RESUMEN DE LA SOLUCIÓN CA ControlMinder ¿Cómo puedo controlar el acceso de los usuarios con privilegios en toda la empresa? agility made possible™ CA ControlMinder es una completa solución para la gestión de identidades con privilegios que permite administrar contraseñas de usuarios con privilegios, informar sobre actividades de los usuarios y establecer una exhaustiva separación de funciones en toda la empresa. 2 CA ControlMinder resumen ejecutivo Reto No es el único que se preocupa de los crecientes retos que plantea la protección de los datos y aplicaciones confidenciales que residen en los servidores. El valor cada vez mayor de los datos, las normativas que se van haciendo más estrictas y el gran número de usuarios con privilegios que necesitan acceder a los servidores, dispositivos y aplicaciones esenciales dificultan aún más la protección de la información confidencial y de la propiedad intelectual. Entre los retos que supone la gestión de usuarios con privilegios se incluye la gestión del acceso seguro a los datos fundamentales y de las contraseñas de los usuarios privilegiados. Este aspecto nos obliga a trabajar muy duro para controlar el acceso de los usuarios con privilegios en entornos grandes, complejos y diversos. Al mismo tiempo, las organizaciones de TI deben seguir respondiendo a los requisitos empresariales, que a veces exigen realizar excepciones locales mientras se mantienen la seguridad y el establecimiento de responsabilidades. Hoy en día, las organizaciones también se enfrentan a los requisitos de normativas y auditorías cada vez más complicados y estrictos que hay que cumplir. Se puede confiar en las funciones de seguridad nativas del sistema operativo, pero, de este modo, surgirían problemas relacionados con la separación de funciones, la capacidad de gestión y las infracciones de cumplimiento. Además de la implementación de políticas de seguridad, hay que mantener y gestionar identidades de UNIX®, lo cual plantea un reto más. UNIX se suele gestionar en contenedores, con lo que los gastos generales y los costes de administración se ven aumentados. Oportunidad Se necesita un único sistema de seguridad centralizado e independiente para proteger los recursos de los servidores, los dispositivos y las aplicaciones de toda la empresa. Este sistema, debe ofrecer medios flexibles y responsables que restrinjan las cuentas de superusuario mediante la delegación de los privilegios necesarios a los administradores autorizados. Por otro lado, este sistema de seguridad debería ser capaz de proporcionar sólidos controles para gestionar los usuarios con privilegios, centralizar la autenticación y ofrecer una robusta infraestructura de auditoría y generación de informes. CA ControlMinder™ funciona en el nivel del sistema para permitir una aplicación eficaz y uniforme en los sistemas, como Windows, UNIX, Linux y los entornos virtualizados. La avanzada capacidad de gestión de políticas posibilita la distribución de políticas de seguridad del servidor a dispositivos, servidores y aplicaciones de punto final. Con ello, se puede controlar a los usuarios con privilegios. Además, se puede realizar de forma segura la auditoría de cada cambio y aplicación de las políticas para cumplir con las normativas globales. CA ControlMinder ofrece un planteamiento holístico de la gestión de accesos, ya que incluye funciones clave para proteger y bloquear los datos y las aplicaciones esenciales, gestionar las identidades con privilegios, centralizar la autenticación de UNIX con Microsoft® Active Directory (AD) y ofrecer una infraestructura segura de auditoría y generación de informes. 3 CA ControlMinder Beneficios CA ControlMinder permite crear, implementar y administrar complejas políticas de control de acceso exhaustivo para permitir que sólo los usuarios con privilegios autorizados puedan llegar a los datos y aplicaciones con un mayor grado de confidencialidad. La compatibilidad multiplataforma (incluida la virtual) y la integración con el resto de la familia de productos de CA Identity y Access Management hacen que CA ControlMinder pueda lograr lo siguiente: • Regulación y auditorías del acceso a los servidores, dispositivos y aplicaciones esenciales de forma uniforme en todas las plataformas. • Gestión de contraseñas de usuarios privilegiados. • Demostración proactiva del control exhaustivo de los usuarios con privilegios. • Cumplimiento de los requisitos internos y de normativas mediante la creación y presentación de informes sobre políticas de acceso a los servidores. • Reducción de costes administrativos mediante la gestión centralizada de la seguridad en toda la empresa distribuida a nivel mundial. • Autenticación de usuarios de UNIX y Linux con privilegios desde un único almacén de usuarios de Active Directory. • Refuerzo del sistema operativo, para reducir los riesgos externos de seguridad, y mayor fiabilidad del entorno operativo. • Integración de configuraciones listas para usar (OOTB) con una infraestructura de auditoría que genera informes detallados específicos sobre normativas. Sección 1: reto Los servidores: fuente de complejidad en los centros de datos actuales La gestión de políticas de seguridad en entornos de gran tamaño sigue siendo un reto, sobre todo si tenemos en cuenta la importancia de poder responder a los requisitos del negocio, que incluye ofrecer la flexibilidad necesaria para hacer excepciones locales. El centro de datos actual exige una amplia visibilidad de un conjunto cada vez mayor de recursos de servidores, dispositivos y aplicaciones, al mismo tiempo que debe establecer responsabilidades de los cambios realizados y proteger los datos confidenciales que residen en él. La falta de gestión de los usuarios con privilegios ha sido la causa directa de las infracciones de datos importantes. Mantener la integridad de los datos es una de las tareas más importantes de los profesionales de TI. Es un grave error pretender adoptar todas estas nuevas tecnologías de flexibilidad y escalabilidad de los centros de datos sin sopesar los requisitos de protección de datos y seguridad que conllevan. El control de los reguladores De acuerdo con la Privacy Rights Clearinghouse, desde el año 2005 más de 340 millones de registros con información personal confidencial han sufrido infracciones de seguridad en Estados Unidos. Todas estas infracciones han dado como resultado importantes costes derivados de las multas de cumplimiento, la supervisión del crédito 4 CA ControlMinder de las víctimas, las nuevas emisiones de tarjetas bancarias y de crédito y la reparación del deterioro de la reputación de la marca.1 Estas constantes infracciones han provocado que las organizaciones gubernamentales de todo el mundo exijan mejores prácticas de protección de datos y seguridad de la información. Las normativas, como ley de responsabilidad y portabilidad del seguro médico (HIPPA), la ley Gram-Leah Billey (GLBA) y la ley SarbanesOxley de EE. UU., la Directiva de la UE sobre privacidad de datos, ISO27001, la ley de documentos electrónicos y protección de la información personal (PIPEDA) de Canadá y Basilea II se centran en abordar estas cuestiones. El estándar Payment Card Industry Data Security Standard (PCI DSS) supuso el avance de muchos de estos marcos regulatorios. El PCI DSS, que especifica 12 requisitos que deben cumplirse para proteger los datos de los titulares de las tarjetas, ha llevado a las organizaciones de TI a otro nivel más de responsabilidad. Por otra parte, la ley Sarbanes-Oxley incluye requisitos claros sobre la separación de funciones, con lo que se asegura que la responsabilidad de los procesos empresariales complejos queda distribuida entre varios recursos. De esta forma, se puede ofrecer controles y equilibrios en estas funciones. Está claro que es necesario implementar un perfeccionado sistema de protección de recursos para poder cumplir con estos requisitos. Además, hay que proporcionar informes y registros de auditoría granulares para justificar los controles y el estado de las políticas de seguridad y proteger los registros de acceso al servidor de cada auditoría. Todas estas normas indican que hay que llevar a cabo unos controles exhaustivos y conseguir la uniformidad de varias plataformas para garantizar la separación de funciones, sobre todo en aquellos entornos con sistemas operativos mixtos. Asimismo, también se hace necesario contar con la capacidad de investigación en caso de que se ponga en peligro algún recurso. Todo ello implica la recopilación y consolidación de los datos de auditoría en un repositorio de registros central. Por último, como los requisitos normativos son cada vez más estrictos, los informes de cumplimiento constituyen un aspecto muy importante de cualquier solución de seguridad de servidores. Los informes deben ser precisos, abordar el requisito específico en cuestión y presentar el resultado de una forma fácil de entender. Los datos confidenciales están en los servidores El tipo de adversario al que nos enfrentamos está evolucionando; ya no se puede asumir que los atacantes están ahí afuera, que son piratas sin nombre ni rostro. Hoy en día, es muy probable que el atacante sea un empleado descontento, un saboteador o un partner empresarial con una ética y lealtad algo cuestionables. Por tanto, es necesario proteger los recursos de los servidores tanto de los atacantes externos (que todavía están ahí) como del personal interno; sobre todo de los usuarios con privilegios que pueden llegar a todos los datos confidenciales de cada servidor, dispositivo o aplicación al que tienen acceso. La protección de los servidores y la aplicación de responsabilidades entre estos usuarios con privilegios entrañan una gran complejidad. Una técnica común que usan los administradores de servidores es compartir cuentas de usuarios con privilegios y utilizar inicios de sesión genéricos como "administrador" o "raíz". Esta práctica conlleva varios problemas, por las razones siguientes: Problemas de auditoría. Compartir las cuentas de usuario impide que los registros de auditoría puedan identificar realmente los cambios realizados en los servidores y el administrador que los llevó a cabo. De esta manera, no se puede saber quién es el responsable, algo fundamental para cumplir con los requisitos de las normativas. Acceso a los datos. Con estas cuentas compartidas se suele otorgar a los usuarios con privilegios acceso a sistemas y datos esenciales, sobre todo porque es demasiado difícil gestionar una política en miles de servidores con reglas de acceso granular. 