CA Privileged Access Manager r3 ご紹介 - Fujitsu › ... › capam-r3-introduction.pdfCA...

Click here to load reader

  • date post

    24-Jun-2020
  • Category

    Documents

  • view

    0
  • download

    0

Embed Size (px)

Transcript of CA Privileged Access Manager r3 ご紹介 - Fujitsu › ... › capam-r3-introduction.pdfCA...

  • Copyright 2018 FUJITSU LIMITED

    CA Privileged Access Managerご紹介

    2018年8月富士通株式会社

  • お客様の課題

    Copyright 2018 FUJITSU LIMITED1

  • お客様の課題

    内部不正や標的型攻撃による情報漏えいが心配!

    Copyright 2018 FUJITSU LIMITED

    ② 特権ID利用者の証跡ログが記録できないため問題が発生した時に不正利用者を特定できない

    ③ 金融機関等で必要不可欠な、特権IDによる作業の正当性を証明する監査に対応可能

    ① クラウド、仮想化環境、Webアプリケーション、ネットワーク・IoTデバイスなど、環境の多様化により管理対象が増加し、特権IDの運用・管理が大変

    特権IDの悪用を防ぎたい

    2

  • 解決方法

    Copyright 2018 FUJITSU LIMITED3

  • CA Privileged Access Manager が解決します

    CA Privileged Access Manager(CA PAM)は、特権IDを管理する製品

    多様なシステムを対象に特権IDのアクティビティを一元的に制御/記録/監視して、特権IDの悪用を防止

    高権限である「特権ID」を使って、「誰が」「いつ」「どんな操作」を行ったのか操作ログの記録や操作画面の録画ができるため、調査や監査に利用が可能

    「特権IDアクセス管理ソリューション」CA Privileged Access Manager

    Copyright 2018 FUJITSU LIMITED4

  • CA Privileged Access Manager が解決します

    CA PAMは、IPアドレスを持つ全システム(OS・DB・Webアプリケーション・仮想環境・クラウド環境・ネットワーク/IoTデバイス・PC等)の特権IDを単一ビューで一元管理・監視することができます。多様な特権IDの運用・管理の問題を解決します。

    オンプレミスとクラウドの特権IDを一元管理!

    Copyright 2018 FUJITSU LIMITED

    5

  • CA Privileged Access Manager が解決します

    特権IDの不正利用を抑止!

    Copyright 2018 FUJITSU LIMITED

    特権ID利用者の証跡ログが記録できることを広報しておくことで不正利用の抑止力になります。また、問題発生時に不正利用者を特定できない問題を解決します。

    6

  • CA Privileged Access Manager が解決します

    システム監査に求められる要件を網羅しています。必要不可欠な監査対応の問題を解決します。

    あらゆるシステム監査の要件を網羅!

    Copyright 2018 FUJITSU LIMITED

    カテゴリ CA Privileged Access Managerの主要機能 対応

    録画・ログの取得 操作を動画や静止画で録画 ○

    発行されたコマンドや操作情報の取得 ○

    特権IDや共有IDのログイン/ログオフのログ取得 ○

    拡張性 大規模環境でも短時間で導入可能 ○

    クラウド管理コンソールのアクセス制御 ○

    ITリソースに対するアクセス制御 ○

    セキュリティ リソースの改ざん防止 ○

    許可されていないコマンドの利用をブロック ○

    ログイン 直接サーバへのログイン可否 ○

    ID貸出認証システムの実装 ○

    7

  • 特権IDアクセス管理「CA Privileged Access Manager」

    Copyright 2018 FUJITSU LIMITED8

  • CA Privileged Access Manager 概要

    Copyright 2018 FUJITSU LIMITED

    A2A※パスワード管理

    埋め込みパスワードから管理パスワードへ

    操作録画・ログ管理

    全てのセッション操作録画ロギング

    内部不正ID盗用攻撃者

    特権乱用者

    コマンド制御

    ブラックリストコマンド・ブロック

    特権パスワード管理

    PW払出しワークフローパスワード自動変更

    操作モニタリング

    BLOCK!

