los usuarios de UNIX desde Microsoft AD. De este modo, se posibilita la consolidación de información sobre autenticación y la cuenta en AD, en lugar de gestionar las credenciales de UNIX de forma local en cada servidor. Funciones de UNAB Autenticación de UNIX gestionada de forma central. UNAB simplifica la gestión de los usuarios locales de UNIX, mediante la validación de las credenciales de autenticación en AD. No es necesario definir los usuarios y los grupos en NIS ni de forma local en el archivo /etc/passwd. Los atributos de usuarios, como el directorio principal, la shell, el ID de usuario, GECOS y las políticas de contraseñas, se recuperan de AD. Módulo PAM ligero. UNAB ofrece un módulo PAM compacto y ligero en UNIX, que se agrega a la pila PAM del punto final. Empaquetado nativo. UNAB ofrece empaquetado nativo para facilitar la instalación y la implementación. Integración con el registro de eventos nativo de Windows. Todos los registros de UNAB se envían a los registros de eventos nativos de Windows. De este modo se consolida y simplifica la auditoría y también se permite la integración con herramientas de SIM (Security Information Management, gestión de información de seguridad). Modos de funcionamiento flexibles. UNAB se puede configurar para que funcione en un modo de integración completa o parcial, con lo que se facilita el proceso de migración. Modo de integración parcial. En este modo, la contraseña del usuario se almacena en AD. En el momento de autenticación, sólo se lleva a cabo la validación de contraseñas en AD. Los atributos de usuarios, como el ID del usuario, el directorio principal y el grupo principal se recuperan del host de UNIX local o de NIS, y no de AD. Cuando se añade un nuevo usuario a la organización, un administrador puede crear el usuario tanto en AD como en el archivo local /etc/passwd o en NIS. No es necesario realizar cambios en el esquema de AD para que UNAB funcione en el modo de integración parcial. 16

17 Modo de integración completa. En este modo, la información del usuario sólo se almacena en AD. No hay ninguna entrada del usuario en el archivo local/etc/passwd ni en NIS. Los atributos de usuarios, como el ID del usuario, el directorio principal y el grupo principal se almacenan en AD y no en el host de UNIX local ni en NIS. Cuando se añade un nuevo usuario a la organización, un administrador crea el usuario sólo en AD y proporciona los atributos de UNIX necesarios. Para el modo de integración completa, se requiere Windows 2003 R2, que es compatible con los atributos de UNIX. Asignación de atributos LDAP dinámicos. En caso de que la organización no admita Windows 2003 R2, necesario para el modo de integración completa, UNAB ofrece una función que permite asignar de forma dinámica atributos de UNIX a atributos de AD no estándar. De este modo, se evita la complejidad de tener que ampliar o cambiar el esquema de AD. Funciones mejoradas de almacenamiento en caché y soporte sin conexión. UNAB almacena en la memoria caché todos los inicios de sesión satisfactorios en su base de datos local SQLite. La información almacenada en la memoria caché incluye el nombre del usuario, los atributos de usuarios, la pertenencia a un grupo y el valor hash de la contraseña. En caso de que UNAB no se pueda conectar a AD, intentará validar las credenciales del usuario en la memoria caché local. Esta función se conoce como "inicio de sesión sin conexión". Los registros de los usuarios se conservarán en la memoria caché local durante un número de días que se puede configurar. Los usuarios locales, como "raíz" y otras cuentas del sistema y de las aplicaciones pueden iniciar sesión, independientemente de la conectividad de AD. Inicio de sesión único de UNAB. Es posible realizar el inicio de sesión único entre todos los host de UNAB con Kerberos en el entorno. Si se inicia sesión en un host de UNAB con Kerberos, se puede iniciar sesión automáticamente en cualquier otro host de UNAB con las credenciales de Kerberos, que ofrecen un tipo de solución de inicio de sesión único dentro del entorno. Políticas de inicio de sesión centralizadas. Cuando UNAB está activado en un punto final de UNIX, las políticas de inicio de sesión centrales controlan qué usuarios pueden iniciar sesión en qué host de UNIX o grupos de host de UNIX. Estas políticas de inicio de sesión se gestionan y distribuyen con la interfaz de usuario de CA ControlMinder Enterprise Management y se almacenan de forma local en cada punto final de la base de datos SQLite. Se pueden aplicar políticas de inicio de sesión a un único host de UNIX o a un grupo de equipos de servidores. Las reglas de especificación se pueden basar en los usuarios y grupos de AD, con lo que se reduce la sobrecarga administrativa. Ilustración F. Agente de autenticación de UNIX. 17