1 Fuente: Privacy Rights Clearinghouse, enero de 2010. 5 CA ControlMinder La combinación del acceso de los usuarios con privilegios y los descuidos del administrador pueden, por lo general, afectar a la continuidad del negocio. Mientras tanto, la falta de establecimiento de responsabilidades hace que sea casi imposible hacer un seguimiento para detectar el administrador que cometió los errores causantes de los problemas de seguridad y responsabilidad. La complejidad de la gestión de contraseñas de usuarios con privilegios Además de mantener la responsabilidad del acceso de los usuarios con privilegios, hay que guardar, cambiar y distribuir estas contraseñas compartidas de una forma oportuna y segura para cumplir con las políticas de seguridad corporativas. Muchas aplicaciones utilizan también contraseñas no modificables en scripts de shell y archivos por lotes, lo que empeora el problema. Estas contraseñas son estáticas y están disponibles para cualquier persona que tenga acceso al archivo de script, incluso para los intrusos maliciosos. Mayor carga administrativa en la gestión de identidades de UNIX Según un informe de Verizon del año 2010, el 48 % de las infracciones de datos las llevó a cabo personal interno, lo que supuso un aumento del 26 % con respecto al año anterior. Actualmente, el acceso de UNIX se gestiona en contenedores con múltiples almacenes de cuentas distribuidas, donde los usuarios tienen varias cuentas en diferentes sistemas. Este hecho aumenta los gastos generales y los costes de administración, así como la complejidad general del entorno, ya que un gran número de aplicaciones fundamentales se basan en el sistema UNIX para determinar el tiempo de funcionamiento y la disponibilidad. Desafíos de la virtualización En este mundo tan diverso todo se basa en la aplicación de políticas uniformes y en la posibilidad de realizar registros consolidados en los servidores. El importante aumento en el número de servidores y dispositivos que se gestionan ha agravado todos estos inconvenientes. La expansión de la máquina virtual se traduce en la gestión de un número mayor de servidores y, como los hipervisores no tienen en cuenta qué sistema operativo actúa como invitado, el problema de la heterogeneidad se ha visto acrecentado. Sin embargo, se pasa por alto el mantenimiento de la seguridad de este centro de datos expandido y virtualizado. La virtualización también crea una nueva clase de usuarios del hipervisor con privilegios que pueden crear, copiar, mover o gestionar estos sistemas operativos invitados. Este hecho acentúa aún más la necesidad de una adecuada separación de funciones, que evite que los datos y las aplicaciones que se ejecutan en estos invitados se pongan en peligro, y de capacidades de auditoría. Sección 2: oportunidad Gestión y control de acceso de usuarios con privilegios en toda la empresa Desde un punto de vista de gestión, ya es suficiente con el anterior modelo basado en un administrador del sistema que era responsable de un determinado número de servidores que ejecutaban una aplicación específica. Los administradores están cada vez más especializados para poder hacer frente a la complejidad inherente de las aplicaciones más distribuidas y complicadas. La separación del hardware de los servidores, los sistemas operativos y las aplicaciones que utilizan tecnologías de virtualización dificultan esta especialización. Hoy en día, un servidor de correo electrónico y una base de datos se puedes ejecutar en el mismo servidor físico, con lo que se aumenta en gran medida la complejidad del entorno. 6 CA ControlMinder Por ello, estos administradores deben iniciar sesión de forma segura con contraseñas con privilegios y contar con diferentes niveles de acceso a las aplicaciones, los sistemas operativos y los hipervisores, así como a dispositivos como routers. Ofrecer a todos estos administradores funciones ilimitadas supone grandes riesgos de seguridad. Las cuentas con privilegios (administrador en Windows o raíz en UNIX) pueden ejecutar cualquier programa, modificar cualquier archivo o detener cualquier proceso. La incapacidad de limitar estos usuarios con privilegios, de forma que sólo puedan realizar las tareas correspondientes a sus responsabilidades laborales, y de vincular determinadas acciones administrativas a una persona en concreto puede provocar lagunas de seguridad y de responsabilidad e infracciones de los requisitos esenciales de las normativas de seguridad actuales. Los usuarios privilegiados pueden cometer errores, ya sea por accidente o de forma intencionada. Gracias a una gestión eficaz de los usuarios con privilegios se consigue lo siguiente: • Protección, gestión y distribución de las credenciales de los usuarios con privilegios de forma automatizada. • Inclusión de estos usuarios mediante la delegación de los privilegios necesarios al personal apropiado, sólo cuando sea necesario. • Mantenimiento de la responsabilidad de estos usuarios y capacidad de informar sobre sus acciones. Los administradores pueden desempeñar su trabajo sin exponer los datos confidenciales ni los recursos esenciales de la empresa. Además, este enfoque proporciona una pista de auditoría y asigna responsabilidades a los administradores y a sus acciones. Por otra parte, como respuesta a la creciente presión por reducir costes, las organizaciones de TI están superando las barreras internas de unificación de entornos UNIX y Windows en el ámbito de la autenticación de usuarios. CA ControlMinder CA ControlMinder satisface las políticas internas y las normativas de cumplimiento externas, ya que controla y gestiona de forma centralizada el acceso de los usuarios con privilegios a un conjunto diverso de servidores, dispositivos y aplicaciones. Permite la creación, implementación y gestión de complejas y minuciosas políticas de control de acceso en varias plataformas desde una única consola de gestión. Por ello, CA ControlMinder, supera los controles básicos disponibles en los sistemas operativos nativos y satisface las necesidades de las normativas y políticas corporativas más estrictas. La solución completa se denomina CA ControlMinder y consiste en los siguientes componentes: • CA ControlMinder Shared Account Management ofrece almacenamiento y acceso seguros a las contraseñas de los usuarios con privilegios. • La protección del punto final y el refuerzo de los servidores incluyen los elementos centrales de CA ControlMinder, que se utilizan para intensificar el sistema operativo y aplicar un control de acceso granular basado en roles. • El puente de autenticación de UNIX (UNAB) permite a los usuarios de UNIX y Linux autenticarse mediante las credenciales de Active Directory. • La integración con CA User Activity Reporting permite recopilar y consolidar de forma centralizada todos los registros de auditoría de CA ControlMinder en un repositorio central, que se puede utilizar para la presentación de informes avanzados, la correlación de eventos y la creación de alertas. 7 CA ControlMinder CA ControlMinder Shared Account Management Ilustración A. > Protección de contraseñas compartidas > Establecimientos de responsabilidad de acceso con cuentas compartidas CA ControlMinder Shared Account Management. Gestión de políticas de contraseñas de cuentas compartidas > Eliminación de contraseñas de texto claro de scripts CA ControlMinder Restablecimiento de contraseña Validación de contraseña Extracción de contraseña Registro de contraseña Administrador de TI Generación de informes sobre Inicio de sesión Correlación de la actividad privilegiada con el usuario Base de datos Servidor Interruptor Web del enrutador Almacenamiento Interruptor de la apl. Aplicación Escritorio Virtualización Windows Linux Unix  La gestión de la contraseña de usuario con privilegios proporciona un acceso seguro a las cuentas con privilegios y ayuda a establecer la responsabilidad del acceso con privilegios a través de la generación de contraseñas de forma temporal y basada en la hora o, cuando sea necesario, al tiempo que asigna a los usuarios la responsabilidad de sus acciones a través de una auditoría segura. Esta función también se conoce como obtención administrativa. CA ControlMinder también está diseñado para permitir que las aplicaciones accedan de forma programática a las contraseñas del sistema y, de esta forma, se eliminan las contraseñas no modificables de scripts, archivos por lotes o encapsuladores ODBC y JDBC. Esta función se conoce como obtención de la aplicación. La compatibilidad con Shared Account Management está diseñada para su uso en numerosos servidores, aplicaciones (incluidas las