comment contrôler l`accès des utilisateurs à

DOSSIER SOLUTION
CA ControlMinder
comment
contrôler l’accès
des utilisateurs
à privilèges au
sein de toute
l’entreprise ?
agility
made possible™
CA ControlMinder est une solution complète pour la gestion
des identités à forts privilèges, qui vous permet de gérer les
mots de passe des utilisateurs à forts privilèges, de générer
des rapports sur leurs activités et d’établir une séparation
très précise des fonctions dans l’entreprise.
2
CA ControlMinder
Résumé
Défi
Vous n’êtes pas le seul à vous préoccuper des défis toujours croissants liés à la protection des données et
des applications sensibles situées sur vos serveurs. En raison de la hausse de la valeur des données, des
réglementations de plus en plus strictes et du nombre d’utilisateurs à privilèges qui ont besoin d’un accès aux
serveurs, aux unités et aux applications critiques, il est de plus en plus difficile de protéger les informations
sensibles et la propriété intellectuelle. Le défi lié à la gestion des utilisateurs à privilèges inclut la gestion de
l’accès sécurisé aux données et mots de passe critiques associés à chaque utilisateur à privilèges.
Cela vous oblige à augmenter considérablement vos efforts pour contrôler les utilisateurs à privilèges dans des
environnements étendus, complexes et diversifiés. En parallèle, votre organisation informatique doit continuer
à répondre aux exigences métier, ce qui parfois vous demande de faire des exceptions locales tout en préservant
la sécurité et la responsabilité. Les organisations d’aujourd’hui doivent aussi faire face à des exigences
réglementaires d’audits de plus en plus strictes et de plus en plus complexes.
Vous pouvez vous appuyer sur les fonctionnalités de sécurité natives de vos systèmes d’exploitation, mais cela
soulève des préoccupations de sécurité relatives à la séparation de fonctions, ainsi qu’à la facilité de gestion et
aux violations de la conformité.
Outre l’implémentation des règles de sécurité, vous devez effectuer la maintenance et gérer les identités sur
UNIX®, ce qui est un autre défi. UNIX est généralement géré en silos, ce qui augmente les coûts administratifs et
les frais généraux.
Solution
Pour protéger les ressources de serveur, d’unité et d’application au sein de toute l’entreprise, vous avez besoin
d’un système de sécurité unique, central et indépendant qui fournit des moyens sûrs et souples pour contenir des
comptes de superutilisateurs en déléguant les droits nécessaires aux administrateurs autorisés. Le système de
sécurité doit aussi être capable de fournir des contrôles robustes pour gérer les utilisateurs à privilèges, centraliser
l’authentification et fournir une infrastructure d’audit et de reporting robuste.
CA ControlMinder™ fonctionne au niveau du système pour permettre une application efficace et cohérente dans
l’ensemble des systèmes, y compris les environnements Windows, UNIX, Linux et virtualisés. En distribuant les
règles de sécurité du serveur aux unités, aux serveurs et aux applications de terminal via des fonctionnalités de
gestion des règles avancées, vous pouvez contrôler les utilisateurs à privilèges. Par ailleurs, vous pouvez
supporter en toute sécurité l’audit de chaque changement de règles et de chaque action d’application afin de
vous conformer aux réglementations mondiales. La solution CA ControlMinder permet une approche holistique
de la gestion des accès, car elle contient des fonctionnalités clés pour protéger et sécuriser les données et
applications critiques, pour gérer les identités privilégiées, pour centraliser l’authentification UNIX avec
Microsoft® Active Directory (AD) et fournir une infrastructure d’audit et de reporting sécurisée.
3
CA ControlMinder
Avantages
CA ControlMinder vous permet de créer, de déployer et de gérer des règles de contrôle d’accès complexes et
très précises afin de permettre uniquement aux utilisateurs à privilèges autorisés d’accéder à vos données et à
vos applications les plus sensibles. Grâce à un support de plates-formes multiples (y compris virtuelles) et
l’intégration au reste de la famille de produits de CA Identity and Access Management, la solution
CA ControlMinder possède plusieurs avantages :
• Elle réglemente et vérifie systématiquement les accès à vos serveurs, vos unités et vos applications critiques
entre les plates-formes
• Elle gère les mots de passe des utilisateurs à privilèges
• Elle vous donne la possibilité de contrôler de manière proactive et très précise les utilisateurs à forts privilèges
• Elle vous permet d’appliquer vos exigences de conformité interne et réglementaire en créant des règles d’accès
au serveur et en permettant leur reporting
• Elle vous aide à réduire les coûts d’administration en gérant la sécurité de façon centralisée dans votre
entreprise distribuée à l’échelle mondiale
• Elle vous permet d’authentifier les utilisateurs à privilèges UNIX et LINUX, à partir d’un annuaire des utilisateurs
Active Directory unique
• Elle renforce le système d’exploitation, ce qui réduit les risques de sécurité externes et augmente la fiabilité de
l’environnement d’exploitation
• Elle peut être directement intégrée à une infrastructure d’audit qui produit des rapports spécifiques de la
réglementation approfondis
Section 1 : Défi
Les serveurs : une source de complexité dans les
data centers d’aujourd’hui
Gérer les règles de sécurité dans des environnements étendus reste un défi, parce qu’il est important d’être
réactif aux exigences métier, ce inclut la souplesse nécessaire pour pouvoir faire des exceptions locales. Les data
centers d’aujourd’hui nécessitent une visibilité exhaustive dans un ensemble de ressources de serveur, d’unité et
d’application toujours plus important, tout en offrant la responsabilité des changements et en protégeant les
données sensibles qui y résident.
L’impossibilité de gérer les utilisateurs à privilèges a été la cause directe de divulgation de données majeures.
Conserver l’intégrité des données est l’une des tâches les plus importantes des professionnels informatiques.
Adopter toutes ces technologies souples et évolutives des nouveaux data centers sans en évaluer les exigences de
sécurité et de protection des données est une erreur critique.
Les régulateurs surveillent
Selon un rapport de Privacy Rights Clearinghouse, depuis 2005 aux États-Unis, plus 340 millions
d’enregistrements contenant des informations personnelles sensibles ont été concernés par les violations de
4
CA ControlMinder
sécurité, ce qui a causé des dépenses importantes pour payer les amendes pour non-conformité, surveiller les
cartes bancaires, de crédit et renouvelée et réparer le préjudice apporté à l’image de marque.1 Ces violations
constantes ont poussé les organisations gouvernementales du monde entier à demander de meilleures pratiques
pour la protection des données et la sécurité des informations. Des réglementations, telles que les lois HIPAA,
GLBA, Sarbanes-Oxley, LPRPDE, la directive européenne pour la confidentialité des données, la norme ISO27001
et la norme Bâle II, ont pour but de résoudre ces problèmes.
La norme PCI DSS (Payment Card Industry Data Security Standard) a encore renforcé la plupart de ces cadres
réglementaires. En spécifiant la mise en place d’une série de 12 exigences pour protéger les données des titulaires
de carte, la norme PCI DSS a responsabilisé d’avantage les organisations informatiques.
De plus, la loi Sarbanes-Oxley contient des exigences précises relatives à la séparation des fonctions, garantissant
que la responsabilité quant aux processus métier complexes est répartie entre plusieurs ressources pour apporter
l’équilibre des pouvoirs à ces fonctions.
Par conséquent, la protection des ressources sophistiquée doit être implémentée pour répondre à ces exigences.
Vous devez aussi fournir des enregistrements et des rapports d’audits détaillés afin de justifier les contrôles, le
statut des règles et de sécuriser les journaux d’accès au serveur pour chaque audit. Ces réglementations spécifient
des contrôles précis et une cohérence multiplate-forme pour garantir la séparation des fonctions, en particulier
dans les environnements de système d’exploitation mixtes. En outre, en cas de corruption, il est également
demandé de pourvoir enquêter post-mortem sur l’incident. Les données d’audit sont collectées et consolidées
dans un référentiel de journal central.
Enfin, les exigences réglementaires devenant de plus en plus strictes, le reporting de conformité devient un
aspect important de toute solution de sécurité du serveur. Les rapports doivent être précis, répondre aux
exigences spécifiques en question et présenter les résultats d’une manière facile à comprendre.
Des données sensibles sont sur vos serveurs
Le type d’adversaire auquel nous sommes confrontés évolue : on ne peut plus supposer que les attaques sont
extérieures et proviennent de pirates anonymes. Aujourd’hui, une attaque peut tout aussi bien venir d’un employé
mécontent, d’un saboteur ou d’un partenaire métier à l’éthique et à la loyauté discutables. Par conséquent, vous
devez protéger vos ressources de serveur des attaques externes (qui proviennent encore de l’extérieur) et du
personnel interne, en particulier des utilisateurs à privilèges, qui ont accès à toutes les données sensibles qui
résident sur chaque serveur, unité ou application auquel ils peuvent accéder.
La protection des serveurs et la responsabilisation des utilisateurs à privilèges sont extrêmement complexes. Une
technique courante utilisée par les administrateurs de serveurs est de partager les comptes des utilisateurs à
privilèges et d’utiliser des identifiants génériques, tels que « administrateur » ou « root ». Néanmoins, cela pose
problème pour plusieurs raisons.