    利用申請者協力会社等

    承認者

    承認済アクセス

    All in One

    既存データセンター オンプレミス/プライベートクラウド

    Mainframe, Windows, Linux, Unix, Networking

    VMware Console

    SSHTelnetRDP

    HTTPAPI

    企業機密特定個人情報

    承認アクセスのみが

    許可される

    ・1つの仕組みで包括的な特権アクセス管理・運用コストの最適化

    1アプライアンスで全ての管理者アクセスを制御&録画CA Privileged Access Manager

    ・OS,DB管理・Webアプリ

    ・ネットワーク機器・IoT等管理者

    ※A2A:App to App(アプリケーション間)

    9

  • CA Privileged Access Manager の特長

    Copyright 2018 FUJITSU LIMITED

    従来の特権ID管理製品はOSとDBのみ対応

    ゲートウェイ型仮想アプライアンスなので導入が簡単

    ☑ OSやDBが含まれたイメージファイルを仮想環境に認識させるだけ☑冗長化機能があるためクラスタ製品不要

    AWS, Vmware等の仮想環境の特権IDも管理できる☑IPアドレスを持つ全システム(OS・DB・ネットワーク・IoTデバイス・クラウド)の特権IDアクセスを単一ビューで一元管理

    特権IDのコマンドを制御☑特権IDに対して特定のコマンド実行を禁止 (Select、Update, Killなど)

    ハッカーが使用するコマンドをブロック

    オールインワンの仮想アプライアンス

    録画によって、内部の不正犯行を抑止

    1アプライアンスで同時に2000セッションレコーディングが可能

    ☑1アプライアンスで全管理者のアクセスを単一ビューで管理同時に2000セッションのレコーディングが可能

    世界最高水準のセキュアな特権ID管理基盤☑Common Criteria (ISO/IEC 15408) を満たす世界唯一の特権IDアクセス管理製品

    仮想サーバを動的に自動検知・登録・削除☑管理対象の仮想サーバに増減を自動的に検知管理対象として登録、削除。抜け漏れをなくし、運用負荷を軽減

    セキュリティ要件の厳しい米国の政府機関や金融機関で多数の導入実績

    人的な作業ミスを排除

    10

  • CA Privileged Access Managerのアピールポイント

    Copyright 2018 FUJITSU LIMITED

    Common Criteria Certification(CC)とは、主に政府機関へ導入する際に、その製品が国際的な様々な基準に準じていて充分に安全かどうかを定めたガイドラインのこと。アメリカ国立標準技術研究所(NIST)とアメリカ国家安全保障局(NSA)は国家情報保障パートナーシップ(NIAP)の元で米国CCに関する活動を共同で行っている。

    Common Criteria Certification

    Protection Profile – ポリシーマネージメント、エンタープライズセキュリティマネージメント、アクセスコントロール企業のセキュリティを管理するにあたり定めた基準を満たしているかどうか

    Evaluation Assurance Levels (EAL) – EALは、その製品が如何に充分にテストされているかを規定。 LEVEL4 ソースコードチェックをパス。

    CCの主要コンポーネントは2点

    PAMは「“世界最高レベル”の管理基盤」

    11

  • CA Privileged Access Manager

    Copyright 2018 FUJITSU LIMITED

    CA PAM 仮想

    アプライアンス

    Webブラウザ作業者

    承認者

    貸出IDを使用し、メンテナンスサーバへアクセス

    1 OS

    + 操作端末録画機能

    フロント

    サーバ群

    + 特権ID貸出

    Routers2 DB

    5 アプリケーション

    3. クラウド/仮想環境

    バックエンド

    サーバ群

    4. ネットワーク機器PAMの管理対象は下記のプロトコルを利用する管理アクセスです。PAMは踏み台となり、各管理者のクレデンシャルを安全に保管し、アクセスをコントロールすることで、管理者IDの悪用を排除します。

    • SSH• RDP• JDBC• HTTP/S

    12

  • CA Privileged Access Manager機能詳細

    Copyright 2018 FUJITSU LIMITED

    認証情報の管理

    共有ID利用ユーザの識別(e.g., Root/Admin)

    セッション録画 & メタデータ

    モニタリング & フィルタリング

    ID連携 (SSO/自動ログイン)

    ポリシーによるシステムへのアクセス制限

    豊富なユーザ認証

    14

  • 1. 認証情報管理

    Copyright 2018 FUJITSU LIMITED

    認証情報の管理

    重要なデータにアクセス可能な特権/共有アカウントの認証情報は安全に管理されていなければいけない

    15

  • 1. 認証情報管理

    Copyright 2018 FUJITSU LIMITED

    様々なシステムの認証情報(パスワード等)を安全に管理

    要塞化されたアプライアンスで認証情報を安全に保管

    豊富な管理対象

    •OS

    •DB

    •ネットワーク機器

    •Webサービス

    •Cloudベースサービス

    AWS

    •etc…

    Cloud

    Web

    Linux

    Windows

    DB

    ネッワーク機器

    16

  • 1. 認証情報管理

    Copyright 2018 FUJITSU LIMITED

    パスワードポリシー

    柔軟なパスワードポリシーにより企業に合わせたパスワード管理が可能

    •パスワードの複雑性と変更タイミングの定義

    •パスワード変更タイミングの定義

    •パスワード利用時のワークフロー&メール通知の定義

    •パスワードのチェックイン/チェックアウト (専用貸出)

