Oracle Access Manager

реклама
1
<Insert Picture Here>
Безопасность инфраструктуры с Oracle
Дмитрий Шепелявый, MBA, PMP, CISSP
Директор по продуктам безопасности, Oracle СНГ
План презентации
• Технологии управления доступом пользователей
к информационным системам
• Технологии управления учетными данными. Служба
каталогов. Управление и мониторинг
• Примеры проектов
3
Что приклеено на монитор?
• а – пароль к
финансовому
приложению
• б – телефонные
сообщения
• в – список
неотложных дел
5
Как определяются права доступа
ваших сотрудников?
• а – дайте Ивановой
все, что есть
(было) у Петрова
• б – в соответствии с
ролями,
атрибутами
и по запросам
• в – дайте все, что
попросит ее
начальник
6
Кто самый привилегированный
пользователь в вашей компании?
• а – администратор
безопасности
• б – заместитель
руководителя по
финансовым
вопросам
• в – практикант, ныне
работающий у
вашего конкурента
7
Во сколько обходится вашей
организации поддержание порядка?
• а – бесплатно; мы не
принимаем новых
сотрудников
• б – не спрашивайте
• в – не знаю
8
Где мы?
Традиционная архитектура
Пользователи
Приложение
Приложение
Приложение
Приложение
LDAP или СУБД
LDAP или СУБД
LDAP или СУБД
LDAP или СУБД
ID пользователей
для Аутентификации
& Авторизации
ID пользователей
для Аутентификации
& Авторизации
ID пользователей
для Аутентификации
& Авторизации
ID пользователей
для Аутентификации
& Авторизации
Администраторы Администраторы Администраторы Администраторы
9
Низкий уровень
безопасности и
высокая стоимость
управления:
• Приложения
разрозненны, их
разработка сложна
• Политики доступа не
унифицированы,
пользователи имеют
излишние привилегии
• Id данные пользователей
дублируются, высокая
трудоемкость
администрирования,
«мертвые души»
• Аудит фрагментирован
Что делать?
Пора наводить порядок!
Пользователи
Приложения
Приложения
Приложения
Приложения
ID пользователей для
Аутентификации &
Авторизации
Администраторы
10
Единые политики
безопасности
• Централизованное
хранение и управление
всеми Id данными
пользователей
• Централизованное,
основанное на политиках,
управление авторизацией и
аутентификацией
• Централизованный аудит,
информация сохраняется в
БД, анализ и отчетность по
аудиту
• Однократная регистрация
• Быстрая разработка и
внедрение приложений
• Облегчение жизни
пользователям
Identity & Access Management
Управление
учетными
данными
Управление
доступом
Усиленная
аутентификация и
авторизация
Служба каталогов
Управление
жизненным циклом
Риск-ориентированный
контроль доступа
Однократная
регистрация (SSO)
Управление ролями
Виртуализация
Доставка &
распознавание
учетных данных
Синхронизация
Управление
соответствием
политике безопасности
Федеративность
Безопасность
Web-сервисов
Хранение
Аудит & Обеспечение соответствия требованиям
Аудит
Соответствие
Обнаружение мошенничества
Разделение полномочий
Индикаторы
Управление
Уровень сервисов
11
Анализ рисков
Конфигурование
Производительность
Автоматизация
Продукты Oracle IAMS
Контроль
доступа
Администрирование
идентифик. данных
Службы
каталогов
Oracle Access Manager
Oracle Adaptive
Access Manager
Oracle Identity Manager
(OIM)
Oracle Enterprise
Single Sign-On
Oracle Role Management (ORM)
Oracle Identity
Federation
Oracle Virtual Directory
Oracle Internet Directory
(with Directory
Integration Platform)
Oracle Web Services
Manager
Аудит и контроль соответствия требованиям ИБ
Oracle Identity & Access Management Suite
Управление
Oracle Enterprise Manager for Identity Management
12
Поддержка стандартов
• Identity Management Standards
• SAML
XACML
Liberty ID-FF
• SPML
WS-Fed
X.509, etc.