Problèmes relatifs aux audits. Partager des comptes d’utilisateurs empêche les journaux d’audit d’identifier
réellement l’administrateur qui a effectué des modifications sur les serveurs, diminuant ainsi la responsabilisation
si critique pour répondre aux exigences réglementaires.
Accès aux données. Ces comptes partagés finissent généralement par donner l’accès aux utilisateurs à privilèges
aux systèmes et aux données critiques, car il est trop compliqué de gérer une règle dans des milliers de serveurs
avec des règles d’accès précises.
1 Source : Privacy Rights Clearinghouse, janvier 2010.
5
CA ControlMinder
L’accès des utilisateurs à privilèges associé à la négligence des administrateurs peut souvent affecter la
continuité métier. Dans le même temps, avec le manque de responsabilité, il est presque impossible de retrouver
l’administrateur qui a commis les erreurs, ce qui mène à des problèmes relatifs à la responsabilité et à la sécurité.
Complexité de la gestion des mots de passe des utilisateurs à privilèges
Outre le maintien de la responsabilisation concernant l’accès des utilisateurs à privilèges, ces mots de passe
partagés doivent être stockés, modifiés et distribués en temps opportun et de manière sécurisée afin de se
conformer aux règles de sécurité définies par l’entreprise. De nombreuses applications utilisent des mots de
passe codés en dur dans des fichiers scripts shell et des fichiers de commandes, ce qui aggrave le problème.
Ces mots de passe sont statiques et disponibles pour tous ceux qui ont accès au fichier de script, y compris les
intrus malveillants.
Charge administrative croissante de la gestion des identités UNIX
D’après un rapport
de Verizon pour
l’année 2010, 48 %
des divulgations de
données sont
causées par des
initiés, soit une
hausse de 26 %
par rapport à
l’année qui a
précédé.
L’accès UNIX actuel est géré en silos avec de multiples référentiels de comptes distribués où les utilisateurs ont
plusieurs comptes dans différents systèmes. Cela augmente les coûts d’administration et les frais généraux,
ainsi que la complexité globale de l’environnement, car un grand nombre d’applications critiques dépendent
d’UNIX quant à leur temps de fonctionnement et leur disponibilité.
Défis de la virtualisation
Dans ce monde hétérogène, tout est question de garantie de règles cohérentes et de journalisation consolidée
dans les serveurs. Une explosion, au sens littéral du terme, du nombre de serveurs et d’équipements en cours de
gestion a aggravé ces problèmes. La prolifération anarchique des ordinateurs virtuels implique qu’il y a encore
plus de serveurs à gérer. De plus, comme les hyperviseurs ne se soucient pas de savoir quel système d’exploitation
est un invité, cela accentue le problème d’hétérogénéité. Cependant, le maintien de la sécurité de ce data center
étendu et virtualisé est largement négligé.
La virtualisation crée aussi une nouvelle classe d’utilisateurs à privilèges-hyperviseurs qui peuvent créer, copier,
déplacer ou alors gérer ces systèmes d’exploitation invités, en insistant sur la nécessité d’une séparation des
fonctions adéquate pour empêcher les données et les applications qui y sont exécutées d’être mises en danger en
plus des fonctionnalités d’audit.
Section 2 : Solution
Gestion et contrôle de l’accès des utilisateurs à
privilèges au sein de toute l’entreprise
Du point de vue de la gestion, l’administrateur système autrefois responsable d’un certain nombre de serveurs
exécutant une application spécifique ne suffit plus. Désormais, les administrateurs se spécialisent de plus en plus
pour gérer la complexité inhérente des applications qui sont plus distribuées et plus compliquées.
Le découplage du serveur, des systèmes d’exploitation et des applications qui utilisent des technologies de
virtualisation complique cette spécialisation. Un serveur de courriel et une base de données peuvent désormais
être exécutés sur le même serveur physique, ce qui augmente considérablement la complexité de
l’environnement.
6
CA ControlMinder
Par conséquent, ces administrateurs doivent s’authentifier de manière sécurisée avec des mots de passe à
privilèges et disposer de différents niveaux d’accès à leurs applications, leurs systèmes d’exploitation et leurs
hyperviseurs, ainsi qu’à des unités telles que des routeurs.
Fournir des fonctionnalités illimitées à tous ces administrateurs représente un risque majeur pour la sécurité.
Les comptes à privilèges (administrateur sous Windows, root sous UNIX) peuvent faire fonctionner n’importe
quel programme, modifier n’importe quel fichier et/ou arrêter n’importe quel processus. Cette incapacité à
limiter ces utilisateurs à privilèges, afin qu’ils puissent uniquement effectuer des tâches pour lesquelles ils sont
responsables, et d’associer des actions administratives spécifiques à une personne spécifique entraîne un manque
de sécurité et de responsabilisation et constitue une violation des exigences clés des réglementations de la
sécurité actuelles. Les utilisateurs à privilèges peuvent faire des erreurs, soit par accident, soit par malveillance.
La gestion efficace des utilisateurs à privilèges apporte la capacité de :
• Sécuriser, gérer et distribuer des informations d’identification aux utilisateurs à privilèges de manière automatique
• Contenir ces utilisateurs en déléguant les droits nécessaires au personnel approprié uniquement quand ils en
ont besoin
• Maintenir la responsabilisation de ces utilisateurs et avoir la capacité de générer des rapports sur leurs actions
Ces administrateurs peuvent travailler sans exposer de données sensibles ou de ressources métier critiques. Par
ailleurs, une telle approche fournit une piste d’audit et l’application de la responsabilisation des administrateurs
et de leurs actions. En outre, faisant face à la pression croissante de la réduction des coûts, les organisations
informatiques surmontent les barrières internes pour unifier les environnements UNIX et Windows dans la zone
d’authentification des utilisateurs.
CA ControlMinder
CA ControlMinder répond aux règles internes et aux réglementations de conformité externes en contrôlant et en
gérant de façon centralisée l’accès des utilisateurs à privilèges aux différents ensembles de serveurs, d’unités et
d’applications. En permettant la création d’une multiplate-forme, le déploiement et la gestion de règles de
contrôle d’accès très précises, tout cela à partir d’une console de gestion unique, CA ControlMinder dépasse les
contrôles basiques disponibles pour les systèmes d’exploitation natifs et répond aux besoins des règles et des
réglementations les plus strictes définies par l’entreprise.
L’intégralité de la solution est appelée CA ControlMinder et est constituée des composants suivants :
• CA ControlMinder Shared Account Management offre un stockage sécurisé des mots de passe des utilisateurs
à forts privilèges qui bénéficient ainsi d’un accès en toute sécurité
• La protection du terminal et le renforcement des serveurs incluent les éléments centraux de
CA ControlMinder, utilisés pour renforcer le système d’exploitation et appliquer le contrôle des accès en
fonction des rôles
• La transition avec l’authentification UNIX (UNAB) permet aux utilisateurs UNIX et Linux de s’authentifier en
utilisant leurs informations d’identification Active Directory
• L’intégration à CA User Activity Reporting vous permet de collecter et de consolider, de manière centralisée,
tous les journaux d’audit de CA ControlMinder dans un référentiel central qui peut être utilisé pour le reporting,
l’alerte ou la corrélation d’événements avancés
7
CA ControlMinder
CA ControlMinder Shared Account Management
Illustration A.
> Protection des mots de
passe partagés
> Responsabilisation de l’accès
aux comptes partagés
CA ControlMinder
Shared Account
Management
> Gestion des règles de mots de
passe des comptes partagés
> Suppression des mots de passe
en texte clair des scripts
CA ControlMinder
Réinitialiser le mot de passe
Extraire le mot de passe
Valider le mot de passe
Archiver le mot de passe
Administrateur
IT
Reporting sur l’activité utilisateur
Connexion
Corréler une activité à forts
privilèges à un utilisateur
Base de
données
Serveur Commutateur
Commutateur
Application Ordinateur
Web
de routage Stockage
APP
de bureau Virtualisation
Windows
Linux
Unix

Shared Account Management fournit un accès sécurisé aux comptes à forts privilèges, ce qui permet de contrôler
les accès à forts privilèges via l’émission de mots de passe pour une utilisation temporaire, ponctuelle ou, au
besoin, en rendant compte aux utilisateurs de leurs actions via un audit sécurisé. Cela fait aussi référence à ce
qu’on appelle l’extraction administrative.
La solution CA ControlMinder est également conçue pour permettre aux applications d’accéder aux mots de
passe du système par programmation et supprime ainsi les mots de passe codés en dur à partir de scripts,
de fichiers de commandes, d’ODBC et de wrappers JDBC. Cela fait aussi référence à ce qu’on appelle
l’extraction applicative.
Le support pour Shared Account Management est compatible avec une multitude de serveurs, d’applications
(y compris des bases de données) et d’unités réseau dans un environnement physique ou virtuel.
Fonctions de CA ControlMinder Shared Account Management
• Stockage sécurisé des mots de passe partagés. Shared Account Management stocke les mots de passe des
applications critiques et du système dans un référentiel de données sécurisé et protégé. Les utilisateurs qui ont
besoin d’accéder à ces mots de passe sensibles peuvent « extraire » et « archiver » ces mots de passe en
utilisant une interface utilisateur Web conviviale. Shared Account Management permet l’application de
« règles d’accès privilégié » qui déterminent quels utilisateurs peuvent utiliser quels comptes partagés.
