¿cómo puedo controlar el acceso de usuarios - CA Technologies

RESUMEN SOBRE LA SOLUCIÓN
CA ControlMinder
¿cómo puedo
controlar el
acceso de usuarios
con privilegios
a través de las
áreas extendidas
de la empresa?
agility
made possible™
CA ControlMinder es una solución integral para la
administración de identidades con privilegios que permite
administrar las contraseñas de los usuarios con privilegios,
generar reportes de las actividades de usuarios y definir una
división de obligaciones específica en toda la empresa.
2
CA ControlMinder
resumen
Desafío
No sólo a usted le preocupan los crecientes desafíos que supone la protección de datos confidenciales y
aplicaciones que residen en sus servidores. El aumento del valor de los datos, las regulaciones cada vez más
rigurosas y la cantidad de usuarios con privilegios que necesitan acceso a los servidores, dispositivos y
aplicaciones importantes, todo contribuye a dificultar la protección de la información confidencial y la propiedad
intelectual. El desafío de la administración de usuarios con privilegios incluye administrar el acceso seguro
a datos y contraseñas importantes asociados con cada uno de estos usuarios.
Esto le obliga a trabajar más arduamente para controlar a los usuarios con privilegios a través de entornos
extensos, complejos y diversos. Al mismo tiempo, sus organizaciones de TI deben mantener su capacidad de
respuesta a los requerimientos del negocio. Para ello, suele ser necesario realizar excepciones locales sin
descuidar la seguridad y la responsabilidad. Actualmente, las organizaciones enfrentan requisitos de auditorías
y reglamentaciones cada vez más difíciles y rigurosos que se deben abordar.
Quizás usted confía en las capacidades de seguridad nativas de sus sistemas operativos; no obstante, hacerlo así
plantea inquietudes de seguridad respecto de la división de obligaciones, además de la administración y las
violaciones de cumplimiento.
Además de implementar las políticas de seguridad, debe mantener y administrar las identidades en UNIX®, lo cual
representa otro desafío. Habitualmente, UNIX se administra en silos, lo que aumenta los costos de administración
y gastos generales.
Oportunidad
Necesita un sistema de seguridad único, central e independiente para proteger los recursos de servidores,
dispositivos y aplicaciones en todas las áreas de la empresa extendida, que le suministre un medio flexible y
responsable para contener las cuentas de superusuarios gracias a que delega los privilegios necesarios a los
administradores autorizados. Este sistema de seguridad también debe ser capaz de ofrecer controles sólidos para
administrar a los usuarios con privilegios, centralizar la autenticación y brindar una sólida infraestructura de
auditoría y generación de reportes.
CA ControlMinder™ funciona a nivel de sistema para posibilitar la aplicación eficaz y uniforme en todos los
sistemas, incluidos Windows, UNIX, Linux y los entornos virtualizados. Al distribuir las políticas de seguridad de
servidores en aplicaciones, servidores y dispositivos de terminales a través de una capacidad avanzada de
administración de políticas, usted puede controlar a los usuarios con privilegios. Además, puede respaldar de
modo seguro la auditoría de cada cambio de política y acción de aplicación a fin de cumplir las regulaciones
globales. CA ControlMinder ofrece un enfoque holístico a la administración de accesos ya que incluye capacidades
clave para proteger y bloquear datos y aplicaciones importantes, administrar identidades con privilegios,
centralizar la autenticación de UNIX con Microsoft® Active Directory (AD) y proporcionar una infraestructura
segura de auditoría y generación de reportes.
3
CA ControlMinder
Beneficios
CA ControlMinder le permite crear, implementar y administrar políticas de control de acceso complejas
y específicas para permitir que únicamente los usuarios con privilegios autorizados obtengan sus datos y
aplicaciones más confidenciales. Gracias a su compatibilidad con múltiples plataformas (incluso las virtuales) y la
integración con el resto de la gama de productos de CA Identity and Access Management, CA ControlMinder es
capaz de lo siguiente:
• Regular y auditar el acceso a los servidores, dispositivos y aplicaciones importantes, de modo coherente en
todas las plataformas.
• Administrar las contraseñas de usuarios con privilegios.
• Permite demostrar de forma proactiva el control específico de los usuarios con privilegios.
• Aplicar los requisitos de cumplimiento internos y normativos mediante la creación y generación de reportes de
políticas de acceso a servidores.
• Ayuda a reducir los costos administrativos gracias a la administración central de la seguridad en todos los
ámbitos de la empresa distribuida.
• Permite autenticar a los usuarios con privilegios de UNIX y Linux desde un único almacén de usuarios de
Active Directory.
• Refuerza el sistema operativo que reduce los riesgos de seguridad externos y facilita la confiabilidad del
entorno operativo.
• Integra OOTB con una infraestructura de auditoría que genera reportes específicos de regulaciones exhaustivos.
Sección 1: Desafío
Servidores: fuente de complejidad en los centros
de datos actuales
La administración de políticas de seguridad en entornos extensos continúa siendo un desafío, especialmente en
vista de la importancia de la receptividad a los requerimientos del negocio, lo cual incluye ofrecer flexibilidad para
realizar excepciones locales. Los centros de datos actuales necesitan de una amplia visibilidad a través de un
conjunto creciente de servidores, dispositivos y recursos de aplicaciones, ofreciendo al mismo tiempo
responsabilidad de los cambios y la protección de los datos confidenciales que residen en esos lugares.
La incapacidad de administrar a los usuarios con privilegios ha sido directamente responsable de infracciones de
datos de alto perfil. Mantener la integridad de los datos es una de las tareas más importantes del profesional de
TI. Es un error grave adoptar todas las nuevas tecnologías de escalabilidad y flexibilidad de los centros de datos
sin considerar los requisitos de seguridad y protección de datos relacionados con ellas.
Los entes reguladores están atentos
De acuerdo con Privacy Rights Clearinghouse, desde 2005, se han visto implicados en infracciones a la seguridad
más de 340 millones de registros con información personal confidencial en los EE. UU., lo cual provocó costos
4
CA ControlMinder
significativos en multas por incumplimiento, monitoreo del crédito de las víctimas, reemisión de tarjetas de
crédito y débito y la reparación del prestigio de marca dañado.1 El resultado de estas infracciones constantes fue
que las organizaciones gubernamentales alrededor del mundo exigieron la implementación de mejores prácticas
de protección de datos y seguridad de la información. Normas como HIPAA, GLBA, Sarbanes-Oxley, la Directiva de
Privacidad de los Datos de la UE, ISO27001, PIPEDA y Basel II abordan principalmente estos problemas.
La norma de seguridad de los datos de la industria de las tarjetas de pago (PCI DSS) profundizó varios de estos
marcos regulatorios. Al especificar una serie de 12 requisitos que se deben instrumentar para proteger los datos
del titular de una tarjeta, la PCI DSS obligó a incorporar otro nivel de responsabilidad en la organización de TI.
Además, Sarbanes-Oxley posee firmes requisitos respecto de la división de las obligaciones, que garantizan que la
responsabilidad de procesos complejos de negocios esté distribuida entre varios recursos, de modo de dotar a
estas funciones con verificación y equilibrio.
Así, se debe implementar una protección sofisticada de recursos para cumplir con estos requisitos. Asimismo,
debe suministrar registros de auditoría y reportes específicos para corroborar los controles, la situación de la
política y proteger los registros de acceso a servidores para cada auditoría. Estas regulaciones especifican
controles específicos y la coherencia entre varias plataformas para garantizar la división de las obligaciones,
especialmente en entornos de sistemas operativos combinados. Además, en el caso de un compromiso, se exige
además la capacidad de investigar el incidente de modo forense. Esto conduce a la recolección y consolidación de
datos de auditoría en un repositorio de registros central.
Finalmente, como los requisitos normativos son cada vez más rigurosos, la generación de reportes se torna un
aspecto importante de cualquier solución de seguridad de servidores. Los reportes deben ser precisos, abordar el
requisito específico en cuestión y presentar el resultado de modo entendible.
Sus servidores contienen datos confidenciales
El tipo de adversario que enfrentamos evoluciona, de modo que ya no es válido suponer que los atacantes de
“allí afuera” son hackers sin rostro y sin nombre. Hoy, el atacante tiene las mismas probabilidades de ser un
empleado insatisfecho, un saboteador o un socio de negocios de dudosa ética y lealtad. Por lo tanto, necesita
proteger los recursos de sus servidores tanto de los atacantes externos (que continúan allí afuera) como del
personal interno; especialmente los usuarios con privilegios, quienes tienen acceso a todos los datos
confidenciales que residen en cada servidor, dispositivo o aplicación autorizada.
