アクセス ポリシーの設定

特定のユーザおよびユーザ グループに対してデバイス アクセス ルールを適用するには、ポリシーを作成します。デバイスとユーザを関連付けるためのポリシーは、詳細レベル(デバイスおよびポート)で作成できます。各ユーザには、ジョブを行うために必要なデバイスとアプリケーションに対してのみアクセス権が与えられます。
capam32
特定のユーザおよびユーザ グループに対してデバイス アクセス ルールを適用するには、ポリシーを作成します。デバイスとユーザを関連付けるためのポリシーは、詳細レベル(デバイスおよびポート)で作成できます。各ユーザには、ジョブを行うために必要なデバイスとアプリケーションに対してのみアクセス権が与えられます。
ポリシーは、
許可されている、または必要とされていることを識別する設定値のセットです。
  • アクセス タイプ
    (アクセス方法アプレット、TCP/UDP、およびアプリケーション サービス)
  • アクセス制限
    (コマンド フィルタ、ソケット フィルタ)
  • パスワード
    (デバイスと常駐するアプリケーションを含む)
  • 記録
    (グラフィカルまたはコマンド ライン)
ポリシーは、登録されたユーザまたはユーザ グループ(LDAP と RADIUS を含む)と管理対象デバイスまたはデバイス グループとの間の対話を指定します。
ポリシーの割り当てを使用してデバイスにユーザがログインした後に、アプライアンスでは以下のことが可能となります。
  • ユーザ アクティビティの記録
  • コマンドおよびソケットのフィルタリングの実行
  • ユーザ リープフロッグ(飛び越し)試行の終了
この記事には、以下の情報が含まれています。
2
アクセスのプロビジョニング
デバイスに提供するアクセス機能は、ポリシーの仕様に使用できます。デバイスのアクセス機能の設定に関する情報は、「ターゲット デバイスへのアクセスのセットアップ」を参照してください。 
アクセス制限
ポリシーによって、デバイスまたはデバイス グループのアクセスに対する以下の制限を、特定のユーザまたはユーザ グループに課すことができます。
  • コマンド フィルタリング
  • ソケット フィルタリング
コマンド フィルタリング
コマンド フィルタ リストを使用して、コマンド ライン アプレットの TELNET、SSH、およびシリアル コンソールでポリシーを実行できます。
コマンド フィルタリングとソケット フィルタリングの両方が、ホワイトリストとブラックリストを使用して適切なポリシーを設定します。
  • コマンド フィルタリング
    blacklist
    は、ユーザが入力できないコマンドのリストです。
    ユーザがそのコマンドを入力しようとした場合に、アプライアンスはそのコマンドの処理をフラグ(ログ)、アラート、修復、および停止することができます。その他のすべてのコマンドは許可されています。
  • コマンド フィルタリング
    whitelist
    は、ユーザが入力できるコマンドのリストです。
    その他のすべてのコマンドは禁止されています。
コマンド フィルタのホワイトリストは、メインフレーム TN3270 および TN5250 アプレット用に設定できません。
コマンド フィルタ設定(CFC)では、ブラックリストおよびホワイトリストのコマンド フィルタの動作を設定します。
アラートの例
From: [email protected]
To: [email protected]
Cc:
Subject: Alert Msg from xsuite1
-------------------------------------------------------------------------------
Date/Time: Fri, 1 Oct 2010 14:09:05
User ID: Traveler123
User Source IP: 168.0.2.123
Violation on: LinuxBox12
Captured Keystrokes: rlogin
ソケット フィルタリング
SFA (Socket Filter Agent、ソケット フィルタ エージェント)は
CA Privileged Access Manager
のコンポーネントで、サーバ ベースのデバイスへの、またはサーバ ベースのデバイスからのアクセスを制限するために使用します。ソケット フィルタは、コマンド フィルタリングを適用するルータなど、有限のコマンド セットを持つデバイスの異なる種類のアクセス制御を提供します。
3 つのコンポーネントが必要です。
  • ソケット フィルタ リスト - ソケットのブラックリスト(アクセスが禁止される場所を指定)またはホワイトリスト(アクセスが許可される場所を指定)のいずれかを定義します。
  • ソケット フィルタ エージェント - ソケット フィルタ リストによって指定され、ポリシーで使用されるルールを適用します。
  • ソケット フィルタの設定 -
    CA Privileged Access Manager
    管理デバイスの全体にわたってソケット フィルタ エージェントを使用してエージェントの動作を適用します。
ソケット フィルタ リスト(SFL)
ソケット フィルタ リストは、リープフロッグ(飛び越し)を防止するためのポリシーに適用できるサーバまたはネットワークのグループを定義します。
ソケット フィルタ エージェント(SFA)
ソケット フィルタ エージェントが展開されて、ユーザが
CA Privileged Access Manager
経由でホスト デバイスに接続すると、SFA によってユーザ ポリシーがダウンロードされます。SFA は次にブラックリストまたはホワイトリスト フィルタをデバイスに適用します。ブラックリストにはユーザがアクセスできないようにされるデバイスおよびポートが含まれます。ホワイトリストは、ユーザが接続できるデバイスとポートのみを特定します。SFA は、プロダクション Web トラフィックまたは制限されていない
CA Privileged Access Manager
ユーザといった、そのデバイスへの他の接続を検査または妨害しません。
