Решения Oracle по управлению безопасностью
реклама
1 <Insert Picture Here> Решения Oracle по управлению безопасностью Иван Бакланов, Ведущий консультант продуктам безопасности, Oracle СНГ План презентации • Технологии управления доступом пользователей к информационным системам • Технологии управления учетными данными. Служба каталогов. Управление и мониторинг • Реализация требований руководящих документов • Примеры проектов 3 Где мы? Традиционная архитектура Пользователи Приложение Приложение Приложение Приложение LDAP или СУБД LDAP или СУБД LDAP или СУБД LDAP или СУБД ID пользователей для Аутентификации & Авторизации ID пользователей для Аутентификации & Авторизации ID пользователей для Аутентификации & Авторизации ID пользователей для Аутентификации & Авторизации Администраторы Администраторы Администраторы Администраторы 4 Низкий уровень безопасности и высокая стоимость управления: • Приложения разрозненны, их разработка сложна • Политики доступа не унифицированы, пользователи имеют излишние привилегии • Id данные пользователей дублируются, высокая трудоемкость администрирования, «мертвые души» • Аудит фрагментирован Что делать? Пора наводить порядок! Пользователи Приложения Приложения Приложения Приложения ID пользователей для Аутентификации & Авторизации Администраторы 5 Единые политики безопасности • Централизованное хранение и управление всеми Id данными пользователей • Централизованное, основанное на политиках, управление авторизацией и аутентификацией • Централизованный аудит, информация сохраняется в БД, анализ и отчетность по аудиту • Однократная регистрация • Быстрая разработка и внедрение приложений • Облегчение жизни пользователям Продукты Oracle IAMS Контроль доступа Администрирование идентифик. данных Службы каталогов Oracle Access Manager Oracle Adaptive Access Manager Oracle Identity Manager (OIM) Oracle Enterprise Single Sign-On Oracle Role Management (ORM) Oracle Identity Federation Oracle Virtual Directory Oracle Internet Directory (with Directory Integration Platform) Oracle Web Services Manager Аудит и контроль соответствия требованиям ИБ Oracle Identity & Access Management Suite Управление Oracle Enterprise Manager for Identity Management 6 Most Comprehensive IdM Suite 7 Поддержка стандартов • Identity Management Standards • SAML XACML Liberty ID-FF • SPML WS-Fed X.509, etc. • Security Standards • XKMS XML-SIG PKCS WSS XML-ENC TLS PKI SSL S/MIME LDAP SHA-1 AES Kerberos RADIUS • Platform and Integration Standards • WSDL SOAP WSRP • Oracle Jdeveloper JSR-115 • Oracle BPEL Designer JCP • Oracle TopLink and ADF • Web Services Standards • WS-Security WS-Policy WS-Fed 8 WS-Trust Поддерживаемые системы Порталы Сервера приложений / Web-сервера Приложения Средства коллективной работы Каталоги Операционные системы ACF-2 & TSS 9 RACF <Insert Picture Here> Управление доступом 10 Oracle Access Manager WebGate App Servers Single Sign-on to Enterprise Applications App Server Connector WebGate Secure Protocol over SSL Delegated Admins Packaged eBusiness Apps Authn API Web Servers Authz API Users Policy Manager API Secure Protocol over SSL Access Manager SDK Portals Access Server Delegated Admins WebPass LDAP over SSL LDAP Directory IdentityXML API Users Web Server DMZ 11 ID Event Plug-in API Identity Server Static HTML content Что дает Oracle Access Manager? • • • • • 13 Единая точка доступа к Web-ресурсам Однократная аутентификация для Web-ресурсов Интеграция с существующими системами защиты Управление паролями Risk-based authentication, защита от мошенничества Oracle Adaptive Strong Authenticator 14 • Взаимная аутентификация с помощью настраиваемых представлений • Виртуальный аутентификатор защищает пароли, PINы и ответы на ключевые вопросы от перехвата с помощью журналирования, фишинга и программ оптического распознавания • Случайное расположение аутентификатора на экране пользователя Oracle Adaptive Risk Manager • Отслеживание web-трафика в реальном масштабе времени, построение профиля «нормального поведения пользователей» • Контекстная проверка активности пользователей относительно правил • Генерация запросов на дополнительную аутентификацию или контрольные вопросы • Блокирование доступа или извещение администраторов в случае вероятного мошенничества • Экспертный анализ данных аудита в отключенном режиме 15 Oracle Enterprise Single Sign-On Сервера приложений Сервер политики единой точки входа Сервер аутентификации пароль PKI Mainframe биометрия смарт-карты токены Автоматический вход Рабочие станции пользователей 16 Unix Базы данных Windows Webсерверы Что дает Oracle Enterprise Single-SignOn? • Пользователю необходимо знать ОДИН пароль • Пользователь вводит пароль ОДИН раз и получает доступ к необходимым ресурсам • Интеграция со смарт-картами и токенами • Готовая поддержка