340 likes | 610 Views
Решения Oracle по управлению безопасностью. Иван Бакланов, Ведущий консультант продуктам безопасности, Oracle СНГ. План презентации. Технологии у правления доступом пользователей к информационным системам Технологии управления учетными данными. Служба каталогов. Управление и мониторинг
E N D
Решения Oracle по управлению безопасностью Иван Бакланов, Ведущий консультант продуктам безопасности, Oracle СНГ
План презентации • Технологии управления доступом пользователей к информационным системам • Технологии управления учетными данными. Служба каталогов. Управление и мониторинг • Реализация требований руководящих документов • Примеры проектов
Где мы? Традиционная архитектура • Низкий уровень безопасности и высокая стоимостьуправления: • Приложения разрозненны, их разработка сложна • Политики доступа не унифицированы, • пользователи имеют • излишние привилегии • Id данные пользователей дублируются, высокая трудоемкость администрирования, «мертвые души» • Аудит фрагментирован Пользователи Приложение Приложение Приложение Приложение LDAP или СУБД LDAP или СУБД LDAP или СУБД LDAP или СУБД ID пользователейдля Аутентификации & Авторизации ID пользователейдля Аутентификации & Авторизации ID пользователейдля Аутентификации & Авторизации ID пользователейдля Аутентификации & Авторизации Администраторы Администраторы Администраторы Администраторы
Что делать?Пора наводить порядок! • Централизованное хранение и управление всеми Id данными пользователей • Централизованное, основанное на политиках, управление авторизацией и аутентификацией • Централизованный аудит, информация сохраняется в БД, анализ и отчетность по аудиту • Однократная регистрация • Быстрая разработка и внедрениеприложений • Облегчение жизни пользователям Пользователи Приложения Приложения Приложения Приложения ID пользователейдля Аутентификации & Авторизации Единые политики безопасности Администраторы
Продукты Oracle IAMS Контроль доступа Администрирование идентифик. данных Службы каталогов Oracle Access Manager Oracle Adaptive Access Manager Oracle Enterprise Single Sign-On Oracle Identity Federation Oracle Web Services Manager Oracle Identity Manager (OIM) Oracle Role Management (ORM) Oracle Virtual Directory Oracle Internet Directory (with Directory IntegrationPlatform) Аудит и контроль соответствия требованиям ИБ Oracle Identity & Access Management Suite Управление Oracle Enterprise Manager for Identity Management
Поддержка стандартов • Identity Management Standards • SAML XACML Liberty ID-FF • SPML WS-Fed X.509, etc. • Security Standards • XKMS XML-SIG PKCS WSS XML-ENC TLS PKI SSL S/MIME LDAP SHA-1 AES Kerberos RADIUS • Platform and Integration Standards • WSDL SOAP WSRP • Oracle Jdeveloper JSR-115 • Oracle BPEL Designer JCP • Oracle TopLink and ADF • Web Services Standards • WS-Security WS-Policy WS-Fed WS-Trust
Поддерживаемые системы Порталы Сервера приложений / Web-сервера Средства коллективной работы Приложения Каталоги Операционные системы ACF-2 & TSS RACF
<Insert Picture Here> Управление доступом
Policy Manager API Authn API Authz API Access Manager SDK WebGate WebGate Delegated Admins Delegated Admins Users Users IdentityXML API ID Event Plug-in API OracleAccess Manager App Servers Single Sign-on to Enterprise Applications App Server Connector Secure Protocol over SSL Packaged eBusiness Apps Web Servers Secure Protocol over SSL Portals Access Server LDAP over SSL WebPass LDAP Directory Static HTML content Web Server Identity Server DMZ
Что дает Oracle Access Manager? • Единая точка доступа к Web-ресурсам • Однократная аутентификация для Web-ресурсов • Интеграция с существующими системами защиты • Управление паролями • Risk-based authentication, защита от мошенничества
Oracle AdaptiveStrong Authenticator • Взаимная аутентификация с помощью настраиваемых представлений • Виртуальный аутентификатор защищает пароли, PINы и ответы на ключевые вопросы от перехвата с помощью журналирования, фишинга и программ оптического распознавания • Случайное расположение аутентификатора на экране пользователя
Oracle Adaptive Risk Manager • Отслеживание web-трафика в реальном масштабе времени, построение профиля «нормального поведения пользователей» • Контекстная проверка активности пользователейотносительно правил • Генерация запросов на дополнительную аутентификацию или контрольные вопросы • Блокирование доступа или извещение администраторов в случае вероятного мошенничества • Экспертный анализ данных аудита в отключенном режиме
