Обеспечение информационной безопасности с помощью решений Oracle для российских заказчиков Андрей Гусаков, ведущий системный архитектор Oracle EE/CIS Конференция «Эффективные решения Oracle для бизнеса» город Ростов-на-Дону, 23 марта 2011 года
2 План презентации Вопросы информационной безопасности и эволюция законотворчества в нашей стране Предложение Oracle – сквозная всеобъемлющая безопасность информации Защита информации на уровне СУБД и в электронных документах Oracle Identity Management – универсальный зонтик для защиты приложений Сертифицированные решения Oracle в области информационной безопасности для российских заказчиков Финансовые аспекты при планировании внедрения решений по защите информации
3 Общие проблемы: управление рисками IT-безопасности Возрастающие объем данных и угрозы их компрометации Фрагментированные политики безопасности «Сиротские» учетные записи Отставание обновлений политик Отсутствие агрегированного аудита и отчетности Изощренные интеллектуальные атаки Эволюция преступных намерений Предрасположенные к ошибкам неавтоматизированные заявки на доступ Организационные и ролевые изменения требуют отражения в IT-привилегиях
4 Общие проблемы: операционная эффективность Стоимость администрирования Управление доступом десятков тысяч пользователей Лавина обращения в службу поддержки Ручное создание учетных записей для новых сотрудников Ручная проверка данных аудита и построение консолидированных отчетов Продуктивность пользователей Долгое получение доступа к запрошенным системам Забытые пароли Продуктивность IT Разработчики повторно разрабатывают политики безопасности для каждого приложения
5 Общие проблемы: соблюдение законодательства Возрастающие требования регуляторов Несоответствие обходится дорого Недостатки некомплексных неустойчивых решений Задержки при приеме на работу / увольнении Непонятные привилегии Конфликты прав доступа пользователей (например, к системам Закупок и Платежей) Парольные политики действуют не во всех системах
6 Эволюция законотворчества в нашей стране От требований для госструктур и тех, кто обеспечивает госзаказ (например, ДСП-приказ Гостехкомиссии России от г. 282 «Специальные требования и рекомендации по технической защите конфиденциальной информации [СТР-К]» к требованиям для всех (например, Федеральный закон РФ от г. 152-ФЗ «О персональных данных») От общих рассуждений (например, Федеральный закон РФ от 27 июля 2006 г. 149-ФЗ «Об информации, информационных технологиях и о защите информации») к конкретным рекомендациям (например, Приказ ФСТЭК России от г. 58 «Положения о методах и способах защиты информации в информационных системах персональных данных» и Комплекс документов в области стандартизации Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» от г.)
7 Наиболее комплексный индустриальный набор документов в области безопасности,
8 …отвечающий современным тенденциям в области IT,… Преобразование модели вычислений Распределенные (облачные) и SaaS Services-based Application Architecture Повышенное внимание к Extranet Подтверждение идентификации и предотвращение краж Масштабирование и производительность Консолидация инфраструктуры Облегчение администрирования и оперативного управления Упрощение интеграции за счет использования стандартов Управление на основе бизнес-процессов Взаимодействие аналитических средств и решений для обеспечения информационной безопасности
9 ИС ПФР Федеральный регистр информации о выданных УСК ПФР ЕИС ОМС ЕИС Соцстрах ИС ОАО "РЖД" ИС ФОИВ Внешние информацион- ные ресурсы: ИС РОИВ ИС ПФР ИС ТФОМС ЕИС Соцстрах ИС Соцзащиты ИС ОАО "РЖД" ИС служб ЗАГС ИС страховых компаний ИС транспортных предприятий и др. Внешние информацион- ные ресурсы: ИС гос. учреждений ИС ЛПУ ИС торгово-сервисных и транспортных предприятий ИС аптечных сетей и др. Внешние информацион- ные ресурсы: …масштабам крупных государственных проектов, например, «Соцкарта»… ЕГИС СУ и УСК Национальная электронная платежная система Оператор НЭПС БАНК(И) НЭПС АБС Финансовые процессин- говые центры Банковские точки обслужива- ния УСК Подсистема меж- ведомственного взаимодействия Региональный регистр социальных карт