Cak iam과control minder의진화-20121118

CA “Mi d ” B di 과
CA “Minder” Branding과
TM
ControlMinder 의 진화

Sangwon Cho, Sr. Solution Strategist
Sangwon Cho Sr Solution Strategist
2012.11.21

CA 보안 솔루션 New Branding ‐ “X‐Minder”

1 CA 보안제품에 대한 보다 쉬운 인지

2
CA IAM 솔루션 포트폴리오에 대한
“일관성”을 강조

3 각 제품의 영역과 기능에 대한 명확화

2 November 22, 2012 [CA "Minder" Branding과 ControlMinder의 진화] Copyright © 2011 CA. All rights reserved.

“X‐Minder” 로 변경

“Minder” Naming Table

제품 영역 이전 이름 현재 이름
Software-as-a-Service (SaaS) N/A CA CloudMinder™
CA Arcot® WebFort CA AuthMinder™
Advanced Authentication
CA Arcot® RiskFort CA RiskMinder™
Information Protection & Control CA DLP CA DataMinder™
CA Id tit Manager
Identity M CA Id tit Mi d ™
IdentityMinder™
Identity Management &
Governance
CA Role &Compliance
CA GovernanceMinder™
Manager
Secure Operation System (physical
& Virtual) & Privileged Identity CA Access Control CA ControlMinder™
Management
CA Si Mi d ®
SiteMinder CA Si Mi d ®
SiteMinder
CA SiteMinder®
Web Access Management & CA Federation Manager
Federated Identities
Federation or FedMinder
CA SOA Security CA SiteMinder® Web
Manager Services Security

Traditional Secure OS – Host Access Management

> 기존의 서버보안은 각각의 개별 서버에 존재하는 Resource (파일, 프로세스, 네트워크 등)에 대하여
이를 접근하여 사용하고자 하는 사용자의 접근을 그 역할에 따라 통제하는 것에 초점이 맞추어져
있었습니다.
있었습니다


서버 접근제어에 대한 도전

서버보안의 방식의 비교

Kernel Interceptor Restricted Shell Delegation Utility Native RBAC
OS Kernel 단에서 모든 시스 사용자 로그인 후 해당 shell sudo 기능을 통한 특권의 위 OS에서 제공하는 RBAC 기
방식 템 호출에 대한 접근을 제어 에 대한 접근제어를 강제하는 임으로 특권 계정에 대한 통 능을 활용하여 서버 접근제어
하는 방식 방식 제를 하는 방식 를 하는 방식
• 가장 강력한 보안성 제공 • 모든 사용자 활동에 대한 • 특권계정(root 등)에 대한 • 추가적인 module 설치 없
특징 (타 방식의 superset)
t) forensic 기능 강력
f i 통제 기능만 강력 이 서버 접근제어 가능

평가 “The kernel interceptor is considered the gold standard for UNIX security.” by BurtonGroup

서버보안 솔루션에 새롭게 요구되는 기능

Provisioning Auditing Virtualization
AD Bridge
Capabilities Event Forensic Support

CA ControlMinder Premium Edition Yes Yes Yes Yes VMware, MS, Xen
Quest Privilege Manager for UNIX No Yes Yes Yes VMware
IBM Tivoli Access Manager for OS No Yes No No IBM
Symark PowerBroker No Yes Yes Yes VMware
Novell Privileged User Manager No Yes Yes No VMware
Centrify Suite No Yes Yes No VMware, Xen
Fox Technologies C
h l i ControlMinder
l i d Yes Yes No Yes VMware

Source: <The Resurgence of UNIX Security Products> BurtonGroup, 2009

서버 접근제어에 대한 도전 (계속)

계정 및 • 전체 시스템의 사용자 계정의 생성, 변경, 삭제에 대한 통합 관리
기능
패스워드 • 공유계정, 서비스 계정 등 특권 사용자(Privileged User)에 대한
관리와 연동 패스워드 관리

• 보안 이벤트(사용자 로그인 로그아웃 파일접근 등)에 대한 기록 및
로그인, 로그아웃, 파일접근
감사 및 사용자 통합 관리
활동 모니터링 • 사용자 세션에 대한 포렌직 수준(키보드 로깅 & 사용자 UI 녹화)의
사용자 활동 감사 및 보고

• UNIX, Linux 및 Windows 서버 전체에 걸친 서버 SSO (Single‐Sign‐On)
대규모 환경의 • UNIX, Linux 및 Windows 서버 전체에 걸친 대상 서버 자동 인식, 서버
효율적 관리 정책의 일괄 관리 배포 및 동일한 보안 수준과 인터페이스 제공

• Host‐based Hypervisor OS 기반의 가상화 OS 지원 – Sun Zone, Hyper‐V,
가상화 환경의 HP VPAR IBM VIO/LPAR 등
Xen, HP VPAR, IBM VIO/LPAR 등
X
지원 • Bare‐Metal Hypervisor 기반의 가상화 OS 지원 – VMWare ESXi, Sun
LDOM 등