• Règle des mots de passe de compte partagé. Chaque mot de passe géré par le biais de Shared Account
Management peut être associé à une règle de mot de passe qui définit son unicité. Les mots de passe générés
par ce biais sont acceptés par le système, l’application ou la base de données du terminal. Les règles des mots
de passe déterminent aussi l’intervalle pendant lequel Password Vault crée automatiquement un nouveau mot
de passe pour le compte.
• Détection automatique des comptes. Shared Account Management détecte automatiquement tous les
comptes d’un terminal géré connecté au serveur de gestion de l’entreprise prévu à cet effet. L’administrateur
de Shared Account Management peut alors décider quels comptes utiliser. Ces comptes sont ensuite attribués
à un « rôle d’accès privilégié » qui peut être accordé aux utilisateurs finals en tant que règle Shared
Account Management.
8
CA ControlMinder
• Architecture sans agent. CA ControlMinder Shared Account Management fournit une architecture basée sur un
serveur afin de réduire les efforts et les risques liés au déploiement. Aucun agent n’est requis sur les terminaux
gérés de CA ControlMinder Shared Account Management. Toutes les connexions sont traitées à partir du serveur
de gestion de l’entreprise CA ControlMinder à l’aide des fonctionnalités natives. Par exemple, les bases de
données utilisent JDBC, UNIX et Linux utilisent SSH. Quant à Windows, il utilise WMI.
• Intégration aux systèmes de centre d’assistance et d’émission de tickets. L’intégration à CA Service Desk
Manager permet l’ajout d’un ticket de centre de services pour les tâches de requête et d’urgence, la validation
du ticket de centre de services et fournit un approbateur qui affiche le ticket pour plus d’informations.
• Audit et reporting des accès à forts privilèges. Tous les accès à forts privilèges sont audités et journalisés
dans CA ControlMinder Shared Account Management. CA User Activity Reporting fournit des fonctionnalités de
corrélation et de journalisation améliorées, y compris la possibilité de corréler les journaux natifs générés à
partir de systèmes, d’applications ou de bases de données avec des journaux Shared Account Management. De
plus, si CA ControlMinder est installé sur des terminaux de serveur (UNIX, Linux et Windows), l’activité de tous
les utilisateurs à privilèges peut également être suivie et auditée. Ces journaux peuvent aussi être centralisés
dans CA User Activity Reporting et corrélés aux événements d’extraction générés par CA ControlMinder Shared
Account Management.
• Restauration et annulation de mot de passe. En cas d’échec du terminal CA ControlMinder Shared Account
Management, le terminal est restauré à partir d’une sauvegarde qui peut ne pas être la sauvegarde actuelle.
Dans ce cas, les mots de passe enregistrés dans Shared Account Management ne correspondront pas à ceux
restaurés à partir du terminal. Le serveur de gestion de l’entreprise CA ControlMinder affiche une liste des
anciens mots de passe utilisés et propose une option permettant de restaurer le terminal avec la configuration
actuelle de Shared Account Management.
Extraction administrative de Shared Account Management
• Responsabilisation de l’accès au compte partagé. CA ControlMinder Shared Account Management possède
une fonction d’« extraction exclusive » qui permet uniquement à certains utilisateurs d’extraire un compte à
un moment donné. De plus, Shared Account Management peut suivre les actions de l’utilisateur d’origine en
corrélant les événements d’accès sur les systèmes à l’événement d’extraction généré par l’application Shared
Account Management.
• Connexion automatique à Shared Account Management. Cette fonctionnalité est conçue pour rationaliser et
sécuriser le processus en permettant à un utilisateur de demander un mot de passe et de l’utiliser d’un simple
clic en connectant automatiquement l’utilisateur au système cible en tant qu’utilisateur à privilèges, tout en ne
voyant pas le mot de passe réel. Cela évite de se faire voler le mot de passe d’un simple coup d’oeil par-dessus
l’épaule et accélère le processus pour le demandeur.
• Intégration avancée de Shared Account Management à CA ControlMinder. L’intégration avancée de Shared
Account Management/CA ControlMinder vous permet d’intégrer vos terminaux CA ControlMinder à Shared
Account Management pour suivre les activités des utilisateurs qui extraient des comptes à forts privilèges. Cette
fonctionnalité est uniquement supportée lorsqu’elle est utilisée en association avec la fonction de connexion
automatique Shared Account Management, décrite ci-dessus, et vous permet de spécifier qu’un utilisateur doit
extraire un compte à forts privilèges via le serveur de gestion de l’entreprise avant de se connecter à un terminal
CA ControlMinder.
• Enregistrement de session et lecture privilégiés. L’enregistrement de session et la lecture privilégiés sont
désormais inclus dans CA ControlMinder Shared Account Management via l’intégration à un logiciel tiers. Cette
fonctionnalité facilite les audits grâce à un magnétoscope numérique pour enregistrer et lire les sessions des
utilisateurs à privilèges.
9
CA ControlMinder
• Fonctionnalités complètes de workflow. CA ControlMinder Shared Account Management fournit des
fonctionnalités complètes de double contrôle du workflow pour un accès régulier et urgent aux comptes à forts
privilèges. Le workflow peut éventuellement être activé pour certains utilisateurs finals et/ou certains comptes
à privilèges.
• Accès d’urgence. Les utilisateurs effectuent une « extraction d’urgence » lorsqu’ils ont besoin de l’accès
immédiat à un compte qu’ils ne sont pas autorisés à gérer. Les comptes d’urgence sont des comptes à privilèges
qui ne sont pas affectés à l’utilisateur selon le rôle traditionnel de l’utilisateur. Cependant, l’utilisateur peut
obtenir le mot de passe du compte sans intervention ni retard, le cas échéant. Dans un processus d’extraction
urgente, un message de notification est envoyé à l’administrateur. Cependant, l’administrateur ne peut ni
approuver, ni arrêter le processus.
Extraction applicative de Shared Account Management
• Application Shared Account Management vers une autre application. CA ControlMinder Shared Account
Management automatise la gestion des mots de passe de compte de service qui, autrement, serait manuelle
(Windows Services), gère les mots de passe utilisés par les tâches planifiées Windows qui nécessitent de se
connecter au système (tâches planifiées Windows) et s’intègre au mécanisme exécuté en tant que Windows
pour récupérer le mot de passe de l’utilisateur à forts privilèges en question à partir de Shared Account
Management.
• Application Shared Account Management vers une autre application. CA ControlMinder Shared Account
Management peut également réinitialiser automatiquement les mots de passe d’ID d’application. Il peut gérer
les comptes de service utilisés par un serveur d’applications IIS ou J2EE, ainsi que les applications qu’ils
hébergent, en interceptant les connexions ODBC et JDBC et en les remplaçant par les informations
d’identification actuelles des comptes à forts privilèges. Dans la plupart des cas, aucune modification des
applications n’est nécessaire pour bénéficier de cette fonctionnalité. Cette fonctionnalité nécessite d’installer
l’agent Shared Account Management sur le terminal où l’application est exécutée, ou sur le serveur J2EE s’il
s’agit d’une application Web.
• Extraction par programmation dans les scripts shell ou les fichiers de commandes. Vous pouvez utiliser
l’agent Shared Account Management à l’intérieur d’un script pour remplacer des mots de passe codés en dur
par des mots de passe qui peuvent être extraits à partir de CA ControlMinder Shared Account Management
Enterprise Management. Cela vous évite d’avoir à inclure des mots de passe codés en dur à l’intérieur de scripts.
Pour des détails plus techniques et plus approfondis sur Shared Account Management, consultez la fiche de
présentation technique de CA ControlMinder Shared Account Management.
10
CA ControlMinder
Protection du terminal et renforcement des
serveurs avec CA ControlMinder
Illustration B.
CA ControlMinder
propose une application
des règles de sécurité
basée sur des rôles.
ControlMinder
CA

Les éléments
centraux de CA ControlMinder sont les agents sécurisés et renforcés qui s’intègrent en natif au
système d’exploitation pour appliquer et auditer les règles précises nécessaires afin d’assurer le respect des
obligations de conformité. Les agents de terminal sont disponibles pour les principaux systèmes d’exploitation,
y compris les dernières versions de Linux, UNIX et Windows. La liste la plus récente des systèmes supportés se
trouve sur le site Web de support de CA.
CA ControlMinder propose des formats de package natifs pour l’installation et la gestion de CA ControlMinder en
natif sur les systèmes d’exploitation supportés. Cela permet à l’environnement d’une grande entreprise de
déployer rapidement de nombreux serveurs gérés.
De plus, CA ControlMinder fournit une interface Web conviviale et cohérente pour gérer des règles, les applications
et les unités de terminal. CA ControlMinder supporte en natif la plupart des plates-formes de virtualisation,
y compris VMware ESX, Solaris 10 Zones et les LDOM, Microsoft Hyper-V, IBM VIO et AIX LPAR, HP-UX VPAR,
Linux Xen et Mainframe x/VM, ce qui protège la couche hyperviseur et les systèmes d’exploitation invités qui y
sont exécutés.