bases de datos) y dispositivos de entornos físicos o virtuales. Características de CA ControlMinder Shared Account Management • Almacenamiento seguro de contraseñas compartidas. Shared Account Management almacena las contraseñas de las aplicaciones y los sistemas más importantes en un almacén de datos seguro y protegido. Los usuarios que necesitan acceder a estas contraseñas confidenciales pueden obtener y registrar estas contraseñas mediante una interfaz de usuario Web intuitiva y fácil de usar. Shared Account Management hace cumplir las políticas de acceso privilegiado que determinan los usuarios que pueden utilizar las cuentas compartidas. • Política de contraseñas de cuentas compartidas. Cada una de las contraseñas gestionadas a través de Shared Account Management puede tener asociada una política de contraseñas que define su exclusividad. De este modo, se asegura que las contraseñas generadas por Shared Account Management se aceptan en el sistema, la aplicación o la base de datos del punto final. Las políticas de contraseña también determinan un intervalo en el cual Password Vault crea automáticamente una nueva contraseña para la cuenta. • Detección automática de la cuenta. Shared Account Management detecta automáticamente todas las cuentas en un punto final gestionado, que se conecta al servidor Shared Account Management Enterprise Management. A continuación, el administrador de Shared Account Management puede decidir qué cuentas se utilizarán. A estas cuentas se les asigna un "rol de acceso privilegiado", que se puede conceder a usuarios finales como parte de la política de Shared Account Management. 8 CA ControlMinder • Arquitectura sin agentes. CA ControlMinder Shared Account Management ofrece una arquitectura basada en servidor que proporciona una implementación que conlleva un esfuerzo y unos riesgos mínimos. No se necesitan agentes en los puntos finales gestionados de CA ControlMinder Shared Account Management. Todas las conexiones se controlan desde el servidor Shared Account Management Enterprise Management mediante el uso de funciones nativas. Por ejemplo, las bases de datos utilizan JDBC, UNIX y Linux usa SSH. Por otro lado, Windows utiliza WMI. • Integración con sistemas de generación de tickets y asistencia técnica. La integración con CA Service Desk Manager permite añadir un ticket de asistencia técnica tanto en la solicitud como en tareas de emergencia, validar el ticket de asistencia técnica y utilizar un aprobador que pueda ver el ticket para obtener más información. • Generación de informes y auditoría de acceso privilegiado. Todo el acceso privilegiado se audita y registra en CA ControlMinder Shared Account Management. CA User Activity Reporting ofrece mejores funciones de correlación y creación de registros, incluida la habilidad de correlacionar los registros nativos generados en sistemas, aplicaciones o bases de datos con los registros de Shared Account Management. Además, si CA ControlMinder se instala en los puntos finales del servidor (UNIX, Linux y Windows), se puede hacer un seguimiento de la actividad de todos los usuarios con privilegios y realizar una auditoría de la misma. Estos registros se pueden centralizar también en CA User Activity Reporting y correlacionarse con los eventos de obtención generados por Shared Account Management. • Restauración y reversión de contraseñas. En caso de que se produzca un fallo en el punto final de CA ControlMinder Shared Account Management, éste se restaurará a partir de una copia de seguridad que puede no estar actualizada. En este caso, las contraseñas guardadas en Shared Account Management no coincidirán con las contraseñas restauradas en el punto final. El servidor Shared Account Management Enterprise Management muestra una lista de las contraseñas utilizadas anteriormente y tiene la opción de volver a restaurar el punto final a la configuración de Shared Account Management. Obtención administrativa de Shared Account Management • Responsabilidad de acceso con cuentas compartidas. CA ControlMinder Shared Account Management cuenta con una función de "obtención exclusiva" que sólo permite que un individuo específico obtenga una cuenta en un momento dado. Asimismo, Shared Account Management puede realizar un seguimiento de las acciones del usuario original mediante la correlación de los eventos de acceso a los sistemas con el evento de obtención generado por CA ControlMinder Shared Account Management. • Inicio de sesión automático de Shared Account Management. Esta característica está diseñada para agilizar y proteger el proceso, pues permite que un usuario solicite una contraseña y la utilice con un único clic con el que podrá iniciar sesión automáticamente en el sistema de destino como usuario privilegiado. Y todo ello, sin ver la contraseña real. Así se evita el robo de contraseñas "por encima del hombro" y se acelera el proceso para el solicitante de la contraseña. • Integración avanzada de Shared Account Management con CA ControlMinder. La integración avanzada de Shared Account Management y CA ControlMinder permite integrar los puntos finales de CA ControlMinder con Shared Account Management para realizar un seguimiento de las actividades de los usuarios que utilizan cuentas privilegiadas. Esta característica sólo se admite si se utiliza junto con la función de inicio de sesión automático de Shared Account Management, descrita anteriormente, y permite especificar que un usuario debe obtener una cuenta con privilegios a través del servidor Enterprise Management antes de que se conecte a un punto final de CA ControlMinder. 9 CA ControlMinder • Grabación y reproducción de la sesión con privilegios. Gracias a la integración con software de terceros de CA ControlMinder Shared Account Management, ahora está disponible la grabación y reproducción de una sesión con privilegios. Esta característica facilita las auditorías mediante una funcionalidad de tipo DVR que graba y reproduce las sesiones de los usuarios con privilegios. • Funciones completas del flujo de trabajo. CA ControlMinder Shared Account Management ofrece completas funciones de control doble del flujo de trabajo para ofrecer un acceso normal y de emergencia a las cuentas con privilegios. El flujo de trabajo se puede habilitar opcionalmente para determinados usuarios finales o determinadas cuentas privilegiadas. • Acceso de emergencia. Los usuarios realizan una "obtención de emergencia" cuando necesitan acceder de inmediato a una cuenta para la que no tienen autorización. Las cuentas de emergencia son las cuentas privilegiadas que no están asignadas al usuario en función de su rol normal. No obstante, cuando se necesario, el usuario puede obtener la contraseña de la cuenta sin realizar ninguna acción y sin ningún retraso. En un proceso de obtención de emergencia, se envía un mensaje de notificación al administrador. Sin embargo, el administrador no puede aprobar ni detener el proceso. Obtención de la aplicación de Shared Account Management • Shared Account Management, aplicación a aplicación. CA ControlMinder Shared Account Management automatiza la gestión de contraseñas de cuentas de servicio que se llevaría a cabo de forma manual (servicios de Windows), gestiona las contraseñas utilizadas en las tareas planificadas de Windows que requieren el inicio de sesión en el sistema (tareas programadas de Windows) y se integra con el mecanismo de ejecutar como de Windows para recuperar de Shared Account Management la contraseña del usuario con privilegios correspondiente. • Shared Account Management, aplicación a base de datos. CA ControlMinder Shared Account Management también puede restablecer automáticamente las contraseñas de identificación de las aplicaciones. Shared Account Management puede gestionar las cuentas de servicio utilizadas por el servidor de aplicaciones IIS o J2EE y las aplicaciones alojadas en ellos; para ello, intercepta las conexiones ODBC y JDBC y las sustituye por las credenciales actuales de las cuentas privilegiadas. En la mayoría de los casos, CA ControlMinder Shared Account Management ofrece esta funcionalidad sin necesidad de realizar cambios en las aplicaciones. Para esta funcionalidad hay que instalar el agente de Shared Account Management en el punto final donde se ejecuta la aplicación o en el servidor J2EE, en caso de una aplicación Web. • Obtención programática de scripts de shell archivos por lotes. Se puede utilizar el agente de Shared Account Management dentro de un script para sustituir las contraseñas no modificables por contraseñas que se pueden extraer de CA ControlMinder Shared Account Management Enterprise Management. Así, se evita el tener que incluir las contraseñas no modificables dentro de los scripts. Si desea obtener más información y más detalles técnicos sobre Shared Account Management, consulte el informe técnico de CA ControlMinder Shared Account Management. 