Региональный удостоверяющий центр Подсистема учета, планирования и контроля социальных услуг регионального уровня Распределенная база данных о правах граждан на получение социальных услуг Региональ- ный центр выпуска и персонали- зации УСК Региональ- ный центр обработки транзакций Подсистема управления точками обслужива- ния АРМ пунктов приема заявлений и выдачи УСК Компонент взаимодействия с УСК в точках обслуживания Контур обеспечения оказания социальных услуг гражданам Российской Федерации Контур информационно-технологического обеспечения процессов оформления, изготовления и выдачи Социальной карты Федеральный уровень Региональный уровень Федеральный портал социальных услуг в сети Интернет Уполномоченная организация Подсистема межведомственного взаимодействия Федеральный регистр социальных карт Федеральный удостоверяющий центр Федеральный центр управления выпуском УСК Федеральный центр обработки транзакций Подсистема ведения справочной и нормативно-правовой информации Подсистема учета, планирования и контроля оказания социальных услуг Федеральный реестр государственных социальных услуг Контур программно-технического и телекоммуникационного обеспечения Контур обеспечения обслуживания пользователей УСК Контур обеспечения информационной безопасности и защиты персональных данных Оператор системы
10 …и задачам крупных организаций Thick ClientBrowserVPNMobilePortal ERP Бизнес- приложения SCMCRMCustom Content Mgmt Сервисы уровня контента Info Rights Mgmt Analytics & Reporting Collab SOA Интеграционные сервисы BPMESB RDBMS Сервисы уровня данных XML Hardware Инфраструктурные Сервисы SoftwareStorageVirtualization LDAPUnstructured Workflow Решения в области безопасности
11 Databases Applications Content Infrastructure Information Маскирование и преобразование Управление привилегированными пользователями Многофакторная авторизация Аудит и мониторинг активности Безопасное конфигурирование Identity Management Information Rights Management Внимание – защите информации Назначение/отзыв IT-привилегий Управление ролями Универсальная авторизация Контроль доступа с учетом рисков Виртуальные каталоги Аудит использования документов Предоставление и блокирование доступа к документам Безопасность документов внутри и вне межсетевых экранов Database Security
12 Пример безопасного бизнес-приложения… Role ManagementEntitlements ManagementIdentity Management Cryptographic AccelerationKey ManagementSecure OS & Virtualization Database & Network Encryption Strong AuthN and AuthZ, Auditing, Firewall Propagated DirectoriesData Access ManagementVirtual & Core Directories Network Encryption Strong AuthN and AuthZ, JavaSecurity, SSO, SAML Access ManagementFraud PreventionIdentity Federation Network Encryption Strong AuthN and AuthZ, JavaSecurity, SSO Многоуровневая кластеризация и виртуализация обеспечивают отказоустойчивость и масштабирование Сквозная интегрированная безопасность
13 Единая корпоративная среда безопасности Платформы бизнес-решений (Приложения, Бизнес-процессы, Сервисы, СУБД и т.п.) Solution Platform Security Services Business Logic Development & Administration Data Management Security Services Design & Administration Shared Security Services Security Management & Administration Enterprise Security Information Интерфейсы безопасности на основе стандартов Information …на основе референсной архитектуры Oracle Oracle Security Reference Architecture
14 Credential MappingFraud DetectionInformation VirtualizationEncryption Services: Security Information: Administration & Management: Supporting Services: Common Platform Services: AuthenticationAuthorizationAuditEncryptionCredential Mapping Security Framework Role Mapping Provisioning ProcessingApprovalsAttestation & ReportingRisk Analysis O/S Security & Integration Access Policy Management Identity Management Role Management Key & Cert Management WSS Policy Management Authentication Policy Management Platform Security J2EE Platform Security.NET Platform Security Mainframe Platform Security Proprietary Platform Security Tuxedo Database Security Database Computing Platforms Platform & Database Security Admin Security Interfaces: SSL/TLS, SAML, LDAP, WS*, SPML, XACML, Proprietary, … Users & Identity RolesCredentialsAttributesEntitlements Audit Logs Certs & Keys WSS Polices Authen Rules Federated Identities Groups Change Detection & AlertsInformation Dissemination & Synchronization Change AuditingDynamic Assignments Delegated Administration Self-ServiceFederationSSOAuthenticationAuthorizationAuditKey MgmtWSS PolicyPII Стандартизация интерфейсов облегчает интеграцию вычислительных платформ
