CA “Mi d ” B di 과CA “Minder” Branding과ControlMinderTM 의 진화ControlMinder 의 진화

Sangwon Cho Sr Solution Strategist2012.11.21 Sangwon Cho, Sr. Solution Strategist 

CA 보안 솔루션 New Branding ‐ “X‐Minder” 

CA 보안제품에 대한 보다 쉬운 인지1

CA IAM 솔루션 포트폴리오에 대한“일관성”을 강조

2

각 제품의 영역과 기능에 대한 명확화3

2 November 22, 2012 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

“X‐Minder” 로 변경

“Minder” Naming Table

제품 영역 이전 이름 현재 이름

Software-as-a-Service (SaaS) N/A CA CloudMinder™

CA Arcot® WebFort CA AuthMinder™Advanced Authentication

CA Arcot® RiskFort CA RiskMinder™

Information Protection & Control CA DLP CA DataMinder™

CA Id tit M CA Id tit Mi d ™Identity Management &

Governance

CA Identity Manager CA IdentityMinder™

CA Role &Compliance

ManagerCA GovernanceMinder™

Secure Operation System (physical

& Virtual) & Privileged Identity

Management

CA Access Control CA ControlMinder™

CA Si Mi d ® CA Si Mi d ®

Web Access Management &

Federated Identities

CA SiteMinder® CA SiteMinder®

CA Federation ManagerCA SiteMinder®

Federation or FedMinder

CA SOA Security

Manager

CA SiteMinder® Web

Services Security3 November 22, 2012 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

ControlMinder의 진화ControlMinder의 진화

Traditional Secure OS – Host Access Management 

> 기존의 서버보안은 각각의 개별 서버에 존재하는 Resource (파일, 프로세스, 네트워크 등)에 대하여

이를 접근하여 사용하고자 하는 사용자의 접근을 그 역할에 따라 통제하는 것에 초점이 맞추어져

있었습니다있었습니다.

November 22, 20125 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

서버 접근제어에 대한 도전

Kernel Interceptor Restricted Shell Delegation Utility Native RBAC

서버보안의 방식의 비교

방식OS Kernel 단에서 모든 시스템 호출에 대한 접근을 제어하는 방식

사용자 로그인 후 해당 shell에 대한 접근제어를 강제하는방식

sudo 기능을 통한 특권의 위임으로 특권 계정에 대한 통제를 하는 방식

OS에서 제공하는 RBAC 기능을 활용하여 서버 접근제어를 하는 방식

특징• 가장 강력한 보안성 제공

(타 방식의 t)• 모든 사용자 활동에 대한

f i 기능 강력• 특권계정(root 등)에 대한

통제 기능만 강력• 추가적인 module 설치 없

이 서버 접근제어 가능특징

(타 방식의 superset) forensic 기능 강력 통제 기능만 강력 이 서버 접근제어 가능

평가 “The kernel interceptor is considered the gold standard for UNIX security.” by BurtonGroup

서버보안 솔루션에 새롭게 요구되는 기능

Provisioning Capabilities

Auditing AD Bridge Virtualization

Support Event Forensic

CA ControlMinder Premium Edition Yes Yes Yes Yes VMware, MS, XenCA ControlMinder Premium Edition Yes Yes Yes Yes VMware, MS, Xen

Quest Privilege Manager for UNIX No Yes Yes Yes VMware

IBM Tivoli Access Manager for OS No Yes No No IBM

Symark PowerBroker No Yes Yes Yes VMwareSymark PowerBroker No Yes Yes Yes VMware

Novell Privileged User Manager No Yes Yes No VMware

Centrify Suite No Yes Yes No VMware, Xen

h l i C l i d

November 22, 20126 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

Source: <The Resurgence of UNIX Security Products> BurtonGroup, 2009

Fox Technologies ControlMinder Yes Yes No Yes VMware

서버 접근제어에 대한 도전 (계속) 

•전체 시스템의 사용자 계정의 생성, 변경, 삭제에 대한 통합 관리기능

계정 및패스워드

•보안 이벤트(사용자 로그인 로그아웃 파일접근 등)에 대한 기록 및

기능•공유계정, 서비스 계정 등 특권 사용자(Privileged User)에 대한패스워드 관리

패스워드관리와 연동

•보안 이벤트(사용자 로그인, 로그아웃, 파일접근 등)에 대한 기록 및통합 관리

•사용자 세션에 대한 포렌직 수준(키보드 로깅 & 사용자 UI 녹화)의사용자 활동 감사 및 보고

감사 및 사용자활동 모니터링

•UNIX, Linux 및 Windows 서버 전체에 걸친 서버 SSO (Single‐Sign‐On) •UNIX, Linux 및 Windows 서버 전체에 걸친 대상 서버 자동 인식, 서버정책의 일괄 관리 배포 및 동일한 보안 수준과 인터페이스 제공

대규모 환경의효율적 관리

•Host‐based Hypervisor OS 기반의 가상화OS 지원 – Sun Zone, Hyper‐V, X HP VPAR IBM VIO/LPAR 등

정책의 일괄 관리 배포 및 동일한 보안 수준과 인터페이스 제공효율적 관리

가상화 환경의 Xen,  HP VPAR, IBM VIO/LPAR 등•Bare‐Metal Hypervisor 기반의 가상화OS 지원 – VMWare ESXi, Sun LDOM 등