10 CA ControlMinder Protección del punto final y refuerzo de los servidores con CA ControlMinder Ilustración B. CA ControlMinder ofrece aplicación de políticas de seguridad basadas en roles. ControlMinder CA  Los elementos centrales de CA ControlMinder son los agentes seguros y reforzados que se integran de forma nativa con el sistema operativo, para aplicar y auditar las políticas granulares necesarias para cumplir con los requisitos de cumplimiento. Los agentes de punto final están disponibles para los principales sistemas operativos, como las versiones más conocidas de Linux, UNIX y Windows. En el sitio Web de soporte de CA se puede encontrar la lista con los sistemas compatibles más actualizada. CA ControlMinder ofrece formatos de paquetes nativos para la instalación y gestión de CA ControlMinder de forma nativa en los sistemas operativos compatibles. Así se facilita la creación de un entorno empresarial global donde se puedan implementar rápidamente un gran número de servidores gestionados. Además, CA ControlMinder dispone de una interfaz basada en Web uniforme e intuitiva para la gestión de las políticas, las aplicaciones y los dispositivos de punto final. CA ControlMinder es compatible de forma nativa con la mayoría de las plataformas de virtualización, como VMware ESX, Solaris 10 Zones y LDOMs, Microsoft Hyper-V, IBM VIO y AIX LPAR, HP-UX VPAR, Linux Xen y Mainframe x/VM. De este modo, se protege tanto la capa del hipervisor como los sistemas operativos invitados que se ejecutan en ella. En los entornos empresariales, ya es una práctica habitual utilizar un directorio para la gestión de usuarios y un directorio habilitado para la implementación de las aplicaciones. CA ControlMinder admite almacenes de usuarios corporativos, es decir, almacenes de usuarios y grupos nativos del sistema operativo. Gracias a esta integración es posible definir reglas de acceso para los usuarios y grupos corporativos sin tener que sincronizar ni importar dichos usuarios y grupos a la base de datos de CA ControlMinder. 11 CA ControlMinder Protección de servidores en varias plataformas Muchas organizaciones implementan una infraestructura de varios servidores, que incluye sistemas de Windows, Linux y UNIX. CA ControlMinder permite gestionar y aplicar de una forma uniforme e integrada las políticas de seguridad de acceso en todos estos entornos. La arquitectura avanzada de políticas proporciona una única interfaz, a través del cual se pueden administrar políticas y distribuirlas a suscriptores de Windows y UNIX al mismo tiempo. La gestión consolidada de los servidores de Linux, UNIX y Windows alivia la carga administrativa necesario y mejora la eficiencia del administrador del sistema, con lo que se consiguen ahorros en los costes de gestión. Control de acceso exhaustivo CA ControlMinder es una solución de aplicación de seguridad independiente; esto quiere decir que no se basa en el sistema operativo subyacente para hacer cumplir las políticas de control de acceso de servidores. Al operar a nivel del sistema, CA ControlMinder supervisa y regula todo el acceso a los recursos del sistema, incluso a aquellos procedentes de administradores de dominios o del sistema local. Esta capacidad de control exhaustivo del acceso sirve para regular, delegar y restringir los administradores de dominios o cualquier otra cuenta del entorno de TI y para proporcionar los siguientes aspectos: • Control de suplantación. CA ControlMinder controla las capacidades de delegación de los usuarios subrogados, para reducir la exposición de los usuarios no autorizados que ejecutan aplicaciones con mayores privilegios, y logra establecer responsabilidades sobre las actividades con cuentas compartidas. Por ejemplo, un administrador podría asumir el perfil de identidad de otra persona para cambiar los atributos de una la lista de control de acceso (ACL) de un archivo sin ningún tipo de responsabilidad sobre sus acciones. CA ControlMinder ofrece protección en varios niveles. Para ello, en primer lugar, limita aquellos usuarios que utilizan la función de ejecutar como y el comando "su" de UNIX y, a continuación, conserva el ID de usuario original incluso después de que las acciones subrogadas se hayan llevado a cabo. De este modo, garantiza que los registros de acceso de los usuarios de los registros de auditoría muestren la cuenta original. Así se permite a los usuarios iniciar sesión con su propio ID y cambiar de forma segura su perfil a una cuenta con privilegios, sin que se dejen de asumir responsabilidades. • Limitación del superusuario (administrador/raíz). La cuenta raíz es una fuente importante de vulnerabilidad, ya que permite a las aplicaciones o a los usuarios asumir un nivel de privilegios más poderoso del que pueden necesitar. CA ControlMinder inspecciona todas las solicitudes de entrada pertinentes en el nivel del sistema y lleva a cabo la autorización en función de reglas y políticas definidas. Ni siquiera la privilegiada cuenta raíz puede pasar por alto este nivel de control. Por tanto, todos los usuarios privilegiados se convierten en usuarios gestionados y son responsables de sus actividades en el sistema. • Control de acceso basado en roles. Las prácticas recomendadas establecen que cada administrador cuenta con privilegios suficientes para desempeñar únicamente sus tareas, y ninguna más. Gracias a un entorno de control de accesos basado en roles, los administradores no pueden compartir una contraseña de administrador y ni aprovechar las ventajas de los privilegios asociados a ésta. De forma predeterminada, CA ControlMinder ofrece los conocidos roles administrativos y de auditoría, que se pueden personalizar y ampliar para satisfacer las necesidades de la organización de TI. • Aplicación minuciosa. Los sistemas operativos nativos (Linux, UNIX y Windows) ofrecen funciones limitadas para delegar de forma granular y eficaz determinados derechos de administración los sistemas a cuentas de usuarios con menos poder. CA ControlMinder proporciona una aplicación minuciosa y regula el acceso en función de varios criterios, como los atributos de red, la hora del día, el calendario o los programas de acceso. Entre las funciones se incluyen las siguientes: 12 CA ControlMinder –– Más controles granulares. Los controles ofrecen privilegios específicos para archivos, servicios y otras funciones del nivel del SO (cambiar el nombre, copiar, detener, iniciar), que se pueden asignar a un administrador o a un grupo de administración determinado. –– Distintos niveles de aplicación. Las organizaciones suelen utilizar el modo de advertencia de CA ControlMinder para determinar si las políticas de seguridad propuestas son demasiado estrictas o indulgentes y poder modificarlas como corresponda. Asimismo, CA ControlMinder ofrece la habilidad de validar al instante los efectos de una política de seguridad sin aplicar las restricciones a través del ajuste del modo de validación. –– Listas de control de acceso mejoradas. CA ControlMinder ofrece varias funciones mejoradas de listas de control de acceso para aumentar la capacidad de los administradores de seguridad de asignar apropiadamente derechos de acceso a usuarios autorizados, incluidas las listas de control de acceso de programa (PACL) que sólo permiten el acceso de los recursos desde un programa o binario en concreto. –– Control de acceso basado en red. Los abiertos entornos actuales exigen un sólido control del acceso de los usuarios y de la información que fluye por la red. El control de acceso basado en red agrega otra capa de protección para regular el acceso a la red. CA ControlMinder puede gestionar el acceso a los puertos de red o programas de acceso a redes y las políticas de seguridad de redes pueden gestionar el acceso bidireccional mediante el ID del terminal, el nombre del host, la dirección de red, los segmentos u otros atributos. –– Control de inicio de sesión. CA ControlMinder puede mejorar la seguridad al limitar el inicio de sesión de los usuarios gracias a la dirección IP de origen, el ID del terminal, el tipo de programa de inicio de sesión o la hora del día. Por otro lado, CA ControlMinder también puede restringir las sesiones de inicio de sesión simultáneo de un usuario para aplicar un acceso más estricto de los usuarios al servidor. Es posible suspender automáticamente a los usuarios después de varios intentos de inicio de sesión fallidos, con lo que se protegen los sistemas frente a los atacantes de "fuerza bruta". Además, CA ControlMinder ofrece suspensión y revocación seguras de cuentas de usuarios en entornos distribuidos. Gestión y control de acceso a entornos virtuales La virtualización consolida varias instancias de servidores en una única máquina física, con lo que se consigue un coste total de propiedad más bajo y una mejor utilización de la máquina. Desafortunadamente, la virtualización también crea una nueva clase de usuarios del hipervisor con privilegios, que pueden crear, copiar, mover o gestionar estos sistemas operativos invitados. Este hecho acentúa aún más la necesidad de una adecuada separación de funciones y de una protección consolidada de los servidores que permita auditar y proteger los datos y las aplicaciones que se ejecutan en estos invitados. Con CA ControlMinder, es posible controlar estos administradores del hipervisor e implementar una separación de funciones adecuada. Esta función ofrece una capa esencial de protección para mitigar los riesgos derivados de la virtualización. Los agentes de punto final son compatibles con una amplia lista de versiones de SO que se ejecutan como invitados, así como con host de virtualización de los principales SO como VMware ESX, Solaris 10 Zones and LDOMs, Microsoft Hyper-V, IBM VIO y AIX LPAR, HP-UX VPAR, Linux Xen y Mainframe x/VM. Refuerzo del sistema operativo La protección del SO contra el acceso externo no autorizado constituye una capa esencial de una profunda estrategia de defensa. CA ControlMinder ofrece varias medidas externas de seguridad para agregar una capa más de seguridad a los servidores. 