    SSH鍵の管理

    パスワードだけではなく、Linux/Unix系のログインに多く使用されるSSH鍵認証のSSH鍵の管理もサポート

    •AWSマネジメントコンソールでも必須

    17

  • 2. ユーザ認証

    Copyright 2018 FUJITSU LIMITED

    認証情報の管理

    豊富なユーザ認証

    特権/共有アカウントや重要なサーバへアクセス可能な個人ユーザは正しく識別・認証されなければいけない

    18

  • 2. ユーザ認証

    Copyright 2018 FUJITSU LIMITED

    全てのアクセスの入り口となるPAMへのログインに様々な認証ストア/方式をサポート

    •PAM上のローカルユーザ(ID&パスワード)

    •標準的なディレクトリ

    Active Directory / LDAP v3

    •多要素認証

    RADIUS / TACACS+

    CA Advanced Authentication / RSA SecurID

    •ID フェデレーション

    SAML / ADFS

    •政府系で求められるスマートカード認証

    CAC (Common Access Card) / PIV (Private Information Verification)

    ActiveDirectoryLDAP

    AD CloudCloud

    19

  • 3. アクセスポリシー

    Copyright 2018 FUJITSU LIMITED

    認証情報の管理

    ポリシーによるシステムへのアクセス制限

    豊富なユーザ認証

    ユーザはそれぞれの役割に応じて許可されている管理対象サーバ・特権アカウントのみにアクセス可能

    20

  • 3. アクセスポリシー

    Copyright 2018 FUJITSU LIMITED

    アクセスポリシーにより、管理対象へのアクセスをユーザごとに細かく制御

    アクセスポリシーを構成するコンポーネント

    •ユーザ: “誰が”

    •デバイス: “どのサーバにアクセスして良いか”

    •その他のコンポーネント

    パスワード: “どのアカウントか”

    サービス: “どのようなアクセス/プロトコルか”

    録画: “アクティビティを録画するか”

    フィルタ: “管理対象へのログイン後にアクセス制御を行うか”

    アクセスポリシー

    = [ユーザ] + [デバイス] + [その他]

    21

  • 3. アクセスポリシー

    Copyright 2018 FUJITSU LIMITED

    ユーザ

    PAMにログインするユーザ

    •“2. ユーザ認証” で 認証されたユーザ

    註: 管理対象上のアカウントではない

    デバイス

    管理対象となるサーバ (ホスト名 or IP)

    •複数の管理対象アプリケーションが1つのサーバ上にある場合も、デバイスとしては1つ

    22

  • 3. アクセスポリシー

    Copyright 2018 FUJITSU LIMITED

    パスワード

    管理対象へのログインに使用するアカウントとそのパスワード

    •パスワードを指定しない場合には手動で入力も可能

    サービス

    管理対象へのログイン方法

    •Access Method:

    PAMが用意しているログインアプリケーション (SSH, RDP, Telnetなど)

    •Services:

    PAMで提供されていないログインアプリケーションを使用するための定義

    23

  • 3. アクセスポリシー

    Copyright 2018 FUJITSU LIMITED

    録画

    セッション録画の指定

    •Graphical: WindowsのRDP接続の録画

    •Command: Unix/Linux系のSSH/TELNET接続のキーボードロギング

    •Web Portal: Webアクセスの画面録画

    フィルタ

    対象へのログイン後のアクセス制御

    •コマンドフィルタ: コマンド実行のホワイトリスト/ブラックリスト

    •ソケットフィルタ: 対象サーバからの踏み台アクセス防止

    24

  • 4. ID連携 (SSO)

    Copyright 2018 FUJITSU LIMITED

    認証情報の管理

    ID連携 (SSO/自動ログイン)

    ポリシーによるシステムへのアクセス制限

    豊富なユーザ認証

    セキュリティのみならず、ユーザの利便性向上のためにもパスワード入力をせずにSSOできる事が望ましい

    25

  • 4. ID連携 (SSO)

    Copyright 2018 FUJITSU LIMITED

    管理対象サーバ/アプリケーションへのアクセス

    Access Method (AM)