Dans les environnements d’entreprise, il est devenu courant d’utiliser un annuaire pour la gestion des
utilisateurs et pour le déploiement des applications basé sur annuaire. CA ControlMinder supporte les référentiels
des utilisateurs de l’entreprise, c’est-à-dire les référentiels pour utilisateurs et groupes natifs du système
d’exploitation. Cette intégration native vous permet de définir des règles d’accès pour vos utilisateurs et groupes
d’entreprise sans avoir à synchroniser ou à importer les utilisateurs et les groupes dans la base de données de
CA ControlMinder.
11
CA ControlMinder
Protection du serveur multiplate-forme
De nombreuses organisations déploient une infrastructure de serveur diversifiée, incluant les systèmes WIndows,
Linux et UNIX. CA ControlMinder permet une gestion et une application cohérentes et intégrées des règles de
sécurité d’accès dans tous ces environnements. L’architecture des règles avancée fournit une interface unique par
laquelle les règles peuvent être administrées et distribuées aux souscripteurs Windows et UNIX en même temps.
La consolidation de la gestion des serveurs Linux, UNIX et Windows réduit la quantité de travail d’administration
requise et améliore l’efficacité de l’administrateur système, permettant ainsi d’économiser sur les coûts
de gestion.
Contrôle d’accès très précis
CA ControlMinder est une solution d’application de sécurité indépendante, ce qui signifie qu’elle ne s’appuie pas
sur le système d’exploitation sous-jacent pour appliquer les règles de contrôle d’accès au serveur. En fonctionnant
au niveau du système, CA ControlMinder surveille et réglemente l’accès aux ressources système, y compris celles
qui émanent d’administrateurs système domaine ou local. Ces fonctionnalités d’application d’accès très précises
servent à réglementer, à déléguer et à contenir des administrateurs de domaine ou tout autre compte dans
l’environnement informatique et permet les éléments suivants :
• Le contrôle d’emprunt d’identité. CA ControlMinder contrôle les fonctionnalités de délégation des utilisateurs
de substitution pour réduire l’exposition des utilisateurs non autorisés qui exécutent des applications avec des
privilèges avancés et pour assurer la responsabilisation de l’activité des comptes partagés. Par exemple, un
administrateur pourrait emprunter le profil d’identité d’une autre personne pour modifier les attributs de la liste
de contrôle d’accès d’un fichier (ACL, Access Control List) sans en être tenu responsable. CA ControlMinder
protège sur plusieurs niveaux en limitant d’abord le nombre de ceux qui utilisent la commande Run-As et UNIX
“su” et en préservant l’ID d’utilisateur d’origine même après les actions d’un substitut, garantissant ainsi que les
enregistrements des accès des utilisateurs dans les journaux d’audit affichent le compte d’origine. Cela permet
aux utilisateurs de se connecter en utilisant leur propre ID et en transformant leur profil en un compte à
privilèges en toute sécurité et sans perte de responsabilité.
• Maîtrise des superutilisateurs (administrateur/root). Le compte root est une source significative de
vulnérabilité, car il permet aux applications ou aux utilisateurs d’endosser un niveau de privilège plus élevé que
nécessaire. CA ControlMinder inspecte toutes les demandes entrantes en question au niveau du système et
applique l’autorisation basée sur des règles définies. Même les comptes root à privilèges ne peuvent pas
contourner ce niveau de contrôle. Par conséquent, tous les utilisateurs à privilèges deviennent des utilisateurs
gérés et sont responsables de leurs activités sur le système.
• Contrôle des accès en fonction des rôles. Les meilleures pratiques imposent que chaque administrateur
dispose de privilèges suffisants pour pouvoir exercer uniquement ses fonctions. En fournissant un
environnement sophistiqué de contrôle des accès basés sur des rôles, les administrateurs sont incapables de
partager un mot de passe administrateur et potentiellement de tirer profit de ses privilèges associés. Par défaut,
CA ControlMinder fournit des rôles d’administration et d’audits généraux qui peuvent être personnalisés et
développés pour satisfaire les besoins de votre organisation informatique.
• Application très précise. Les systèmes d’exploitation natifs (Linux, UNIX et Windows) proposent des
fonctionnalités limitées pour déléguer de manière très précise et efficace certains droits d’administration
système aux comptes d’utilisateurs moins puissants. CA ControlMinder fournit une application très précise et
réglemente l’accès en fonction de nombreux critères, y compris les attributs de réseau, l’heure, le calendrier ou
le programme d’accès. Ses fonctionnalités sont décrites ci-dessous :
12
CA ControlMinder
–– Contrôles supplémentaires très précis. Des contrôles qui offrent certains droits pour des fichiers, des
services. D’autres fonctions, au niveau du système d’exploitation (renommer, copier, arrêter, démarrer),
peuvent être affectées à un administrateur ou à un groupe d’administration spécifique.
–– Différents niveaux d’application. CA ControlMinder Warning Mode est généralement utilisé par les
organisations pour déterminer si les règles de sécurité proposées sont trop strictes ou trop laxistes,
afin qu’elles puissent être modifiées en conséquence. De plus, CA ControlMinder permet de valider
instantanément les effets d’une règle de sécurité sans appliquer la restriction via les paramètres de mode
de Validation.
–– Listes de contrôle d’accès améliorées. CA ControlMinder propose plusieurs fonctionnalités de listes de
contrôle d’accès améliorées pour renforcer la capacité de l’administrateur système à affecter correctement
des droits d’accès aux utilisateurs autorisés, y compris les listes de contrôle d’accès au programme
(PACL, Program Access Control List), qui permettent uniquement l’accès aux ressources à partir d’un
programme ou d’un binaire en particulier.
–– Contrôle des accès en fonction du réseau. Les environnements ouverts d’aujourd’hui requièrent un contrôle
strict des accès utilisateur et des informations qui circulent sur le réseau. Le contrôle des accès basé sur le
réseau ajoute une autre couche de protection pour réglementer l’accès au réseau. CA ControlMinder peut
gérer l’accès au port de réseau ou aux programmes d’accès du réseau, et les règles de sécurité du réseau
peuvent gérer l’accès bidirectionnel par l’ID, le nom d’hôte, l’adresse réseau, les segments ou d’autres
attributs du terminal.
–– Contrôle des connexions. CA ControlMinder peut améliorer la sécurité des connexions grâce à la limitation
des connexions utilisateur en initiant une adresse IP, un ID de terminal, un type de programme de connexion
ou l’heure de la connexion. CA ControlMinder peut également limiter les sessions de connexion simultanées
d’un utilisateur pour appliquer un accès utilisateur strict à un serveur. Les utilisateurs peuvent être
suspendus automatiquement après trop d’échecs de tentatives de connexion, ce qui protège les systèmes
des attaques par force brute. De plus, CA ControlMinder propose la suspension et la révocation sécurisées
des comptes d’utilisateurs dans les environnements distribués.
Gestion et contrôle de l’accès aux environnements virtuels
La virtualisation consolide plusieurs instances de serveur dans un seul ordinateur physique, en permettant un coût
total de propriété plus faible et une meilleure utilisation des ordinateurs. Malheureusement, la virtualisation crée
une nouvelle classe d’utilisateurs à privilèges-hyperviseurs qui peuvent créer, copier, déplacer ou alors gérer ces
systèmes d’exploitation invités. Cela engendre un besoin supplémentaire de séparation des fonctions adéquate et
de protection des ressources serveur consolidée pour s’assurer que toutes les données et toutes les applications
exécutées dans ces systèmes invités sont auditées et protégées de toute corruption.
En utilisant CA ControlMinder, vous pourrez contrôler ces administrateurs hyperviseurs et implémenter une
séparation des fonctions appropriée.
Cette fonctionnalité fournit une couche de protection critique pour limiter les risques de la virtualisation. Les
agents de terminal supportent une longue liste de versions de systèmes d’exploitation exécutés en tant qu’invités,
y compris VMware ESX, Solaris 10 Zones et les LDOM, Microsoft Hyper-V, IBM VIO et AIX LPAR, HP-UX VPAR,
Linux Xen et Mainframe x/VM.
Renforcement du système d’exploitation
Une couche critique intégrée à la stratégie de défense approfondie protège le système d’exploitation des accès ou
des pénétrations externes non autorisées. CA ControlMinder propose plusieurs mesures de sécurité pour ajouter
une couche supplémentaire de sécurité à vos serveurs.
13
CA ControlMinder
• Contrôles des fichiers et des annuaires. Les fichiers et les annuaires constituent l’épine dorsale des systèmes
d’exploitation, toute corruption peut mener à un refus de service et à un temps d’indisponibilité inattendu.
CA ControlMinder fournit un caractère générique puissant et des options d’accès au programme qui simplifient
la gestion des règles de niveau fichier. CA ControlMinder peut appliquer le contrôle des modifications aux
fichiers critiques et aux systèmes d’annuaire, ce qui améliore l’intégrité et la confidentialité des données. La
protection de niveau fichier est disponible pour tous les types de fichiers, y compris les fichiers texte, les
annuaires, les fichiers programme, les fichiers d’unité, les liens symboliques, les fichiers montés NFS et les
partages Windows.