La complejidad que requiere proteger los servidores y obligar a la rendición de cuentas entre estos usuarios con
privilegios es importante. Una técnica habitual de los administradores de servidor es compartir las cuentas de
usuario con privilegios y utilizar inicios de sesión genéricos como “administrador” o “raíz”. Esto resulta
problemático por una serie de motivos:
Problemas de auditoría. Compartir las cuentas de usuario impide que los registros de auditoría identifiquen
realmente cuál administrador realizó cuáles cambios en los servidores, lo que socava la responsabilidad que es
importante para cumplir con requisitos normativos.
Acceso a los datos. Estas cuentas compartidas habitualmente provocan que los usuarios con privilegios tengan
acceso a sistemas y datos importantes, principalmente debido a que es muy difícil administrar una política en
miles de servidores con reglas de acceso específico.
1 Fuente: Privacy Rights Clearinghouse, enero de 2010.
5
CA ControlMinder
La combinación del acceso de usuarios con privilegios con la negligencia del administrador puede afectar con
frecuencia la continuidad del negocio. Entre tanto, la falta de responsabilidad hace que sea casi imposible rastrear
al administrador específico que cometió los errores, lo que genera problemas de seguridad y responsabilidad.
Complejidad de la administración de contraseñas de usuarios con privilegios
Además de mantener la responsabilidad del acceso de usuarios con privilegios, estas contraseñas compartidas se
deben almacenar, cambiar y distribuir de modo puntual y seguro a fin de cumplir con la política de seguridad
corporativa. Numerosas aplicaciones utilizan contraseñas integradas como parte del código en shell scripts y
archivos por lotes, lo que de hecho, empeora el problema. Estas contraseñas son estáticas y están disponibles
para cualquiera que tenga acceso al archivo de script, incluidos los intrusos malintencionados.
Mayor carga administrativa para la administración de identidades de UNIX
De acuerdo con un
reporte de Verizon
de 2010, el 48%
de las infracciones
de datos fueron
causadas por
personal interno,
un aumento del
26% respecto del
año anterior.
Actualmente el acceso UNIX se administra en silos con múltiples almacenes de cuentas distribuidos donde los
usuarios poseen varias cuentas en diferentes sistemas. Esto aumenta los costos de administración y los gastos
generales, y además la complejidad global del entorno dado que un gran número de aplicaciones importantes
dependen de UNIX para su tiempo de actividad y disponibilidad.
Desafíos de la virtualización
En este mundo diverso, todo se resume en la aplicación de una política coherente y la posibilidad de un inicio de
sesión consolidado en todos los servidores. Una literal explosión de la cantidad de servidores y dispositivos que se
deben administrar contribuye a agudizar estos problemas. La expansión de las máquinas virtuales se traduce en la
existencia de más servidores para administrar, y como los hipervisores no distinguen a los sistemas operativos
invitados, el problema de la heterogeneidad se ve exacerbado. No obstante, el mantenimiento de la seguridad de
este centro de datos expandido y virtualizado se pasa por alto en gran medida.
La virtualización crea además una nueva clase de usuarios con privilegios del hipervisor que pueden crear, copiar,
mover o administrar de otro modo estos sistemas operativos invitados, acentuando aún más la necesidad de una
división de obligaciones adecuada para prevenir el compromiso de los datos y las aplicaciones en ejecución en
estos invitados, además de las capacidades de auditoría.
Sección 2: Oportunidad
Administrar y controlar el acceso de usuarios
con privilegios a través de las áreas extendidas
de la empresa
Desde el punto de vista de la administración, ya no resulta suficiente el antiguo modelo que propone un
administrador de sistema responsable de una determinada cantidad de servidores en ejecución en una aplicación
específica. Actualmente, los administradores se especializan cada vez más para lidiar con la complejidad
inherente de aplicaciones más distribuidas y complicadas.
El desacoplamiento del hardware de servidor, los sistemas operativos y aplicaciones que utilizan la tecnología de
virtualización complica esta especialización. Ahora un servidor de correo electrónico y una base de datos pueden
ejecutarse en el mismo servidor físico, lo que aumenta drásticamente la complejidad del entorno.
6
CA ControlMinder
Así, estos administradores necesitan iniciar sesión de forma segura con contraseñas con privilegios y poseen
diferentes niveles de acceso a sus aplicaciones, sistemas operativos e hipervisores, además de dispositivos como
los enrutadores.
Otorgar capacidades sin restricciones a todos estos administradores constituye un grave riesgo de seguridad. Las
cuentas con privilegios (administrador en Windows, raíz en UNIX) pueden ejecutar cualquier programa, modificar
cualquier archivo y detener cualquier proceso. La incapacidad de restringir a estos usuarios con privilegios de
modo que únicamente puedan realizar las tareas comprendidas en sus responsabilidades laborales y de vincular
acciones administrativas específicas con una persona específica provoca claramente una brecha de seguridad y de
responsabilidad, además de violar los requisitos clave de las regulaciones de seguridad actuales. Los usuarios con
privilegios pueden cometer errores, ya sea involuntariamente o malintencionadamente. Una administración eficaz
de los usuarios con privilegios permite la capacidad de lo siguiente:
• Proteger, administrar y distribuir las credenciales de usuario con privilegios de forma automatizada.
• Limitar a estos usuarios al delegar los privilegios pertinentes al personal correspondiente únicamente cuando
los necesitan.
• Mantener la responsabilidad comprobable de estos usuarios y poseer la capacidad de reportar sobre sus acciones.
Estos administradores pueden realizar su trabajo sin exponer datos confidenciales ni recursos importantes de
negocios. Además, este enfoque proporciona pistas de auditoría y obliga a los administradores a asumir la
responsabilidad por sus acciones. Asimismo, en vista de la creciente presión para reducir costos, las
organizaciones de TI sortean las barreras internas que supone unificar los entornos de UNIX y Windows en el
área de autenticación del usuario.
CA ControlMinder
CA ControlMinder cumple con las políticas internas y las regulaciones de cumplimiento externas mediante la
centralización del control y la administración del acceso de usuarios con privilegios a un conjunto diverso de
servidores, dispositivos y aplicaciones. Al permitir la creación, implementación y administración de varias
plataformas de políticas de control de acceso específico, todo desde una única consola de administración,
CA ControlMinder supera los controles básicos disponibles en los sistemas operativos nativos y satisface las
necesidades de las regulaciones y políticas corporativas más rigurosas.
Esta solución completa se denomina CA ControlMinder y comprende los siguientes componentes:
• CA ControlMinder Shared Account Management proporciona almacenamiento seguro y acceso a contraseñas
de usuario con privilegios
• Protección de terminal y refuerzo de servidor incluye los elementos centrales de CA ControlMinder que se
utilizan para reforzar el sistema operativo y aplicar el control de acceso específico basado en roles.
• Puente de autenticación de UNIX (UNAB) permite a los usuarios de UNIX y Linux autenticarse utilizando sus
credenciales de Active Directory.
• Integración con CA User Activity Reporting le permite recolectar y consolidar de forma central todos los
registros de auditoría de CA ControlMinder en un repositorio central que se puede utilizar para generar reportes
avanzados, realizar correlaciones de eventos y enviar alertas.
7
CA ControlMinder
CA ControlMinder Shared Account Management
Ilustración A.
> Protege contraseñas compartidas
> Asegura la responsabilidad de
acceso a cuentas compartidas
CA ControlMinder
Shared Account
Management.
> Administra políticas de
contraseña de cuenta
compartida
> Elimina contraseñas de
texto legible de scripts
CA ControlMinder
Restablecer contraseña
Extraer la contraseña
Validar contraseña
Registrar la contraseña
Administrador
de TI
Generación de reportes
de actividades del usuario
Iniciar sesión
Correlacionar usuario y
actividad con privilegios
Base de Servidor Conmutador
web
del enrutador
datos
APP
Almacenamiento Switch Aplicación Escritorio
Virtualización
Windows
Linux
UNIX

Shared Account Management proporciona acceso seguro a cuentas con privilegios que ayuda a proporcionar
responsabilidad de los accesos con privilegios a través de la emisión de contraseñas de un solo uso, temporales
o como sea necesario mientras proporciona responsabilidad a los usuarios de sus acciones a través de auditorías
seguras. Esta función también se conoce con el nombre de liberación administrativa.
CA ControlMinder también está diseñado para permitir que las aplicaciones accedan de forma programada a
contraseñas del sistema, y al hacerlo, eliminen contraseñas integradas como parte del código de scripts, archivos
de lote, ODBC y contenedores JDBC. Esta función se conoce con el nombre de “liberación de aplicaciones”.
Shared Account Management es compatible con una gran cantidad de servidores, aplicaciones (incluidas bases
de datos) y dispositivos de red en un entorno físico o virtual.
