정책 위반 계산 작동 방법
목차
cminder12902kr
목차
고급 정책 관리를 사용하면 정책 배포의 결과로 끝점에 배포되어야 하는 액세스 규칙과 동일한 끝점에 성공적으로 배포된 실제 규칙 사이의 차이점을 확인할 수 있습니다. 또한 정책 개체에 추가된 속성과 변경된 속성을 확인합니다. 이 정보를 사용하면 정책 배포와 연관된 문제를 해결할 수 있습니다.
끝점에서 정책 위반 계산기를 실행하면 다음 작업이 수행됩니다.
- 끝점에 배포해야 하는 규칙 목록을 로컬 호스트에서 검색합니다.이러한 규칙은 배포된 각 정책 버전의 POLICY 개체와 연관된 로컬 RULESET 개체에 지정된 대로 각 배포 정책에 지정된 규칙입니다.
- 이러한 각 규칙이 끝점에 적용되는지 확인합니다.중요!위반 계산에서는 기본 규칙이 적용되는지 여부를 확인하지 않습니다. 또한 데이터베이스에서 개체(사용자 또는 개체 특성, 사용자 또는 리소스 권한 부여, 실제 사용자 또는 리소스)를 제거하는 규칙을 무시합니다. 예를 들어 계산에서는 rr FILE /etc/passwd 규칙이 적용되는지 여부를 확인할 수 없습니다.
- (선택 사항) 로컬 정책 개체와 DMS의 정책 개체를 비교합니다.일반적으로 위반 계산기는 로컬 호스트에서만 위반을 확인합니다.-strict옵션을 지정하면 위반 계산기가 로컬 HNODE 개체와 연관된 정책과 DMS에 있는 HNODE 개체와 연관된 정책도 비교합니다. 비교하는 내용은 다음과 같습니다.
- 로컬 호스트를 나타내는 HNODE 개체와 연관된 정책 목록
- HNODE 개체와 연관된 각 POLICY 개체의 정책 상태
- HNODE 개체와 연관된 각 POLICY 개체의 정책 서명
- 다음 두 개의 파일이 출력됩니다.
- ACInstallDir/data/devcalc/deviation.log마지막 위반 계산 시 수집된 로그 및 오류 메시지입니다.
- ACInstallDir/data/devcalc/deviation.dat정책 및 해당 위반 목록입니다. 끝점에서 selang 명령get devcalc를 사용하여 이 파일의 내용을 가져올 수 있습니다.
참고:Privileged Identity Manager는seaudit -a를 사용하여 볼 수 있는 감사 이벤트도 전송합니다. seaudit 유틸리티에 대한 자세한 내용은참조 안내서를 참조하십시오. - 위반이 있음을 DMS에 알립니다.알림은 로컬Privileged Identity Manager데이터베이스에 대해 지정된 DH를 통해 DMS에 전달됩니다.
위반 계산 트리거
DMS에 정책 위반 상태에 대한 최신 정보가 포함되도록 위반 계산을 정기적으로 수행해야 합니다. 끝점에서 고급 정책 관리가 비활성화된 경우 policyfetcher가 각 하트비트 이후에 위반 계산을 트리거합니다.
참고:
기본적으로 실행되는 위반 계산은 끝점에 추가된 항목을 고려하지 않습니다. 이러한 항목을 보려면 정밀한
모드에서 위반 계산을 실행하도록 devcalc_command 구성을 변경하십시오.원하는 간격으로 정책 위반 계산이 수행되도록 policyfetcher 설정을 수정하는 것이 좋습니다.
정책 위반 로그 및 오류 파일
정책 위반을 계산하면 각 위반 계산 중에 새 로그가 작성됩니다. 오류 메시지도 포함되어 있는 이 로그는
ACInstallDir
/data/devcalc/deviation.log에 저장되어 있습니다.DMS에서 가져온 보고서에 표시되는 위반이 마지막으로 실행된 위반 계산에서 수집되지 않은 경우 이 로그를 사용합니다. 이 로그는 위반 계산 결과가 DMS로 전송되지 않은 이유를 진단하는 데 도움이 됩니다.
예: 위반 로그 및 오류 파일
다음은 예제 위반 로그와 오류 파일입니다.
start time: Mon Jan 23 13:04:48 2006 WARNING,\"failed to retrieve DH host name, deviation will be stored locally\" found deviation(s) for policy 'iis8#02' end time: Mon Jan 23 13:05:04 2006
정책 위반 데이터 파일
정책 위반을 계산하면 정책 및 정책 위반 목록이 포함된 데이터 파일이 작성됩니다. 이 데이터 파일은
ACInstallDir
/data/devcalc/deviation.dat에 저장되어 있습니다.참고:
데이터 파일에 포함되는 정책 목록은 위반을 계산하는 정책에 따라 다릅니다. 기본적으로 끝점의 모든 정책과 모든 정책 버전이 포함됩니다.중요!
위반 계산에서는 기본 규칙이 적용되는지 여부를 확인하지 않습니다. 또한 데이터베이스에서 개체(사용자 또는 개체 특성, 사용자 또는 리소스 권한 부여, 실제 사용자 또는 리소스)를 제거하는 규칙을 무시합니다. 예를 들어 계산에서는 rr FILE /etc/passwd 규칙이 적용되는지 여부를 확인할 수 없습니다.위반이 있는지 여부에 관계없이 위반 상태는 DMS로 전송되지만 실제 위반은 로컬에 저장됩니다. 보고서 작성 시 이 파일에서 실제 위반 결과를 가져와서 보고서에 추가할 수 있습니다.