서버 IAM으로 통합

가상화 환경의지원

November 22, 20127 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

Source: <The Resurgence of UNIX Security Products> BurtonGroup, 2009

서버 IAM으로 통합

CA ControlMinderTM의 대응과 진화

Administration AuditAuthentication Authorization

IAM의 기능

catio

n

SSO/EAM 솔루션

App

licr

인증강화 솔루션

로그통합

al In

fra

Serv

er

AM

의대

상 서버접근제어솔루션

(CA ControlMinder PE & VE)통합계정관리

솔루션

(CA

솔루션

(CA User Activity

l or V

irtuaDB

et rk

I A DB접근제어솔루션

네트워크 접근제어솔루션

(CA IdentityMinder)

Activity Reporting Module)

Phys

icaNe

wo

nd-

oint

네트워크 접근제어솔루션

End-Point 보안솔루션

November 22, 20128 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

E Po End-Point 보안솔루션

공용계정 패스워드 관리 – Shared Account Management 

특권 사용자패스워드 관리

CA ControlMinderCA ControlMinder패스워드 재설정

패스워드 Check-Out

패스워드 Check-In패스워드 검증 ITAd i i t t

로그인

Administrator

Web Server

Router Switch Storage

Database

Appserver Application Windows Linux UNIXVirtualizationATM

November 22, 20129 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

계정관리와의 통합 – 계정과 권한관리의 통합

계정관리와통합

특권 사용자패스워드 관리

November 22, 201210 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

가상화 환경에 대한 보호

가상화 환경보호

계정관리와통합

특권 사용자패스워드 관리

> 가상화 환경에서의 시스템 보안 및 안정성

이슈

물리적 분리가 아닌 논리적 분리에서 오는 부적절한

보안

완벽하지 못한 Auditing Privilege Partition과 Virtual Machine 관리자 간 SoDg이기종 Virtual OS에 대한 중앙화되고 일관된 보안

관리 정책의 적용

서버 보안 solution 중 Kernel Intercepting방식의 경우

시스템 안정성을 위해 가상화 서버 벤더와 기술시스템 안정성을 위해 가상화 서버 벤더와 기술

certification이 필수

o VMWare - ESX, ESXio Microsoft - Windows Hyper-v (Logo Certified)

Linux (RH/Suse) XEN (Para & Fullo Linux (RH/Suse) – XEN (Para & Full-Virtualization)

o Sun - Solaris 10 Zones, LDOMo HP - VPAR

November 22, 201211 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

o IBM – VIO, LPAR

서버 Single Sign On – UNix Authentication Broker 

가상화 환경보호

UNixAuthentication 

Broker계정관리와

통합특권 사용자

패스워드 관리 Broker

CA ControlMinder

계정관리계정관리

로그인Endpoint

CA ControlMinderPAMModuleActive Directory 

관리 (자동인식, 정책배포)

UNIX/LINUX

PAM ModuleyEnterprise LDAP

패스워드 정책

이벤트 로그

November 22, 201212 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

UNIX/LINUX

사용자 활동 모니터링 및 로그 통합

사용자 활동모니터링

가상화 환경보호

계정관리와통합

특권 사용자패스워드 관리

UNixAuthentication 

Broker

ControlMinder에서User session 재성1

PUPM과 통합(Agentless 방식)1

Broker

1

UARM에서 통합검색/재생

CA ControlMinderSecureOS와 통합(Agent Based) 2

User Activity Reporting색/재생

1/2(Agent Based) 2

User Session Recording Layer   Captures SSH, Telnet, Citrix, RDP, VMWare, etc.

AppWeb  Router SDatabase Application D kt lATM

November 22, 201213 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

serverServer Switch StorageDatabase Application Desktop Windows Linux UNIXVirtualizationATM

CA ControlMinderTM통합관리

CM 통합관리

사용자 활동모니터링

가상화 환경보호

계정관리와통합

특권 사용자패스워드 관리

UNixAuthentication 

BrokerBroker

AC EnterpriseUNIX Group

Policy Management

Policies

AC Enterprise Mgmt. users

SecurityAdministrator

Policy Reports Policy Status &

Report Data

Linux Group users

Report Data

Windows Group usersAC Enterprise Management Server의 주요 기능

보고서 제작 및 생성

Endpoint 자동 인식 및 Rule 기반의 정책 자동 배포

전체/개별 서버들에 대한 정책 배포 및 관리(버전관리 포함)

공용계정, 서비스계정 등에 대한 OTP 발급 및 관리

AD 기반 전체 서버에 대한 Single Sign On 지원 (AD Kerberos Ticket 발급 등)

계정사용 승인을 위한 workflow 내장

November 22, 201214 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

( )

웹 기반의 관리콘솔 제공 (개별 서버 관리콘솔 포함) 외부 계정 저장소 지원

CA ControlMinderTM의 진화

계정 및

l

계정 및패스워드

관리와 통합

SecureOSControlMinder 

통합관리

CA ControlMinder

가상화 환경보안

사용자 활동모니터링

UNixAuthentication 

Broker 

November 22, 201215 [CA "Minder" Branding과 ControlMinder의 진화]          Copyright © 2011 CA. All rights reserved.

감사합니다감사합니다.