機能説明
認証情報管理
重要なデータにアクセス可能である特権アカウント / 共有アカウントの認証情報を管理します。
様々なシステムの認証情報(パスワード等)を安全に管理
- アプライアンス内で認証情報を保管
- 豊富な管理対象
- OS
- DB
- ネットワーク機器
- Webサービス
- Cloudベースサービス
- AWS
- など
パスワードポリシー
- 柔軟なパスワードポリシーにより企業に合わせたパスワード管理
- パスワードの複雑性と変更タイミングの定義
- パスワード変更タイミングの定義
- パスワード利用時のワークフロー & メール通知の定義
- パスワードのチェックイン/チェックアウト(専用貸し出し)
SSH鍵の管理
- パスワードだけではなく、LinuxやUNIX系のログインに多く使用される「SSH鍵認証」におけるSSH鍵の管理もサポート
- AWSマネジメントコンソールでも必須
ユーザー認証
すべてのアクセスの入り口となるCA Privileged Access Managerへのログインにより、特権アカウント / 共有アカウントの利用や重要なサーバへアクセス可能な個人ユーザーを多様な認証方式で厳密に識別・認証します。
以下の認証ストア方式をサポートします。
全てのアクセスの入り口となるCA Privileged Access Managerへのログインに様々な認証方式をサポート
- CA Privileged Access Manager上のローカルユーザー(ID & パスワード)
- 標準的なディレクトリ
- Active Directory / LDAP v3
- 多要素認証
- RADIUS / TACACS+
- CA Advanced Authentication / RSA SecurID
- IDフェデレーション
- SAML / ADFS
アクセスポリシー
ユーザーのそれぞれの役割に応じて、許可されている管理対象サーバ・特権アカウントのみにアクセスできるようにします。
アクセスポリシーにより、管理対象へのアクセスをユーザーごとに細かく制御
- アクセスポリシーを構成するコンポーネント
- ユーザー : "誰が"
- デバイス : "どのサーバにアクセスして良いか"
- その他のコンポーネント
- パスワード : "どのアカウントとパスワードを使って"
- サービス : "どのようなアクセス / プロトコルで"
- 録画 : "アクティビティを録画するか"
- フィルター : "管理対象へのログイン後にアクセス制御を行うか"
- ユーザー
- CA Privileged Access Managerにログインするユーザー
- "ユーザー認証" で認証されたユーザー(管理対象上のアカウントではありません)
- CA Privileged Access Managerにログインするユーザー
- デバイス
- 管理対象となるサーバ(ホスト名 or IP)
- 複数の管理対象アプリケーションが1つのサーバ上にある場合も、デバイスとしては1つ
- 管理対象となるサーバ(ホスト名 or IP)
- パスワード
- 管理対象へのログインに使用するアカウントとそのパスワード
- パスワードを指定しない場合には手動で入力
- 管理対象へのログインに使用するアカウントとそのパスワード
- サービス
- 管理対象へのログイン方法
- Access Method:
CA Privileged Access Managerが用意しているログインアプリケーション(SSH / RDP / Telnetなど) - Services:
CA Privileged Access Managerで提供されていないログインアプリケーションを使用するための定義
- Access Method:
- 管理対象へのログイン方法
- 録画
- セッション録画の指定
- Graphical : WindowsのRDP接続の録画
- Command : UNIXやLinux系のSSH / Telnet接続におけるキーボードロギング
- Web Portal : Webアクセスの画面録画
- セッション録画の指定
- フィルター
- 対象へのログイン後のアクセス制御
- コマンドフィルター : コマンド実行のホワイトリスト / ブラックリスト
- ソケットフィルター : 対象サーバからの踏み台アクセス防止(要エージェント)
- 対象へのログイン後のアクセス制御
ID連携(シングルサインオン)
CA Privileged Access Managerを経由して特権IDでの管理対象へのシングルサインオンができます。これにより、セキュリティに加え、ユーザーの利便性も向上します。
管理対象サーバ / アプリケーションへのアクセス
- Access Method
