PowerBroker事例一覧

サーバアクセス管理・ログ取得ツール



    ユーザ事例 グローバルアウトソーシング企業


    以下のケーススタディは、大手のアウトソーシングサービス会社の上級インフラスペシャリストとのインタビューの結果をまとめたものである。

    【問題】
    世界有数の製薬会社のシステムインテグレータとして、あるアウトソーシングサービス会社は、顧客の非常に重要なSAP/Oracle基盤の環境を管理する責務を負っていた。「SAP/Oracleシステムは、1日24時間、週7日間稼動することが求められる注目度の高いシステムである。」この会社の上級インフラスペシャリストは説明している。「実際、我社の顧客は、このシステムをフル稼働してすべての業務を行っている。」また、顧客の通常の業務運営には、Tivoli Storage ManagerやVeritas Cluster Serverなどのサードパーティのアプリケーションも非常に重要である。

    この会社は顧客のために、統制され、安定していて安全な環境、すなわち承認されない限りその変更作業を行えないという環境を作り出し、それを維持しようと決定した。そのために、この膨大な基盤構造の管理とサポートには、システム管理者やオペレータ、アプリケーションサポートの担当者など、ITの専門家のチームがいくつか参加必要となった。

    しかし、こうしたシステムの管理全体やサポートの一部を担うために、上記の担当者すべてが、一般の管理者アカウントを使って顧客のSAP、Oracleやその他のサードパーティのアプリケーションにログインする必要が生じた。そして、それはつまり、多数の人間がこうしたアプリケーションに対してほぼどんなことでもできる(しかも匿名で)ということになる。言うまでもなく、このような管理の無秩序状態は、顧客のインフラを安定した安全なものに保たねばならない、というこの会社の責任と相反するものであった。

    「SAPやOracleのようなアプリケーションがこれだけ重要な役割を担っているこの顧客のような環境では、こうしたアプリケーションの一つに対して一般的な管理者アカウントを持つことと、UNIXのルート権限を持つことの間には、実務上の違いはほとんどない。」とインフラのスペシャリストは言う。「オペレーティングシステムは、アプリケーションをサポートするためのものである。だから、アプリケーションの特権を事実上無制限にすることは、顧客にとって深刻な危険を招く恐れがある。」

    また、他にも考慮すべき問題はある。例えば、顧客の大規模な異種UNIX環境をどのように効率的に管理するか、また複数の基幹システムにまたがっているアプリケーションのアップグレード作業をいかに合理化するか、ということである。

    【解決法】
    SymarkのPowerBrokerは、この会社が顧客の環境を管理する際に直面していた課題を解決するだけでなく、サポートを簡単にし、セキュリティを強化するための他の機能も提供した。 PowerBrokerは、完全なルートアカウントを与えずに、信頼の置けるユーザにUNIXの特権を選択的に委譲することができ、また、サードパーティのアプリケーションやアカウントへの特権やアクセスを管理することもできる。

    現在、PowerBrokerをシステムにインストールしたこの会社は、複雑なUNIX環境に対応するには、これは非常に有利なものであると考えている。「他に何もないところで1つか2つのシステムを扱うのであれば、sudoのような単純な構造のものでおそらく充分であろう。だが、それ以上のシステムがある場合や、より複雑な論理が必要となった場合は、PowerBrokerの柔軟性や一元集中管理構造によって、ことは驚くほど簡単になる。しかも、PowerBrokerは安全で維持管理がしやすい。」 と、インフラスペシャリストは語った。

    顧客の高度な異種インフラをどれほど容易にサポートできるようになったかを示すため、そのスペシャリストは手始めに、PowerBrokerがサードパーティのアプリケーションとどのように関わっているかを説明してくれた。「PowerBrokerを使うと、TivoliやVeritasシステムに対するのと同じように、SAPやOracleにも制御された監視可能なアクセスを行うことができるのです。」と彼は説明する。「これは、あるプログラムをどのような状況で誰が稼動できるかを指定したポリシを設定することで可能になります。例えば、あるオペレータはSAPアプリケーションを起動および終了する許可を有しているけれど、すべてのSAPコマンドを稼動する許可は得ていないのです。」 「わが社のバックアップソリューションであるTivoli Storage Managerを使えば、各チームのメンバーが、システム全体のバックアップを行ったり、ユーザのために簡単な復旧を行ったりするにはどのようなコマンドに対する許可を必要とするかということ、またその他の特別なジョブを実行するためのコマンドなどを定義することができます。」と彼は続けた。

    「Veritas Cluster Serverに関しても状況は同じです。Veritasは、SAP/Oracleの作業に関して起動、終了、フェイルオーバーなどを行います。Veritas Cluster Severには、非常に一般的なコマンドがいくつかあります。例えば、「hagrp」は、グループを定義し、起動し、修正する他様々なオプションと共に使うことができるし、オペレータが適切なコマンドのみを稼動していることが確認できます。PowerBrokerの構成ファイルを使うと、ユーザによってだけでなく、コマンドとそのオプションによってもアクセス制御を行うことができるのです。」

