cak iam과control minder의진화-20121118
TRANSCRIPT
CA “Mi d ” B di 과CA “Minder” Branding과ControlMinderTM 의 진화ControlMinder 의 진화
Sangwon Cho Sr Solution Strategist2012.11.21 Sangwon Cho, Sr. Solution Strategist
CA 보안 솔루션 New Branding ‐ “X‐Minder”
CA 보안제품에 대한 보다 쉬운 인지1
CA IAM 솔루션 포트폴리오에 대한“일관성”을 강조
2
각 제품의 영역과 기능에 대한 명확화3
2 November 22, 2012 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
“X‐Minder” 로 변경
“Minder” Naming Table
제품 영역 이전 이름 현재 이름
Software-as-a-Service (SaaS) N/A CA CloudMinder™
CA Arcot® WebFort CA AuthMinder™Advanced Authentication
CA Arcot® RiskFort CA RiskMinder™
Information Protection & Control CA DLP CA DataMinder™
CA Id tit M CA Id tit Mi d ™Identity Management &
Governance
CA Identity Manager CA IdentityMinder™
CA Role &Compliance
ManagerCA GovernanceMinder™
Secure Operation System (physical
& Virtual) & Privileged Identity
Management
CA Access Control CA ControlMinder™
CA Si Mi d ® CA Si Mi d ®
Web Access Management &
Federated Identities
CA SiteMinder® CA SiteMinder®
CA Federation ManagerCA SiteMinder®
Federation or FedMinder
CA SOA Security
Manager
CA SiteMinder® Web
Services Security3 November 22, 2012 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
ControlMinder의 진화ControlMinder의 진화
Traditional Secure OS – Host Access Management
> 기존의 서버보안은 각각의 개별 서버에 존재하는 Resource (파일, 프로세스, 네트워크 등)에 대하여
이를 접근하여 사용하고자 하는 사용자의 접근을 그 역할에 따라 통제하는 것에 초점이 맞추어져
있었습니다있었습니다.
November 22, 20125 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
서버 접근제어에 대한 도전
Kernel Interceptor Restricted Shell Delegation Utility Native RBAC
서버보안의 방식의 비교
방식OS Kernel 단에서 모든 시스템 호출에 대한 접근을 제어하는 방식
사용자 로그인 후 해당 shell에 대한 접근제어를 강제하는방식
sudo 기능을 통한 특권의 위임으로 특권 계정에 대한 통제를 하는 방식
OS에서 제공하는 RBAC 기능을 활용하여 서버 접근제어를 하는 방식
특징• 가장 강력한 보안성 제공
(타 방식의 t)• 모든 사용자 활동에 대한
f i 기능 강력• 특권계정(root 등)에 대한
통제 기능만 강력• 추가적인 module 설치 없
이 서버 접근제어 가능특징
(타 방식의 superset) forensic 기능 강력 통제 기능만 강력 이 서버 접근제어 가능
평가 “The kernel interceptor is considered the gold standard for UNIX security.” by BurtonGroup
서버보안 솔루션에 새롭게 요구되는 기능
Provisioning Capabilities
Auditing AD Bridge Virtualization
Support Event Forensic
CA ControlMinder Premium Edition Yes Yes Yes Yes VMware, MS, XenCA ControlMinder Premium Edition Yes Yes Yes Yes VMware, MS, Xen
Quest Privilege Manager for UNIX No Yes Yes Yes VMware
IBM Tivoli Access Manager for OS No Yes No No IBM
Symark PowerBroker No Yes Yes Yes VMwareSymark PowerBroker No Yes Yes Yes VMware
Novell Privileged User Manager No Yes Yes No VMware
Centrify Suite No Yes Yes No VMware, Xen
h l i C l i d
November 22, 20126 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
Source: <The Resurgence of UNIX Security Products> BurtonGroup, 2009
Fox Technologies ControlMinder Yes Yes No Yes VMware
서버 접근제어에 대한 도전 (계속)
•전체 시스템의 사용자 계정의 생성, 변경, 삭제에 대한 통합 관리기능
계정 및패스워드
•보안 이벤트(사용자 로그인 로그아웃 파일접근 등)에 대한 기록 및
기능•공유계정, 서비스 계정 등 특권 사용자(Privileged User)에 대한패스워드 관리
패스워드관리와 연동
•보안 이벤트(사용자 로그인, 로그아웃, 파일접근 등)에 대한 기록 및통합 관리
•사용자 세션에 대한 포렌직 수준(키보드 로깅 & 사용자 UI 녹화)의사용자 활동 감사 및 보고
감사 및 사용자활동 모니터링
•UNIX, Linux 및 Windows 서버 전체에 걸친 서버 SSO (Single‐Sign‐On) •UNIX, Linux 및 Windows 서버 전체에 걸친 대상 서버 자동 인식, 서버정책의 일괄 관리 배포 및 동일한 보안 수준과 인터페이스 제공
대규모 환경의효율적 관리
•Host‐based Hypervisor OS 기반의 가상화OS 지원 – Sun Zone, Hyper‐V, X HP VPAR IBM VIO/LPAR 등
정책의 일괄 관리 배포 및 동일한 보안 수준과 인터페이스 제공효율적 관리
가상화 환경의 Xen, HP VPAR, IBM VIO/LPAR 등•Bare‐Metal Hypervisor 기반의 가상화OS 지원 – VMWare ESXi, Sun LDOM 등
서버 IAM으로 통합
가상화 환경의지원