• Security Standards
• XKMS
XML-SIG
PKCS
WSS
XML-ENC
TLS
PKI
SSL
S/MIME
LDAP
SHA-1
AES
Kerberos
RADIUS
• Platform and Integration Standards
• WSDL
SOAP
WSRP
• Oracle Jdeveloper
JSR-115
• Oracle BPEL Designer
JCP
• Oracle TopLink and ADF
• Web Services Standards
• WS-Security
WS-Policy
WS-Fed
14
WS-Trust
Поддерживаемые системы
Порталы
Сервера приложений / Web-сервера
Приложения
Средства коллективной работы
Каталоги
Операционные системы
ACF-2 & TSS
15
RACF
<Insert Picture Here>
Управление доступом
17
Oracle Access Manager
WebGate
App Servers
Single Sign-on to
Enterprise Applications
App Server
Connector
WebGate
Secure Protocol over SSL
Delegated
Admins
Packaged eBusiness Apps
Authn API
Web Servers
Authz API
Users
Policy Manager API
Secure
Protocol over SSL
Access Manager
SDK
Portals
Access Server
Delegated
Admins
WebPass
LDAP over SSL
LDAP
Directory
IdentityXML
API
Users
Web Server
DMZ
18
ID Event Plug-in
API
Identity Server
Static HTML content
Что дает Oracle Access Manager?
•
•
•
•
•
20
Единая точка доступа к Web-ресурсам
Однократная аутентификация для Web-ресурсов
Интеграция с существующими системами защиты
Управление паролями
Risk-based authentication, защита от мошенничества
Oracle Adaptive
Strong Authenticator
21
• Взаимная аутентификация с
помощью настраиваемых
представлений
• Виртуальный аутентификатор
защищает пароли, PINы и
ответы на ключевые вопросы
от перехвата с помощью
журналирования, фишинга и
программ оптического
распознавания
• Случайное расположение
аутентификатора на экране
пользователя
Oracle Adaptive Risk Manager
• Отслеживание web-трафика в
реальном масштабе времени,
построение профиля
«нормального поведения
пользователей»
• Контекстная проверка
активности пользователей
относительно правил
• Генерация запросов на
дополнительную
аутентификацию или
контрольные вопросы
• Блокирование доступа или
извещение администраторов в
случае вероятного
мошенничества
• Экспертный анализ данных
аудита в отключенном режиме
22
Oracle Enterprise Single Sign-On
Сервера приложений
Сервер политики
единой точки входа
Сервер
аутентификации
пароль
PKI
Mainframe
биометрия
смарт-карты
токены
Автоматический вход
Рабочие станции пользователей
24
Unix
Базы
данных
Windows
Webсерверы
Что дает Oracle Enterprise Single-SignOn?
• Пользователю необходимо знать ОДИН пароль
• Пользователь вводит пароль ОДИН раз и получает
доступ к необходимым ресурсам
• Интеграция со смарт-картами и токенами
• Готовая поддержка большинства приложений,
быстрая интеграция с нестандартными приложениями
• Не требует изменений существующей ИТинфраструктуры
• Интегрируется с Oracle Identity Manager
25
<Insert Picture Here>
Управление учетными
данными
Служба каталогов
Управление и аудит
28
ОТДЕЛ
КАДРОВ
Oracle Identity Manager
учетные
записи
Oracle dB
29
роль
Oracle
права
доступа
ресурс
учетные
записи
MS AD
группа
AD
права
доступа
ресурс
ORACLE
IDENTITY
MANAGER
ПОЛИТИКИ ДОСТУПА
К еBS
привязка к
полномочиям
членство
членство
учетные
записи
eBS
ОБРАЗ
РЕСУРСА
полноеBS
мочия
информация о
полномочиях
привязка к
полномочиям
создание учетных записей
ГЛОБАЛЬНЫЕ
ПОЛИТИКИ
создание учетных записей
привязка
к группам
членство
группа
AD
ОБРАЗ
РЕСУРСА
MS AD
информация
о группах
привязка
к группам
ПОЛИТИКИ ДОСТУПА
К MS AD
членство
создание учетных записей
привязка
к ролям
создание учетных записей
членство
роль
Oracle
ОБРАЗ
РЕСУРСА
ORACLE
DB
создание учетных записей
ПОЛИТИКИ ДОСТУПА
К ORACLE DB
членство
РОЛИ В ОРГАНИЗАЦИИ
(ГЛОБАЛЬНЫЕ ГРУППЫ)
членство
информация
о ролях
привязка
к ролям
создание учетных записей
глобальные
учетные
записи OIM
ЦЕЛЕВЫЕ
СИСТЕМЫ
полномочия
права
доступа
ресурс
Документооборот Oracle Identity
Manager
Управление
персоналом
Сотрудник
Информационная
система HR
ие
Руководитель
сотрудника
За
пр
ос
/С
ам
оо
бс
л
уж
ив
ан
Внесение
сведений о
сотруднике
З
Identity
Management
Задание на выполнение операции
Согласование
Владелец
информационного ресурса
Контроль и управление
Системный
администратор
Выполнение задания
Информационный ресурс
30
с/С
апро
ние
сова
огла
Подразделение ИБ
Согласование
Центр развития IAM
Что дает Oracle Identity Manager?