18 Generación de informes y auditoría de usuarios con acceso privilegiado con CA User Activity Reporting Cumplimiento quiere decir que se cuentan con las políticas adecuadas y que dichas políticas están implementadas; pero sobre todo, significa que se pueden ofrecer pruebas de la conformidad con las políticas corporativas y las normativas reguladores, al mismo tiempo que se asumen las responsabilidades de cualquier desviación de dichas políticas. Para demostrar el cumplimiento, las soluciones de protección de recursos del servidor deben poder generar informes que justifiquen las políticas de contraseñas, los niveles de derechos y la separación de funciones. CA ControlMinder incluye una licencia de CA User Activity Reporting que permite ver el estado de seguridad de los usuarios, los grupos y los recursos. Para ello, se recopilan los datos de cada punto final de la empresa, se agregan a una ubicación central, los resultados se analizan con la política corporativa y, por último, se genera un informe. Esta licencia de CA User Activity Reporting se limita a la recopilación y generación de informes de los eventos de CA ControlMinder; si se desea contar con funciones de generación de informes más amplia, habrá que adquirir la licencia de User Activity Reporting Module. El servicio de generación de informes funciona independientemente para recopilar las políticas en cada punto final de forma planificada. El sistema incorpora flexibilidad, ya que se informa del estado del punto final sin necesidad de realizar ninguna acción manual e independientemente de que el servidor de recopilación esté o no activo. Por otro lado, los componentes del servicio de generación de informes son elementos externos del sistema de aplicación de CA ControlMinder y no necesitan interrumpir las funciones de aplicación del punto final durante la reconfiguración ni personalización de los informes. El servicio de generación de informes está estructurado para permitir la generación de informes del estado de las políticas que se aplican en cada punto final. Se pueden crear informes personalizados para varios fines o utilizar los más de 60 informes existentes que CA ControlMinder ofrece listos para usar. Informes de derechos y cumplimiento de políticas Ya no basta con producir informes basados en eventos sobre las acciones ocurridas en el pasado para demostrar el cumplimiento. En la actualidad, para conseguir el cumplimiento se necesitan también informes proactivos que muestren el estado de la política en cualquier momento del tiempo. Para ayudar a ello, CA ControlMinder ofrece funciones de generación de informes proactiva sobre los privilegios de acceso de los usuarios y pruebas de los controles de acceso existentes. Como parte de la instalación predeterminada del producto, el servicio de generación de informes de CA ControlMinder incluye más de 60 informes estándar listos para usar que detallan información sobre los derechos y el estado actual de las políticas, así como la desviación de éstas. Ofrecen un valor inmediato, ya que complementan las auditorías existentes basadas en eventos para supervisar los requisitos de cumplimiento y señalar las discrepancias existentes. Los informes estándar incluyen los siguientes aspectos: Los informes de gestión de políticas permiten ver el estado de la implementación de las políticas y las desviaciones de las políticas estándar. Los informes de derechos permiten ver los derechos que los usuarios y los grupos tienen sobre los recursos del sistema o mostrar quién puede acceder a unos recursos específicos. Un uso habitual sería ver quién tiene acceso raíz a los sistemas. Los informes de gestión de usuarios ofrecen la capacidad de ver cuentas inactivas, usuarios, pertenencias a grupos y cuentas administrativas, así como gestionar la separación de funciones. 18

19 Los informes de gestión de contraseñas ofrecen información sobre la antigüedad de las contraseñas, el cumplimiento de las políticas de contraseñas, etc. Los informes de acceso de usuarios privilegiados detallan información sobre toda la actividad de los usuarios con privilegios, incluidos el registro, la obtención, las aprobaciones de flujos de trabajo y otras acciones. Ilustración G. Los informes de CA ControlMinder Shared Account Management muestran las cuentas privilegiadas por tipo de punto final. Los informes de autenticación de UNIX ofrecen todos los datos de derechos e informes relacionados con el componente UNAB de CA ControlMinder. Ilustración H. Informe de UNAB detallado que muestra los usuarios de AD globales con atributos UNIX. El asistente de detección de usuarios con privilegios (asistente completado por el usuario) buscará los usuarios privilegiados en toda la organización y generará automáticamente un informe. 19

20 La generación de informes sobre políticas abiertas de CA ControlMinder se basa en un estándar de sistema de gestión de bases de datos relacionales (RDBMS). La interoperabilidad con los sistemas externos permite a los administradores ejecutar informes de políticas mediante la herramienta de informes que elija y personalizar las presentaciones de los informes para satisfacer los estándares internos o las peticiones del auditor. Tarjeta de implementación de políticas Ilustración I. Informe de muestra que indica una instantánea de un punto en el tiempo de los host que cumplen con una política específica. CA ControlMinder Enterprise Management Dada la complejidad y escalabilidad que necesitan los recursos de los servidores actuales, resulta esencial poder implementar y aplicar una política centralizada que controle el acceso en toda la empresa y, al mismo tiempo, se ajuste a las excepciones locales y necesidades empresariales. CA ControlMinder cuenta con varias funciones sofisticadas que facilitan y agilizan la gestión del acceso y permiten realizar excepciones de una forma visible y responsable. Agrupación en equipos Los puntos finales se pueden agrupar en equipos y, a continuación, es posible asignar políticas basadas en esta pertenencia al grupo de equipos, independientemente de cómo estén organizados físicamente los puntos finales. Los host pueden ser miembros de varios grupos de equipos, en función de sus propiedades y exigencias de políticas. Por ejemplo, si cuenta con host que ejecutan un sistema operativo de Red Hat y Oracle, éstos pueden ser miembros de un grupo de equipos de Red Hat, para que tengan las políticas de control de acceso de línea de referencia de Red Hat, y también, miembros del grupo de equipos de Oracle, para que cuenten con las políticas de control de acceso de Oracle. Los grupos de equipos se pueden utilizar en los componentes Shared Account Management y UNAB de CA ControlMinder. En Shared Account Management, los grupos de equipos, como los servidores de bases de datos, pueden tener una política común que permita el acceso a las cuentas privilegiadas de dichos servidores. En UNAB, se puede aplicar un conjunto de políticas comunes de inicio de sesión a un grupo de equipos que permita a los usuarios iniciar sesión de forma selectiva en función de sus credenciales de Active Directory. 20