- Access Methodはビルトインのログインアプリケーション
- 以下のプロトコルを使用した管理対象へのアクセスをサポート
- SSH / Telnet
- RDP など・・・
- 以下を行いたい場合には基本的にAccess Methodが前提となる(例外あり)
- シングルサインオン / 自動ログイン
- セッション録画
CA Privileged Access Managerを経由した管理対象へのアクセス
モニタリング & フィルタリング
ユーザーのアクセスをモニタリングするだけでなく、不正なアクセスを防止します。
モニタリング
- ログ出力
- アクセス履歴の取得
- 「誰がいつどこで何をしたのか」の履歴を取得
- セッションの開始 / 終了時間も記録
- ユーザーが使用したアカウントやそのパスワード変更の履歴を取得
- フィルター条件の違反を記録
- CA Privileged Access Managerの管理オペレーションを記録
- ログ管理
- ログのアーカイビング & 削除のスケジューリング
- SyslogサーバやSIEMと連携したログ転送
- アクセス履歴の取得
- アラート通知
- 管理者へのメール通知
- モニタリングサービスの起動時
- ログのアーカイビング & 削除時
- フィルター条件の違反があった場合
- CA Privileged Access Managerへのログイン時(オプション)
- など
- 管理者へのメール通知
フィルタリング
- コマンドフィルター
- CA Privileged Access Managerを介するSSH / Telnetアクセスのコマンド実行制御
- ホワイトリスト or ブラックリストにより、許可/拒否コマンドを定義
- 違反(注1)があった場合にはメールによるアラート通知
- 特定回数以上の違反があった場合にセッションの強制切断が可能
(注1)ブラックリストに記載されたコマンドがデバイスに対して実行された場合やホワイトリストに記載されていないコマンドが実行された場合
- CA Privileged Access Managerを介するSSH / Telnetアクセスのコマンド実行制御
- ソケットフィルター(要エージェント)
- CA Privileged Access Managerを介した管理対象サーバOSへのログインアクセス後、他のサーバへの踏み台アクセス防止
- ホワイトリスト or ブラックリストにより、特定のネットワーク & ポートへのアクセス許可 / 拒否
- 違反(注2)があった場合にはメールによるアラート通知可能
- 特定回数以上の違反があった場合にセッションの強制切断が可能
(注2)ブラックリストに記載されたアクセスがあった場合やホワイトリストに記載されていないアクセスがあった場合
- CA Privileged Access Managerを介した管理対象サーバOSへのログインアクセス後、他のサーバへの踏み台アクセス防止
セッション録画
問題が発生した場合、後からユーザーの実際のアクティビティを追跡できます。
- セッション録画
- 以下のアクセスのセッションをビデオ形式で録画
- Access Methodを使用したアクセス
- 下記Serviceを使用したアクセス
- SSH / Telnetを使用したTCP / UDPサービス
- CA Privileged Access Managerブラウザを使用した Web Portalサービス
- RDPアプリケーション
- 違反があったアクセスのセッション録画を強調表示
- 以下のアクセスのセッションをビデオ形式で録画
- メタデータ検索
- Access Methodを使用したSSH / Telnetのセッション録画に対してはメタデータ(キーワード)による検索を実現
RDPセッション録画のリプレイ
SSHセッション録画のリプレイ & メタデータ検索
特権アカウント / 共有アカウントの識別
作業後、監査対応のため特権 / 共有アカウントを実際には誰が利用していたのかをレポートします。
- レポート
- レポートにより、特権アカウント / 共有アカウントを誰が利用したのかを正確に識別
- ビルトインで様々なレポートを提供
- View Password Request : 特権アカウント / 共有アカウントパスワード利用アクセス履歴
- Account Passwords Updates : アカウントのパスワード更新履歴
- Cluster State : クラスタの状況
- Privileged Accounts : 特権アカウント一覧
- など
- PDFだけでなく、HTMLやCSVなど複数のフォーマットをサポート
- スケジュールによる定期的なレポート作成