• Exécution du programme autorisé. Pour éviter que l’environnement d’exploitation ne soit victime d’un
programme malveillant, en particulier des chevaux de Troie, CA ControlMinder fournit une protection de
programme autorisé de première ligne. Les ressources sensibles peuvent être marquées comme autorisées et
ces fichiers et programmes sont alors surveillés. De plus, CA ControlMinder bloque l’exécution en cas de
modification du programme par un programme malveillant. Les modifications au niveau des ressources
autorisées peuvent être limitées à certains utilisateurs ou groupes d’utilisateurs pour réduire encore plus la
probabilité de modification inattendue.
• Protection du registre Windows. Le registre Windows est une cible facile pour les pirates et les utilisateurs
malveillants, car la base de données centralisée contient des paramètres du système d’exploitation, y compris
ceux qui contrôlent les pilotes, les informations de configuration et le matériel d’unité, ainsi que les paramètres
de sécurité, d’environnement et du matériel. CA ControlMinder fournit une protection du registre via le support
de règles qui peut empêcher les administrateurs de modifier ou de trafiquer les paramètres de registre.
CA ControlMinder peut empêcher que les clés de registre soient supprimées et que leurs valeurs
correspondantes soient modifiées.
• Protection des services Windows. CA ControlMinder fournit une protection renforcée pour limiter le nombre
d’administrateurs autorisés pouvant démarrer, modifier ou arrêter les services Windows critiques. Cela protège
des refus de service des applications de production, telles que les bases de données, le Web, les fichiers et
l’impression, qui sont toutes contrôlées en tant que services sous Windows. Il est important de protéger ces
services des accès non autorisés.
• Confinement d’application. CA ControlMinder permet de définir des actions acceptées pour les applications
à haut risque. Tout comportement qui dépasse ces limites sera restreint par une fonction de confinement
d’application. Par exemple, une liste de contrôle d’accès peut être créée en se basant sur un ID logique qui
détient des processus et des services Oracle afin que son confinement lui permette uniquement de démarrer les
services de système de gestion de bases de données Oracle.
Enregistreur de frappes de clavier UNIX/Linux (KBL)
CA ControlMinder peut limiter les actions d’utilisateurs réguliers ou sensibles et peut même suivre les sessions de
certains utilisateurs, mais que pouvez-vous faire pour enregistrer tout ce qui a été fait au cours d’une session
d’utilisateur sensible ? La fonctionnalité KBL de CA ControlMinder vous donne cette possibilité. KBL se situe entre
le shell et le terminal/clavier et capture toutes les actions sur le clavier (entrée) et ce qui est affiché sur le
terminal (sortie).
Vous pouvez activer KBL simplement en modifiant le mode d’audit de l’administrateur/utilisateur duquel vous
voulez enregistrer l’activité du clavier.
14
CA ControlMinder
Illustration C.
Sélection de mode
interactif KBL sous UNIX/
Linux dans la gestion
des terminaux de
CA ControlMinder.

Fonctionnalités KBL
• Répéter la session (mode local sur le terminal CA ControlMinder uniquement)
• Imprimer la sortie/l’entrée de session
• Imprimer les commandes de session
• Corrélation avec le suivi de l’utilisateur CA ControlMinder
• Référentiel central avec les rapports CA User Activity Reporting
Illustration D.
Sortie de session KBL de
CA ControlMinder.

Les rapports KBL sont désormais disponibles dans CA User Activity Reporting avec des vues détaillées qui
affichent toutes les commandes entrées dans l’invite de commande et leur sortie respective.
15
CA ControlMinder
Illustration E.
Exemple de rapport
KBL disponible via
CA User Activity
Reporting.

Gestion centralisée des identités UNIX à partir
d’Active Directory—UNAB
La fonctionnalité UNAB (UNIX Authentification Broker, courtier d’authentification UNIX) de CA ControlMinder vous
permet de gérer les utilisateurs UNIX à partir de Microsoft AD. Il est ainsi possible de consolider les informations
d’authentification et de compte dans AD, plutôt que d’avoir à gérer les informations d’identification UNIX
localement sur chaque système.
Fonctionnalités UNAB
Gestion centralisée de l’authentification UNIX. UNAB permet de simplifier la gestion des utilisateurs UNIX
locaux en validant leurs informations d’identification par rapport à AD. Il n’est pas nécessaire de définir les
utilisateurs et les groupes dans le NIS ou localement dans le fichier /etc/passwd. Les attributs d’utilisateurs, tels
que le répertoire de base, le shell, l’UID, le GECOS et les règles de mots de passe sont récupérés à partir d’AD.
Module PAM léger. UNAB apporte un petit module PAM léger sous UNIX qui est ajouté à la pile PAM du terminal.
Packaging natif. UNAB propose le packaging natif, pour une installation et un déploiement facilités.
Intégration avec le journal d’événements Windows natif. Tous les journaux UNAB sont acheminés vers les
journaux d’événements Windows natifs. L’audit est ainsi simplifié et consolidé, mais cela permet également
l’intégration avec des outils SIM tiers.
Modes de fonctionnement flexibles. Vous pouvez configurer UNAB de manière à travailler en mode d’intégration
partielle ou totale, afin de faciliter le processus de migration.
• Mode d’intégration partielle. Dans ce mode, le mot de passe de l’utilisateur est stocké dans AD. Lors de
l’authentification, seule une validation du mot de passe par rapport à AD est effectuée. Les attributs
d’utilisateurs, tels que l’UID, le répertoire de base et le groupe principal sont récupérés depuis l’hôte UNIX
local ou le NIS, et non depuis AD. Lorsqu’un nouvel utilisateur est ajouté à l’organisation, l’administrateur doit
le créer à la fois dans AD et dans le fichier local/etc/passwd ou dans le NIS. Les changements de schéma
apportés à AD ne sont pas nécessaires au fonctionnement d’UNAB en mode d’intégration partielle.
16
CA ControlMinder
• Mode d’intégration totale. Dans ce mode, les informations sur l’utilisateur sont uniquement stockées
dans AD. Il n’existe aucune entrée utilisateur dans le fichier local/etc/passwd ni dans le NIS. Les attributs
d’utilisateurs, tels que l’UID, le répertoire de base et le groupe principal sont stockés dans Active Directory
et non sur l’hôte UNIX local ou sur le NIS. Lorsqu’un nouvel utilisateur est ajouté à l’organisation,
l’administrateur doit uniquement le créer dans AD et fournir les attributs UNIX requis. Le mode d’intégration
totale nécessite Windows 2003 R2, qui supporte les attributs UNIX.
Mappage d’attributs LDAP dynamique. Si Windows 2003 R2, nécessaire pour le mode d’intégration totale, n’est
pas supporté par votre organisation, UNAB dispose d’une fonctionnalité qui vous permet de mapper de manière
dynamique des attributs UNIX à des attributs AD non standard. L’extension ou le changement du schéma AD est
ainsi simplifié.
Fonctionnalités de mise en cache améliorées et support local. UNAB met en cache chaque connexion établie
dans sa base de données SQLite locale. Les informations mises en cache incluent le nom d’utilisateur, les attributs
d’utilisateurs, l’appartenance au groupe et la valeur de hachage du mot de passe. Si UNAB ne parvient pas à se
connecter à AD, il va alors tenter de valider les informations d’identification de l’utilisateur par rapport au cache local.
C’est ce que l’on appelle le support de la « connexion hors-ligne ». Vous pouvez configurer la durée de conservation
des enregistrements utilisateurs dans le cache local. Les utilisateurs locaux, par exemple l’utilisateur « root » ou les
comptes d’application et les comptes système, peuvent se connecter quelle que soit la connectivité AD.
Authentification unique UNAB. Cette fonctionnalité vous permet de mettre en oeuvre l’authentification unique
sur tous les hôtes UNAB compatibles avec Kerberos dans votre environnement. Si vous vous connectez à un hôte
UNAB compatible avec Kerberos, vous pouvez alors vous connecter automatiquement à tout autre hôte UNAB à
l’aide de vos informations d’identification Kerberos. En pratique, cela correspond à une solution d’authentification
unique au sein de l’environnement.
Règles de noms d’utilisateurs centralisées. Une fois que vous avez activé UNAB sur un terminal UNIX, des règles de
noms d’utilisateurs centralisées contrôlent les utilisateurs ayant accès à tel ou tel hôte ou groupe d’hôtes UNIX. Ces
règles de noms d’utilisateurs sont gérées et distribuées à l’aide de l’IU de CA ControlMinder Enterprise Management
et sont stockées localement sur chaque terminal de la base de données SQLite. Des règles de noms d’utilisateurs
peuvent être appliquées à un hôte ou à un groupe d’hôtes UNIX. Des règles de portée peuvent être définies en
fonction des utilisateurs et des groupes AD, permettant ainsi de réduire les frais généraux d’administration.
Illustration F.
Courtier
d’authentification UNIX.

17
CA ControlMinder
Accès à l’audit et au reporting à l’aide de CA User
Activity Reporting pour les utilisateurs à privilèges
La conformité signifie que vous devez disposer des règles appropriées, que ces dernières doivent être déployées
et, plus important encore, que vous devez être en mesure de prouver que vous êtes en conformité, à la fois avec
les règles d’entreprise et les normes réglementaires. Vous devez également tenir compte de tout écart vis à vis de
ces règles.
