Segurança do Amazon AWS com
o CA ControlMinder™
A computação em nuvem não apenas tornou a infraestrutura de TI mais barata, tornou-a mais
rápida e mais flexível. No entanto, com esses benefícios vêm os riscos. Os administradores de
TI podem fazer mais alterações em mais sistemas mais rapidamente do que nunca. Isso não
apenas aumenta o dano potencial no caso de uma violação de segurança interna, mas também
aumenta o risco se um usuário externo tiver acesso à senha de um administrador.
Gerenciando identidades com privilégios na nuvem
Para minimizar os riscos, as identidades com privilégios em ambientes na nuvem
devem ser cuidadosamente controladas e monitoradas para garantir que os
privilégios administrativos sejam concedidos apenas quando forem especificamente
necessários. Este conceito de "privilégio mínimo" se aplica não apenas a identidades
com privilégios individuais, mas também a contas compartilhadas, como a "raiz" em
sistemas UNIX e Linux. Embora mais de uma pessoa possa precisar acessar essas
contas compartilhadas, com frequência, suas necessidades são diferentes. As funções
que podem ser executadas usando uma identidade compartilhada, desde acessar
recursos para iniciar e interromper serviços de sistema a instalar novo software,
devem ser determinadas não apenas de acordo com a identidade compartilhada,
mas também com o indivíduo que acessa essa identidade.
A abordagem da CA Technologies
A CA Technologies traz o gerenciamento e o controle abrangentes de identidades
com privilégios aos sistemas que executam o Amazon AWS, incluindo Ubuntu,
Debian Linux e Windows. Os recursos incluem:
• Gerenciamento de senhas de contas compartilhadas. Fornece acesso seguro
a contas com privilégios para usuários e programas, gerencia a complexidade de
senhas e permite a responsabilização por meio da emissão de senhas com base
temporária, de único uso e auditoria segura.
• Controles de acesso refinados. Analisa todas as ações realizadas por uma conta
compartilhada e determina se é necessário permitir, negar ou auditar operações,
como um comando a ser executado ou um diretório ou arquivo a ser acessado com
base no indivíduo que usa essa conta compartilhada.
• Ponte de autenticação do UNIX. Gerencia usuários do UNIX no Microsoft Active
Directory, permitindo a consolidação de informações de autenticação e contas.
• Registro de sessão. Fornece uma profunda compreensão sobre o que realmente
está ocorrendo nos servidores e computadores corporativos.
Copyright © 2014 CA. Todos os direitos reservados.
"Os ambientes virtualizados,
de nuvem privada e de IaaS
todos compartilham o fato
de que, com a consolidação
desses serviços em um espaço
menor de hardware e permitindo
a agilidade de expandir e contrair
dinamicamente o número de
serviços que são executados
nesse espaço, eles estão todos
reduzindo o isolamento entre
os serviços e concentrando
o risco geral. As soluções PAM
podem ser empregadas para
ajudar a atenuar esse risco
concentrado e a bloquear muitos
dos pontos frequentemente
negligenciados de acesso
"
com privilégios elevados.
– Gartner, Inc.*
2 | Segurança do Amazon AWS com o CA ControlMinder™
ca.com/br
Destaques da implantação:
•O Console de gerenciamento corporativo do CA ControlMinder
e seu banco de dados (MS SQL ou Oracle, que permite a alta
disponibilidade) são implantados em uma sub-rede privada
(Amazon VPC - Virtual Private Cloud), o que impede que os
usuários os acessem diretamente.
•O Console de gerenciamento corporativo do CA ControlMinder
pode ser gerenciado pela internet com a exposição de seus
serviços HTTP através do Amazon Elastic Load Balancer.
O balanceador de carga liga o tráfego HTTP de internet ao
Console de gerenciamento corporativo do CA ControlMinder
que é implantado na sub-rede privada.
•Os pontos de extremidade do CA ControlMinder são implantados
em cada instância do Amazon EC2 que precisar de proteção de
segurança. Esses pontos de extremidade se comunicam com
o CA ControlMinder por meio de servidores de distribuição, que
são implantados na mesma sub-rede das instâncias protegidas.
•Notificação por email usando o Amazon SES para notificar
os usuários quando ocorre o seguinte:
– Um evento que exige aprovação ou rejeição está pendente.
•Um aprovador aprova um evento
•Um aprovador rejeita um evento
•Um evento é iniciado, falha ou é concluído
•Um usuário do Console de gerenciamento corporativo
do CA ControlMinder é criado ou modificado
Arquitetura de implantação de referência
Internet
•Essa implantação pode ser utilizada para gerenciar um
datacenter no local além de instâncias de servidor em execução
no próprio AWS.
Amazon Elastic
Load Balancer
Instância Servidor de
protegida distribuição
NAT
Sub-rede privada
ENTM
Banco
Instância
de dados protegida
Sub-rede privada
Amazon Virtual Private Cloud (VPC)
Conecte-se com a CATechnologies em ca.com/br
Agility Made Possible: a vantagem da CA Technologies
A CA Technologies (NASDAQ: CA) fornece soluções de gerenciamento de TI que ajudam os clientes a gerenciar e proteger ambientes
de TI complexos, a fim de oferecer suporte a serviços de negócios ágeis. As organizações utilizam o software e as soluções de SaaS
da CA Technologies para acelerar a inovação, transformar a infraestrutura e proteger dados e identidades, do datacenter à nuvem.
A CA Technologies tem o compromisso de garantir que os clientes alcancem os resultados desejados e o valor comercial esperado através
do uso da nossa tecnologia. Para saber mais sobre os programas de sucesso de nossos clientes, visite ca.com/br/customer-success.
Para obter mais informações sobre a CA Technologies, visite ca.com/br.
* Gartner, Inc. "Gerenciando o acesso com privilégios em nuvens privadas e IaaS." Nick Nikols, 22 de agosto de 2013
Copyright © 2014 CA. Todos os direitos reservados. Microsoft, Windows e Active Directory são marcas registradas ou marcas comerciais da Microsoft Corporation nos Estados Unidos e/ou em outros países.
Linux® é marca registrada de Linus Torvalds nos EUA e em outros países. UNIX é uma marca registrada do The Open Group. Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos aqui
mencionados pertencem às suas respectivas empresas.
CS200-60310_0314