Administración de la seguridad avanzada de CA EEM › Seguridad del punto de contacto con CA EEM › Casos de uso: cuando se necesita Seguridad del punto de contacto

Casos de uso: cuando se necesita Seguridad del punto de contacto

La seguridad del punto de contacto se necesita en los siguientes casos:

• Un host de su entorno que puede ser un objetivo de operador contiene información confidencial, como números de la seguridad social, números de tarjeta de crédito o información sobre salud. Es necesario limitar el acceso a este proceso confidencial a una sola persona o a un grupo pequeño con múltiples privilegios.

  El objetivo puede ser cualquiera de los siguientes host:

  • El host con un agente que está asociado a un punto de contacto.
  • El host con un agente que está asociado a un punto de contacto de proxy con una conexión SSH a un host remoto.
  • El host con un agente que está asociado a un grupo de host que hace referencia a host remotos y tiene una conexión con ellos.
• Cuando se ejecuta un agente en un host como el usuario raíz (UNIX), el administrador (Windows) o algún otro usuario con derechos específicos. Suponga que tiene un motivo para ejecutar todos los scripts y programas en ese agente con la misma identidad que el propio agente. Es decir, no desea cambiar a otro usuario que requiera credenciales. Para evitar riesgos de seguridad, se puede impedir que los usuarios con pocos privilegios puedan ejecutar scripts con la misma identidad que el agente, por ejemplo, como el usuario raíz.
• Cuando se estén aprovechando grupos de host que definen credenciales de sistema operativo predeterminadas para ejecutar operadores de ejecución de comandos en subredes completas. Suponga que tiene un motivo para ejecutar todos los scripts y programas en ese grupo de host usando credenciales del sistema operativo. Se desea prevenir un riesgo de seguridad no permitiendo que los usuarios con pocos privilegios puedan crear y ejecutar un script con credenciales del sistema operativo.
• Los usuarios que ejecutan un proceso pueden seleccionar objetivos de operador en el tiempo de ejecución para los operadores que tienen una variable en el campo de un objetivo. El objetivo de un operador suele ser un punto de contacto, aunque también puede ser un punto de contacto de proxy, un FQDN o una dirección IP a donde haga referencia un grupo de host. Este flexible diseño permite que cualquier usuario que esté autorizado para ejecutar el proceso pueda seleccionar un objetivo en el tiempo de ejecución.

  Se produce un problema de seguridad cuando un punto de contacto disponible requiere limitaciones para el acceso. Considere el caso en el que un operador se puede ejecutar en dos puntos de contacto diferentes, cada uno de los cuales representa una aplicación de Service Desk. Un punto de contacto representa un Service Desk diseñado para el acceso general, mientras que el otro punto de contacto está diseñado solo para los administradores. La seguridad del punto de contacto únicamente permite que los administradores ejecuten este operador de ejemplo en el punto de contacto diseñado para los administradores. Las políticas de seguridad del punto de contacto en CA EEM limitan el acceso.

La seguridad del punto de contacto también es útil para los diseñadores de procesos. Durante el desarrollo del proceso, distintos diseñadores instalan un agente en sus host personales y crean puntos de contacto para sus agentes. Normalmente no quieren que otros usuarios ejecuten operadores en sus host locales. La seguridad del punto de contacto puede proporcionar esta protección. Cuando se activa la seguridad del punto de contacto, la autorización para ejecutar cada operador en el objetivo seleccionado se verifica en el tiempo de ejecución. El cumplimiento de la política solo permite que los usuarios que ejecuten un proceso puedan ejecutar operadores únicamente en los puntos de contacto para los que estén autorizados.