большинства приложений, быстрая интеграция с нестандартными приложениями • Не требует изменений существующей ИТинфраструктуры • Интегрируется с Oracle Identity Manager 17 <Insert Picture Here> Управление учетными данными Служба каталогов Управление и аудит 20 ОТДЕЛ КАДРОВ Oracle Identity Manager учетные записи Oracle dB 21 роль Oracle права доступа ресурс учетные записи MS AD группа AD права доступа ресурс ORACLE IDENTITY MANAGER ПОЛИТИКИ ДОСТУПА К еBS привязка к полномочиям членство членство учетные записи eBS ОБРАЗ РЕСУРСА полноеBS мочия информация о полномочиях привязка к полномочиям создание учетных записей ГЛОБАЛЬНЫЕ ПОЛИТИКИ создание учетных записей привязка к группам членство группа AD ОБРАЗ РЕСУРСА MS AD информация о группах привязка к группам ПОЛИТИКИ ДОСТУПА К MS AD членство создание учетных записей привязка к ролям создание учетных записей членство роль Oracle ОБРАЗ РЕСУРСА ORACLE DB создание учетных записей ПОЛИТИКИ ДОСТУПА К ORACLE DB членство РОЛИ В ОРГАНИЗАЦИИ (ГЛОБАЛЬНЫЕ ГРУППЫ) членство информация о ролях привязка к ролям создание учетных записей глобальные учетные записи OIM ЦЕЛЕВЫЕ СИСТЕМЫ полномочия права доступа ресурс Документооборот Oracle Identity Manager Управление персоналом Сотрудник Информационная система HR ие Руководитель сотрудника За пр ос /С ам оо бс л уж ив ан Внесение сведений о сотруднике З Identity Management Задание на выполнение операции Согласование Владелец информационного ресурса Контроль и управление Системный администратор Выполнение задания Информационный ресурс 22 с/С апро ние сова огла Подразделение ИБ Согласование Центр развития IAM Что дает Oracle Identity Manager? • Управление ролевым доступом в соответствии с должностными обязанностями • Разделение / делегирование полномочий • Управляющий документооборот • Контроль действий администраторов целевых систем • Отчетность (оперативная / историческая) • Выявление «сиротских» учетных записей • Самообслуживание пользователей • Проверка неизбыточности полномочий пользователей • Отказоустойчивая архитектура 24 Virtual Directory 25 Что дает Oracle Virtual Directory? • Универсальное представление данных из различных источников в виде LDAP-каталога; • Нет необходимости синхронизации данных между источниками 26 Enterprise Manager London • Мониторинг сервисов с точки зрения пользователя Paris Service 27 • Системный мониторинг (контроль SLA, KPI) <Insert Picture Here> Преимущества решений Oracle 28 Преимущества решений Oracle • • • • • Не требует перестройки инфраструктуры Комплексное единое решение Интегрировано с HR-системам Отказоустойчивая архитектура Легко интегрируется с унаследованными системами • Поддерживает системы национального производства (1С, Босс-Кадровик) • Имеется единая консоль управления с поддержкой SLA 29 <Insert Picture Here> Что говорят аналитики 30 Oracle- ведущий IdM вендор Identity and Access Management, Q1 2008 31 VantagePoint 2007 Oracle и требования российского законодательства • Основные положения Закона о персональных данных и Стандарта БР • Обеспечение выполнения требований Закона и Стандарта 32 Основные положения Закона о персональных данных • Ст 7, 19. Конфиденциальность персональных данных, меры по обеспечению безопасности персональных данных при их обработке • IAMS: • Минимизация привилегий • Разделение полномочий • Cт 14, 21. Аудит доступа к персональным данным, выявление неправомерных действий над данными • IAMS: Аудит привилегий и прав доступа • Ст 20. Возможность ознакомления субъекта с персональными данными • IAMS: Контроль доступа на уровне учетных записей 33 Основные положения Стандарта БР • п. 5.4. Защита от угроз со стороны персонала • IAMS- Минимизация привилегий, разделение полномочий • пп. 5.12, 5.13, Процессный подход • IAMS - Управляющий документооборот, Проектирование бизнес-процессов, Интеграция с HR-системами • пп. 8.2.2.1- 8.2.2.27, 8.2.4.1, 8.2.8.5, 8.2.9.6. Ролевой доступ, принципы безопасности “need to know”, “know your customer and employee”, разграничение полномочий в АБС • 34 IAMS - Глобальные роли, Минимизация привилегий в АБС, Разделение полномочий между АИБ и администратором Основные положения Стандарта БР (продолжение) • п. 8.2.4.3. Управление парольной политикой • ESSO - Однократная аутентификация, Поддержка “толстых клиентов”, Управление парольной политикой • IAMS - Синхронизация паролей, Поддержка правил задания паролей • п. 8.2.5.3, п.10. Регистрация и аудит • IAMS - Аудит привилегий и прав доступа 35 ВЫВОД Решения Oracle по безопасности способствуют выполнению технических требований Закона о персональных данных и Стандарта Банка России 36 <Insert Picture Here> Примеры проектов 37 Identity Administration Customers 38 Financial Services Transportation & Services Manufacturing & Technology Telecommunication Public Sector Retail
