Verwalten erweiterter CA EEM-Sicherheit › Kontaktpunktsicherheit mit CA EEM › Anwendungsfälle: Wann ist Kontaktpunktsicherheit erforderlich?

Anwendungsfälle: Wann ist Kontaktpunktsicherheit erforderlich?

Kontaktpunktsicherheit wird in den folgenden Fällen benötigt:

• Ein Host in Ihrer Umgebung, das ein Operatorziel sein kann, enthält vertrauliche Informationen, wie z. B. Sozialversicherungsnummer, Kreditkartennummer oder gesundheitliche Daten. Sie sollten den Zugriff auf diesen vertraulichen Prozess auf eine einzelne Person oder auf eine kleine und hoch privilegierte Gruppe beschränken.

  Das Ziel kann einer der folgenden Hosts sein:

  • Der Host mit einem Agenten, der einem Kontaktpunkt zugeordnet ist.
  • Der Host mit einem Agenten, der einem Proxy-Kontaktpunkt, der über eine SSH-Verbindung zu einem Remote-Host verfügt, zugeordnet ist.
  • Der Host mit einem Agenten, der einer Hostgruppe zugeordnet ist, die sich auf Remote-Hosts bezieht und über eine Verbindung zu Remote-Hosts verfügt.
• Wenn Sie einen Agenten auf einem Host als Root-Anwender (UNIX), Administrator (Windows) oder als Anwender mit bestimmten Rechten ausführen. Nehmen Sie an, Sie müssten alle Skripte und Programme auf diesem Agenten unter der gleichen Identität wie den Agenten selbst ausführen. Das heißt, Sie möchten nicht zu einem anderen Anwender wechseln, der Anmeldeinformationen benötigt. Um ein Sicherheitsrisiko zu verhindern, können Sie festlegen, dass Anwender mit eingeschränkten Berechtigungen keine Skripte unter der gleichen Identität wie der Agent, z. B. der Root-Anwender, ausführen dürfen.
• Wenn Sie Hostgruppen nutzen, die standardmäßige Anmeldeinformationen für Betriebssysteme definieren, um Befehlsausführungsoperatoren auf gesamten Subnetzen auszuführen. Nehmen Sie an, Sie müssten alle Skripte und Programme auf dieser Hostgruppe mithilfe der Anmeldeinformationen des Betriebssystems ausführen. Sie müssen ein Sicherheitsrisiko verhindern, indem Sie nicht erlauben, dass Anwender mit eingeschränkten Berechtigungen Skripte mithilfe von Anmeldeinformationen für Betriebssysteme erstellen und ausführen.
• Anwender, die einen Prozess ausführen, können zur Laufzeit Operatorziele für Operatoren auswählen, die über eine Variable im Zielfeld verfügen. Ein Operatorziel ist normalerweise ein Kontaktpunkt. Es kann aber auch ein Proxy-Kontaktpunkt, ein FQDN oder eine IP-Adresse sein, auf die über eine Hostgruppe verwiesen wird. Dieses flexible Design ermöglicht es einem beliebigen Anwender, der zur Ausführung des Prozesses autorisiert ist, ein Ziel zur Laufzeit auszuwählen.

  Ein Sicherheitsproblem tritt auf, wenn ein verfügbarer Kontaktpunkt Zugriffbeschränkungen benötigt. Stellen Sie sich vor, dass ein Operator erfolgreich auf zwei unterschiedlichen Kontaktpunkten ausgeführt wird, von denen jeder eine Service Desk-Anwendung darstellt. Ein Kontaktpunkt stellt einen Service Desk für den allgemeinen Zugriff dar, während der andere Kontaktpunkt nur für Administratoren entworfen wurde. Kontaktpunktsicherheit stellt sicher, dass nur Administratoren diesen Beispieloperator auf dem Kontaktpunkt, der für Administratoren entworfen wurde, ausführen können. Richtlinien zur Kontaktpunktsicherheit in CA EEM beschränken den Zugriff.

Kontaktpunktsicherheit ist auch für Prozessdesigner nützlich. Während der Prozessentwicklung installieren verschiedene Designer einen Agenten auf ihren persönlichen Hosts und erstellen Kontaktpunkte für ihre Agenten. Sie möchten normalerweise nicht, dass andere Anwender Operatoren auf ihren lokalen Hosts ausführen. Kontaktpunktsicherheit bietet diesen Schutz. Wenn "Kontaktpunktsicherheit" aktiviert ist, wird die Autorisierung zur Ausführung der Operatoren auf dem ausgewählten Ziel zur Laufzeit überprüft. Das Durchsetzen der Richtlinien stellt sicher, dass Anwender, die einen Prozess ausführen, nur Operatoren auf Kontaktpunkten ausführen können, für die sie autorisiert sind.