13 CA ControlMinder • Controles de archivos y directorios. Los archivos y directorios constituyen la espina dorsal de los sistemas operativos y cualquier exposición puede conllevar la denegación de servicio y tiempos de inactividad inesperados. CA ControlMinder ofrece potentes opciones de acceso de programas y de carácter comodín que simplifican la gestión de políticas al nivel del archivo. CA ControlMinder puede aplicar el control de cambios en sistemas de directorios y archivos fundamentales, con lo que se aumenta la integridad y confidencialidad de los datos. La protección a nivel de archivos está disponible para todos los tipos de archivos, como archivos de texto, directorios, archivos de programa, archivos de dispositivos, vínculos simbólicos, archivos montados en NFS y archivos compartidos de Windows. • Ejecución de programas de confianza. Para evitar que el software maligno, sobre todo los troyanos, contaminen el entorno operativo, CA ControlMinder ofrece protección de primera línea para los programas de confianza. Los recursos confidenciales se pueden marcar como de confianza; de este modo, estos archivos y programas se supervisarán y CA ControlMinder bloqueará la ejecución en caso de que un software maligno modifique el programa. Los cambios de los recursos de confianza se pueden limitar a usuarios o grupos de usuarios específicos para reducir aún más la posibilidad de un cambio imprevisto. • Protección del registro de Windows. El registro de Windows es un destino claro de los piratas y los usuarios malintencionados, porque la base de datos centralizada contiene parámetros del sistema operativo, incluidos aquellos que controlan los controladores de dispositivos, los detalles de configuración y los ajustes de seguridad, del entorno y del hardware. CA ControlMinder ofrece protección de registros, ya que admite reglas que pueden impedir que los administradores cambien o manipulen los ajustes de los registros. CA ControlMinder puede proteger las claves de registro e impedir que se eliminen y que los valores correspondientes se modifiquen. • Protección de servicios de Windows. CA ControlMinder proporciona protección mejorada para limitar los administradores autorizados que pueden iniciar, modificar o detener servicios de Windows esenciales. De este modo, protege contra la denegación de servicios de aplicaciones de producción, como bases de datos, Web, archivos o impresión, que se controlan como servicios en Windows. Resulta esencial proteger estos servicios del acceso no autorizado. • Captura por parte de la aplicación. CA ControlMinder permite definir las acciones que se puedan aceptar para las aplicaciones de alto riesgo. Cualquier comportamiento que supere estas limitaciones quedará bloqueado por una función de captura de la aplicación. Por ejemplo, se puede crear una lista de control de acceso basada en un ID que gestione procesos y servicios de Oracle, de forma que la función de captura impida que realice acciones diferentes al inicio de servicios de Oracle DBMS. Registrador de teclas (KBL) de UNIX/Linux CA ControlMinder puede restringir las acciones normales y confidenciales de usuarios e incluso puede realizar el seguimiento de las sesiones de los usuarios que se seleccionen, pero ¿qué sucede si se desea grabar todo lo que se hace en una sesión de usuario confidencial? La función de registrador de teclas de CA ControlMinder le ofrece esa opción. El KBL se encuentra entre la shell y el terminal o el teclado y registra todo lo que se escribe con el teclado (entrada) y lo que aparece en el terminal (salida). El KBL se habilita fácilmente; sólo hay que cambiar el modo de auditoría del administrador/usuario del que se desea registrar la actividad del teclado. 14 CA ControlMinder Ilustración C. Selección de modo interactiva del registrador de teclas de UNIX/Linux en CA ControlMinder Endpoint Management.  Funciones del KBL • Reproducción de la sesión (modo local sólo en el punto final de CA ControlMinder) • Impresión del resultado de la sesión o de los datos introducidos durante ésta • Impresión de los comandos de la sesión • Correlación con el seguimiento del usuario de CA ControlMinder • Almacén central con informes de CA User Activity Reporting Ilustración D Resultado de la sesión del registrador de teclas de CA ControlMinder.  Los informes de KBL ya están disponibles en CA User Activity Reporting con vistas detalladas que muestran todos los comandos introducidos en el símbolo del sistema y el resultado obtenido. 15 CA ControlMinder Ilustración E Informe de muestra del registrador de teclas disponible a través de CA User Activity Reporting.  Identidades de UNIX gestionadas desde Active Directory: UNAB La función de agente de autenticación de Unix (UNAB) de CA ControlMinder permite gestionar los usuarios de UNIX desde Microsoft AD. De este modo, se posibilita la consolidación de información sobre autenticación y la cuenta en AD, en lugar de gestionar las credenciales de UNIX de forma local en cada servidor. Funciones de UNAB Autenticación de UNIX gestionada de forma central. UNAB simplifica la gestión de los usuarios locales de UNIX, mediante la validación de las credenciales de autenticación en AD. No es necesario definir los usuarios y los grupos en NIS ni de forma local en el archivo /etc/passwd. Los atributos de usuarios, como el directorio principal, la shell, el ID de usuario, GECOS y las políticas de contraseñas, se recuperan de AD. Módulo PAM ligero. UNAB ofrece un módulo PAM compacto y ligero en UNIX, que se agrega a la pila PAM del punto final. Empaquetado nativo. UNAB ofrece empaquetado nativo para facilitar la instalación y la implementación. Integración con el registro de eventos nativo de Windows. Todos los registros de UNAB se envían a los registros de eventos nativos de Windows. De este modo se consolida y simplifica la auditoría y también se permite la integración con herramientas de SIM (Security Information Management, gestión de información de seguridad). Modos de funcionamiento flexibles. UNAB se puede configurar para que funcione en un modo de integración completa o parcial, con lo que se facilita el proceso de migración. • Modo de integración parcial. En este modo, la contraseña del usuario se almacena en AD. En el momento de autenticación, sólo se lleva a cabo la validación de contraseñas en AD. Los atributos de usuarios, como el ID del usuario, el directorio principal y el grupo principal se recuperan del host de UNIX local o de NIS, y no de AD. Cuando se añade un nuevo usuario a la organización, un administrador puede crear el usuario tanto en AD como en el archivo local /etc/passwd o en NIS. No es necesario realizar cambios en el esquema de AD para que UNAB funcione en el modo de integración parcial. 16 CA ControlMinder • Modo de integración completa. En este modo, la información del usuario sólo se almacena en AD. No hay ninguna entrada del usuario en el archivo local/etc/passwd ni en NIS. Los atributos de usuarios, como el ID del usuario, el directorio principal y el grupo principal se almacenan en AD y no en el host de UNIX local ni en NIS. Cuando se añade un nuevo usuario a la organización, un administrador crea el usuario sólo en AD y proporciona los atributos de UNIX necesarios. Para el modo de integración completa, se requiere Windows 2003 R2, que es compatible con los atributos de UNIX. Asignación de atributos LDAP dinámicos. En caso de que la organización no admita Windows 2003 R2, necesario para el modo de integración completa, UNAB ofrece una función que permite asignar de forma dinámica atributos de UNIX a atributos de AD no estándar. De este modo, se evita la complejidad de tener que ampliar o cambiar el esquema de AD. Funciones mejoradas de almacenamiento en caché y soporte sin conexión. UNAB almacena en la memoria caché todos los inicios de sesión satisfactorios en su base de datos local SQLite. La información almacenada en la memoria caché incluye el nombre del usuario, los atributos de usuarios, la pertenencia a un grupo y el valor hash de la contraseña. En caso de que UNAB no se pueda conectar a AD, intentará validar las credenciales del usuario en la memoria caché local. Esta función se conoce como "inicio de sesión sin conexión". Los registros de los usuarios se conservarán en la memoria caché local durante un número de días que se puede configurar. Los usuarios locales, como "raíz" y otras cuentas del sistema y de las aplicaciones pueden iniciar sesión, independientemente de la conectividad de AD. Inicio de sesión único de UNAB. Es posible realizar el inicio de sesión único entre todos los host de UNAB con Kerberos en el entorno. Si se inicia sesión en un host de UNAB con Kerberos, se puede iniciar sesión automáticamente en cualquier otro host de UNAB con las credenciales de Kerberos, que ofrecen un tipo de solución de inicio de sesión único dentro del entorno. Políticas de inicio de sesión centralizadas. Cuando UNAB está activado en un punto final de UNIX, las políticas de inicio de sesión centrales controlan qué usuarios pueden iniciar sesión en qué host de UNIX o grupos de host de UNIX. Estas políticas de inicio de sesión se gestionan y distribuyen con la interfaz de usuario de CA ControlMinder Enterprise Management y se almacenan de forma local en cada punto final de la base de datos SQLite. Se pueden aplicar políticas de inicio de sesión a un único host de UNIX o a un grupo de equipos de servidores. Las reglas de especificación se pueden basar en los usuarios y grupos de AD, con lo que se reduce la sobrecarga administrativa. Ilustración F. Agente de autenticación de UNIX.  17 CA ControlMinder Generación de informes y auditoría de usuarios con acceso privilegiado con CA User Activity Reporting Cumplimiento quiere decir que se cuentan con las políticas adecuadas y que dichas políticas están