Características de CA ControlMinder Shared Account Management
• Almacenamiento seguro de contraseñas compartidas. Shared Account Management almacena contraseñas
de aplicaciones importantes y del sistema en un almacén de datos seguro y protegido. Los usuarios que
necesiten acceso a estas contraseñas confidenciales pueden extraer y registrar las contraseñas a través de una
IU web fácil de utilizar. Shared Account Management aplica las “políticas de acceso con privilegios” que
gobiernan cuáles usuarios pueden utilizar cuáles cuentas compartidas.
• Política de contraseñas de cuentas compartidas. Cada contraseña administrada con Shared Account
Management puede tener una política de contraseñas asociada que define su particularidad. Esto garantiza que
las contraseñas generadas por Shared Account Management sean aceptadas por el sistema, aplicación o base
de datos terminal. Las políticas de contraseñas determinan también un intervalo en el cual Password Vault crea
automáticamente una nueva contraseña para la cuenta.
• Detección automática de cuentas. Shared Account Management detecta automáticamente todas las cuentas
en un terminal administrado que esté conectado al servidor de Administración empresarial de Shared Account
Management. El administrador de Shared Account Management puede decidir qué cuentas se utilizarán. Estas
cuentas posteriormente se asignan a un “rol de acceso con privilegios” que puede otorgarse a usuarios finales
como parte de la política de Shared Account Management.
8
CA ControlMinder
• Arquitectura sin agentes. CA ControlMinder Shared Account Management proporciona una arquitectura basada
en servidor para obtener un riesgo y esfuerzo de implementación mínimo. No se necesitan agentes en los
terminales administrados de CA ControlMinder Shared Account Management. Todas las conexiones se manejan
desde el servidor de Administración empresarial de CA ControlMinder, utilizando capacidades nativas. Por
ejemplo, las bases de datos utilizan JDBC, UNIX y Linux usan SSH, y Windows usa WMI.
• La integración con los sistemas de generación de tickets y servicios de asistencia técnica. La integración
con CA Service Desk Manager permite la incorporación de un ticket de la mesa de servicios en la solicitud y en
las tareas de acceso de urgencia, la validación del ticket de la mesa de servicio y que un supervisor visualice el
ticket para obtener más información.
• Auditorías y generación de reportes del acceso con privilegios. Todos los accesos con privilegios se auditan y
registran dentro de CA ControlMinder Shared Account Management. CA User Activity Reporting proporciona
capacidades mejoradas de registro y correlación, incluida la capacidad de correlacionar los archivos nativos
generados a partir de sistemas, aplicaciones o bases de datos con registros de Shared Account Management.
Además, si CA ControlMinder está instalado en terminales de servidores (UNIX, Linux y Windows), también se
realiza el seguimiento y la auditoría de las actividades de todos los usuarios con privilegios. Estos registros se
pueden centralizar en CA User Activity Reporting y correlacionar con eventos de liberación generados por
CA ControlMinder Shared Account Management.
• Restablecimiento y restauración de contraseñas. En el caso de una falla en un terminal de CA ControlMinder
Shared Account Management, se restaurará el terminal desde una copia de seguridad que puede estar
desactualizada. Si es así, las contraseñas guardadas por Shared Account Management no tendrán
coincidencia con las contraseñas restauradas desde el terminal. El servidor de Administración empresarial
de CA ControlMinder muestra una lista de las contraseñas anteriores utilizadas y posee una opción de restaurar
el terminal a la configuración actual de Shared Account Management.
Liberación administrativa de Shared Account Management
• Responsabilidad de acceso a cuentas compartidas. CA ControlMinder Shared Account Management ofrece
una función de “liberación exclusiva” que permite únicamente a una persona específica liberar una cuenta en un
momento determinado. Además, Shared Account Management puede realizar el seguimiento de las acciones del
usuario original mediante la correlación de los eventos de acceso en los sistemas para el evento de liberación
generado por la aplicación Shared Account Management.
• Inicio de sesión automático de Shared Account Management. Esta característica está diseñada para
simplificar y proteger el proceso al permitir que un usuario solicite una contraseña y la utilice con el clic de
un botón, ya que inicia la sesión del usuario automáticamente en el sistema de destino como usuario con
privilegios, sin que en ningún momento se pueda ver la contraseña real. Esto evita el robo de contraseña
“por encima del hombro” y acelera el proceso para quien la solicita.
• Integración avanzada de Shared Account Management con CA ControlMinder. La integración avanzada de
Shared Account Management/CA ControlMinder permite integrar los terminales de CA ControlMinder con Shared
Account Management para realizar un seguimiento de las actividades de los usuarios que liberan cuentas con
privilegios. Esta característica sólo se admite cuando se utiliza conjuntamente con la ya mencionada función de
inicio de sesión automático de Shared Account Management y le permite especificar que un usuario debe liberar
una cuenta con privilegios a través del servidor de Administración empresarial, antes de que inicie sesión en un
terminal de CA ControlMinder.
9
CA ControlMinder
• Grabación y reproducción de sesiones con privilegios. Ahora se ofrece la grabación y reproducción de sesiones
con privilegios como parte de CA ControlMinder Shared Account Management gracias a la integración con
software de terceros. Esta posibilidad facilita las auditorías a través de una funcionalidad tipo DVR para grabar
y reproducir las sesiones de usuarios con privilegios.
• Capacidades de flujo de trabajo completo. CA ControlMinder Shared Account Management proporciona
capacidades completas de flujo de trabajo con control dual para el acceso de emergencia a las cuentas con
privilegios. Opcionalmente, el flujo de trabajo se puede habilitar para determinados usuarios finales o ciertas
cuentas con privilegios.
• Accesos de emergencia o urgencia. Los usuarios realizan una “liberación de urgencia” cuando necesitan acceso
inmediato a cuentas para las que no tienen autorización de administración. Las cuentas con acceso de urgencia
son cuentas con privilegios no asignadas al usuario según el rol tradicional del usuario. No obstante, el usuario
puede obtener la contraseña de la cuenta sin intervención ni demora, si surge la necesidad. En un proceso de
liberación de urgencia, se envía un mensaje de notificación al administrador. Sin embargo, el administrador no
puede aprobar ni detener el proceso.
Liberación de aplicaciones de Shared Account Management
• Aplicación a aplicación de Shared Account Management. CA ControlMinder Shared Account Management
automatiza la administración de las contraseñas de las cuentas de servicio que de otro modo sería manual
(Servicios de Windows), administra las contraseñas utilizadas por las tareas programadas de Windows que
requieren el inicio de sesión en el sistema (Tareas programadas de Windows) y se integra con el mecanismo
Ejecutar-como de Windows para recuperar la contraseña del usuario con privilegios correspondiente desde
Shared Account Management.
• Aplicación a base da datos de Shared Account Management. CA ControlMinder Shared Account Management
también puede restablecer las contraseñas de Id. de las aplicaciones automáticamente. Shared Account
Management puede administrar las cuentas de servicio utilizadas por un servidor de aplicación IIS o J2EE y las
aplicaciones allí alojadas mediante la intercepción de las conexiones ODBC y JDBC, y su reemplazo con las
credenciales actuales de cuentas con privilegios. En la mayoría de los casos, CA ControlMinder Shared Account
Management proporciona esta funcionalidad sin requerir ninguna modificación de las aplicaciones. Esta
funcionalidad requiere que se instale un agente de Shared Account Management en el terminal donde se ejecuta
la aplicación o en el servidor J2EE, en el caso de una aplicación web.
• Liberación de programación de shell scripts y archivos por lotes. Puede utilizar el agente de Shared Account
Management dentro de un script para reemplazar las contraseñas integradas como parte del código con
contraseñas que se pueden liberar desde la administración empresarial de CA ControlMinder Shared Account
Management. Esto le permite evitar la necesidad de incluir contraseñas integradas como parte del código dentro
de los scripts.
Para obtener más detalles técnicos y detallados sobre Shared Account Management, consulte el resumen técnico
de CA ControlMinder Shared Account Management.
10
CA ControlMinder
Protección de terminal y refuerzo del servidor con
CA ControlMinder
Ilustración B.
CA ControlMinder
ofrece la aplicación de
políticas de seguridad
basada en roles.

Los elementos
centrales de CA ControlMinder son los agentes seguros y reforzados que se integran de forma
nativa con el sistema operativo para aplicar y auditar las políticas específicas requeridas para satisfacer las
exigencias de cumplimiento. Los agentes de terminal están disponibles para todos los sistemas operativos
principales, como las versiones principales de Linux, UNIX y Windows. En el sitio web de CA Support puede
consultar la lista más reciente de sistemas compatibles.
CA ControlMinder ofrece formatos de paquetes nativos para instalar y administrar CA ControlMinder de forma
nativa en los sistemas operativos compatibles. Esto facilita a un entorno empresarial global implementar
rápidamente gran cantidad de servidores administrados.