Windows および Linux デバイスに SFA をインストールすることができます。Linux ルート アカウントは SFA ルールおよび制限の対象外です。Windows 管理者アカウントは、SFA ルールおよび制限に従います。
ソケット フィルタの設定(SFC)
ソケット フィルタ エージェントの動作に影響するグローバル値は[ポリシー]メニューからアクセス可能な[ソケット フィルタの設定]にあります。
ソケット フィルタリングを設定する前に、組織のポリシーを確認することをお勧めします。ネットワークのハートビート チェックが許可されていない可能性があります。
セッション記録
事前に適用されるアクセス制御に加えて、セッションの記録をポリシーに割り当てることができ、適用後のユーザ アクションのビューが提供されます。記録として、接続セッション中に発生した状況を把握できるビューを提供するユーザの環境をシミュレートします。
特権管理者はまた、セッション中に制御を適用し、接続セッションを終了するか、またはユーザを
CA Privileged Access Manager
からログオフさせます。
CA Privileged Access Manager
ログ記録はその他のリソースのセッション追跡中またはその後に行われます。
コマンド ラインのアプレットでは、TELNET、SSH、およびコンソールのユーザ キーストロークを記録できます。グラフィカルなセッションの記録は、RDP および VNC のアプレットで使用可能です。
記録は、GUI で行項目として識別されます。これらは変数テキスト フィルタリングで検索できます。記録がユーザの違反を識別すると、この記録をユーザが表示したときにこの事実がマークされます。行項目レコードはまた、赤の太字で強調表示されます。
セッション記録のログは
CA Privileged Access Manager
に格納されません。セッション記録ファイルは、マウント ポイントに格納されるか、または syslog 統合サーバに送信されます。
管理インターフェースで使用可能にするセッション記録用の Windows または UNIX サーバにマウントされているディレクトリを使用します。セッション記録は、
[セッション]
-
[セッション記録]
で表示できます。
セッション記録のポリシーは、ユーザ/ユーザ グループ - デバイス/デバイス グループのペアに対し、
[ポリシー]-[ポリシー管理]
で設定されます。
[記録]
ペイン内:
  • コマンド ライン
    を選択すると、ユーザ エントリを記録し、
    双方向
    を選択すると、
    CA Privileged Access Manager
    はユーザとデバイスの両方の応答を記録します。
  • グラフィカル
    を選択すると、任意の時点での再生、停止、リプレイが可能なビデオとして Windows サーバと GUI の対話を記録します。
重複するポリシー
ユーザは、グループ ポリシーのメンバである場合があり、同じデバイスに対して個別のポリシーを持つことができます。ユーザには、個別のデバイスへのアクセス権、およびそのデバイスを含むデバイス グループへのアクセス権を付与することもできます。そのため、ユーザが重複するポリシーで異なるパラメータを設定している可能性があります。
CA Privileged Access Manager
は、ユーザとデバイスの関連付けに関連するさまざまなポリシーの機能を組み合わせるときに、以下のルールに従います。
セッション記録
ユーザとデバイスに関連するポリシーによってセッション記録が有効になっている場合、セッション記録は有効になります。
ホワイトリストおよびブラックリスト
ホワイトリストが複数ある場合は結合されるため、ホワイトリストが多ければ多いほど、ユーザにはより多くのオプションが提供されます。
ブラックリストが複数ある場合は結合されるため、ブラックリストが多ければ多いほど、ユーザに対してブロックされるコマンドも多くなります。
ホワイトリストとブラックリストの両方が存在する場合、関連するアプレットおよびサービスへのアクセスは無効になります。ユーザがそれらを起動しようとすると、UI に一般的なエラー メッセージが表示されます。監査ログには、競合を説明する詳細なメッセージが表示されます。
Amazon Web Services (AWS)
[構成]
-
[サードパーティ]
-
[AWS]
-
[ポリシー]
-
[ポリシー管理]
を入力後に AWS へ接続すると、
[AWS ポリシー]
リンク インターフェースが確立されて、AWS IAM ポリシーを指定できます。
AWS ポリシーの定義
AWS ポリシーは、AWS の管理インターフェースへのアクセス時に、AWS 権限に対して適用されます。最初に、編集ウィンドウの
[AWS ポリシー管理]
は、2 つのデフォルト バージョンを保持していますが、IAM ポリシーの作成または編集を行うことができます。
CA Privileged Access Manager
は IAM ポリシーを AWS に渡すように設計されていますが、AWS は「長すぎる」
AWS ポリシー
は受け入れません。長さの制限は予測可能な値ではありませんが、エラーを回避するために、処理前に AWS によって評価することができます。そのため、
CA Privileged Access Manager
はすべての提出済みのポリシーを AWS へ前処理のために送信します。サイズ制限を超過した場合、エラー メッセージが
CA Privileged Access Manager
ユーザに送られます。
回避策:
この AWS フォーラムのスレッドで、許可されている長さに関していくつかのガイダンスが提供されています。
https://forums.aws.amazon.com/thread.jspa?threadID=80882
AWS ポリシーの指定
AWS の管理インターフェースにアクセスするためのサービス設定が完了すると、[ポリシーの管理]インターフェースの認証情報指定のポップアップ ウィンドウで、ポップアップ ウィンドウの右側にある[
AWS ポリシー
]フィールドを使用して IAM ポリシー仕様が提供されます。 
詳細情報
詳細については、以下の記事を参照してください。