implementadas; pero sobre todo, significa que se pueden ofrecer pruebas de la conformidad con las políticas corporativas y las normativas reguladores, al mismo tiempo que se asumen las responsabilidades de cualquier desviación de dichas políticas. Para demostrar el cumplimiento, las soluciones de protección de recursos del servidor deben poder generar informes que justifiquen las políticas de contraseñas, los niveles de derechos y la separación de funciones. CA ControlMinder incluye una licencia de CA User Activity Reporting que permite ver el estado de seguridad de los usuarios, los grupos y los recursos. Para ello, se recopilan los datos de cada punto final de la empresa, se agregan a una ubicación central, los resultados se analizan con la política corporativa y, por último, se genera un informe. Esta licencia de CA User Activity Reporting se limita a la recopilación y generación de informes de los eventos de CA ControlMinder; si se desea contar con funciones de generación de informes más amplia, habrá que adquirir la licencia de User Activity Reporting Module. El servicio de generación de informes funciona independientemente para recopilar las políticas en cada punto final de forma planificada. El sistema incorpora flexibilidad, ya que se informa del estado del punto final sin necesidad de realizar ninguna acción manual e independientemente de que el servidor de recopilación esté o no activo. Por otro lado, los componentes del servicio de generación de informes son elementos externos del sistema de aplicación de CA ControlMinder y no necesitan interrumpir las funciones de aplicación del punto final durante la reconfiguración ni personalización de los informes. El servicio de generación de informes está estructurado para permitir la generación de informes del estado de las políticas que se aplican en cada punto final. Se pueden crear informes personalizados para varios fines o utilizar los más de 60 informes existentes que CA ControlMinder ofrece listos para usar. Informes de derechos y cumplimiento de políticas Ya no basta con producir informes basados en eventos sobre las acciones ocurridas en el pasado para demostrar el cumplimiento. En la actualidad, para conseguir el cumplimiento se necesitan también informes proactivos que muestren el estado de la política en cualquier momento del tiempo. Para ayudar a ello, CA ControlMinder ofrece funciones de generación de informes proactiva sobre los privilegios de acceso de los usuarios y pruebas de los controles de acceso existentes. Como parte de la instalación predeterminada del producto, el servicio de generación de informes de CA ControlMinder incluye más de 60 informes estándar listos para usar que detallan información sobre los derechos y el estado actual de las políticas, así como la desviación de éstas. Ofrecen un valor inmediato, ya que complementan las auditorías existentes basadas en eventos para supervisar los requisitos de cumplimiento y señalar las discrepancias existentes. Los informes estándar incluyen los siguientes aspectos: Los informes de gestión de políticas permiten ver el estado de la implementación de las políticas y las desviaciones de las políticas estándar. Los informes de derechos permiten ver los derechos que los usuarios y los grupos tienen sobre los recursos del sistema o mostrar quién puede acceder a unos recursos específicos. Un uso habitual sería ver quién tiene acceso raíz a los sistemas. Los informes de gestión de usuarios ofrecen la capacidad de ver cuentas inactivas, usuarios, pertenencias a grupos y cuentas administrativas, así como gestionar la separación de funciones. 18 CA ControlMinder Los informes de gestión de contraseñas ofrecen información sobre la antigüedad de las contraseñas, el cumplimiento de las políticas de contraseñas, etc. Los informes de acceso de usuarios privilegiados detallan información sobre toda la actividad de los usuarios con privilegios, incluidos el registro, la obtención, las aprobaciones de flujos de trabajo y otras acciones. Ilustración G. Los informes de CA ControlMinder Shared Account Management muestran las cuentas privilegiadas por tipo de punto final.  Los informes de autenticación de UNIX ofrecen todos los datos de derechos e informes relacionados con el componente UNAB de CA ControlMinder. Ilustración H. Informe de UNAB detallado que muestra los usuarios de AD globales con atributos UNIX.  El asistente de detección de usuarios con privilegios (asistente completado por el usuario) buscará los usuarios privilegiados en toda la organización y generará automáticamente un informe. 19 CA ControlMinder La generación de informes sobre políticas abiertas de CA ControlMinder se basa en un estándar de sistema de gestión de bases de datos relacionales (RDBMS). La interoperabilidad con los sistemas externos permite a los administradores ejecutar informes de políticas mediante la herramienta de informes que elija y personalizar las presentaciones de los informes para satisfacer los estándares internos o las peticiones del auditor. Tarjeta de implementación de políticas Ilustración I. Informe de muestra que indica una instantánea de un punto en el tiempo de los host que cumplen con una política específica.  CA ControlMinder Enterprise Management Dada la complejidad y escalabilidad que necesitan los recursos de los servidores actuales, resulta esencial poder implementar y aplicar una política centralizada que controle el acceso en toda la empresa y, al mismo tiempo, se ajuste a las excepciones locales y necesidades empresariales. CA ControlMinder cuenta con varias funciones sofisticadas que facilitan y agilizan la gestión del acceso y permiten realizar excepciones de una forma visible y responsable. Agrupación en equipos Los puntos finales se pueden agrupar en equipos y, a continuación, es posible asignar políticas basadas en esta pertenencia al grupo de equipos, independientemente de cómo estén organizados físicamente los puntos finales. Los host pueden ser miembros de varios grupos de equipos, en función de sus propiedades y exigencias de políticas. Por ejemplo, si cuenta con host que ejecutan un sistema operativo de Red Hat y Oracle, éstos pueden ser miembros de un grupo de equipos de Red Hat, para que tengan las políticas de control de acceso de línea de referencia de Red Hat, y también, miembros del grupo de equipos de Oracle, para que cuenten con las políticas de control de acceso de Oracle. Los grupos de equipos se pueden utilizar en los componentes Shared Account Management y UNAB de CA ControlMinder. En Shared Account Management, los grupos de equipos, como los servidores de bases de datos, pueden tener una política común que permita el acceso a las cuentas privilegiadas de dichos servidores. En UNAB, se puede aplicar un conjunto de políticas comunes de inicio de sesión a un grupo de equipos que permita a los usuarios iniciar sesión de forma selectiva en función de sus credenciales de Active Directory. 20 CA ControlMinder Grupos de host lógicos Ilustración J. El administrador de seguridad puede definir grupos de equipos, asignarles políticas y tener visibilidad total del cumplimiento de las políticas por parte de los host.  Control de versión de políticas CA ControlMinder le permite realizar un seguimiento de los cambios en las políticas, ya que representa cada política como una única entidad con varias versiones. Cuando se crea una nueva versión de una política, la última versión permanece guardada e incluye información sobre las reglas de implementación y de no implementación de la versión de la política, el creador de la política (para poder utilizarlo en auditorías y establecer responsabilidades) y de cuándo se creó. Además, gracias a un proceso de actualización es posible actualizar la implementación de la política en todos los host asignados a la última versión de la política. Interfaz de usuario Web común de Enterprise Management La interfaz basada en Web de Enterprise Management es sencilla, intuitiva y permite llevar a cabo una gestión más avanzada de las políticas, al mismo tiempo que ofrece una visión integrada de todo el entorno de servidores de CA ControlMinder. Además, la interfaz basada en Web ayuda a gestionar los puntos finales individuales o los modelos de políticas y permite llevar a cabo las siguientes acciones: • Creación de host. • Asignación de host a grupos de host. • Creación y actualización de políticas. • Asignación y eliminación de políticas a host o grupos de host. • Implementación y eliminación directa de políticas de host o grupos de host. • Actualización de políticas asignadas a su última versión. • Implementación de políticas de auditoría en la empresa. • Exploración de la empresa por host, grupo de host o políticas. • Gestión discreta de puntos finales de CA ControlMinder mediante la gestión de punto final. • Detección de cuentas de usuarios privilegiados en puntos finales gestionados de Shared Account Management. • Gestión de contraseñas de usuarios privilegiados en puntos finales gestionados de Shared Account Management. • Creación y gestión de políticas de inicio de sesión que controlan el acceso a puntos finales de UNAB. 21 CA ControlMinder La interfaz de usuario es uniforme en todos los servicios de CA Identity and Access Management, ya que utiliza el marco común de CA Technologies en cuanto a apariencia, especificación administrativa y delegación de tareas. Consola CA ControlMinder Enterprise Management Ilustración K. La vista mundial de Enterprise Management ofrece una vista del entorno desde una perspectiva del punto final, una perspectiva del grupo de host o una perspectiva de las políticas. De este modo, podrá descender por la jerarquía hasta la gestión del punto final si es necesario.  