15 Полная поддержка стандартов и систем Отраслевые стандарты: Инновации, Вклад, Использование Поддержка всех лидирующих приложений и систем ACF-2 & TSS
16 Когда надо вспомнить про Oracle при построении СЗПДн 1.Определить ответственное структурное подразделение или должностное лицо 2.Определить состав обрабатываемых ПДн, цели и условия обработки, срок хранения 3.Получить (письменное) согласие субъекта на обработку его ПДн 4.Определить порядок реагирования на запросы со стороны субъектов ПДн 5.Определить необходимость уведомления уполномоченного органа по защите ПДн о начале обработки ПДн. Если необходимость есть, то составить и отправить уведомление 6.Выделить и классифицировать ИСПДн 7.Разработать модель угроз для ИСПДн 8.Спроектировать и реализовать СЗПДн 9.Провести аттестацию ИСПДн по требованиям безопасности или продекларировать соответствие 10.Определить перечень мер по защите ПДн, обрабатываемых без использования средств автоматизации 11.Выполнять постоянный контроль над обеспечением уровня защищенности ПДн
17 Примеры информационных бизнес-активов Биллинг/АБС – важнейшая бизнес-система, содержит много конфиденциальной информации о клиентах ERP/HRMS – важнейшая бизнес-система, содержит много конфиденциальной информации о сотрудниках Система документооборота – важная бизнес-система, содержит много конфиденциальной информации Service Desk – важная бизнес-система, содержит конфиденциальную информацию Электронная почта – вспомогательная бизнес-система, содержит конфиденциальную информацию
18 Примеры моделей угроз, оценка эффективности Биллинг/АБС – информация открыта для привилегированных пользователей, резервные копии не защищены, затруднен аудит привилегий ERP/HRMS – информация открыта для привилегированных пользователей, резервные копии не защищены, сложная система привилегий Система документооборота – уязвимость извлеченных данных, затруднен аудит привилегий Service Desk – проблема точности выполнения заявок, задержки согласования Электронная почта – необходимость повторной аутентификации при web-доступе
19 Защита структурированной информации в СУБД Oracle и электронных документов
20 Технологии защиты информации Авторизованный доступ dB, ASO (аутентификация), EUS (интеграция DB с IAMS), IRM Фильтрация (сокрытие) информации dB, VPD, OLS, DBV Криптопреобразование информации ASO – в базе, в архиве, в сети Secured Backup, Data Masking IRM Активный мониторинг доступа DBV, DBFW IRM, OAM (из IAMS) Аудит и расследование инцидентов Вышеперечисленное, Audit Vault, OIM, OAAM
21 Защита СУБД Oracle с помощью ASO ASO = Advanced Security Option Опция Oracle Database EE Пакет из трех компонентов: TDE (Transparent Data Encryption) для объектов СУБД / файлов / резервных копий Network Encryption средства строгой аутентификации Kerberos / PKI / RADIUS Опция интегрирована на уровне ядра для всех СУБД версий 10g / 11g Не требуется модификация структуры СУБД или приложения; сохраняется индексация
22 ASO: Защита на физическом уровне Прозрачное шифрование Данные на физических носителях информации и в резервных копиях защищены Расшифровывание данных при чтении Зашифровывание данных при записи
23 Ключи для колонок защищены мастер-ключем ASO: Ключи прозрачного шифрования Мастер-ключ и ключи защищенных колонок Таблицы с защищенными колонками Мастер-ключ хранится в PKCS#12 wallet
24 Данные защищенных колонок таблиц доступны ASO: Ключи прозрачного шифрования Доступ к данным разрешен Пароль
25 ASO: Управление правами доступа Разделение обязанностей Database DBA Пароль для доступа к данным отличается от System и DBA паролей Нет доступа к wallet