    PowerBrokerのポリシ構成ファイルは、ユーザID、アカウント、コマンド、日付/時間、要求/実行しているマシンその他に基づきアクセスを許可する規則ベースの制約で、これによって制御された環境でユーザに特定の特権を割り当てることができる。PowerBrokerは非常に限定された詳細なポリシを作成するためにC-likeのスクリプト言語を使っている。下記に示すのは、SAPを起動および終了するための単純なPowerBrokerのポリシである

       sapusers = { "user1", "user2" };
       sapprogs = { "startsap", "stopsap"};
       if(user in sapusers && basename(command) in sapprogs)
       {
       runuser="sap";
       rungroup = "!g!";
       rungroups = {"!G!"};
       if(!getuserpasswd(user))
       {
       reject;
       }
       accept;
       } 

    上記の例では、PowerBrokerが、非権限ユーザに対してSAPの管理者パスワードを知らせずに、どのようにして特権が必要であるSAPコマンド(この例ではSAPサーバの起動と終了)を実行できるようにするかということを示している。
    PowerBrokerのスクリプト言語を使えば、SAPの起動/終了の利用をより安全に行うために、より厳しい制約を簡単に追加することができる。例えば、許可を得た日付/時刻、そのコマンドをどのホストから実行するか、特定のアプリケーションパスの指定、プログラムの完全性をチェックする前にチェックサムを使うことさえもその制約に含まれる。

    上記ポリシは1つのマスターサーバにのみインストールされるので、PowerBrokerは、このクライアントの異種環境を形成している25の異なるUNIXシステム全体に同一のセキュリティプロファイルを提供することになり、会社のサポート業務を容易にしている。
    1つのポリシなら、サポートしているプラットフォームすべてにおいて、同じ働きをする。「PowerBrokerは、様々なUNIXシステム全体を通じて稼動している複数のアプリケーションを含む複雑な環境において、マルチベンダをつなぐ糊のような働きをしています。」とスペシャリストは言う。「当然、ある種のUNIXシステムに関するコマンドが別の種類のUNIXシステムに配置されている場合もあり、これを管理統制するのは非常に煩わしく、時間の浪費となります。PowerBrokerなら、共通のコマンド言語によって、この相違をなくしてくれるのです。これは非常に時間の節約になります。」

    この会社は、顧客の開発および生産システムのアップグレードの際にPowerBrokerを使うことにより、さらに効率性を高めた。
    典型的なSAPやOracleのアップグレードでは、作業の98%を1人のオペレータが行い、ルートアクセスを有するシステム管理者が残りの2%を行わなければならない。
    オペレータがデータベースのバックアップに12時間を費やし、システム管理者を必要とするのはたったの2分間ということも珍しくない。
    ただし、バックアップは繰り返し行わなければならないことがあり、しばしば週末にかかることが多い。システム管理者の短い役割が、週末の朝のほんの束の間に行われるということが避けられず、疲れきったオペレータが、システム管理者の到着をただ座って待つだけ、ということもある。しかも、複数のシステムをアップグレードしている場合には、この作業を繰り返し行わなければならないのである。

    スペシャリストによれば、PowerBrokerはこうしたことをすべて変えてしまったという。
    「PowerBrokerを使って、我々は特別なコマンド ― ルート特権が必要なもの― を使ってスクリプトを設定し、オペレータにどこを探せばいいか伝えるだけでいいのです。スクリプトが用意できたら、プロシージャを稼動し、後はただ作業を継続するだけでいいのです。作業の邪魔にはならないし、システム管理者を呼ぶ必要もありません。」

    この会社はPowerBrokerをトロイの木馬の検出にまで使っている。
    PowerBrokerは、ルートアカウントで稼動している各プログラムに関してチェックサム機能を持っている。ルートとして制御されていないスクリプトをPowerBrokerを使って無理に実行しようとすると、コマンドを実行する前にチェックサムの比較が行われる。チェックサムが一致しない場合、つまりウィルスやトロイの木馬がこれを改ざんしていた場合、そのプログラムは拒否されログにエントリーされる。

    この会社は長いこと、顧客のサポートにPowerBrokerを利用してきた。システム管理者はこれを、rloginの代わりとなる、より安全なものとして利用している。また、PowerBrokerはシステムへのベンダーのアクセスを制御する手段としても転用できる。

    「PowerBrokerは、余分な作業をしなくても様々な状況で利用することができます。」スペシャリストの結論はこうである。
    「実際、我々が顧客のために新しいシステムイメージをインストールするときに行う最初の作業の1つが、PowerBrokerのクライアントをインストールすることです。その方が、事が簡単に運べますので、PowerBrokerがなければ、UNIX環境をどう管理したらいいかわかりません。」

ページTOPへ