서버 IAM으로 통합
Source: <The Resurgence of UNIX Security Products> BurtonGroup, 2009

CA ControlMinderTM의 대응과 진화

IAM의 기능
cation Administration Authentication Authorization Audit

SSO/EAM 솔루션
Applic

인증강화 솔루션

로그통합
Server
r

통합계정관리 서버접근제어솔루션
AM의 대상

솔루션
Physical or Virtua Infra

솔루션 (CA ControlMinder PE & VE) (CA User
al

(CA Activity
IA

DB

DB접근제어솔루션
IdentityMinder) Reporting
Module)
work
et

네트워크 접근제어솔루션
Ne
oint
End-

End-Point 보안솔루션
Po


공용계정 패스워드 관리 – Shared Account Management

특권 사용자
패스워드 관리

CA ControlMinder
패스워드 재설정
패스워드 Check-Out

패스워드 검증 패스워드 Check-In IT
Administrator
Ad i i t t

로그인

Databas Web Router App
ATM e Server Switch Storage server Application Virtualization Windows Linux UNIX


계정관리와의 통합 – 계정과 권한관리의 통합

특권 사용자 계정관리와
패스워드 관리 통합


가상화 환경에 대한 보호

특권 사용자 계정관리와 가상화 환경
패스워드 관리 통합 보호

> 가상화 환경에서의 시스템 보안 및 안정성
이슈
물리적 분리가 아닌 논리적 분리에서 오는 부적절한
보안
완벽하지 못한 Auditing
Privilege Partition과 Virtual Machine 관리자 간 SoD
g
이기종 Virtual OS에 대한 중앙화되고 일관된 보안
관리 정책의 적용
서버 보안 solution 중 Kernel Intercepting방식의 경우
시스템 안정성을 위해 가상화 서버 벤더와 기술
certification이 필수
o VMWare - ESX, ESXi
o Microsoft - Windows Hyper-v (Logo Certified)
o Linux (RH/Suse) – XEN (Para & Full
Full-
Virtualization)
o Sun - Solaris 10 Zones, LDOM
o HP - VPAR
o IBM – VIO, LPAR


서버 Single Sign On – UNix Authentication Broker

특권 사용자 UNix
계정관리와 가상화 환경 Authentication
패스워드 관리 통합 보호 Broker
CA ControlMinder

계정관리

로그인
Endpoint
관리 (자동인식,
정책배포)
CA ControlMinder
Active Directory
y PAM Module
PAM Module
Enterprise LDAP
패스워드 정책
이벤트 로그
UNIX/LINUX


사용자 활동 모니터링 및 로그 통합

계정관리와 가상화 환경 Authentication 사용자 활동
패스워드 관리 통합 보호 Broker 모니터링

PUPM과 통합(Agentless 방식)
1
ControlMinder에서
1 User session 재성

CA ControlMinder
UARM에서 통합 SecureOS와 통합
검색/재생
색/재생 (Agent Based)
(Agent Based) 2
1/2 User Activity Reporting

User Session Recording Layer Captures SSH, Telnet, Citrix, RDP, VMWare, etc.

Web Router App
ATM Database Server Switch Storage
S server Application Desktop
D kt l
Virtualization Windows Linux UNIX


CA ControlMinderTM 통합관리

계정관리와 가상화 환경 Authentication 사용자 활동 CM
패스워드 관리 통합 보호 Broker 모니터링 통합관리

AC Enterprise
Mgmt. UNIX Group users
Policy
Management
Policies

Security
Administrator Linux Group users

Policy Policy Status &
Reports Report Data

Windows Group users
AC Enterprise Management Server의 주요 기능
보고서 제작 및 생성 공용계정, 서비스계정 등에 대한 OTP 발급 및 관리
Endpoint 자동 인식 및 Rule 기반의 정책 자동 배포 AD 기반 전체 서버에 대한 Single Sign On 지원 (AD
Kerberos Ticket 발급 등)
전체/개별 서버들에 대한 정책 배포 및 관리
(버전관리 포함)
( ) 계정사용 승인을 위한 workflow 내장
웹 기반의 관리콘솔 제공 (개별 서버 관리콘솔 포함) 외부 계정 저장소 지원


CA ControlMinderTM 의 진화

계정 및
패스워드
관리와 통합
Control
l
Minder SecureOS
통합관리

CA
ControlMinder

사용자 활동 가상화 환경
모니터링 보안

UNix
Authentication
Broker


감사합니다.
감사합니다

Cak iam과control minder의진화-20121118

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (17)

Similar to Cak iam과control minder의진화-20121118

Similar to Cak iam과control minder의진화-20121118 (20)

Cak iam과control minder의진화-20121118