• Управление жизненным циклом ролей на основе бизнеспотребностей
• Управление ролевым доступом в соответствии с должностными
обязанностями
• Разделение / делегирование полномочий
• Управляющий документооборот
• Контроль действий администраторов целевых систем
• Отчетность (оперативная / историческая)
• Выявление «сиротских» учетных записей
• Самообслуживание пользователей
• Проверка неизбыточности полномочий пользователей
• Отказоустойчивая архитектура
32
Virtual Directory
34
Что дает Oracle Virtual Directory?
• Универсальное представление данных из различных
источников в виде LDAP-каталога;
• Нет необходимости синхронизации данных между
источниками
35
Web Services Manager
Web
services
Clients
Policy
Enforcement
Points
(PEP)
Oracle WSM
server
components
Agent
Agent
Agent
Agent
Agent
Agent
Policy manager
Monitor
Management Console
Database
36
Что дает OWSM?
• Отделение политики безопасности сервисов от самих
сервисов
• Четкое разграничение экспертизы
• Разработчики формируют бизнес-логику
• Архитекторы и администраторы определяют политику
безопасности и управления
• Соответствие требованиям управляемости
• Централизация определения и применения корпоративных
правил
• Единая точка управления политикой безопасности
• Снижение издержек на администрирование
• Изменения в политику безопасности вносятся централизованно,
а не в каждом web-сервисе
• Аудит безопасности для всех сервисов ведется из единой точки
администрирования
• Упрощение поддержки и внесения изменений в среду
управления и обеспечения безопасности web-сервисов
37
Enterprise Manager
London
• Мониторинг
сервисов с точки
зрения пользователя
Paris
Service
38
• Системный
мониторинг
(контроль SLA, KPI)
<Insert Picture Here>
Что говорят аналитики
41
Выводы аналитиков
42
Leader in
Enterprise Identity Provisioning
Leader in
Web Access Management
“Стратегия Oracle в IAM выглядит
лучшей среди всех вендоров”
“Oracle Access Manager является
одним из самых полных решений
в классе решений WAM"
2006 Gartner UP MQ
2006 Gartner WAM MQ
“Oracle сейчас может
рассматриваться, как основной
поставщик решений Identity and
Access Management” **
“…поместить Oracle в шорт-лист
для корпоративных
пользователей, планирующих
внедрить полноценный набор
приложений с безопасной
поддержкой Identity management
для быстро меняющегося ИТландшафта”(*)
<Insert Picture Here>
Примеры проектов
44
Проекты
• Telco – Nokia, Vodafone, T-Mobile, Telecom Italia,
Telenor
• Airlines – USAir, Alaska Air, Air New Zealand,
Korean Air
• Energy – Tesoro, Halliburton, Oxy Petroleum,
Atmos Energy, SunPower, Cal-ISO, Chesapeake,
Duke
• Hi-tech – Dell, Cisco, EMC, Netapp, Tektronix,
Toshiba, Finisar
45
Вопросы?
119435, Россия, Москва, Саввинская набережная, 15
+7 (495) 641-1400 [email protected]
56
Скачать