CA云安全解决方案白皮书

解决方案简介CA云安全解决方案如何保证云服务安全？Wecan身份验证与访问管理解决方案让您能够在公共和私有IT云中管理用户身份、资源访问和其信息的使用。增加云用户的可视性和可信赖程度，在一定程度上能够缩短客户接受您的云服务的周期，同时降低安全管理的成本。02CA云安全解决方案执行摘要挑战如何为云服务提供足够的安全保障？当考虑到有可能在向云服务转移过程中无法控制局面的时候，对是否有充分的安全保障的质疑也很就容易理解了。IT机构带头为其所在的组织提供足够安全的技术是很有必要的，否则他们就要冒着失去运营商的危险，显而易见，这对任何一方都没有好处。解决方案CA安全解决方案可以帮助私有和公共云提供商：•管理身份效益•管理访问•管理信息CA安全解决方案在私有或公共云服务中为您提供成熟的解决方案来保护您重要的IT资产，您将会从以下几点受益：•通过改善控制能力以降低安全风险•通过提高透明度缓解监管压力•降低管理开支以提高效益•通过自动化安全工艺，加强IT灵活性CATechnologies优势与其它只提供部分解决方案但并没有在规模上得到肯定和推广的安全产品不同，CA云安全解决方案为管理用户身份、获取信息和用于一些现存大型网络和云部署的应用提供一个端到端系统。03CA云安全解决方案第一部分：挑战如何为私有和公共云提供安全保障？IT向云逐渐靠近显然是未来发展的一个趋势。但是从目前来讲，云所要担任的确切角色还不能确定：哪些应用、服务和数据将会/不会向那个方向发展。云周围和其内部创造力的爆发要追溯到网络发展初期。恰如之前人们对网络的质疑，今天对云来说，问题同样在于要思考“它将采取什么样的形式出现”，而不是质疑“它会不会出现”。对于云的必然性，安全专家们正如之前一样，他们也对现今的形势提出疑问，即鉴于构建和部署应用的新方法，如何才能创造和管理足够的安全控制能力？如何提供足够的安全几乎是每个人都要问的问题。当考虑到在向云转移的过程中有可能出现情况失控时，对于系统安全的质疑也是合乎情理的。云调查的各种结果一直显示首要考虑因素就是安全，但紧随其后的是对于其它诸如可用性、性能以及互操作性等复杂IT问题的不确定性。这些并不是新问题，只需对它们在云环境中重新进行考量和评估。公众以及IT安全部门的IT机构尤其应该带头为他们的机构解决这些问题，否则他们就有可能冒着失去运营商的危险，显而易见，这对企业和IT组织都没有好处。私有云与公共云企业多年来一直在构建当今被认为是私有云的架构。长期以来的趋势是朝着共享集中数据中心、普通硬件和软件平台以及包括helpdesk、安全和性能管理等在内的其他共享IT服务发展。例如，在“私有云”这个专有名词被发明和普遍使用之前，很多成熟的IT安全机构将他们的身份认证和安全服务定位为共享企业安全服务。近期朝着虚拟化平台使用的发展趋势被认为是云趋势的延续和技术上的进步。当然，从概念上讲，在企业范围内集中和共享的私有资源也可以在公共层面上得到进一步集中和共享。这也是IT行业中一个长期的发展趋势。这种情况能提升供消费者和企业购买的公共IT云服务市场。这些服务被进一步细化分类，形成现在公认的SPI（SaaS—软件即服务，PaaS—平台即服务和IaaS—基础设施即服务）。云计算的发展趋势会引发投资和创造的浪潮，正如已经讨论过的，它还会引发许多必须解决的复杂问题，以充分发挥云服务的潜力。具体到安全性和身份认证，IT机构需要有信心和依据来证明其应用、服务和数据已得到适当保护。在私有云和公共云中，身份和访问管理（IAM）实践可以控制所有的用户，允许他们对所有受保护的资源具有适当级别的访问权限，从而为有效的安全性奠定基础。那些有限的访问权利也会得到适当执行。很多系统管理功能、配置和解除帐户和访问权限的自动化能够帮助降低管理成本。通过让您的安全控制实现自动化以及简化您的契合度审查，IAM还能加强法规符合度。最终，它能够带来业务增长，并帮助您有效巩固与云用户之间的关系。