정책 위반 데이터 파일에 나타날 수 있는 행은 다음과 같습니다.
- Date위반 계산의 타임스탬프를 표시합니다. 날짜 행은 항상 위반 보고서의 첫 번째 행입니다.형식:DATE,DDD MMM DD hh:mm:ss YYYY
- Strict-strict 옵션을 사용하여 위반 계산이 실행되었음을 지정합니다.형식:STRICT,DMS@hostname,policy_name#xx, [1|0][1|0]은 로컬 HNODE 개체와 연관된 정책과DMS@hostname의 HNODE 개체와 연관된 정책 사이에 위반이 있는지(1) 또는 없는지(0) 여부를 나타냅니다.
- Policy Start이 정책 버전에 대한 위반을 정의하는 정책 블록을 시작합니다.형식:POLICYSTART,policy_name#xx
- 차이정책에 대해 발견된 위반을 설명합니다. 위반이 적용되는 정책 이름은 이 행 위에서 가장 가까운정책 행입니다.다음 표에는 누락 요소를 나타내는 위반 네 개 및 추가 요소를 나타내는 위반 네 개의 위반 유형 여덟 개가 설명되어 있습니다.
위반 유형 | 형식 |
클래스를 찾을 수 없습니다. | DIFF, -( class_name ), (*), (*), (*) |
개체를 찾을 수 없습니다. | DIFF, ( class_name ), -(object_name ), (*), (*) |
개체가 추가되었습니다. | DIFF, ( class_name ), +(object_name ), (*), (*) |
속성을 찾을 수 없습니다. | DIFF, ( class_name ), (object_name ), -(property_name ), (*) |
속성이 추가되었습니다. | DIFF, ( class_name ), (object_name ), +(property_name ), (*) |
속성 값이 없습니다. | DIFF, ( class_name ), (object_name ), (property_name ), -(expected_value ) |
속성 값이 추가되었습니다. | DIFF, ( class_name ), (object_name ), (property_name ), +(value ) |
참고:
위반 계산기는 누락된 클래스를 발견하면 누락된 모든 개체, 속성 및 값에 대한 위반 행을 생성합니다.- Policy End이 정책에 대한 위반을 정의하는 정책 블록을 종료합니다.형식:POLICYEND,policy_name#xx, [1|0]{1|0}은 위반이 있는지(1) 또는 없는지(0) 여부를 나타냅니다.
- Warning경고를 설명합니다.형식:WARNING, "warning_text"
예: 위반 데이터 파일
다음 예는 위반 데이터 파일의 내용을 보여 줍니다.
Date, Sun Mar 19 08:30:00 2006 WARNING, "failed to retrieve DH host name, deviation will be stored locally" POLICYSTART, iis8#02 DIFF, (USER), (iispers), (*), (*) POLICYEND, iis8#02, 1
누락된 요소를 나타내는 위반
위반 계산기는 누락된 요소와 추가된 새 요소를 구별합니다. 누락된 요소는 지정된 정책에 명시적으로 정의되어 있지만 로컬 호스트에 없는
Privileged Identity Manager
요소입니다. 이러한 누락된 요소는 클래스, 개체, 속성 및 값이 될 수 있습니다.누락된 요소 조합은 계층적 요구 사항을 정의합니다. 예를 들어 Policy1에는 다음 규칙이 있습니다.
eu mytestuser2 operator
위반 계산기는 다음 암시적 요구 사항이 충족된다고 가정합니다.
- USER 클래스가 있어야 합니다.규칙은 USER 클래스에 속한 사용자를 정의합니다.
- USER 개체 mytestuser2가 있어야 합니다.USER 클래스의 mytestuser2 개체가 규칙에 명시적으로 정의됩니다.
- OBJ_TYPE 속성이 있어야 합니다.규칙은 operator 매개 변수를 사용하여 USER 개체의 OBJ_TYPE 매개 변수를 설정합니다.
- 값 Operator가 OBJ_TYPE 속성에 할당됩니다.규칙은 이 값을 명시적으로 설정합니다.
추가된 요소를 나타내는 위반
위반 계산기는 누락된 요소와 추가된 새 요소를 구별합니다. 추가된 요소는 로컬로 정의되었지만 지정된 정책에는 없는
Privileged Identity Manager
요소입니다. 이러한 추가된 요소는 클래스, 개체, 속성 및 값이 될 수 있습니다.다음과 같은 경우 추가 위반이 포함됩니다.
- 로컬 예외로 인해 정책 내에서 설명한 개체의 속성에 새 값이 추가된 경우
- 로컬 예외로 인해 정책 내에서 설명한 개체에 새 속성이 추가된 경우
참고:
정책 내에서 설명하지 않은 새 개체는 추가 요소로 고려되지 않으며 새 클래스의 경우에도 마찬가지입니다.수정된 요소를 나타내는 위반
수정된 요소를 표시하는 위반은 위반 데이터 파일의 어떠한 위반 줄에도 수정 사항이 표시되지 않을 때 발생합니다. 수정 사항을 식별하려면 동일한 요소에 적용되는 순차적 제거 및 추가 줄을 찾아야 합니다. 예를 들어 다음은 위반 데이터 파일에서 추출한 내용입니다. 여기에서 mytestuser 값이 Operator에서 Auditor 및 Administrator로 수정되었습니다.
DIFF, (USER), (mytestuser2), (OBJ_TYPE), -(Operator) DIFF, (USER), (mytestuser2), (OBJ_TYPE), +(Auditor) DIFF, (USER), (mytestuser2), (OBJ_TYPE), +(Administrator)