有效管理特权用户 构建企业安全保护盾

日期: 2012-07-31 来源:TechTarget中国

  如今,对提供访问和管理在线信息服务的业务需求日益增长,数据中心也变得更加复杂,并且往往包括物理和虚拟系统,兼具传统和云应用。如何管理用户身份、访问和信息使用的复杂性是企业面临的艰巨挑战。由于缺乏集中的安全控制,大多数企业无法采用虚拟化、云计算这样的新一代技术,从而无法迅速推出新的在线服务以支持业务拓展。

  CA Technologies中国区安全方案战略规划架构师徐英培表示:“应用于管理或自动化中的技术应当成为业务的推动者,这在设置安全控制方面亦是如此。安全孤岛这样的常见问题,增加了企业无法一致执行安全策略的风险。因此,创建账户和身份,以及分配访问权限的自动化进程,对确保安全和提高效率至关重要。同时,自动化令收集和分析信息变得更加简单,也进一步降低了企业合规的成本。”

  如今的虚拟环境中,具有过度特权的管理用户可能会令业务应用瘫痪,获得企业或客户的机密信息,甚至可能通过让整个数据中心崩溃的方式潜在地破坏企业业务。我们都曾看到过因为特权用户滥用特权而造成重大损失的事件。因此,对于控制和追踪用户如何访问企业关键IT资源,特权用户管理是最基础的。特权用户管理的第一步是管理特权账户(如管理员)自身的访问。企业应确保对每一个特权用户的问责,以便可以将每一个特定操作(例如在日志文件中)与具体的人相联系。同时,若特权用户管理密码功能可以提供一次性使用的动态管理密码,则可以有效提高安全性,并帮助简化企业的合规审计程序。此外,职责划分则能够有效减少特权访问,帮助企业确保特权用户只执行相关系统中的必要操作。

  CA Technologies 基于内容感知的身份认证与访问管理(IAM)解决方案提供了一套集成功能,可以在企业的物理、虚拟和云环境中,确保正确的用户通过正确的方式访问正确的信息。传统的IAM系统只管理用户身份和访问,并不能够提供充分保护,无法防止用户滥用访问过的信息。而CA Technologies基于内容感知的方法不仅能控制信息访问,还能控制信息使用,可以有效避免疏忽或恶意意图造成的信息使用不当对企业造成的灾难性影响。

  CA Technologies基于内容感知的身份认证与访问管理(IAM)解决方案能够提供特权用户管理能力,其核心CA ControlMinder包括以下几个模块:

  特权用户密码管理(PUPM)

  UNIX身份认证代理(UNIX Authentication Broker)

  用户活动报告模块(User Activity Reporting Module)

  会话录音(Session Recording)

  CA ControlMinder提供了控制特权用户操作的粒度级别,使每一个特权用户只执行必要的操作。在这种粒度控制下,企业可以有效管理特权账户,减少企业的整体风险暴露,从而使控制成为业务的推动者,而不仅仅是抑制剂。

  实现对特权用户的可视性和控制之后,培养这些用户群的责任感非常重要。会话录音(Session Recording)是一项重要的功能,能够提供特权用户在系统中操作的完整记录,就像交通摄像头能够确保高速公路上的良好交通行为一样。同时,它可以在操作发生的时间点再次采取权限以了解实际发生的事件。此外,其元数据搜索功能还可以对需要调查的特定操作执行关键词、自由文本搜索和快速缩放。换句话说,会话录音不仅提供了监控和录音功能,而且可以提供用户行为鉴定功能。作为会话录音功能的有力补充,用户活动报告模块(User Activity Reporting Module)则可对所有用户活动能力进行报告和合并。这两种功能能够把所有用户活动事件合并到一个集中图表中,以实现对用户活动的监控、报告、重播和调查。

  风险减缓的另一个要求是确保一致性,尤其针对具有混合UNIX 和Windows基础设施的数据中心环境。Windows环境通常会连接到活动目录(Active Directory)管理帐户,然而UNIX系统是孤岛,容易导致这些系统管理账户无法一致管理。 CA ControlMinder的UNIX身份认证代理(UNIX Authentication Broker)功能,通过允许活动目录(Active Directory)中的账户登录到UNIX系统,彻底解决了这个问题,进而减少在个人UNIX系统下创建账户的需要。

  徐英培补充道:“可靠性和可视性是实现特权账户管理优化和效益的基础。CA Technologies基于内容感知的身份认证与访问管理解决方案能够帮助企业确保正确的用户在正确的时间通过正确的方式访问正确的信息。目前,超过1500个的全球领先企业正在使用CA Technologies基于内容感知的IAM解决方案,企业可以依靠我们远离内外部威胁,并满怀信心地拓展业务。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

相关推荐

  • 云端遭遇新危机 老旧身份和访问管理“说再见”

    传统公司的防火墙和网络的水果硬糖外壳,已经被SaaS应用扩散和个人移动设备融化。每天清晨,员工只用单一的台式机登录时,控制身份识别、访问和交付服务的过程相对简单。

  • SaaS强势 Active Directory永不言败

    除了高价的老牌身份和访问管理厂商之外,如甲骨文、Novell和CA,近年来出现了新一代SaaS产品,旨在将移动终端和SaaS应用通过单点登录更好地整合到企业环境中。

  • Gartner关注云计算身份管理

    “一谈到身份管理和认证,在‘地面上’上看到的所有漏洞,同样也会出现在云中,”Gartner公司分析师Perry Carpenter说道。但是,云还引进了其自身的特色和问题。

  • Amazon Web服务身份认证及访问管理改善

    在云计算的背景下使用Web服务可从中采用安全模块化的方案中获益。其中一个例子是被称为身份和访问管理(IAM)的一个Amazon Web服务的关键附加组件。