Además, CA ControlMinder ofrece una interfaz basada en la web coherente y fácil de usar para administrar
políticas, aplicaciones y dispositivos de terminal. CA ControlMinder admite de forma nativa la mayoría de las
plataformas de virtualización, incluidas VMware ESX, Solaris 10 Zones y LDOMs, Microsoft Hyper-V, IBM VIO y AIX
LPAR, HP-UX VPAR, Linux Xen y Mainframe x/VM, protegiendo tanto la capa del hipervisor como los sistemas
operativos invitados que se ejecutan en las plataformas.
En los entornos empresariales, utilizar un directorio para la administración de los usuarios e implementar
aplicaciones habilitadas para directorios es una práctica cada vez más habitual. CA ControlMinder admite
almacenes de usuarios empresariales; es decir, almacenes para usuarios y grupos nativos del sistema operativo.
Esta integración nativa permite definir reglas de acceso para los usuarios y grupos empresariales sin tener que
sincronizar o importar los usuarios y grupos a la base de datos de CA ControlMinder.
11
CA ControlMinder
Protección de servidor de varias plataformas
Gran cantidad de organizaciones implementan una infraestructura de servidores diversa que incluye sistemas
Windows, Linux y UNIX. CA ControlMinder hace posible una administración y aplicación de políticas de seguridad
de acceso coherente e integrada en todos estos entornos. La arquitectura avanzada de políticas ofrece una única
interfaz a través de la cual las políticas se pueden administrar y distribuir a los suscriptores de Windows y UNIX al
mismo tiempo. La administración consolidada de servidores de Linux, UNIX y Windows disminuye la cantidad de
trabajo administrativo requerido y mejora la eficacia del administrador de sistema, y de ese modo genera un
ahorro en costos de administración.
Control de acceso específico
CA ControlMinder es una solución de aplicación de seguridad independiente, lo que significa que no depende del
sistema operativo subyacente para aplicar las políticas de control de acceso al servidor. Como funciona a nivel
de sistema, CA ControlMinder monitorea y regula todos los accesos a los recursos del sistema, incluidos aquellos
que provienen de administradores de dominios o del sistema local. Estas capacidades de aplicación de acceso
específico actúan para regular, delegar y contener a los administradores de dominios o a cualquier otra cuenta del
entorno de TI, y ofrecen lo siguiente:
• Control de suplantación de identidad. CA ControlMinder controla las capacidades de delegación a usuarios
sustitutos para reducir la exposición de usuarios no autorizados que ejecutan aplicaciones con privilegios
mejorados y asumen responsabilidad por la actividad de cuenta compartida. Por ejemplo, un administrador
podría asumir el perfil de identidad de otra persona para cambiar los atributos de una lista de control de acceso
(ACL) de un archivo sin ninguna responsabilidad por sus acciones. CA ControlMinder protege en múltiples
niveles, en primer lugar mediante la limitación de aquellos que utilizan Ejecutar-como y el comando “su” de
UNIX y preservando el Id. del usuario original aun después de las acciones de sustitución, garantizando que los
registros de accesos de usuarios en los registros de auditoría muestren la cuenta original. Esto permite a los
usuarios iniciar sesión con su propio Id. y cambiar su perfil a una cuenta con privilegios de modo seguro y sin
que se pierda la responsabilidad.
• Inclusión de superusuarios (administrador/raíz). La cuenta raíz constituye una fuente importante de
vulnerabilidad ya que permite que aplicaciones o usuarios obtengan un nivel más potente de privilegio del que
podría ser necesario. CA ControlMinder inspecciona todas las solicitudes entrantes relevantes a nivel de sistema
y decide la autorización en base a reglas y políticas definidas. Ni siquiera una cuenta raíz con privilegios puede
omitir este nivel de control. Así, todos los usuarios con privilegios se convierten en usuarios administrados y son
responsables de sus actividades en el sistema.
• Control de acceso basado en roles. Según las mejores prácticas, cada administrador debe poseer privilegios
suficientes para ejecutar sus funciones laborales y no más que eso. Al proporcionar un entorno sofisticado de
control de acceso basado en roles, los administradores no pueden compartir una contraseña de administrador ni
aprovechar las posibles ventajas de los privilegios asociados a esta. De forma predeterminada, CA ControlMinder
ofrece roles comunes de administración y auditoría que se pueden personalizar y expandir para satisfacer las
necesidades de la organización de TI.
• Aplicación específica. Los sistemas operativos nativos (Linux, UNIX y Windows) ofrecen capacidades limitadas
para delegar con eficacia y especificidad determinados permisos de administración del sistema a cuentas de
usuario con menos poderes. CA ControlMinder ofrece la aplicación específica y regula el acceso basándose en
varios criterios, como, por ejemplo, los atributos de red, la hora del día, la fecha o el programa de acceso. Las
características incluyen lo siguiente:
12
CA ControlMinder
–– Controles específicos adicionales. Controles que ofrecen privilegios específicos según archivo, servicios y
otras funciones de nivel de SO (cambiar nombre, copiar, detener, iniciar) que se pueden asignar a un
administrador o grupo de administración específico.
–– Distintos niveles de aplicación. CA ControlMinder Warning Mode es utilizado habitualmente por
organizaciones para determinar si las políticas de seguridad propuestas son demasiado estrictas o
demasiado permisivas, de modo que se puedan modificar en consecuencia. Además, CA ControlMinder
brinda la capacidad de validar instantáneamente los efectos de una política de seguridad sin aplicar la
restricción a través de la configuración Modo de validación.
–– Listas de control de acceso mejoradas. CA ControlMinder proporciona numerosas funcionalidades de ACL
mejoradas para aumentar la capacidad del administrador de seguridad de asignar correctamente derechos
de acceso a usuarios autorizados, como, por ejemplo, las Listas de control de acceso del programa (PACL),
que permite el acceso a los recursos únicamente desde un programa o binario en particular.
–– Control de acceso basado en red. Los entornos abiertos actuales requieren de un potente control sobre el
acceso de usuarios y la información que se desplaza por la red. Los controles de acceso basados en red
agregan otra capa de protección para regular el acceso a la red. CA ControlMinder puede administrar el
acceso a los puertos de red o a los programas de acceso a la red y las políticas de seguridad de red pueden
administrar el acceso bidireccional mediante el Id. de terminal, nombre del host, dirección de red, segmentos
y otros atributos.
–– Control de inicio de sesión. CA ControlMinder puede mejorar la seguridad del inicio de sesión con la
limitación del inicio de sesión de usuarios por dirección IP de origen, Id. de terminal, tipo de programa de
inicio de sesión o la hora del día. CA ControlMinder también puede limitar las sesiones con inicio de
sesión simultáneo de un usuario para aplicar la rigurosidad del acceso de usuarios a un servidor. Se puede
suspender automáticamente a los usuarios luego de demasiados intentos fallidos de inicio de sesión, lo que
protege los sistemas contra los ataques de fuerza bruta. Además, CA ControlMinder ofrece la suspensión y
revocación seguras de las cuentas de usuarios en entornos distribuidos.
Administración y control del acceso a entornos virtuales
La virtualización consolida múltiples instancias de servidor en una única máquina física, lo que genera un menor
costo total de propiedad y una mejor utilización de la máquina. Lamentablemente, la virtualización crea una
nueva clase de usuarios del hipervisor con privilegios que pueden crear, copiar, mover o administrar de otro modo
estos sistemas operativos invitados. Esto provoca la necesidad adicional de una adecuada división de obligaciones
y la protección de recursos de servidor consolidados para prever que todos los datos y todas las aplicaciones que
se ejecutan en estos invitados sean auditados y protegidos contra compromisos.
Con CA ControlMinder, se puede controlar a estos administradores del hipervisor y se puede implementar una
correcta división de las obligaciones.
Esta capacidad aporta una capa de protección importante para mitigar los riesgos de la virtualización. Los agentes
de terminal admiten una extensa lista de versiones de SO que se ejecutan como invitados, así como todos los
principales hosts de virtualización de SO como VMware ESX, Solaris 10 Zones y LDOMs, Microsoft Hyper-V,
IBM VIO y AIX LPAR, HP-UX VPAR, Linux Xen y Mainframe x/VM.
Refuerzo del sistema operativo
Un componente importante en la estrategia de defensa exhaustiva es la protección del SO contra el acceso
externo o penetración no autorizados. CA ControlMinder ofrece varias medidas de seguridad externas para agregar
una capa adicional de seguridad para sus servidores.