Integración con directorios de LDAP empresariales CA ControlMinder Enterprise Management puede emplear Microsoft Active Directory y LDAP de Sun-One como almacenes de usuarios de back-end. En la documentación sobre el producto CA ControlMinder se puede obtener información detallada sobre los pasos de configuración necesarios de cualquiera de estos directorios. Ilustración L. Configuración de CA Enterprise Management Console para utilizar LDAP (Sun One) como un almacén de usuarios.  22 CA ControlMinder Sólida autenticación de factores múltiples con tokens RSA SecurID La interfaz de usuario basada en Web de CA ControlMinder Enterprise Management puede utilizar tokens RSA SecurID para ofrecer una sólida autenticación. A continuación, se enumeran los componentes necesarios para esta integración: • Access Control 12.5 SP4 Enterprise Management que se ejecute con JBoss • Servidor Web Apache compilado con un módulo proxy • RSA Authentication Manager • RSA Authentication Web Agent • RSA Token Generator Cuando RSA Authentication Manager ha verificado el usuario, éste puede iniciar sesión automáticamente en CA ControlMinder Enterprise Management sin tener que proporcionar un ID de usuario ni una contraseña durante el período de tiempo de espera de la cookie de RSA. En cuanto finaliza el período de tiempo de espera, el usuario deberá volver a autenticarse con RSA para poder acceder a CA ControlMinder Enterprise Management. CA ControlMinder Enterprise Management admite a la vez RSA SecurID y otros métodos de autenticación normales con ID de usuario/contraseña. Si un usuario no se autentica con RSA, puede utilizar un ID de usuario y una contraseña para acceder a CA ControlMinder Enterprise Management. Funciones de auditoría sofisticadas y seguras A menudo, para lograr el cumplimiento es necesario que el usuario lleve a cabo acciones importantes en el sistema que se controlará y del que se deben demostrar pruebas de cumplimiento en una pista de auditoría. Para poder abordar de forma eficaz las auditorías de cumplimiento, estos datos también se recopilan de forma centralizada y se gestionan de forma segura. CA ControlMinder ofrece registros de auditorías independientes que no pueden modificar los usuarios no autorizados, ni siquiera los administradores de dominios ni del sistema. CA ControlMinder genera registros de auditorías seguros y fiables que se pueden asociar a los ID verdaderos de los usuarios para proteger todas las acciones de los recursos (incluso las operaciones subrogadas). Todas las acciones que el usuario intente realizar que estén relacionadas con una política de acceso quedarán registradas, e incluso se registrará si se permitió o no que el usuario completara dichas acciones. En caso de que sea necesario llevar a cabo una investigación, estos datos detallados y precisos de auditorías pueden agilizar el proceso de identificación del origen y las actividades del atacante. Completos modos de auditoría CA ControlMinder ofrece estas tres configuraciones de auditorías: • Success (Correcto), que genera un evento cada vez que se accede de forma satisfactoria a un recurso auditado. • Failure (Error), que realiza un seguimiento de todas las denegaciones de acceso y las registra. • Warning (Advertencia), que genera un registro de auditoría cada vez que se infringe una política de acceso, aunque CA ControlMinder no deniega el acceso. 23 CA ControlMinder Se puede definir el modo de auditoría o la combinación de los modos que se deberán aplicar a cada usuario, grupo o recurso. Por ejemplo, se puede establecer que la auditoría del grupo de los administradores de seguridad y el nivel general de auditoría de los archivos sea Failure (Error), pero que para los archivos de configuración se generen eventos de auditoría tanto de Success (Correcto) como de Failure (Error). Envío de registros Enviar todos los eventos de acceso relevantes a una única ubicación segura es un requisito esencial para gestionar de forma eficaz el cumplimiento. CA ControlMinder ofrece la capacidad de enviar y centralizar todos los registros de control de acceso. De este modo, no sólo se obtiene la ventaja de la consolidación de los registros, sino también de contar con la disponibilidad e integridad de estos registros en caso de infracción de la red o comprometimiento del sistema. Notificación en tiempo real CA ControlMinder dispone de comunicaciones inmediatas sobre eventos de seguridad que se pueden enviar a buscapersonas o consolas externas para la resolución de problemas o a otros sistemas de gestión de información. Autoprotección Los daemon de auditoría y los propios registros necesitan protección contra atacantes, desconexiones o alteraciones. Los servicios y registros de auditoría de CA ControlMinder se protegen automáticamente y no se pueden desconectar ni modificar. De este modo, se consigue que la información esté disponibles y los registros intactos para las investigaciones que sean necesarias. Integración de CA User Activity Reporting CA ControlMinder se integra con CA User Activity Reporting; CA ControlMinder incluye una licencia de CA User Activity Reporting sólo para recopilar los eventos de CA ControlMinder. Así, los eventos de CA ControlMinder se envían a CA User Activity Reporting, donde se siguen gestionando. Con ello, se posibilita la adición de archivos de registros, la correlación con otros eventos del entorno de TI de la empresa y la creación de informes específicos de políticas. Este aspecto facilita los procesos de auditoría y permite realizar investigaciones y verificaciones detalladas de las métricas clave de supervisión y auditoría de cumplimiento. Las funciones de CA User Activity Reporting incluyen también los siguientes elementos: La recopilación de datos en varias plataformas agrega los datos de eventos de una amplia variedad de fuentes, como: sistemas operativos, aplicaciones empresariales, dispositivos de red, dispositivos de seguridad, mainframe, sistemas de control de acceso y servicios Web. Las herramientas en tiempo real para la recopilación, la visualización y la generación de informes ofrecen vistas e informes personalizables relacionados con roles de usuarios específicos. La gestión de alertas filtra y supervisa los eventos más importantes y ejecuta alertas y otras acciones basadas en políticas establecidas. El repositorio de datos de seguridad central almacena los datos de auditorías en un repositorio central, creado en una base de datos relacional escalable y ofrece generación de informes para el análisis de datos históricos. 24 CA ControlMinder ControlMinder for Virtual Environments CA ControlMinder for Virtual Environments es una solución única que gestiona el acceso de los usuarios privilegiados a las máquinas virtuales y los hipervisores; de esta forma, ayuda a las organizaciones a controlar las acciones de este tipo de usuarios, a proteger el acceso al entorno virtual y a cumplir las directrices del sector. Proporciona capacidades clave para gestionar las contraseñas de los usuarios privilegiados, reforzar el hipervisor y auditar la actividad de los usuarios privilegiados. Principales ventajas Gracias a su combinación del control del acceso al host y la gestión de usuarios privilegiados, CA ControlMinder for Virtual Environments puede reducir el riesgo y el coste de estas tareas en los entornos virtuales. CA ControlMinder for Virtual Environments se ha diseñado para ayudar a su organización a lograr lo siguiente: • Conseguir el cumplimiento del centro de datos virtual • Aumentar la visibilidad y el control de su entorno virtual • Automatizar las operaciones de seguridad y reducir los costes de seguridad • Agilizar la adopción de la tecnología de virtualización para las aplicaciones importantes • Crear un entorno seguro de varios clientes Sección 3: ventajas CA ControlMinder: una sólida solución para la gestión de usuarios con privilegios CA ControlMinder proporciona una solución para ayudar a gestionar y controlar el acceso de los usuarios con privilegios. Como se ha indicado anteriormente, los tres componentes clave de CA ControlMinder con los siguientes: • CA ControlMinder Shared Account Management, para controlar los usuarios con privilegios. • Refuerzo del servidor del punto final, para mejorar la protección. • Agente de autenticación de UNIX (UNAB), para la autenticación de usuarios desde un único almacén de usuarios. Estos componentes se pueden implementar de forma independiente o juntos como una solución general. El refuerzo del servidor de punto final, UNAB y Shared Account Management de CA ControlMinder comparten la misma infraestructura de Enterprise Management y generación de informes, un almacén de políticas incrustado, un marco de gestión de identidades y accesos, un modelo de delegación y especificación y una interfaz de usuario basada en Web. De este modo, se consigue una rápida implementación y se mejora la rentabilización. CA ControlMinder aborda todas las preocupaciones sobre disponibilidad de aplicaciones, bases de datos y servidores mediante la gestión y el control del acceso de los usuarios con privilegios, al tiempo que ofrece la flexibilidad necesaria para llevar a cabo excepciones locales. Además de todo ello, permite la realización de auditorías y el establecimiento de responsabilidades. CA ControlMinder le ayuda a conseguir lo siguiente: • Mitigación de los riesgos • Regulación y auditoría del acceso de los usuarios con privilegios 25 CA ControlMinder • Generación de informes