Pour être en mesure de garantir la conformité, les solutions de protection des ressources serveur doivent générer
des rapports qui attestent des règles de mots de passe, des niveaux d’autorisation et de la séparation de
fonctions. CA ControlMinder comprend une licence CA User Activity Reporting. Elle vous permet de visualiser l’état
de sécurité des utilisateurs, des groupes et des ressources en collectant des données à partir de chaque terminal
de l’entreprise. Ces données sont ensuite cumulées à un emplacement central et leurs résultats sont analysés et
comparés à la règle d’entreprise. Enfin, un rapport est généré. Cette licence CA User Activity Reporting est limitée
à la collecte et au reporting des événements CA ControlMinder. Si vous souhaitez disposer de davantage de
fonctionnalités de reporting, vous devez vous procurer une licence CA User Activity Reporting Module complète.
Le service de reporting fonctionne de manière indépendante pour la collecte des règles effectives sur chaque
terminal, de façon périodique. Le système dispose d’une fonctionnalité de résilience intégrée. En effet, le reporting
de l’état des terminaux ne nécessite aucune intervention manuelle, que le serveur de collecte fonctionne ou non.
En outre, les composants du service de reporting sont extérieurs au système d’application CA ControlMinder et ils
ne nécessitent aucune interruption des fonctions d’application des terminaux en cas de reconfiguration ou de
personnalisation des rapports.
Le service de reporting est structuré de manière à permettre le reporting de l’état des règles appliquées par
chaque terminal. Vous pouvez élaborer des rapports personnalisés à différentes fins ou utiliser l’un des 60
rapports prêts à l’emploi fournis par CA ControlMinder.
Conformité aux règles et rapports sur les droits
Aujourd’hui, le reporting de conformité ne se limite plus à la génération de rapports basés sur les événements
relatifs à des actions passées. À présent, la mise en conformité nécessite également des rapports proactifs qui
permettent de mettre en valeur l’état des règles à tout moment. Pour cela, CA ControlMinder dispose d’une
fonction de reporting proactif des droits d’accès des utilisateurs et des preuves des contrôles d’accès existants.
Par défaut, le service de reporting de CA ControlMinder intègre plus de 60 rapports standard qui offrent des
informations détaillées sur les droits et sur l’état actuel des règles déployées (et des déviations observées).
Ces rapports fournissent immédiatement de la valeur car ils constituent un complément à l’audit basé sur les
événements pour la surveillance des exigences de conformité et pour la mise en valeur des incohérences
existantes. Voici les principaux rapports standard.
Les rapports de gestion des règles vous permettent de voir l’état du déploiement des règles et les écarts par
rapport aux règles standard.
Les rapports sur les droits vous permettent de voir les droits dont bénéficient les utilisateurs et les groupes sur
les ressources système. Ils peuvent également servir à identifier les personnes qui ont accès à des ressources
spécifiques. Ils sont utilisés notamment pour voir qui dispose d’un accès root aux ressources.
Les rapports de gestion des utilisateurs vous permettent de voir les comptes inactifs, l’appartenance à un
utilisateur ou à un groupe et les comptes d’administration, mais également de gérer la séparation de fonctions.
18
CA ControlMinder
Les rapports de gestion de mots de passe fournissent des informations relatives au vieillissement des mots de
passe, à la conformité aux règles de mots de passe, etc.
Les rapports d’accès des utilisateurs à privilèges apportent des informations détaillées sur toutes les activités
des utilisateurs à privilèges, notamment l’extraction, l’archivage, l’approbation de flux de travaux, ainsi que
d’autres actions.
Illustration G.
Rapport CA
ControlMinder Shared
Account Management
affichant les comptes
à forts privilèges par
type de terminal.

Les rapports d’authentification UNIX fournissent toutes les données de droits et de rapport relatives au
composant UNAB de CA ControlMinder.
Illustration H.
Rapport UNAB détaillé
affichant les utilisateurs
AD globaux avec
attributs UNIX.

L’assistant de découverte des utilisateurs à privilèges (assistant initié par l’utilisateur) recherche les
utilisateurs à privilèges au sein de l’organisation et produit automatiquement un rapport.
19
CA ControlMinder
Le reporting de règles ouvert fourni par CA ControlMinder repose sur un système RDBMS standard.
L’interopérabilité avec des systèmes externes permet aux administrateurs d’exécuter des rapports de règles
à l’aide de l’outil de reporting de leur choix. Ils peuvent également personnaliser la mise en page des rapports
pour les rendre conformes aux normes internes ou aux exigences de l’auditeur.
Fiche d’évaluation du déploiement des règles
Illustration I.
Exemple de rapport
affichant un cliché à un
point donné dans le
temps conforme à des
règles spécifiques.

CA ControlMinder Enterprise Management
Avec des ressources de serveur toujours plus complexes et exigeantes en termes d’évolutivité, il est essentiel
d’être en mesure d’implémenter et d’appliquer une règle centralisée pour le contrôle des accès au sein de
toute l’entreprise. Il est cependant nécessaire de s’adapter aux exceptions locales et aux besoins métier.
CA ControlMinder compte un grand nombre de fonctionnalités de pointe destinées à faciliter et à rationaliser
la gestion des accès, tout en permettant des exceptions de manière responsable et visible.
Regroupement d’hôtes logique
Vous pouvez regrouper vos terminaux en groupes d’hôtes logiques, pour ensuite affecter des règles basées
sur l’appartenance à ces groupes, quelle que soit l’organisation physique de vos terminaux. Les hôtes peuvent
appartenir à un certain nombre de groupes d’hôtes logiques, en fonction de leurs propriétés et de leurs exigences
en termes de règles. Par exemple, si vous disposez d’hôtes fonctionnant sous Red Hat et sous Oracle, ils peuvent
être membres d’un groupe d’hôtes logique Red Hat, afin de disposer des règles de contrôle des accès Red Hat de
référence, tout en appartenant à un groupe d’hôtes logique Oracle, afin de disposer des règles de contrôle des
accès Oracle de référence.
Les groupes d’hôtes logiques sont utilisables aussi bien dans Shared Account Management que dans les
composants UNAB de CA ControlMinder. Dans Shared Account Management, les groupes d’hôtes logiques, tels
que les serveurs de bases de données peuvent disposer d’une règle commune qui autorise les utilisateurs à forts
privilèges à accéder à ces serveurs. Dans UNAB, il est possible d’appliquer un ensemble de règles de noms
d’utilisateurs à un groupe d’hôtes logique, afin de permettre aux utilisateurs de se connecter de manière
sélective, en fonction de leurs informations d’identification Active Directory.
20
CA ControlMinder
Groupes d’hôtes logiques
Illustration J.
L’administrateur de
sécurité peut définir des
groupes d’hôtes, leur
affecter des règles et
avoir une visibilité
complète de la
conformité de ces hôtes
avec les règles.

Contrôle de version des règles
CA ControlMinder vous permet de suivre les modifications apportées aux règles. Pour cela, les règles sont
représentées sous la forme d’une entité unique comportant différentes versions. Lorsque vous créez une nouvelle
version d’une règle, la version précédente est conservée et comprend des informations relatives aux règles qui
régissent le déploiement et l’annulation du déploiement de la nouvelle version de la règle. Les informations
suivantes sont également incluses : l’utilisateur qui a créé la règle (à des fins d’audit et de responsabilisation) et
sa date de création. En outre, un processus de mise à niveau vous permet de mettre à niveau tous les hôtes
affectés vers la dernière version de la règle.
Interface utilisateur Web de gestion d’entreprise commune
L’interface Web de gestion d’entreprise est simple, intuitive et vous permet d’effectuer des opérations de gestion
des règles avancées, tout en proposant une vue intégrée sur l’intégralité de votre environnement de serveurs
CA ControlMinder. Cette interface Web vous aide également à gérer des terminaux ou des modèles de règles et
vous permet d’effectuer les actions suivantes.
• Créer des hôtes
• Affecter des hôtes à des groupes d’hôtes
• Créer et mettre à jour des règles
• Affecter, ou retirer, des règles à des hôtes ou à des groupes d’hôtes
• Déployer et supprimer directement des règles sur des hôtes ou des groupes d’hôtes
• Mettre à niveau les règles affectées vers leur dernière version
• Auditer le déploiement des règles au sein de l’entreprise
• Naviguer au sein de l’entreprise par hôte, par groupe d’hôtes ou par règle
• Gérer des terminaux CA ControlMinder discrets à l’aide de la gestion des terminaux
• Détecter des utilisateurs à forts privilèges sur des terminaux Shared Account Management gérés
• Gérer les mots de passe des utilisateurs à forts privilèges sur les terminaux Shared Account Management
• Créer et gérer des règles de noms d’utilisateurs pour contrôler l’accès aux terminaux UNAB
21
CA ControlMinder
L’interface utilisateur est cohérente sur toutes les offres CA Identity and Access Management qui utilisent le cadre
CA Technologies commun pour leur apparence et leur interface, pour la délimitation de l’administration et pour la
délégation de tâches.
Console CA ControlMinder Enterprise Management
Illustration K.
La vue World View de
gestion d’entreprise
fournit une vue de
l’environnement à partir
de perspectives de
terminal de groupe
d’hôtes ou de règles, qui
vous permettent de
parcourir la hiérarchie
jusqu’au niveau de la
gestion du terminal si
nécessaire.