13
CA ControlMinder
• Controles de archivos y directorios. Los archivos y directorios conforman la estructura central de los
sistemas operativos y cualquier compromiso en ellos puede provocar la denegación del servicio y un tiempo de
inactividad imprevisto. CA ControlMinder ofrece potentes opciones de comodín y acceso a programas que
simplifican la administración de políticas a nivel de archivos. CA ControlMinder puede aplicar el control de
cambios en sistemas importantes de archivos y directorios, lo que aumenta la integridad y confidencialidad de
los datos. Está disponible la protección a nivel de archivo para todos los tipos de archivos, incluidos archivos de
texto, directorios, archivos de programa, archivos de dispositivo, enlaces simbólicos, archivos montados en NFS
y archivos compartidos de Windows.
• Ejecución de programas de confianza. Para evitar la contaminación del entorno operativo por parte del
hardware malicioso, en especial los troyanos, CA ControlMinder ofrece una protección de primera línea de
programas de confianza. Los recursos confidenciales se pueden marcar como “de confianza” y en consecuencia,
estos archivos y programas serán monitoreados y CA ControlMinder bloqueará la ejecución en el caso de que el
hardware malicioso modifique el programa. Los cambios en los recursos de confianza se pueden limitar a
usuarios o grupos de usuarios específicos para reducir aún más la probabilidad de una modificación inesperada.
• Protección del registro de Windows. El registro de Windows es un objetivo claro para hackers y usuarios
malintencionados ya que la base de datos centralizada contiene los parámetros del sistema operativo, incluidos
aquellos que controlan las unidades del dispositivo, los detalles de ajustes y la configuración del hardware, el
entorno y la seguridad. CA ControlMinder brinda protección del registro a través de la admisión de reglas que
pueden bloquear el cambio o la alteración de la configuración de registro por parte de los administradores.
CA ControlMinder puede proteger las claves del registro para que no sean eliminadas y para que no se
modifiquen sus valores correspondientes.
• Protección de los servicios de Windows. CA ControlMinder ofrece una mayor protección para limitar a los
administradores autorizados que pueden iniciar, modificar o detener servicios importantes de Windows. Así se
ofrece protección contra la denegación de servicio de aplicaciones de producción como Base de datos, Web,
Archivos e impresoras, que son todas controladas como servicios en Windows. Esto resulta fundamental para
proteger a estos servicios contra el acceso no autorizado.
• Confinamiento de aplicaciones. CA ControlMinder permite que se definan acciones aceptadas para
aplicaciones de alto riesgo. Cualquier conducta que exceda estos límites será restringida mediante una función
de confinamiento de la aplicación. Por ejemplo, se puede construir una ACL basada en una Id. lógica que posee
procesos y servicios de Oracle, de forma que su conducta confinada le prohíbe realizar cualquier acción aparte
de iniciar los servicios DBMS de Oracle.
Registrador de teclado (KBL) de UNIX/Linux
CA ControlMinder puede restringir acciones de usuarios regulares y confidenciales e incluso puede hacer un
seguimiento de las sesiones de usuarios selectivos, pero ¿qué ocurre si desea grabar todo lo que se realizó en la
sesión de un usuario confidencial? La función CA ControlMinder KBL le brinda esa opción. KBL se ubica entre el
shell y el terminal o teclado y captura todo lo que escribe en el teclado (entrada) y lo que se muestra en el
terminal (salida).
Puede habilitar KBL sencillamente cambiando el modo de auditoría del administrador/usuario de quien desea
capturar la actividad de teclado.
14
CA ControlMinder
Ilustración C.
Selección del modo
interactivo UNIX/Linux
KBL en CA ControlMinder
Endpoint Management.

Características de KBL
• Reproducir la sesión (modo local únicamente en el terminal de CA ControlMinder)
• Imprimir la entrada/salida de la sesión
• Imprimir los comandos de la sesión
• Correlación con el seguimiento de CA ControlMinder sobre el usuario
• Almacén central con los reportes de CA User Activity Reporting
Ilustración D.
Resultado de la sesión de
CA ControlMinder KBL.

Los reportes de KBL están ahora disponibles en CA User Activity Reporting con vistas de exploración que
muestran todos los comandos ingresados en el indicador de comando y sus respectivas salidas.
15
CA ControlMinder
Ilustración E.
Ejemplo de reporte KBL
disponible a través de
CA User Activity
Reporting.

Identidades de UNIX administradas de forma
central desde active directory—UNAB
La función de intermediario de autenticación de UNIX (UNAB) en CA ControlMinder permite administrar a los
usuarios de UNIX desde AD de Microsoft. Esto posibilita la consolidación de la información de autenticación y de
cuenta contenida en AD, en lugar de administrar las credenciales de UNIX localmente, en cada sistema.
Características de UNAB
Administre centralmente la autenticación de UNIX. UNAB simplifica la administración de los usuarios locales
de UNIX mediante la validación de sus credenciales de autenticación en base al AD. No es necesario definir los
usuarios ni los grupos en NIS o localmente en el archivo /etc/passwd. Los atributos de usuario como el directorio
principal, shell, UID, GECOS y políticas de contraseñas se recuperan del AD.
Módulo PAM ligero. UNAB ofrece un módulo PAM pequeño y ligero en UNIX que se agrega a la pila PAM del
terminal.
Empaquetado nativo. UNAB proporciona empaquetado nativo para una fácil instalación e implementación.
Integración con el registro de eventos de Windows nativo. Todos los registros de UNAB se direccionan hacia
los registros de eventos de Windows nativos. Esto consolida y simplifica la realización de auditorías y permite
asimismo la integración con herramientas SIM de terceros.
Modos flexibles de funcionamiento. UNAB se puede configurar para trabajar en modo de integración parcial
o total, lo que facilita el proceso de migración.
• Modo de integración parcial. En este modo, la contraseña del usuario se almacena en el AD. Al momento de
la autenticación, sólo se utiliza el AD para la validación de la contraseña. Los atributos del usuario como UID,
directorio principal y grupo primario se toman del host UNIX o NIS local y no del AD. Cuando se agrega un
nuevo usuario a la organización, un administrador debe crear el usuario tanto en el AD como en el archivo
local/etc/passwd o NIS. No se requieren cambios esquemáticos en el AD para que UNAB funcione en el modo
de integración parcial.
16
CA ControlMinder
• Modo de integración completa. En este modo, la información del usuario sólo se almacena en el AD. No hay
entrada del usuario en el archivo local/etc/passwd ni en NIS. Los atributos del usuario como UID, directorio
principal y grupo primario se almacenan en el Active Directory y no en el host UNIX o NIS local. Cuando se
agrega un nuevo usuario a la organización, un administrador crea el usuario únicamente en el AD y
proporciona los atributos UNIX requeridos. El modo de integración completa requiere Windows 2003 R2 que
admite los atributos de UNIX.
Asignación de atributos de LDAP dinámica. En el caso de que su organización no admita Windows 2003 R2,
requerido para el modo de integración completa, UNAB brinda una función que permite asignar atributos de UNIX
dinámicamente a atributos del AD no estándares. Esto evita la complejidad que supone ampliar o cambiar el
esquema de AD.
Capacidades mejoradas de almacenamiento en caché y soporte técnico sin conexión. UNAB almacena en
caché todos los inicios de sesión correctos en su base de datos SQLite local. La información almacenada en caché
incluye el nombre del usuario, los atributos de usuario, la pertenencia a grupos y el valor hash de la contraseña.
En el caso de que UNAB no pueda conectarse al AD, intentará validar las credenciales del usuario en base a la
memoria caché local. Esto se llama asistencia para “inicio de sesión sin conexión”. Los registros de usuarios serán
retenidos en la memoria caché local durante una cantidad de días configurable. Los usuarios locales, como “raíz” y
otras cuentas de sistema y aplicaciones pueden iniciar sesión independientemente de la conectividad del AD.
SSO basada en UNAB. Le permite realizar el SSO entre todos los hosts UNAB Kerberosized en el entorno. Si inicia
sesión en el host UNAB 1 habilitado para Kerberos, luego puede iniciar sesión automáticamente en cualquier otro
host UNAB utilizando sus credenciales Kerberos, lo que proporciona una solución de tipo SSO dentro del entorno.
Políticas de inicio de sesión centralizadas. Una vez que se activa UNAB en un terminal UNIX, las políticas
centrales de inicio de sesión controlan cuáles usuarios pueden iniciar sesión en cuáles host UNIX o grupos de host
UNIX. Estas políticas de inicio de sesión se administran y distribuyen mediante la IU de CA ControlMinder
Enterprise Management y se almacenan localmente en cada terminal en la base de datos SQLite. Las políticas de
inicio de sesión se pueden aplicar ya sea a un único host UNIX o a un “grupo de host” lógico de servidores. Las
reglas de determinación del alcance se pueden basar en los usuarios y grupos del AD, y de ese modo simplificar
los gastos generales de administración.
Ilustración F.
Intermediario de
autenticación de UNIX.