November 22, 20127 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
Source: <The Resurgence of UNIX Security Products> BurtonGroup, 2009
서버 IAM으로 통합
CA ControlMinderTM의 대응과 진화
Administration AuditAuthentication Authorization
IAM의 기능
catio
n
SSO/EAM 솔루션
App
licr
인증강화 솔루션
로그통합
al In
fra
Serv
er
AM
의대
상 서버접근제어솔루션
(CA ControlMinder PE & VE)통합계정관리
솔루션
(CA
솔루션
(CA User Activity
l or V
irtuaDB
et rk
I A DB접근제어솔루션
네트워크 접근제어솔루션
(CA IdentityMinder)
Activity Reporting Module)
Phys
icaNe
wo
nd-
oint
네트워크 접근제어솔루션
End-Point 보안솔루션
November 22, 20128 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
E Po End-Point 보안솔루션
공용계정 패스워드 관리 – Shared Account Management
특권 사용자패스워드 관리
CA ControlMinderCA ControlMinder패스워드 재설정
패스워드 Check-Out
패스워드 Check-In패스워드 검증 ITAd i i t t
로그인
Administrator
Web Server
Router Switch Storage
Database
Appserver Application Windows Linux UNIXVirtualizationATM
November 22, 20129 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
계정관리와의 통합 – 계정과 권한관리의 통합
계정관리와통합
특권 사용자패스워드 관리
November 22, 201210 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
가상화 환경에 대한 보호
가상화 환경보호
계정관리와통합
특권 사용자패스워드 관리
> 가상화 환경에서의 시스템 보안 및 안정성
이슈
물리적 분리가 아닌 논리적 분리에서 오는 부적절한
보안
완벽하지 못한 Auditing Privilege Partition과 Virtual Machine 관리자 간 SoDg이기종 Virtual OS에 대한 중앙화되고 일관된 보안
관리 정책의 적용
서버 보안 solution 중 Kernel Intercepting방식의 경우
시스템 안정성을 위해 가상화 서버 벤더와 기술시스템 안정성을 위해 가상화 서버 벤더와 기술
certification이 필수
o VMWare - ESX, ESXio Microsoft - Windows Hyper-v (Logo Certified)
Linux (RH/Suse) XEN (Para & Fullo Linux (RH/Suse) – XEN (Para & Full-Virtualization)
o Sun - Solaris 10 Zones, LDOMo HP - VPAR
November 22, 201211 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
o IBM – VIO, LPAR
서버 Single Sign On – UNix Authentication Broker
가상화 환경보호
UNixAuthentication
Broker계정관리와
통합특권 사용자
패스워드 관리 Broker
CA ControlMinder
계정관리계정관리
로그인Endpoint
CA ControlMinderPAMModuleActive Directory
관리 (자동인식, 정책배포)
UNIX/LINUX
PAM ModuleyEnterprise LDAP
패스워드 정책
이벤트 로그
November 22, 201212 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
UNIX/LINUX
사용자 활동 모니터링 및 로그 통합
사용자 활동모니터링
가상화 환경보호
계정관리와통합
특권 사용자패스워드 관리
UNixAuthentication
Broker
ControlMinder에서User session 재성1
PUPM과 통합(Agentless 방식)1
Broker
1
UARM에서 통합검색/재생
CA ControlMinderSecureOS와 통합(Agent Based) 2
User Activity Reporting색/재생
1/2(Agent Based) 2
User Session Recording Layer Captures SSH, Telnet, Citrix, RDP, VMWare, etc.
AppWeb Router SDatabase Application D kt lATM
November 22, 201213 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
serverServer Switch StorageDatabase Application Desktop Windows Linux UNIXVirtualizationATM
CA ControlMinderTM통합관리
CM 통합관리
사용자 활동모니터링
가상화 환경보호
계정관리와통합
특권 사용자패스워드 관리
UNixAuthentication
BrokerBroker
AC EnterpriseUNIX Group
Policy Management
Policies
AC Enterprise Mgmt. users
SecurityAdministrator
Policy Reports Policy Status &
Report Data
Linux Group users
Report Data
Windows Group usersAC Enterprise Management Server의 주요 기능
보고서 제작 및 생성
Endpoint 자동 인식 및 Rule 기반의 정책 자동 배포
전체/개별 서버들에 대한 정책 배포 및 관리(버전관리 포함)
공용계정, 서비스계정 등에 대한 OTP 발급 및 관리
AD 기반 전체 서버에 대한 Single Sign On 지원 (AD Kerberos Ticket 발급 등)
계정사용 승인을 위한 workflow 내장
November 22, 201214 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
( )
웹 기반의 관리콘솔 제공 (개별 서버 관리콘솔 포함) 외부 계정 저장소 지원
CA ControlMinderTM의 진화
계정 및
l
계정 및패스워드
관리와 통합
SecureOSControlMinder
통합관리
CA ControlMinder
가상화 환경보안
사용자 활동모니터링
UNixAuthentication
Broker
November 22, 201215 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.
감사합니다감사합니다.