Intégration avec les annuaires LDAP d’entreprise
CA ControlMinder Enterprise Management est capable d’utiliser les annuaires Microsoft Active Directory et
Sun-One LDAP comme des référentiels des utilisateurs d’arrière-plan. Vous trouverez des informations détaillées
sur la configuration de ces annuaires dans la documentation produit de CA ControlMinder.
Illustration L.
Configuration de la
console de gestion
d’entreprise CA pour
utiliser LDAP (Sun One)
comme référentiel
d’utilisateurs.

22
CA ControlMinder
Une authentification multifacteur puissante grâce aux jetons RSA SecurID
L’interface Web de CA ControlMinder Enterprise Management peut désormais utiliser les jetons RSA SecurID pour
authentification forte.
Voici une liste des composants nécessaires à leur intégration :
• Access Control 12.5 SP4 Enterprise Management exécuté avec JBoss
• Apache Web Server compilé avec un module proxy
• RSA Authentication Manager
• RSA Authentication Web Agent
• RSA Token Generator
Lorsqu’un utilisateur a été vérifié par RSA Authentication Manager, il peut alors se connecter automatiquement
à CA ControlMinder Enterprise Management, sans avoir à fournir d’ID d’utilisateur ni de mot de passe, durant la
totalité du délai d’expiration du cookie RSA. Une fois le délai expiré, l’utilisateur doit à nouveau s’authentifier
à l’aide de RSA s’il souhaite accéder à CA ControlMinder Enterprise Management.
CA ControlMinder Enterprise Management peut supporter simultanément l’authentification par RSA SecurID
et par la méthode habituelle utilisant un ID d’utilisateur et un mot de passe. Si un utilisateur ne s’authentifie
pas avec RSA, il peut fournir un ID d’utilisateur et un mot de passe pour accéder à CA ControlMinder
Enterprise Management.
Fonctionnalités d’audit poussées et sécurisées
La conformité nécessite parfois que l’utilisateur effectue des actions critiques au sein du système pour permettre
un contrôle et fournir une piste d’audit. Pour répondre de manière efficace aux audits de conformité réguliers, ces
données doivent être collectées de manière centralisée et gérées en toute sécurité. CA ControlMinder fournit des
journaux d’audit indépendants qui ne peuvent pas être modifiés par des utilisateurs non autorisés, y compris les
administrateurs de domaine ou système.
CA ControlMinder génère des journaux d’audit sûrs et fiables, qui permettent d’associer de véritables ID
d’utilisateur à toutes les actions portant sur des ressources protégées (y compris après des opérations de
substitution). Il est possible d’enregistrer toute action relative aux règles d’accès tentée par un utilisateur, cet
enregistrement peut également indiquer si l’utilisateur en question disposait des droits nécessaires pour mener
cette demande à terme. S’il se révèle nécessaire de mener une investigation, ces données d’audit détaillées et
précises permettent d’accélérer le processus d’identification de la source et du contenu de l’attaque.
Modes d’audit complets
CA ControlMinder propose les trois paramètres d’audit ci-dessous :
• Succès, un événement est généré à chaque fois qu’il est possible d’accéder à la ressource auditée
• Échec, tout refus d’accès est suivi et enregistré
• Avertissement, un enregistrement d’audit est généré lors de toute violation d’une règle d’accès, bien que
CA ControlMinder n’empêche pas l’accès
23
CA ControlMinder
Vous pouvez définir un mode ou une combinaison de modes d’audit à appliquer pour chaque utilisateur, groupe ou
ressource. Par exemple, l’audit du groupe des administrateurs de sécurité et le niveau d’audit général des fichiers
peuvent être définis sur échec, mais les fichiers de configuration système peuvent entraîner la création
d’événements aussi bien pour le succès que pour l’échec.
Routage de journaux
Le routage de tous les événements d’accès pertinents vers un emplacement unique et sécurisé fait partie des
exigences clés d’une gestion efficace de la conformité. CA ControlMinder vous permet de router et de centraliser
l’intégralité des journaux de contrôle des accès. Les avantages que cela présente ne se limitent pas à la
consolidation des journaux : il est en effet possible d’assurer la disponibilité et l’intégrité de ces logs en cas de
faille dans le réseau ou de compromission du système.
Notification en temps réel
CA ControlMinder supporte la notification immédiate des événements de sécurité. Ces notifications peuvent être
routées vers des récepteurs d’appel ou des consoles externes, à des fins de résolution des problèmes, ou vers
d’autres systèmes de gestion des informations de sécurité.
Autoprotection
Les démons et les journaux d’audit doivent également être protégés des attaques, des pannes ou des
modifications potentielles. Les services et les journaux d’audit de CA ControlMinder disposent d’une
autoprotection et ne peuvent pas être arrêtés ou modifiés. Il est ainsi possible de garantir l’intégrité des
journaux et la disponibilité des informations à des fins d’investigation future.
Intégration à CA User Activity Reporting
CA ControlMinder est intégré à CA User Activity Reporting, pour lequel il dispose d’une licence destinée
uniquement à la collecte des événements CA ControlMinder. Par conséquent, les événements CA ControlMinder
sont transmis à CA User Activity Reporting, à des fins de gestion approfondie, de cumul des journaux, de mise en
corrélation avec d’autres événements de l’environnement informatique de l’entreprise et de création de rapports
spécifiques aux règles. De cette manière, le processus d’audit est facilité et le système supporte l’investigation et
la vérification détaillées de mesures d’audit et de surveillance de la conformité clés. Voici d’autres fonctionnalités
de CA User Activity Reporting.
La collecte de données multiplate-forme regroupe les données d’événements à partir d’un grand nombre de
sources, telles que les systèmes d’exploitation, les applications métier, les équipements réseau, les dispositifs de
sécurité, les mainframes, les systèmes de contrôle des accès et les services Web.
Les outils de collecte, d’affichage et de reporting en temps réel fournissent des vues et des rapports
personnalisables relatifs à des rôles utilisateurs spécifiques.
La gestion des alertes filtre et surveille les événements critiques et déclenche des alertes ou effectue des
actions en fonction des règles établies.
Un référentiel de données de sécurité central stocke les données d’audit dans un référentiel central, construit
autour d’une base de données relationnelle évolutive, pour un accès aisé, et dispose de capacités de reporting
pour l’analyse historique.
24
CA ControlMinder
ControlMinder for Virtual Environments
CA ControlMinder for Virtual Environments est une solution unique qui gère l’accès des utilisateurs à privilèges
aux hyperviseurs et machines virtuelles. Elle aide les organisations à contrôler les actions de ces utilisateurs,
à sécuriser l’accès à l’environnement virtuel et à se conformer aux réglementations sectorielles. Cette solution
fournit des fonctionnalités clés pour la gestion des mots de passe des utilisateurs à privilèges, audite l’activité
de ces utilisateurs et renforce l’hyperviseur.
Principaux avantages
Alliant contrôle de l’accès à l’hôte et gestion des utilisateurs à privilèges, CA ControlMinder for Virtual
Environments permet de réduire les risques et les coûts liés à la gestion de ces utilisateurs dans un
environnement virtuel. CA ControlMinder for Virtual Environments est conçu pour aider votre organisation à :
• Assurer la conformité au sein de votre data center virtuel
• Améliorer la visibilité et le contrôle de votre environnement virtuel
• Automatiser vos opérations de sécurité et réduire les coûts liés à la sécurité
• Accélérer l’adoption des technologies de virtualisation pour les applications critiques
• Créer un environnement d’hébergement multiclient sécurisé
Section 3 : Avantages
CA ControlMinder : une solution robuste de gestion
des utilisateurs à privilèges
CA ControlMinder fournit une solution qui permet de gérer et de contrôler l’accès des utilisateurs à privilèges.
Comme décrit plus, les trois composants clés de CA ControlMinder sont les suivants :
• CA ControlMinder Shared Account Management pour le contrôle des utilisateurs à forts privilèges
• Renforcement de la sécurité des serveurs de terminaux, pour une protection accrue
• Courtier d’authentification UNIX (UNAB), pour l’authentification des utilisateurs à partir d’un référentiel des
utilisateurs unique
Vous pouvez déployer ces composants de manière indépendante ou groupée dans le cadre d’une solution globale.
Le renforcement de la sécurité des serveurs de terminaux CA ControlMinder, UNAB et Shared Account
Management partagent une infrastructure de gestion d’entreprise et de reporting, un référentiel des règles
intégré, un cadre de gestion des identités et des accès, un modèle de délégation et de délimitation, ainsi qu’une
IU Web identique. L’implémentation et la rentabilisation sont ainsi accélérées.
CA ControlMinder répond à vos besoins en termes de disponibilité des applications, des bases de données et des
serveurs. Pour cela, cette solution gère et contrôle les accès des utilisateurs à privilèges, tout en demeurant assez
flexible pour supporter des exceptions locales de manière auditable et responsable. CA ControlMinder vous
permet d’effectuer les actions suivantes :
• Atténuer les risques
• Réguler et auditer l’accès des utilisateurs à privilèges
25
CA ControlMinder
• Appliquer la conformité et le reporting basés sur serveur
• Réduire les coûts d’administration et la complexité
• Éliminer les mots de passe codés en dur dans les scripts, les lots de fichiers et les applications ODBC et JDBC
Atténuer les risques
CA ControlMinder atténue les risques en sécurisant les mots de passe des utilisateurs à privilèges et en
responsabilisant les utilisateurs vis-à-vis de leurs actions. Le risque d’utilisation de programmes de décodage de
mots de passe pour accéder illégalement à un serveur ou à une application est moindre. Le risque est ainsi réduit
et l’intégrité des données accrue.