17
CA ControlMinder
Auditoría y generación de reportes del acceso
de usuarios con privilegios mediante
CA User Activity Reporting
El cumplimiento implica que debe tener instrumentadas las políticas correctas y que esas políticas sean
implementadas, pero sobre todo, que debe proporcionar pruebas del cumplimiento de políticas corporativas y de
estándares normativos, además de asumir la responsabilidad por cualquier desviación de la política.
A los fines de comprobar el cumplimiento, las soluciones de protección de los recursos del servidor deben generar
reportes para avalar las políticas de contraseñas, los niveles de privilegios y la división de obligaciones. Se incluye
una licencia de CA User Activity Reporting con CA ControlMinder que le permite ver el estado de seguridad de los
usuarios, grupos y recursos recopilando datos de cada terminal de la empresa, agregándolos a una ubicación
central, analizando los resultados en base a la política corporativa y luego, finalmente, generando un reporte.
Esta licencia de CA User Activity Reporting se limita a la recopilación y la generación de reportes de eventos de
CA ControlMinder; si se prefieren capacidades de generación de reportes más extensas, se debe adquirir una
licencia completa de User Activity Reporting Module.
El servicio de generación de reportes funciona independientemente para recolectar las políticas vigentes en cada
terminal, de forma planificada. El sistema tiene resiliencia integrada en el sistema, ya que el estado del terminal
se reporta sin la necesidad de intervención manual y sin importar si el servidor de recolección está o no activado.
De forma adicional, los componentes del servicio de generación de reportes son externos al sistema de aplicación
de CA ControlMinder y no requiere la interrupción de funciones de aplicación en el terminal cuando se reconfigura
o se personalizan los reportes.
El servicio de generación de reportes está estructurado para permitir el reporte del estado de las políticas que
se aplican en cada terminal. Puede construir reportes personalizados para fines variados, o utilizar los más de
60 reportes existentes que CA ControlMinder suministra innovadores.
Cumplimiento de políticas y reportes de privilegios
Ya no basta con producir reportes basados en eventos acerca de las acciones ocurridas en el pasado a los fines de
demostrar cumplimiento. En lugar de ello, actualmente el cumplimiento requiere también de reportes proactivos
que puedan destacar el estado de la política en cualquier momento. Para brindar ayuda, CA ControlMinder
proporciona la generación proactiva de reportes sobre los privilegios de acceso de los usuarios y pruebas de los
controles de acceso existentes.
El servicio de generación de reportes innovador de CA ControlMinder incluye más de 60 reportes estándares
que detallan la información sobre privilegios y el estado actual (y cualquier desviación) de las políticas
implementadas, como parte de la instalación predeterminada del producto. Gracias a que complementan
la auditoría existente basada en eventos para monitorear los requisitos de cumplimiento y destacar las
discrepancias existentes, aportan un valor inmediato. Los reportes estándares incluyen lo siguiente:
Los reportes de administración de políticas permiten ver el estado de la implementación de políticas y las
desviaciones de las políticas estándares.
Los reportes de privilegios permiten ver los privilegios que poseen usuarios y grupos sobre los recursos del
sistema, o mostrar quiénes pueden tener acceso a recursos específicos. Un uso habitual sería ver quién posee
acceso a los sistemas como raíz.
Los reportes de administración de usuarios proporcionan la capacidad de ver las cuentas inactivas, los usuarios
y la pertenencia a grupos, las cuentas administrativas y también administrar la división de las obligaciones.
18
CA ControlMinder
Los reportes de administración de contraseñas entregan información sobre antigüedad de contraseñas,
cumplimiento de políticas de contraseñas, etc.
Los reportes de acceso de usuarios con privilegios detallan información sobre la actividad de todos los usuarios
con privilegios, como registro, liberación, aprobaciones de flujo de trabajo y otras acciones.
Ilustración G.
Reporte de
CA ControlMinder
Shared Account
Management que
muestra las cuentas
con privilegios por
tipo de terminal.

Los reportes de autenticación de UNIX ofrecen datos de todos los privilegios y reportes relacionados con el
componente UNAB de CA ControlMinder.
Ilustración H.
Reporte UNAB detallado
que muestra los usuarios
de AD globales con
atributos UNIX.

El Asistente de detección de usuarios con privilegios (asistente que se completa con el usuario) buscará
usuarios con privilegios en todas las áreas de la organización y producirá un reporte automáticamente.
19
CA ControlMinder
La generación de reportes de política abierta de CA ControlMinder se sustenta en un RDBMS estándar.
La interoperabilidad con sistemas externos permite a los administradores ejecutar reportes de políticas con
la herramienta de generación de reportes que deseen y personalizar diseños de reportes para satisfacer las
normas internas o las solicitudes de auditoría.
Cuadro de mandos de implementación de políticas
Ilustración I.
Ejemplo de reporte que
muestra una instantánea
de un momento
específico de los hosts
que cumplen con una
política específica.

CA ControlMinder Enterprise Management
Dada la complejidad y escalabilidad requeridas para los recursos de servidor de la actualidad, es importante
poder implementar y aplicar una política centralizada para el control del acceso en todas las áreas de la empresa
global y extendida, y a la vez ajustarse a las excepciones locales y las necesidades del negocio. CA ControlMinder
posee una cantidad de funciones sofisticadas que facilitan y simplifican la administración del acceso y permiten
las excepciones de un modo visible y con responsabilidad.
Agrupación de host lógica
Es posible agrupar los terminales en grupos de host lógicos y luego asignar políticas basadas en la pertenencia
a estos grupos de host, independientemente de la organización física de los terminales. Los hosts pueden ser
miembros de una cantidad de grupos de host lógicos dependiendo de sus propiedades y exigencias de políticas.
Por ejemplo, si tiene hosts que se ejecutan en un sistema operativo Red Hat y Oracle, pueden ser miembros de un
grupo de host lógico Red Hat para aplicar las políticas de control de acceso Red Hat de referencia, y también
pueden ser miembros del grupo de host lógico Oracle para aplicar las políticas de control de acceso de Oracle.
Los grupos de host lógicos se pueden utilizar en los componentes Shared Account Management y UNAB de
CA ControlMinder. En Shared Account Management, los grupos de host lógicos como los servidores de base de
datos pueden tener una política en común que permita el acceso a cuentas con privilegios en esos servidores.
En UNAB, es posible aplicar un conjunto común de políticas de inicio de sesión a un grupo de host lógico que
permita que los usuarios inicien sesión selectivamente en base a sus credenciales de Active Directory.
20
CA ControlMinder
Grupos de host lógicos
Ilustración J.
Los administradores de
seguridad pueden definir
grupos de host lógicos,
asignarles políticas y
tener visibilidad
completa de su
cumplimiento de
las políticas.

Control de la versión de la política
CA ControlMinder le permite realizar un seguimiento de los cambios de política gracias a la representación de
cada política como una única entidad con múltiples versiones. Cuando crea una nueva versión de una política, la
última versión queda almacenada e incluye información sobre las reglas de implementación y desimplementación
de la versión de la política, quién creó la versión (para fines de auditoría y rendición de cuentas) y la fecha en que
se creó. Además, un proceso de actualización le permite actualizar la implementación de la política en todos los
hosts asignados a la última versión de la política.
Interfaz del usuario web común de la administración empresarial
La interfaz de administración empresarial basada en la web es simple, intuitiva y le permite realizar una
administración avanzada de políticas, y al mismo tiempo brindar una vista integrada de la totalidad del entorno
de servidores de CA ControlMinder. La interfaz basada en la web le ayuda además a administrar terminales
individuales o modelos de políticas y le permite realizar lo siguiente:
• Crear hosts
• Asignar hosts a grupos de host
• Crear y actualizar políticas
• Asignar y eliminar políticas en hosts o grupos de host
• Implementar y eliminar directamente políticas en hosts o grupos de host
• Actualizar políticas asignadas a la versión más actual
• Auditar la implementación de políticas en la empresa
• Explorar la empresa por host, grupo de host o política
• Administrar terminales diferenciados de CA ControlMinder a través de la administración de terminales
• Detectar cuentas de usuarios con privilegios en terminales de Shared Account Management administrados
• Detectar contraseñas de usuarios con privilegios en terminales de Shared Account Management
• Crear y administrar políticas de inicio de sesión que controlen el acceso a terminales de UNAB
21
CA ControlMinder
La interfaz de usuario es coherente en todas las ofertas de CA Identity and Access Management que utilizan la
estructura común de CA Technologies para el aspecto, la determinación del alcance administrativo y la delegación
de tareas.
Consola de CA ControlMinder Enterprise Management
Ilustración K.