04CA云安全解决方案任何认证和访问管理解决方案所必须回答的关键问题包括：•谁访问了什么？•通过访问他们可以做些什么？•他们用所获取的信息做什么？•他们已经做了什么？通过回答这些问题，您可以识别和修复不恰当的访问权限，还可以控制您基于云的IT资产得到适当保护。第二部分:解决方案在私有和公共云中控制认证、访问和信息当您为在云中的认证管理制定策略时，有三个重要问题需要解决，请见下图：图A在云中管理身份认证、访问和信息05身份管理访问管理信息管理业务需要管理和支配身份认证，根据不同角色，确定访问权限在物理、虚拟和云环境层面上对控制对系统和应用的访问查明、分类并控制基于内容和身份认证的信息是被如何使用的性能身份认证管理角色管理配置用户活动和合规性报告特权用户管理虚拟化安全web访问管理联盟信息发现识别分类数据策略管理CA云安全解决方案若要提供有效的安全保障，您必须做到以下三个方面：•管理身份：管理用户身份认证和其角色，限制用户对资源的访问，增强身份认证和访问规定的契合度以及监测用户和规范性活动。•管理访问：完善对网络应用、系统、系统服务和核心信息访问的相关政策，并为特权用户提供管理以避免不恰当的行为。•管理信息：发现、识别分类并防止公司和客户机密信息的泄漏事件。无论是在私有还是公共云中，对于云环境中的IAM安全而言，以上三方面因素是最基本的也是必要的。不幸的是，大多数IAM供应商只为前两项提供一些要素，这将使你无法对数据层面进行控制。CA可以为所有这些关键领域提供解决方案。管理身份认证私有和公共云服务供应商都疲于应对不同机构各种类型用户在数目上的激增、管理所有用户访问权限的复杂性，还需要向审计人员证明每位用户只有适当级别的访问权限。不幸的是，由于人工流程协调不利，许多针对这些问题的解决方法会让供应商面临更高的成本和更大的风险。对用户身份的管理不当也会对用户产生负面影响，因为低效率的进程会降低用户满意度和生产力。为了消除这些低效率事件，整个用户身份认证生命周期需要自动化。通过例如自动化配置和工作流程之类的功能，云供应商可以获得显著效益。因为用户使用效率的提高使得管理者有更多的时间专注在能够满足自身需求的项目上。CA为身份认证生命周期管理提供了健全和完整的方法。CA解决方案包括身份认证管理能力、角色管理和开发能力以及用户配置能力。这种端到端的方法包括用户身份的初步创建、账户和其所需访问权限的分配、用户角色变化带来的持续不断的权限修改以及在用户终止使用服务之后及时移除这些权限和账户。另一个管理用户的重要问题是关于用户活动和合规性的报告。许多机构都被过量的系统日志信息压得无法喘息。人工处理这些信息不仅浪费了大量时间，而且阻碍了对重大安全事件的有效识别。此外，许多条例规定需要收集、储存和审查系统日志信息，光凭人工操作是不可能满足这一需求的。为了有效地符合这些要求，您需要一个自动化的可重复的进程来识别和解决违反规则和管理的行为。06CA云安全解决方案能让您在私有和公共云中有效地管理用户身份认证的CA产品包括：•CA身份管理器（CAIdentityManager)：提供身份管理、配置/卸载、用户自助服务和合规性审计和报告。它帮助您建立始终如一的的身份安全规则、简化合规步骤，以及在面对多个独立使用者时，将重要的身份认证管理实现自动化。此外，它能够在如Salesforce.com等各种预置应用及其他云服务中管理用户帐户。•CA角色和合规管理器（CARoleandComplianceManager）：提供角色管理和识别、特权清理、权利认证和合规性报告。它帮助您确认用户始终享有合适的权利，同时对所有用户和租户实行统一的身份合规性规定。•CA企业日志管理器（CAEnterpriseLogManager）：提供日志文件收集、筛选、分类和分析。它能帮助您将用户活动分析这项艰巨任务实现自动化，从而降低成本和潜在安全事件风险。它还提供权全面的合规性报告来帮助简化审计过程。管理访问管理访问重要IT资源不仅要求有效的符合度，也是为了保护利益相关者的价值、客户信息和知识产权的需要。