y cumplimiento basado en el servidor • Disminución de la complejidad y los costes de administración • Eliminación de contraseñas no modificables de scripts, archivos por lotes y aplicaciones ODBC y JDBC Mitigación de los riesgos CA ControlMinder reduce los riesgos gracias a la protección de las contraseñas de los usuarios con privilegios y a la asignación de responsabilidades a los usuarios sobre sus acciones. Así, se consigue reducir el riesgo de que se utilicen programas de detección de contraseñas para acceder de forma ilegal al servidor o a las aplicaciones, con lo que también se reducen los peligros y se aumenta la integridad de los datos. Regulación y auditoría del acceso de los usuarios con privilegios CA ControlMinder protege los servidores más importantes (físicos y virtuales) mediante la implementación de políticas de acceso exhaustivo que se basan en el rol del usuario en la organización, con lo que ofrece protección frente a la pérdida de datos confidenciales. Se realiza un seguimiento de todas las actividades administrativas hasta llegar al usuario específico, para permitir la separación de funciones al nivel del sistema y poder establecer responsabilidades en una pista de auditoría. Generación de informes y cumplimiento basado en el servidor CA ControlMinder ayuda a proteger los servidores más importantes gracias a su habilidad de crear e implementar en toda la empresa políticas de acceso específicas que coinciden con los requisitos de cumplimiento normativos e internos de la organización. Más de 60 informes listos para usar tratan los elementos clave de cumplimiento, como la separación de funciones y las políticas de derechos y contraseñas, y permiten a las organizaciones informar de forma proactiva sobre el estado de las principales políticas de cumplimiento. De este modo, se ofrece visibilidad y establecimiento de responsabilidades de las políticas de seguridad y cumplimiento, al mismo tiempo que se brinda flexibilidad a la gestión de TI. Disminución de la complejidad y los costes de administración Las políticas de acceso de servidores administradas de forma centralizada, las cuentas de usuario, la autenticación de UNIX y la gestión de contraseñas de usuarios con privilegios son aspectos que alivian la carga de la gestión de la seguridad en empresas de varias plataformas distribuidas y globales, que sería aún más complicada en un centro de datos virtuales. CA ControlMinder ofrece gestión avanzada de políticas para definir una vez las políticas y aplicarlas a los servidores de cualquier parte del mundo con sólo pulsar un botón. La función Shared Account Management de CA ControlMinder simplifica el proceso de gestión y distribución de contraseñas de usuarios con privilegios en tiempo real. La función UNAB de CA ControlMinder puede reducir los costes derivados de la gestión y reforzar la seguridad mediante la consolidación de almacenes de usuarios y el mantenimiento de una única cuenta para los usuarios de UNIX. Eliminación de contraseñas no modificables de scripts, archivos por lotes y aplicaciones ODBC/JDBC La función de Shared Account Management de CA ControlMinder elimina la necesidad de incluir en scripts las contraseñas no modificables de las aplicaciones. La característica de obtención programática de Shared Account Management recupera de forma dinámica las contraseñas del servidor de CA ControlMinder Shared Account Management en tiempo real, con lo que se aumenta la eficiencia y la seguridad general de la aplicación y los datos correspondientes. Esta función contribuye a aliviar la carga de los ciclos de administración de las aplicaciones y los sistemas de valor, que se encargarían del mantenimiento, la modificación y distribución de estos cambios de contraseñas. 26 CA ControlMinder Sección 4: conclusiones CA ControlMinder ofrece un potente control de los usuarios con privilegios y aplica el cumplimiento de la seguridad CA ControlMinder proporciona un nivel superior de protección del servidor, el dispositivo y las aplicaciones y alivia la carga administrativa que supone la gestión de la seguridad en los diversos sistemas distribuidos en una empresa global. Ya no es necesario definir y gestionar los permisos de usuarios privilegiados usuario por usuario y servidor por servidor. Gracias a la avanzada gestión de políticas, la agrupación en equipos y una interfaz centralizada basada en funciones de "señalar y hacer clic" para la implementación de políticas corporativas, usted (y los auditores) podrán tener la seguridad de que cada usuario con privilegios tiene sólo los derechos de los datos y sistemas necesarios para desempañar sus tareas. Podrá aplicar políticas de seguridad uniformes en los diversos entornos de servidores gracias a la posibilidad de compartir cuentas de usuarios, contraseñas y políticas de seguridad en todos los servidores, dispositivos y aplicaciones gestionados. Para complementar esta característica, CA User Activity Reporting permite recopilar de forma segura, escalable y fiable información de auditoría para documentar las interacciones de cada usuario con el sistema. Con un conjunto tan amplio de plataformas compatibles, escalabilidad empresarial, arquitectura altamente disponible y un entorno de gestión de políticas flexible, las organizaciones pueden estar seguras de que CA ControlMinder satisfará sus necesidades de cumplimiento y protección de servidores tanto ahora como en un futuro. Parte esencial de toda la solución de gestión de identidades y accesos CA ControlMinder se puede instalar de forma independiente y ofrece protección completa sin depender de otros productos de CA Technologies o de terceros. No obstante, todos los productos de la solución CA Identity & Access Management comparten planteamientos y componentes comunes de la interfaz de usuarios Web, los conceptos de administración, la delegación de responsabilidades y la generación de informes para garantizar una experiencia administrativa uniforme. Puesto que la protección de acceso del sistema operativo puede constituir un único componente de una profunda estrategia defensiva, CA ControlMinder se puede integrar con los productos de seguridad de CA Technologies, como CA IdentityMinder™, CA SiteMinder® y CA GovernanceMinder™. CA IdentityMinder proporciona gestión de todo el ciclo de vida de identidades para poder gestionarlas en toda la empresa. Entre las funciones de CA IdentityMinder se incluyen las siguientes: • Aprovisionamiento de usuarios, cuentas y privilegios • Gestión de solicitudes de cambio y aprobaciones de flujo de trabajo • Autoservicio de registro y contraseñas 27 CA ControlMinder CA SiteMinder proporciona control de acceso Web para aplicaciones de extranet. Entre las funciones de CA SiteMinder se incluyen las siguientes: • Inicio de sesión único Web • Gestión de autenticación • Autorización basada en políticas • Amplia compatibilidad de servidores y aplicaciones Web CA GovernanceMinder evalúa, audita y elimina los derechos de acceso de los sistemas y aplicaciones que contribuyen a definir y certificar los modelos de roles utilizados en la organización. Entre las funciones de CA GovernanceMinder se incluyen las siguientes: • Creación de un almacén de identidades centralizado • Auditoría, definición y verificación de políticas y certificación y corrección de derechos • Cuadros de mandos e informes de cumplimiento Para obtener más información acerca de la arquitectura de CA ControlMinder y de su enfoque técnico, visite ca.com/controlminder CA Technologies es una empresa de software y soluciones de gestión de TI con experiencia en todos los entornos, desde el mainframe y los entornos físicos hasta los virtuales y en la nube. CA Technologies gestiona los entornos de TI y garantiza su seguridad, lo que permite a los clientes prestar unos servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la comprensión y el control fundamentales para que las organizaciones de TI impulsen la agilidad empresarial. La mayoría de las empresas que figuran en la lista Global Fortune 500 confían en CA Technologies para gestionar sus ecosistemas de TI en constante evolución. Para obtener más información, visite el sitio de CA Technologies en ca.com. Copyright © 2012 CA. Todos los derechos reservados. UNIX es una marca registrada de AT&T. Todas las marcas y nombres comerciales, logotipos y marcas de servicios a los que se hace referencia en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación “tal cual”, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comerciabilidad, adecuación a un fin específico o no incumplimiento. CA no responderá en ningún caso en los supuestos de demandas por pérdidas o daños, directos o indirectos, que se deriven del uso de esta documentación, incluidas, a título enunciativo y no taxativo, la pérdida de beneficios, la interrupción de la actividad empresarial, la pérdida del fondo de comercio o la fuga de datos, incluso cuando CA hubiera podido ser advertida expresamente de dichos daños. CA no proporciona asesoramiento jurídico. Ningún producto de software al que se hace referencia en la presente documentación se convierte en medio sustitutivo del cumplimiento de ninguna ley (incluidos, a título enunciativo y no taxativo, cualquier reglamento, estatuto, norma, regulación, directiva, directriz, política, orden administrativa, decreto, etc. [en conjunto, “leyes”]) a la que se haga referencia en la presente documentación, o de ninguna obligación contractual con terceros. Se recomienda que recurra al asesoramiento legal competente con respecto a dichas leyes u obligaciones contractuales. CS2078_0212