Enterprise Management
World View proporciona
una vista del entorno
desde la perspectiva
de una terminal,
perspectiva de un grupo
de host o desde una
perspectiva de política,
lo que le permite
explorar la jerarquía
hasta el nivel de
administración de
terminal si es necesario.

Integración con directorios de LDAP empresariales
CA ControlMinder Enterprise Management puede utilizar Microsoft Active Directory y Sun-One LDAP como
almacenes de usuario back-end. En la documentación de productos de CA ControlMinder puede encontrar los
pasos detallados para la configuración de cualquiera de estos directorios.
Ilustración L.
Configuración de
CA Enterprise
Management Console
para utilizar LDAP
(Sun One) como almacén
de usuarios.

22
CA ControlMinder
Proporcione una sólida autenticación de varios factores con los tokens RSA SecurID
La IU web de CA ControlMinder Enterprise Management ahora utiliza tokens RSA SecurID para una autenticación
contundente.
A continuación se enumeran los componentes requeridos para esta integración:
• Access Control 12.5 SP4 Enterprise Management que se ejecuta con JBoss
• Apache Web Server compilado con Proxy Module
• Administrador de autenticación de RSA
• Agente web de autenticación de RSA
• Generador de token de RSA
Una vez verificado por el administrador de autenticación de RSA, un usuario puede iniciar sesión automáticamente
en CA ControlMinder Enterprise Management sin proporcionar un Id. de usuario o contraseña durante el período
de tiempo de espera del cookie de RSA. Una vez concluido el tiempo de espera, el usuario debe volver a
autenticarse con RSA para obtener acceso a CA ControlMinder Enterprise Management.
CA ControlMinder Enterprise Management puede admitir simultáneamente RSA SecurID y los métodos de
autenticación habituales con Id. o contraseña de usuario. Si un usuario no se autentica con RSA, aun puede
suministrar un Id. o contraseña de usuario para obtener acceso a CA ControlMinder Enterprise Management.
Capacidades de auditoría sofisticadas y seguras
El cumplimiento suele requerir acciones de usuario importantes dentro del sistema para que se pueda controlar y
comprobar a través de las pistas de auditoría. A los fines de abordar eficazmente las auditorías de cumplimiento
habituales, estos datos se deben recolectar centralmente y administrar de forma segura. CA ControlMinder ofrece
registros de auditoría independientes que no pueden ser modificados por usuarios no autorizados, incluso
administradores de dominio o de sistema.
CA ControlMinder genera registros de auditoría seguros y fiables que asocian los Id. de usuarios verdaderos a
todas las acciones con recursos protegidos (aun después de operaciones con sustitutos). Cualquier acción que
intente un usuario relacionada con una política de acceso se puede registrar, como, por ejemplo, si se permitió
o no al usuario completar correctamente su solicitud. Si surge la necesidad de una investigación, estos datos
de auditoría detallados y precisos pueden acelerar el proceso de identificación del origen del ataque y
sus actividades.
Modos de auditoría integrales
CA ControlMinder ofrece las siguientes tres configuraciones de auditoría:
• Éxito, que genera un evento cada vez que se accede correctamente a un recurso auditado.
• Fallo, que realiza el seguimiento y registra todas las denegaciones de acceso.
• Advertencia, que genera un registro de auditoría cada vez que se viola una política de acceso, aunque
CA ControlMinder no niegue el acceso.
23
CA ControlMinder
Puede definir el modo de auditoría o una combinación de modos que se debe aplicar para cada usuario, grupo
o recurso. Por ejemplo, la auditoría del grupo de administradores de seguridad y el nivel general de auditoría
para archivos se puede definir en Fallo, pero específicamente para los archivos de configuración del sistema,
se generarán eventos de auditoría tanto para Éxito como para Fallo.
Direccionamiento de registros
El direccionamiento de todos los eventos de acceso relevantes a una ubicación única y segura constituye un
requisito clave para administrar eficazmente el cumplimiento. CA ControlMinder ayuda a suministrar la
capacidad de direccionar y centralizar todos los registros de control de acceso. Esto no sólo tiene la ventaja de la
consolidación de registros, sino que posibilita además la disponibilidad y la integridad de estos registros en el
caso de una infracción de red o compromiso del sistema.
Notificación en tiempo real
CA ControlMinder admite la notificación inmediata de eventos de seguridad que se pueden direccionar a
localizadores o a consolas externas a los fines de la resolución de problemas u otros sistemas de administración
de información de seguridad.
Autoprotección
Los demonios y los registros de auditoría necesitan protección contra posibles ataques, alteraciones o el apagado
del sistema. Los servicios de auditoría y los registros de CA ControlMinder cuentan con autoprotección y no se
pueden cerrar ni modificar. Esto da como resultado la integridad de los registros y la disponibilidad de la
información para investigaciones futuras.
Integración de CA User Activity Reporting
CA ControlMinder está integrada con CA User Activity Reporting; CA ControlMinder incluye una licencia de
CA User Activity Reporting únicamente a los fines de recolectar eventos de CA ControlMinder. Así, los eventos
de CA ControlMinder se envían a CA User Activity Reporting para un manejo más exhaustivo, lo que habilita el
agregado de archivos de registro, la correlación con otros eventos del entorno de TI de la empresa y la creación de
reportes de políticas específicas. Esto facilita el proceso de auditoría y sustenta las investigaciones detalladas y la
verificación de las auditorías clave de cumplimiento y las métricas de monitoreo. Las características de CA User
Activity Reporting también incluyen lo siguiente:
La recolección de datos de varias plataformas agrega datos de eventos de una amplia variedad de fuentes,
como: sistemas operativos, aplicaciones de negocios, dispositivos de red, dispositivos de seguridad, mainframes,
sistemas de control de acceso y servicios web.
Las herramientas en tiempo real para la recolección, visualización y generación de reportes proporciona
vistas personalizables y reportes relativos a roles de usuarios específicos.
La administración de alertas filtra y monitorea eventos graves y ejecuta alertas y otras acciones basándose en
políticas establecidas.
El repositorio central de datos de seguridad almacena datos de auditorías en un repositorio central,
construido en torno a una base de datos relacional y escalable para su fácil acceso, y genera reportes para el
análisis histórico.
24
CA ControlMinder
ControlMinder for Virtual Environments
CA ControlMinder for Virtual Environments es una solución única que administra el acceso de usuarios con
privilegios a máquinas virtuales e hipervisores, lo que ayuda a que las organizaciones controlen las acciones de
usuarios con privilegios, protejan el acceso al entorno virtual y cumplan con las exigencias de la industria. Ofrece
capacidades clave para administrar contraseñas de usuarios con privilegios, reforzar el hipervisor y auditar la
actividad de los usuarios con privilegios.
Beneficios clave
Mediante la combinación del control de acceso al host con la administración de usuarios con privilegios,
CA ControlMinder for Virtual Environments puede reducir el riesgo y el costo que implica administrar los usuarios
con privilegios en un entorno virtual. CA ControlMinder for Virtual Environments está diseñado para ayudar a su
organización en lo siguiente:
• Lograr conformidad normativa del centro de datos virtual
• Obtener visibilidad y control del entorno virtual
• Automatizar las operaciones de seguridad y reducir los costos de seguridad
• Agilizar la adopción de tecnología de virtualización para aplicaciones importantes
• Crear un entorno multiempresa protegido
Sección 3: Beneficios
CA ControlMinder: una solución potente para la
administración de usuarios con privilegios
CA ControlMinder ofrece una solución para ayudar a administrar y controlar el acceso de usuarios con privilegios.
Como ya se mencionó, CA ControlMinder tiene tres componentes clave:
• CA ControlMinder Shared Account Management para controlar usuarios con privilegios
• Refuerzo del servidor de terminal para aumentar la protección.
• Intermediario de autenticación de UNIX (UNAB) para autenticar usuarios desde un único almacén de usuarios.
Todos estos componentes se pueden implementar independientemente o conjuntamente como parte de una
solución general.
El refuerzo del servidor de terminal, UNAB y Shared Account Management de CA ControlMinder comparten la
misma administración empresarial e infraestructura de generación de reportes, almacén de políticas incorporado,
estructura de administración de accesos e identidades, modelo de delegación y determinación del alcance y la IU
web. Esto posibilita una rápida implementación y un tiempo de posicionamiento mejorado.