没有有效的访问规则执行，不正当的访问，无论是有意的还是无意的，都能引发灾难性后果。在SaaS、PaaS和IaaS这三类云服务中，需要考虑以下两个重要领域：•控制对基于网络的应用和服务的访问•控制特权用户对信息、应用和服务的访问网络访问管理当今的组织面临两个看似相互矛盾的问题。为了提高效绩和收入，他们必须更加依赖能够将他们与其客户、合作伙伴和员工连接起来的互联网和网络应用。另一方面，在企业将其系统向企业内外数百万潜在用户开放的同时，也在一定程度上将其自身的网络和数据暴露在重重风险之中，这将会给整个企业带来危害。CASiteMinder是十多年来在业内一直保持领先的一款网络访问管理产品，能够为私有和公共云的用户认证、单次登录、授权和报告奠定必要基础。基于一系列灵活的静态和动态标准，它能够帮助您创建访问规则，从而来控制对重要应用的访问。这种灵活性能够更容易地控制用户访问您的应用程序，帮助消除每个应用程序本身对相关安全代码的需要。这加快了应用程序的发展，降低了维护和管理成本。CASiteMinder已经在一些世界最大型的和最复杂的IT运行环境中得到成功部署。数百万用户已经证实，这款产品有着很好的性能和很高的可信赖程度。07CA云安全解决方案对于必须与其他安全领域或者云服务进行互操作的IT云来说，最重要的一点是，CA解决方案也包含基于标准的身份认证联盟的能力，通过全面的合作伙伴生态系统的扩张来确保增长。通过允许合作伙伴安全访问您的应用，您可以简化价值链，反之亦然。但是最重要的是，通过综合的在线合作伙伴关系可以获得增长机会。除此之外，还可以提供基于SOA或web服务架构的安全性，从而可以使用一个公共的安全基础设施来保护网络应用和网络服务。以下CA产品可以让您有效控制对于私有和公共云网络应用的访问：•CASiteMinder®：可以对用户认证、授权、单次登录以及报告提供集中管理和执行。它能够让您轻松保护您的主要应用，提升您的用户体验并且简化您的合规性审计。•CA联盟管理器（CAFederationManager）：将CASiteMinder的能力扩展到标准化的联合合作伙伴关系，保证您的云服务可以与例如Salesforce.com与谷歌应用等其他安全领域或云服务进行互操作。•CASOA安全管理器（CASOASecurityManager）：通过监测XML信息的内容提供认证、授权以及威胁缓解服务，为基于XML网络服务的访问提供保护。特权用户管理IT和安全管理员等特权用户是IT风险中最重要的方面之一。无论是否虚拟化，这在私有和公共云中普遍存在的一个问题。无论是无意的还是故意的，特权IT用户不正当的行为会对IT运营、以及公司资产和信息的整体的安全性和私密性造成灾难性的影响。因此，至关重要的是，管理员只能在授权范围内对适当的资产进行操作。另外很重要的一点是，这些安全性控制可以延伸至大型物理或虚拟环境。除此之外，管理员经常与别人分享或者有时候丢失他们的系统密码，从而导致违反规定的更大的风险。而且当这些用户以“root”或者“administrator”的身份登录时，在日志文件报告中，他们的行为通常显示为匿名登录。这些情况不仅造成极大的安全风险，还妨碍了在合规性方面所付出的努力，因为这种不恰当的行为无法被阻止也不能以此查找出入侵者。现在需要的是对管理员用户进行非常精细的访问控制。不幸的是，服务器操作系统自身的安全性无法有效控制哪些人可以访问哪些资源，也不能提供满足法规要求的精细审计。CA访问控制器（CAAccessControl）是专门为授权用户管理所推出的CA解决方案，它通过管理员平台提供比操作系统平台更为精准的权限，来确保物理和虚拟服务器的安全。这有利于通过对基于政策的访问控制和包括职责分离在内的执行来提升法规契合度。该解决方案能够控制那些可以访问特定系统及其资源和关键的系统服务的用户。例如，重要的一点是管理员没有权利关闭系统日志进程以隐藏某种不适当的行为