26 ASO: Права доступа к работающей СУБД Обеспечение доступа клиентов и его некоторые неприятные особенности Database DBA Пароль Мастер-ключ Доступ к данным разрешен Доступ к данным разрешен всем… SELECT ANY TABLE
27 ASO: ограничения на работающей СУБД Как защитить данные от инсайдеров ? Database DBA Пароль Мастер-ключ SELECT ANY TABLE Ответ: Использовать опцию Oracle Database Vault
28 Как обеспечить доступ только к своим данным? Вариант 1: Виртуальные базы данных (VPD) Заказчик Разработчик select * from orders WHERE id_user = 80 WHERE id_user =
29 Недостаток виртуальных базы данных WHERE id_user = 80 WHERE id_user = 20 Простое правило с использованием значения идентификатора пользователя Учесть степень (уровень) конфиденциальности данных Разделить данные по категориям Обеспечить обработку данных только теми сотрудниками организаций, которые владеют данными или имеют к ним доступ Ответ: Использовать опцию Oracle Label Security Как обеспечить более сложные правила ? Простое правило с использованием значения идентификатора пользователя
30 Как обеспечить доступ только к своим данным? Вариант 2: Комбинации меток (OLS) HQ Кредитные карты КредитыАудит SME Multi-Nat Internal InvestAdmin А В UK Risk Personal Corporate Top Secret Confidential Sensitive Confidential : Risk, Corporate : SME, UK, Admin Уровень Категория Группа Добавляются уровни, категории и иерархии
31 Опция СУБД Oracle 10g Release 2 EE Oracle 11g Release 2 EE или Oracle 9i R2 ( ) EE Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных (DBA) Обеспечение доступа к данным на основе динамически настраиваемых правил Повышение защищенности объектов БД от несанкционированных изменений Разделение полномочий пользователей в соответствии с их функциональными обязанностями и надежный внутренний контроль Как обеспечить доступ только к своим данным? Вариант 3: политики Oracle Database Vault
32 Oracle Database Vault Функциональные элементы Отчеты Защищенные области Многофакторная авторизация Разграничение по служебным обязанностям Динамическая настройка правил безопасности Аудит
33 Защищенная область Oracle Database Vault Результат применения Даже пользователь SYSTEM не может просматривать защищенные данные SELECT ANY TABLE hr.employees
34 Oracle Database Vault Пример использования ADM_DBA select * from HR.emp HR_DBA FIN_DBA HR FIN Администратор БД (ADM_DBA) обращается к данным в схеме HR Пользователь HR_DBA обращается к данным в схеме FIN или желает получить доступ к области HR во внерабочее время Безопасная консолидация приложений на одном сервере Соответствие нормативным требованиям и стандартам внутреннего аудита
35 Многофакторная авторизация Интеграция с Oracle Label Security Oracle Label Security ограничивает доступ к данным на основе факторов Database Vault Конфиденциально Д С П Публично Организация Factor = Внутренний Factor = Внешний Партнеры
36 Oracle Database Vault Отчеты и аудит Более 30 предустановленных отчетов о выполнении политик безопасности Аудит попыток нарушений защиты Отчеты по защищенным областям (Realms), выполнении правил (Rules) и условий (Factors) Списки системных и пользовательских привилегий на доступ и обработку данных
37 VPD и OLS ограничивают доступ на уровне строк, в то время как Database Vault ограничивает доступ на уровнях объектов и команд В чем отличие DBV от VPD и OLS Virtual Private Database (VPD): Ограничивает доступ пользователя к определенным строкам на основе параметра WHERE Oracle Label Security (OLS): Определяет доступ пользователя к определенным строкам на основе меток строки и уровня его конфиденциальности
38 Oracle Audit Vault Мониторинг и отчетность Консолидация данных аудита в защищенном хранилище Обнаружение подозрительной активности. Предупреждения Встроенные и настраиваемые отчеты Централизованное управление политиками CRM Data ERP Data Databases HR Data Данные аудита Политики Встроенные отчеты Предупреждения Настраиваемые отчеты ! Аудитор
39 Источники данных аудита Управление настройками Данные аудита Data WarehouseОтчетыПредупреждения Средства обеспечения безопасности Средства управления и контроля Audit Vault СЕРВЕР Audit Vault АГЕНТ Коллекторы DBAUD, OSAUD, REDO Данные аудита Параметры настроек (управления) AV_Admin AV_Auditor Управление Контроль Oracle Audit Vault Функциональная схема
