1 <Insert Picture Here> Безопасность инфраструктуры с Oracle Дмитрий Шепелявый, MBA, PMP, CISSP Директор по продуктам безопасности, Oracle СНГ План презентации • Технологии управления доступом пользователей к информационным системам • Технологии управления учетными данными. Служба каталогов. Управление и мониторинг • Примеры проектов 3 Что приклеено на монитор? • а – пароль к финансовому приложению • б – телефонные сообщения • в – список неотложных дел 5 Как определяются права доступа ваших сотрудников? • а – дайте Ивановой все, что есть (было) у Петрова • б – в соответствии с ролями, атрибутами и по запросам • в – дайте все, что попросит ее начальник 6 Кто самый привилегированный пользователь в вашей компании? • а – администратор безопасности • б – заместитель руководителя по финансовым вопросам • в – практикант, ныне работающий у вашего конкурента 7 Во сколько обходится вашей организации поддержание порядка? • а – бесплатно; мы не принимаем новых сотрудников • б – не спрашивайте • в – не знаю 8 Где мы? Традиционная архитектура Пользователи Приложение Приложение Приложение Приложение LDAP или СУБД LDAP или СУБД LDAP или СУБД LDAP или СУБД ID пользователей для Аутентификации & Авторизации ID пользователей для Аутентификации & Авторизации ID пользователей для Аутентификации & Авторизации ID пользователей для Аутентификации & Авторизации Администраторы Администраторы Администраторы Администраторы 9 Низкий уровень безопасности и высокая стоимость управления: • Приложения разрозненны, их разработка сложна • Политики доступа не унифицированы, пользователи имеют излишние привилегии • Id данные пользователей дублируются, высокая трудоемкость администрирования, «мертвые души» • Аудит фрагментирован Что делать? Пора наводить порядок! Пользователи Приложения Приложения Приложения Приложения ID пользователей для Аутентификации & Авторизации Администраторы 10 Единые политики безопасности • Централизованное хранение и управление всеми Id данными пользователей • Централизованное, основанное на политиках, управление авторизацией и аутентификацией • Централизованный аудит, информация сохраняется в БД, анализ и отчетность по аудиту • Однократная регистрация • Быстрая разработка и внедрение приложений • Облегчение жизни пользователям Identity & Access Management Управление учетными данными Управление доступом Усиленная аутентификация и авторизация Служба каталогов Управление жизненным циклом Риск-ориентированный контроль доступа Однократная регистрация (SSO) Управление ролями Виртуализация Доставка & распознавание учетных данных Синхронизация Управление соответствием политике безопасности Федеративность Безопасность Web-сервисов Хранение Аудит & Обеспечение соответствия требованиям Аудит Соответствие Обнаружение мошенничества Разделение полномочий Индикаторы Управление Уровень сервисов 11 Анализ рисков Конфигурование Производительность Автоматизация Продукты Oracle IAMS Контроль доступа Администрирование идентифик. данных Службы каталогов Oracle Access Manager Oracle Adaptive Access Manager Oracle Identity Manager (OIM) Oracle Enterprise Single Sign-On Oracle Role Management (ORM) Oracle Identity Federation Oracle Virtual Directory Oracle Internet Directory (with Directory Integration Platform) Oracle Web Services Manager Аудит и контроль соответствия требованиям ИБ Oracle Identity & Access Management Suite Управление Oracle Enterprise Manager for Identity Management 12 Поддержка стандартов • Identity Management Standards • SAML XACML Liberty ID-FF • SPML WS-Fed X.509, etc. • Security Standards • XKMS XML-SIG PKCS WSS XML-ENC TLS PKI SSL S/MIME LDAP SHA-1 AES Kerberos RADIUS • Platform and Integration Standards • WSDL SOAP WSRP • Oracle Jdeveloper JSR-115 • Oracle BPEL Designer JCP • Oracle TopLink and ADF • Web Services Standards • WS-Security WS-Policy WS-Fed 14 WS-Trust Поддерживаемые системы Порталы Сервера приложений / Web-сервера Приложения Средства коллективной работы Каталоги Операционные системы ACF-2 & TSS 15 RACF <Insert Picture Here> Управление доступом 17 Oracle Access Manager WebGate App Servers Single Sign-on to Enterprise Applications App Server Connector WebGate Secure Protocol over SSL Delegated Admins Packaged eBusiness Apps Authn API Web Servers Authz API Users Policy Manager API Secure Protocol over SSL Access Manager SDK Portals Access Server Delegated Admins WebPass LDAP over SSL LDAP Directory IdentityXML API Users Web Server DMZ 18 ID Event Plug-in API Identity Server Static HTML content Что дает Oracle Access Manager? • • • • • 20 Единая точка доступа к Web-ресурсам Однократная аутентификация для Web-ресурсов Интеграция с существующими системами защиты Управление паролями Risk-based authentication, защита от мошенничества Oracle Adaptive Strong Authenticator 21 • Взаимная аутентификация с помощью настраиваемых представлений • Виртуальный аутентификатор защищает пароли, PINы и ответы на ключевые вопросы от перехвата с помощью журналирования, фишинга и программ оптического распознавания • Случайное расположение аутентификатора на экране пользователя Oracle Adaptive Risk Manager • Отслеживание web-трафика в реальном масштабе времени, построение профиля «нормального