Réguler et auditer l’accès des utilisateurs à privilèges
CA ControlMinder sécurise les serveurs critiques (physiques et virtuels) en implémentant des règles d’accès
précises, qui s’alignent sur le rôle de l’utilisateur au sein de l’organisation, assurant ainsi la protection contre la
perte de données sensibles. Toutes les activités administratives sont suivies, jusqu’à l’utilisateur, afin d’assurer
une véritable séparation de fonction au niveau des systèmes et de garantir une responsabilisation par
l’intermédiaire d’une piste d’audit.
Appliquer la conformité et le reporting basés sur serveur
CA ControlMinder vous aide à sécuriser les serveurs critiques grâce à la fonction de création et de déploiement de
règles d’accès spécifiques. Ces règles correspondent aux exigences de conformité interne et réglementaire de
toute l’entreprise. Plus de 60 rapports prêts à l’emploi couvrent les éléments essentiels de conformité, tels que la
séparation de fonctions ou les règles de droits et de mots de passe. Ces rapports permettent aux organisations de
procéder à un reporting proactif portant sur l’état des principales règles de conformité. L’organisation bénéficie
de cette façon d’une responsabilité et d’une visibilité sur les règles de conformité et de sécurité, tout en apportant
une certaine flexibilité à la gestion informatique.
Réduire les coûts d’administration et la complexité
La centralisation de l’administration des règles d’accès aux serveurs, des comptes d’utilisateurs, de
l’authentification UNIX et de la gestion automatisée des mots de passe des utilisateurs à privilèges facilitent la
gestion de la sécurité au sein de des entreprises globales, distribuées et multiplate-formes, ce qui s’avère plus
complexe dans un data center virtuel.
CA ControlMinder offre des fonctions avancées de gestion des règles qui permettent de définir des règles et de les
appliquer à vos serveurs, quel que soit leur emplacement, d’une simple pression d’un bouton. La fonctionnalité
Shared Account Management de CA ControlMinder simplifie le processus de gestion et de distribution en temps
réel des mots de passe aux utilisateurs à forts privilèges. La fonctionnalité UNAB de CA ControlMinder permet de
réduire le coût de la gestion et de renforcer la sécurité, en consolidant les référentiels des utilisateurs et en
maintenant un compte unique pour tous les utilisateurs UNIX.
Éliminer les mots de passe codés en dur dans les scripts, les lots de fichiers et les applications
ODBC et JDBC
La fonctionnalité Shared Account Management de CA ControlMinder rend inutile le codage en dur des mots de
passe d’application dans les scripts. La fonction d’extraction par programmation de Shared Account Management
récupère dynamiquement et en temps réel les mots de passe depuis le serveur CA ControlMinder Shared Account
Management, augmentant ainsi l’efficacité et la sécurité globale de l’application et de ses données. Cette
fonctionnalité permet de libérer de précieux cycles d’administration système ou d’application, qui auraient sinon
été nécessaires au maintien, à la modification et à la distribution de ces changements de mots de passe.
26
CA ControlMinder
Section 4 : Conclusions
CA ControlMinder offre un puissant contrôle des
utilisateurs à privilèges et permet l’application de
la conformité de sécurité
CA ControlMinder apporte une meilleure protection pour vos serveurs, vos périphériques et vos applications.
Il permet également d’alléger la charge administrative que représente la gestion de la sécurité des divers
systèmes répartis au sein de l’entreprise. Vous n’avez plus à définir et à gérer les autorisations des utilisateurs
à privilèges en fonction de l’utilisateur et en fonction du serveur. Grâce à la gestion des règles avancée, au
regroupement d’hôtes logique et à l’interface centralisée de type pointer et cliquer pour le déploiement de règles
d’entreprise, vous (ainsi que vos auditeurs) pouvez être sûr que chaque utilisateur à privilèges dispose uniquement
des droits relatifs aux données et aux systèmes nécessaires à sa fonction.
Vous pouvez appliquer des règles de sécurité cohérentes sur divers environnements de serveurs. Il vous suffit
pour cela d’autoriser le partage des comptes utilisateur, des mots de passe et des règles de sécurité sur tous les
serveurs, les périphériques et les applications gérés. En outre, CA User Activity Reporting permet la collecte
d’informations d’audit sécurisées, évolutives et fiables, afin de documenter les interactions de chaque utilisateur
avec chaque système.
Le support d’un grand nombre de plates-formes, l’évolutivité de l’entreprise, l’architecture à haute disponibilité et
l’environnement de gestion des règles flexible sont autant de garanties pour les organisations de la capacité de
CA ControlMinder à répondre à leurs exigences en matière de conformité et de protection des serveurs,
aujourd’hui comme demain.
Un composant essentiel d’une solution de gestion des identités et des accès bien plus large
Vous pouvez installer CA ControlMinder de manière indépendante et garantir une protection totale, sans aucune
dépendance avec un autre produit de CA Technologies ou d’un tiers. Cependant, tous les produits de la solution
CA Identity & Access Management partagent des approches et des composants communs pour l’interface
utilisateur Web, les concepts d’administration, la délégation des responsabilités et le reporting, afin de garantir
une expérience d’administration cohérente.
Étant donné que la protection des accès au système d’exploitation peut être un composant d’une stratégie
de défense approfondie, CA ControlMinder propose une intégration avec d’autres produits de sécurité de
CA Technologies, notamment CA IdentityMinder™, CA SiteMinder® et CA GovernanceMinder™.
CA IdentityMinder offre une gestion du cycle de vie des identités, permettant ainsi de gérer les identités au sein
de l’entreprise. Voici quelques-unes unes des fonctionnalités de CA IdentityMinder :
• Provisioning des utilisateurs, des comptes et des privilèges
• Gestion des demandes de changement et de l’approbation de flux de travaux
• Mots de passe et enregistrement en self-service
27
CA ControlMinder
CA SiteMinder apporte un contrôle des accès Web sécurisé pour les applications extranet.
Voici quelques-unes unes des fonctionnalités de CA SiteMinder :
• Authentification Web unique
• Gestion de l’authentification
• Autorisation basée sur des règles
• Support étendu des serveurs Web et d’applications
CA GovernanceMinder évalue, audite et assainit les droits d’accès sur les systèmes et les applications utilisés
pour définir et certifier les modèles de rôles utilisés au sein de l’organisation. Voici quelques-unes unes des
fonctionnalités de CA GovernanceMinder :
• Construction d’un entrepôt centralisé des identités
• Audit, définition/vérification des règles, certification des droits et résolution des problèmes
• Rapports et tableaux de bord de conformité
Pour en savoir plus sur l’architecture et l’approche technique de CA ControlMinder, rendez-vous sur
ca.com/controlminder
CA Technologies est un éditeur de logiciels et de solutions intégrées de gestion des
systèmes d’information dont l’expertise couvre tous les environnements informatiques,
du mainframe au Cloud et des systèmes distribués aux infrastructures virtuelles.
CA Technologies gère et sécurise les environnements informatiques et permet à ses
clients de fournir des services informatiques plus flexibles. Grâce aux produits et aux
services innovants de CA Technologies, les organisations informatiques disposent de la
connaissance et des contrôles nécessaires pour renforcer l’agilité métier. La majorité
des sociétés du classement « Fortune 500 » s’appuient sur CA Technologies pour gérer
leurs écosystèmes informatiques en constante évolution. Pour plus d’informations,
suivez l’actualité de CA Technologies sur ca.com.
Copyright © 2012 CA. Tous droits réservés. UNIX est une marque déposée d’AT&T. Tous les noms et marques déposées, dénominations commerciales,
ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. Ce document est fourni à titre
d’information uniquement. Dans les limites permises par la loi applicable, CA fournit le présent document « tel quel », sans garantie d’aucune sorte,
expresse ou tacite, notamment concernant la qualité marchande, l’adéquation à un besoin particulier ou l’absence de contrefaçon. En aucun cas,
CA ne pourra être tenu pour responsable en cas de perte ou de dommage, direct ou indirect, résultant de l’utilisation de ce document, notamment la
perte de profits, l’interruption de l’activité professionnelle, la perte de clientèle ou la perte de données, et ce même dans l’hypothèse où CA aurait été
expressément informé de la survenance possible de tels dommages. CA ne fournit pas d’assistance juridique. Aucun produit logiciel référencé dans le
présent document ne peut être substitué à l’obligation du lecteur de respecter la législation en vigueur, notamment sous forme de loi, règlement,
réglementation, règle, directive, norme, mesure, politique, instruction administrative, décret-loi, ou autre (désignés collectivement sous le nom de
« Lois »), évoquée dans le présent document. Consultez un conseiller juridique compétent pour toute information concernant lesdites Lois ou
obligations contractuelles.
CS2078_0212