    •AMはビルトインのログインアプリケーション

    •以下のプロトコルを使用した管理対象へのアクセスをサポート

    SSH / Telnet

    RDP など・・・

    •以下を行いたい場合には基本的にAMが前提となる (例外あり)

    SSO/自動ログイン

    セッション録画

    26

  • 4. ID連携 (SSO)

    Copyright 2018 FUJITSU LIMITED

    管理対象サーバ/アプリケーションへアクセス (続き)

    Services

    •AMでサポートされていないプロトコルやサードパーティのアプリケーションを使用してアクセスを行いたい場合に使用

    TCP/UDPサービス

    アクセスしたいポート、使用したいアプリケーションを指定 Webサービスへのアクセスの場合はURLを指定

    RDPアプリケーション

    管理対象Windowsサーバ上のアプリケーションを使用したい場合に定義 RDPで一度Windowsにログインし、その後アプリケーションを自動起動 アプリケーションを終了するとRDPセッションも切断

    27

  • 4. ID連携 (SSO)

    Copyright 2018 FUJITSU LIMITED

    PAMを経由した管理対象へのアクセス

    Linux

    Windows

    DBJDBC

    Web

    ブラウザ

    サードパーティツール

    PAM AM

    CA PAM

    ネッワーク機器外部ストレージ

    セッション録画

    28

  • 5. モニタリング&フィルタリング

    Copyright 2018 FUJITSU LIMITED

    認証情報の管理

    モニタリング & フィルタリング

    ID連携 (SSO/自動ログイン)

    ポリシーによるシステムへのアクセス制限

    豊富なユーザ認証

    ユーザのアクセスはモニタリングされるだけでなく、不正なアクセスは防止されなければならない

    29

  • 5. モニタリング & フィルタリング

    Copyright 2018 FUJITSU LIMITED

    モニタリング

    ログ

    •アクセス履歴の取得

    「誰がいつどこで何をしたのか」の履歴を取得

    セッションの開始/終了時間も記録

    ユーザが使用したアカウントやそのパスワード変更の履歴を取得

    フィルタ条件の違反を記録

    PAMの管理オペレーションを記録

    •ログ管理

    ログのアーカイビング&削除のスケジューリングが可能

    SyslogサーバやSIEMと連携しログ転送が可能

    30

  • 5. モニタリング & フィルタリング

    Copyright 2018 FUJITSU LIMITED

    モニタリング

    アラート

    •管理者へのメール通知

    モニタリングサービスの起動時

    ログのアーカイビング&削除時

    フィルタ条件の違反があった場合

    (Optional) PAMへのログイン時

    など・・・

    31

  • 5. モニタリング & フィルタリング

    Copyright 2018 FUJITSU LIMITED

    フィルタリング

    コマンドフィルタ

    •PAMを介するSSH/Telnetアクセスのコマンド実行制御

    ホワイトリスト or ブラックリストにより、許可/拒否コマンドを定義

    違反があった場合にはメールによるアラート通知可能

    特定回数以上の違反があった場合にセッションの強制切断が可能

    Linux

    リスト

    # passwd # passwd

    SSH

    32

  • 5. モニタリング & フィルタリング

    Copyright 2018 FUJITSU LIMITED

    フィルタリング

    ソケットフィルタ

    •PAMを介した管理対象サーバOSへのログインアクセス後、他のサーバへの踏み台アクセス防止

    ホワイトリスト or ブラックリストにより、特定のネットワーク&ポートへのアクセス許可/拒否

    違反があった場合にはメールによるアラート通知可能

    特定回数以上の違反があった場合にセッションの強制切断が可能

    Windows/ Linux

    リスト

    ログイン

    RDP/SSHサーバB

    サーバA

    33

  • 6. セッション録画

    Copyright 2018 FUJITSU LIMITED

    認証情報の管理

    セッション録画 & メタデータ

    モニタリング & フィルタリング

    ID連携 (SSO/自動ログイン)