CA ControlMinder aborda sus inquietudes en torno a la disponibilidad de aplicaciones, bases de datos y servidores
mediante la administración y el control del acceso de usuarios con privilegios, y también brinda la flexibilidad
necesaria para admitir excepciones locales de manera responsable y que se pueda auditar. CA ControlMinder le
ayuda a lograr lo siguiente:
• Mitigar el riesgo
• Regular y auditar el acceso de usuarios con privilegios
25
CA ControlMinder
• Aplicar el cumplimiento basado en servidor y la generación de reportes
• Reducir los costos y la complejidad administrativos
• Eliminar las contraseñas integradas como parte del código de scripts, archivos por lotes, ODBC y
aplicaciones JDBC
Mitigar el riesgo
CA ControlMinder mitiga el riesgo a través de la protección de contraseñas de usuarios con privilegios y la
responsabilidad de los usuarios por sus acciones. Esto reduce el riesgo de que se utilicen programas para descifrar
contraseñas con el fin de obtener acceso ilegal al servidor o aplicación; de ese modo se reduce el riesgo y se
aumenta la integridad de los datos.
Regular y auditar el acceso de usuarios con privilegios
CA ControlMinder protege los servidores importantes (físicos y virtuales) gracias a la implementación de políticas
de acceso específico que se alinean con el rol del usuario en la organización, lo que brinda protección contra la
fuga de datos confidenciales. Todas las actividades administrativas se rastrean hasta el usuario específico para
permitir una verdadera división de las obligaciones a nivel de sistemas y para ofrecer responsabilidad mediante
una pista de auditoría.
Aplicar el cumplimiento basado en servidor y la generación de reportes
CA ControlMinder le ayuda a proteger los servidores importantes con la capacidad de crear e implementar
políticas de acceso específico que se equiparan con los requisitos de cumplimiento normativo e interno de la
organización en todas las áreas de la empresa. Más de 60 reportes innovadores abarcan elementos clave de
cumplimiento como la división de obligaciones, las políticas de privilegios y contraseñas, además de permitir que
las organizaciones reporten proactivamente sobre el estado de políticas clave de cumplimiento. Así se genera
visibilidad y responsabilidad de las políticas de cumplimiento y seguridad al tiempo que se aporta flexibilidad a la
administración de TI.
Reducir los costos y la complejidad administrativos
Con la administración central de políticas de acceso a servidores, cuentas de usuario, la autenticación de UNIX y
la administración automatizada de las contraseñas de usuarios con privilegios se alivia la carga de administrar la
seguridad en empresas globales y distribuidas con varias plataformas; algo que es más complejo en un centro de
datos virtual.
CA ControlMinder ofrece capacidades de administración avanzada de políticas para definir políticas una sola
vez y distribuirlas a los servidores de todo el mundo con solo pulsar un botón. La función Shared Account
Management de CA ControlMinder simplifica el proceso de administrar y distribuir las contraseñas de usuarios
con privilegios en tiempo real. La función UNAB de CA ControlMinder puede disminuir el costo de administración y
fortalecer la seguridad consolidando los almacenes de usuarios y manteniendo una única cuenta para todos los
usuarios de UNIX.
Eliminar las contraseñas integradas como parte del código de scripts, archivos por lotes y
aplicaciones ODBC y JDBC
La función Shared Account Management de CA ControlMinder elimina la necesidad de integrar a los scripts
contraseñas de aplicación como parte del código. La función de liberación de programa de Shared Account
Management recupera dinámicamente las contraseñas del servidor del CA ControlMinder Shared Account
Management en tiempo real, y así aumenta la eficacia y la seguridad general de la aplicación y sus datos
correspondientes. Esta función ayuda a liberar ciclos valiosos del sistema o de administración de la aplicación
que de otro modo se requerirían para mantener, cambiar y distribuir estos cambios de contraseña.
26
CA ControlMinder
Sección 4: Conclusiones
CA ControlMinder posibilita el potente control
de los usuarios con privilegios y aplica el
cumplimiento de normativas de seguridad
CA ControlMinder ofrece un nivel superior de protección de servidor, dispositivo y aplicación, además de aligerar la
carga administrativa de la administración de seguridad en diversos sistemas distribuidos en toda la extensión de
una empresa global. Ya no necesita definir y administrar permisos de usuarios con privilegios usuario por usuario y
servidor por servidor. Gracias a la administración avanzada de políticas, la agrupación lógica de host y la interfaz
centralizada donde sólo debe apuntar y hacer clic para implementar políticas corporativas, usted (y sus auditores)
pueden confiar en que cada usuario con privilegios posee únicamente los permisos para los datos y sistemas
necesarios para su función laboral.
Puede aplicar políticas de seguridad coherentes en diversos entornos de servidor al permitir que las políticas
de cuentas de usuarios, contraseñas y seguridad sean compartidas en todos los servidores, dispositivos y
aplicaciones administrados. Para complementar esta función, CA User Activity Reporting posibilita la recopilación
de información de auditoría segura, escalable y confiable con el fin de documentar las interacciones de cada
usuario con sistemas específicos.
Al proporcionar un conjunto tan extenso de plataformas compatibles, escalabilidad empresarial, arquitectura
altamente disponible y un entorno de administración flexible de políticas, las organizaciones pueden confiar
en que CA ControlMinder cubrirá sus necesidades de cumplimiento y protección de servidores ahora y por
largo tiempo.
Una pieza fundamental de la solución general de administración de identidades y accesos
CA ControlMinder se puede instalar independientemente y proporcionar plena protección sin necesidad de otros
productos de CA Technologies o de terceros. No obstante, todos los productos de la solución CA Identity & Access
Management comparten enfoques y componentes comunes respecto de la interfaz de usuario web, conceptos de
administración, la delegación de responsabilidades y la generación de reportes, con el fin de garantizar una
experiencia administrativa coherente.
Dado que la protección del acceso a sistemas operativos puede ser un único componente de una estrategia
exhaustiva de defensa, CA ControlMinder proporciona la integración con productos de seguridad de
CA Technologies como CA IdentityMinder™, CA SiteMinder® y CA GovernanceMinder™.
CA IdentityMinder proporciona administración del ciclo de vida de la identidad para administrar las identidades
en todas las áreas de la empresa. Las características de CA IdentityMinder incluyen lo siguiente:
• Aprovisionamiento de usuarios, cuentas, privilegios
• Administrar solicitudes de cambio y aprobaciones de flujo de trabajo
• Autoservicio para contraseñas e inscripción
27
CA ControlMinder
CA SiteMinder proporciona control de acceso web seguro para aplicaciones extranet. Las características
de CA SiteMinder incluyen lo siguiente:
• SSO web
• Administración de autenticación
• Autorización basada en políticas
• Amplia compatibilidad con aplicaciones y servidores web
CA GovernanceMinder evalúa, audita y limpia los permisos de acceso en sistemas y aplicaciones que ayudan
a definir y certificar los modelos de rol utilizados en la organización. Las características de CA GovernanceMinder
incluyen lo siguiente:
• Construcción de un almacén de identidades centralizado
• Auditar, definir/verificar políticas, certificar privilegios y soluciones
• Reportes y paneles de cumplimiento
Para obtener más información sobre la arquitectura y el método técnico de CA ControlMinder, visite
ca.com/controlminder
CA Technologies es una empresa de software y soluciones de administración de TI con
experiencia en todos los entornos de TI, desde entornos mainframe y distribuidos,
hasta entornos virtuales y de nube. CA Technologies administra y asegura los
entornos de TI, y permite que los clientes entreguen servicios de TI más flexibles.
Los innovadores productos y servicios de CA Technologies proporcionan la perspectiva
y el control esencial para que las organizaciones de TI mejoren la agilidad del negocio.
La mayor parte de las compañías Global Fortune 500 confía en CA Technologies para
administrar sus cambiantes ecosistemas de TI. Si desea obtener más información,
visite CA Technologies en ca.com.
Copyright © 2012 CA. Todos los derechos reservados. UNIX es una marca registrada de AT&T. Todas las marcas registradas, los nombres comerciales,
las marcas de servicios y los logotipos mencionados en este documento pertenecen a sus respectivas empresas. El propósito de este documento es
meramente informativo. Hasta donde lo permite la ley correspondiente, CA proporciona este documento “en las condiciones en que se encuentra” sin
ningún tipo de garantías, entre ellas, ninguna garantía implícita de comerciabilidad ni de aptitud para un fin determinado, ni garantía de que este
documento respete la ley en todos sus aspectos. CA no será responsable en caso alguno por pérdida o daño, directo o indirecto, derivado del uso de
este documento, incluidos entre otros, lucro cesante, interrupción de la actividad comercial, crédito mercantil y pérdida de datos, aunque se notifique
expresamente a CA de tales daños. CA no proporciona asesoramiento legal. Ni este documento ni ningún producto de software mencionado en el
presente documento servirán como sustituto del cumplimiento de leyes vigentes (entre ellas, leyes, estatutos, reglamentos, normas, directivas,
estándares, políticas, edictos administrativos y ejecutivos, etc., en conjunto denominados “leyes”) ni de cualquier obligación contractual con terceros.
Para obtener asesoramiento sobre cualquier ley u obligación contractual relevante, consulte con un abogado competente.
CS2078_0212

Download Report