поведения пользователей» • Контекстная проверка активности пользователей относительно правил • Генерация запросов на дополнительную аутентификацию или контрольные вопросы • Блокирование доступа или извещение администраторов в случае вероятного мошенничества • Экспертный анализ данных аудита в отключенном режиме 22 Oracle Enterprise Single Sign-On Сервера приложений Сервер политики единой точки входа Сервер аутентификации пароль PKI Mainframe биометрия смарт-карты токены Автоматический вход Рабочие станции пользователей 24 Unix Базы данных Windows Webсерверы Что дает Oracle Enterprise Single-SignOn? • Пользователю необходимо знать ОДИН пароль • Пользователь вводит пароль ОДИН раз и получает доступ к необходимым ресурсам • Интеграция со смарт-картами и токенами • Готовая поддержка большинства приложений, быстрая интеграция с нестандартными приложениями • Не требует изменений существующей ИТинфраструктуры • Интегрируется с Oracle Identity Manager 25 <Insert Picture Here> Управление учетными данными Служба каталогов Управление и аудит 28 ОТДЕЛ КАДРОВ Oracle Identity Manager учетные записи Oracle dB 29 роль Oracle права доступа ресурс учетные записи MS AD группа AD права доступа ресурс ORACLE IDENTITY MANAGER ПОЛИТИКИ ДОСТУПА К еBS привязка к полномочиям членство членство учетные записи eBS ОБРАЗ РЕСУРСА полноеBS мочия информация о полномочиях привязка к полномочиям создание учетных записей ГЛОБАЛЬНЫЕ ПОЛИТИКИ создание учетных записей привязка к группам членство группа AD ОБРАЗ РЕСУРСА MS AD информация о группах привязка к группам ПОЛИТИКИ ДОСТУПА К MS AD членство создание учетных записей привязка к ролям создание учетных записей членство роль Oracle ОБРАЗ РЕСУРСА ORACLE DB создание учетных записей ПОЛИТИКИ ДОСТУПА К ORACLE DB членство РОЛИ В ОРГАНИЗАЦИИ (ГЛОБАЛЬНЫЕ ГРУППЫ) членство информация о ролях привязка к ролям создание учетных записей глобальные учетные записи OIM ЦЕЛЕВЫЕ СИСТЕМЫ полномочия права доступа ресурс Документооборот Oracle Identity Manager Управление персоналом Сотрудник Информационная система HR ие Руководитель сотрудника За пр ос /С ам оо бс л уж ив ан Внесение сведений о сотруднике З Identity Management Задание на выполнение операции Согласование Владелец информационного ресурса Контроль и управление Системный администратор Выполнение задания Информационный ресурс 30 с/С апро ние сова огла Подразделение ИБ Согласование Центр развития IAM Что дает Oracle Identity Manager? • Управление жизненным циклом ролей на основе бизнеспотребностей • Управление ролевым доступом в соответствии с должностными обязанностями • Разделение / делегирование полномочий • Управляющий документооборот • Контроль действий администраторов целевых систем • Отчетность (оперативная / историческая) • Выявление «сиротских» учетных записей • Самообслуживание пользователей • Проверка неизбыточности полномочий пользователей • Отказоустойчивая архитектура 32 Virtual Directory 34 Что дает Oracle Virtual Directory? • Универсальное представление данных из различных источников в виде LDAP-каталога; • Нет необходимости синхронизации данных между источниками 35 Web Services Manager Web services Clients Policy Enforcement Points (PEP) Oracle WSM server components Agent Agent Agent Agent Agent Agent Policy manager Monitor Management Console Database 36 Что дает OWSM? • Отделение политики безопасности сервисов от самих сервисов • Четкое разграничение экспертизы • Разработчики формируют бизнес-логику • Архитекторы и администраторы определяют политику безопасности и управления • Соответствие требованиям управляемости • Централизация определения и применения корпоративных правил • Единая точка управления политикой безопасности • Снижение издержек на администрирование • Изменения в политику безопасности вносятся централизованно, а не в каждом web-сервисе • Аудит безопасности для всех сервисов ведется из единой точки администрирования • Упрощение поддержки и внесения изменений в среду управления и обеспечения безопасности web-сервисов 37 Enterprise Manager London • Мониторинг сервисов с точки зрения пользователя Paris Service 38 • Системный мониторинг (контроль SLA, KPI) <Insert Picture Here> Что говорят аналитики 41 Выводы аналитиков 42 Leader in Enterprise Identity Provisioning Leader in Web Access Management “Стратегия Oracle в IAM выглядит лучшей среди всех вендоров” “Oracle Access Manager является одним из самых полных решений в классе решений WAM" 2006 Gartner UP MQ 2006 Gartner WAM MQ “Oracle сейчас может рассматриваться, как основной поставщик решений Identity and Access Management” ** “…поместить Oracle в шорт-лист для корпоративных пользователей, планирующих внедрить полноценный набор приложений с безопасной поддержкой Identity management для быстро меняющегося ИТландшафта”(*) <Insert Picture Here> Примеры проектов 44 Проекты • Telco – Nokia, Vodafone, T-Mobile, Telecom Italia, Telenor • Airlines – USAir, Alaska Air, Air New Zealand, Korean Air • Energy – Tesoro, Halliburton, Oxy Petroleum, Atmos Energy, SunPower, Cal-ISO, Chesapeake, Duke • Hi-tech – Dell, Cisco, EMC, Netapp, Tektronix, Toshiba, Finisar 45 Вопросы? 119435, Россия, Москва, Саввинская набережная, 15 +7 (495) 641-1400 [email protected] 56