    ポリシーによるシステムへのアクセス制限

    豊富なユーザ認証

    問題が発生した場合、後からユーザの実際のアクティビティを追跡できる必要がある

    34

  • 6. セッション録画

    Copyright 2018 FUJITSU LIMITED

    セッション録画

    以下のアクセスのセッションをビデオ形式で録画

    •AMを使用したアクセス

    •下記Serviceを使用したアクセス

    SSH/Telnetを使用したTCP/UDPサービス

    PAMブラウザを使用した Web Portalサービス

    RDPアプリケーション

    フィルタに違反したアクセスのハイライト

    メタデータ検索

    AMを使用したSSH/Telnetのセッション録画に対してはメタデータ(キーワード)検索が可能

    35

  • 6. セッション録画

    Copyright 2018 FUJITSU LIMITED

    RDPセッション録画のリプレイ

    36

  • 6. セッション録画

    Copyright 2018 FUJITSU LIMITED

    SSHセッション録画のリプレイ & メタデータ検索

    37

  • 7. 共有アカウントの識別

    Copyright 2018 FUJITSU LIMITED

    認証情報の管理

    共有アカウント利用ユーザの識別(e.g., Root/Admin)

    セッション録画 & メタデータ

    モニタリング & フィルタリング

    ID連携 (SSO/自動ログイン)

    ポリシーによるシステムへのアクセス制限

    豊富なユーザ認証

    作業後、監査対応のため特権アカウントを実際には誰が利用していたのかをレポートする必要がある

    38

  • 7. 共有アカウントの識別

    Copyright 2018 FUJITSU LIMITED

    レポート

    特権/共有アカウント利用のレポートを提供

    •レポートにより、特権/共有アカウントを誰が利用したのかを正確に識別

    •ビルトインで様々なレポートを提供

    View Password Request: 特権/共有アカウントパスワード利用アクセス履歴

    Account Passwords Updates: アカウントのパスワード更新履歴

    Cluster State: クラスタの状況

    Privileged Accounts: 特権アカウント一覧

    など

    •PDFだけでなく、HTMLやCSVなど複数のフォーマットをサポート

    •スケジュールによる定期的なレポート作成

    39

  • 7. 共有アカウントの識別

    Copyright 2018 FUJITSU LIMITED

    レポートサンプル

    40

  • 動作環境

    種類/用途 動作OS/環境

    CA Privileged Access Manager Virtual Appliance

    (PAM本体)

    VMware ESX/ESXi 5.1、5.5、6.0、6.5(仮想アプライアンスによりVMware上で動作)

    CA PAM Management Console OVA Appliance

    (PAMの統合管理)

    VMware ESX/ESXi 5.1、5.5、6.0、6.5(仮想アプライアンスによりVMware上で動作)

    CA Threat Analytics (for PAM)

    (リスク評価・分析分析)

    VMware ESX/ESXi 5.1、5.5、6.0、6.5(仮想アプライアンスによりVMware上で動作)

    CA Privileged Access Manager Server Control

    (きめ細かなアクセス管理)

    RHEL 7 (Intel64)/RHEL 6 (Intel64)/RHEL 6 (x86)/Windows Server 2012/Windows Server 2012 R2/Solaris 10/Solaris 11

    CA Privileged App to App Manager Client

    (パスワード埋込み機能)

    RHEL 7 (Intel64)/RHEL 6 (Intel64)/RHEL 6 (x86)/Windows Server 2008 R2/Windows Server 2012 R2/Solaris 10/Solaris 11

    CA PAM クライアントWindows 7/Windows 7 (64-bit)/Windows 8.1/Windows 8.1 (64-bit)/Windows 10/Windows 10 (64-bit)

    管理対象デバイス

    RHEL 7 (Intel64)/RHEL 6 (Intel64)/RHEL 6 (x86)/Windows Server 2016/Windows Server 2012 R2/Windows Server 2018 R2/Windows 7/Windows 7 (64-bit)/Windows 8.1/Windows 8.1 (64-bit)/Windows 10/Windows 10 (64-bit)

    Copyright 2018 FUJITSU LIMITED41

  • 登録商標

    Microsoft、Internet Explorer、Hyper-V、Windows、およびWindows Serverは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。

    UNIXは、米国およびその他の国におけるオープン・グループの登録商標です。

    OracleとJavaは、Oracle Corporation およびその子会社、関連会社の米国およびその他の国における登録商標です。文中の社名、商品名等は、各社の商標または登録商標である場合があります。

    Oracle Solarisは、Solaris、 Solaris Operating System、 Solaris OSと記載することがあります。

    Linuxは、Linus Torvalds氏の米国およびその他の国における商標または登録商標です。

    Red Hatは、Red Hat, Inc.の米国およびその他の国における登録商標または商標です。

    その他、本資料に記載されているシステム名、製品名等には必ずしも商標表示(TM・ ®)

    を付記しておりません。

    Copyright 2018 FUJITSU LIMITED42

  • Copyright 2018 FUJITSU LIMITED