Oracle Enterprise Single Sign-On Сервера приложений Сервер политики единой точки входа Сервераутентификации пароль PKI биометрия смарт-карты токены Mainframe Windows Unix Автоматическийвход Рабочие станции пользователей Web-серверы Базы данных
Что дает Oracle Enterprise Single-Sign-On? • Пользователю необходимо знать ОДИН пароль • Пользователь вводит пароль ОДИН раз и получает доступ к необходимым ресурсам • Интеграция со смарт-картами и токенами • Готовая поддержка большинства приложений, быстрая интеграция с нестандартными приложениями • Не требует изменений существующей ИТ- инфраструктуры • Интегрируется с Oracle Identity Manager
<Insert Picture Here> Управление учетными данными Служба каталогов Управление и аудит
ОТДЕЛКАДРОВ ORACLEIDENTITYMANAGER глобальные учетные записи OIM РОЛИ В ОРГАНИЗАЦИИ(ГЛОБАЛЬНЫЕ ГРУППЫ) ГЛОБАЛЬНЫЕ ПОЛИТИКИ членство ПОЛИТИКИ ДОСТУПА К ORACLEDB ПОЛИТИКИ ДОСТУПА К MS AD ПОЛИТИКИ ДОСТУПА К еBS создание учет-ных записей привязкак ролям создание учет-ных записей привязкак группам создание учет-ных записей привязка к полномочиям ОБРАЗРЕСУРСАORACLE DB ОБРАЗ РЕСУРСА MS AD ОБРАЗ РЕСУРСА еBS группаAD полно-мочия роль Oracle членство членство членство информацияо ролях информацияо группах информация о полномочиях создание учет-ных записей привязкак ролям создание учет-ных записей привязкак группам создание учет-ных записей привязка к полномочиям ЦЕЛЕВЫЕСИСТЕМЫ роль Oracle правадоступа группаAD правадоступа полно-мочия правадоступа членство членство членство учетныезаписи Oracle dB учетныезаписи MS AD учетныезаписи eBS ресурс ресурс ресурс Oracle Identity Manager
Что дает Oracle Identity Manager? • Управление ролевым доступом в соответствии с должностными обязанностями • Разделение / делегирование полномочий • Управляющий документооборот • Контроль действий администраторов целевых систем • Отчетность (оперативная / историческая) • Выявление «сиротских» учетных записей • Самообслуживание пользователей • Проверка неизбыточности полномочий пользователей • Отказоустойчивая архитектура
Что дает Oracle Virtual Directory? • Универсальное представление данных из различных источников в виде LDAP-каталога; • Нет необходимости синхронизации данных между источниками
Enterprise Manager London • Мониторинг сервисов с точки зрения пользователя • Системный мониторинг (контроль SLA, KPI) Paris Service
<Insert Picture Here> Преимущества решений Oracle
Преимущества решений Oracle • Не требует перестройки инфраструктуры • Комплексное единое решение • Интегрировано с HR-системам • Отказоустойчивая архитектура • Легко интегрируется с унаследованными системами • Поддерживает системы национального производства (1С, Босс-Кадровик) • Имеется единая консоль управленияс поддержкой SLA
<Insert Picture Here> Что говорят аналитики
Oracle- ведущий IdM вендор VantagePoint 2007 Identity and Access Management, Q1 2008
Oracle и требования российского законодательства • Основные положения Закона о персональных данных и Стандарта БР • Обеспечение выполнения требований Закона и Стандарта
Основные положения Закона о персональных данных • Ст 7, 19. Конфиденциальность персональных данных, меры по обеспечению безопасности персональных данных при их обработке • IAMS: • Минимизация привилегий • Разделение полномочий • Cт 14, 21. Аудит доступа к персональным данным, выявление неправомерных действий над данными • IAMS: Аудит привилегий и прав доступа • Ст 20. Возможность ознакомления субъекта с персональными данными • IAMS: Контроль доступа на уровне учетных записей
Основные положения Стандарта БР • п. 5.4. Защита от угроз со стороны персонала • IAMS- Минимизация привилегий,разделение полномочий • пп. 5.12, 5.13, Процессный подход • IAMS - Управляющий документооборот, Проектирование бизнес-процессов, Интеграция с HR-системами • пп. 8.2.2.1- 8.2.2.27, 8.2.4.1, 8.2.8.5, 8.2.9.6. Ролевой доступ, принципы безопасности “need to know”, “know your customer and employee”, разграничение полномочий в АБС • IAMS - Глобальные роли, Минимизация привилегий в АБС, Разделение полномочий между АИБ и администратором
Основные положения Стандарта БР (продолжение) • п. 8.2.4.3. Управление парольной политикой • ESSO - Однократная аутентификация, Поддержка “толстых клиентов”, Управление парольной политикой • IAMS - Синхронизация паролей, Поддержка правил задания паролей • п. 8.2.5.3, п.10. Регистрация и аудит • IAMS - Аудит привилегий и прав доступа
ВЫВОД Решения Oracle по безопасности способствуют выполнению технических требований Закона о персональных данных и Стандарта Банка России
<Insert Picture Here> Примеры проектов
Identity Administration Customers Financial Services Transportation & Services Manufacturing & Technology Telecommunication Public Sector Retail