40 Oracle Audit Vault Поддерживаемые базы данных СУБДВерсияДанные аудита расположены Oracle DatabaseOracle Database 9iR2, Oracle Database 10g, Oracle Database 11g Таблицы стандартного и FGA аудита Записи в файлах ОС (XML, TXT) или SYSLOG Значения данных ДО и ПОСЛЕ обновления, изменения (DDL) из Redo Log Данные аудита, специфичные для Database Vault Microsoft SQL Server2000, 2005, 2008Server side trace Windows event C2 IBM DB28.2, 9.1 & 9.5 on Linux, Unix, Windows Двоичные файлы ОС средств аудита Sybase ASE xSybsecurity таблицы БД
41 Мониторинг трафика и исключение неавторизованного доступа к базам данных, исключение SQL инъекций, позволяющих не санкционировано повышать привилегии и получать доступ к конфиденциальным данным. Аккуратный грамматический анализ SQL выражений Высокая масштабируемость и производительность Встроенные отчеты для анализа соответствия нормативным требованиям Политики Отчеты встроенные Предупреж- дения Отчеты Приложения Блокирование Регистрация Разрешить Предупреждение Подмена Oracle Database Firewall Первый рубеж защиты базы данных Microsoft ®
42 Блокирование и мониторинг (In-Line) Режим высокой доступности (HА Mode) Входящий SQL трафик Мониторинг (Out-of-Band) Управляющий сервер Анализ и настройка политик безопасности Oracle Database Firewall Архитектура Режимы мониторинга с возможность блокирования или мониторинга Обеспечение высокой доступности Мониторинг удаленных баз данных путем перенаправления сетевого трафика Не зависит от используемых приложений Применим для СУБД Oracle и баз сторонних поставщиков
43 Oracle Database Firewall Пример грамматической кластеризации Кластеры по типам (intent) В один и тот же кластер попадают запросы для выборки данных из различных таблиц БД Специфические запросы фиксируются select from where Пример: В финансовой организации для 57 млн. SQL выражений получено 310 кластеров
44 Oracle Database Firewall Поддерживаемые базы данных
45 Безопасность Баз Данных Мнение IDC: Финансово эффективная защита от утечек данных начинается в СУБД Преобразование данных и маскирование Контроль доступа к данным Контроль изменений и аудит Мониторинг и блокирование трафика Oracle Advanced Security Oracle Secure Backup Oracle Data Masking Oracle Database Vault Oracle Label Security Oracle Audit Vault Oracle Configuration Management Oracle Total Recall Oracle Database Firewall
46 Защита документов с помощью Oracle Information Rights Management Управление классификацией, правами и аудитом Oracle IRM Standard Rights Model Администратор Бизнес-менеджер Аудит Oracle IRM Management Console Автор Редактор Рецензент Oracle IRM Desktop Запечатывание и классификация документов и писем Передача через , web, file shares, IM, USB, DVD, и т.д. Читатель Oracle IRM Desktop Oracle IRM Server Корпоративная аутентификация, службы каталогов, системы CRM и т.д. Автоматическая синхронизация прав / аудит действий Безопасный offline cache
47 Что позволяет сделать Oracle IRM Исключить неавторизованный доступ к защищаемым документам и всем их копиям; причем управление и контроль не останавливаются на межсетевом экране Применять ролевую авторизацию пользователей на выполнение предопределенного набора действий в документе Централизованно регистрировать использование документов и все попытки доступа; подготавливать соответствующие отчёты В любой момент централизованно изымать доступ ко всем копиям документа Управлять использованием версий документа
48 Проблемы построения универсального решения Биллинг/АБС – имеет разные интерфейсы, в том числе и web, пользователи – в СУБД ERP/HRMS – имеет web интерфейс, хранит пользователей в СУБД/файле Система документооборота – некоторые модули имеют web интерфейс, хранит пользователей у себя, но может и в AD Service Desk – имеет web интерфейс, хранит пользователей у себя, но может и в AD Электронная почта – имеет свой интерфейс, пользователи в AD
49 Требование минимального вмешательства в работу бизнес-систем диктует необходимость использования нескольких специализированных надсистемных решений по ИБ
50 Oracle Identity Management Полнофункциональное первоклассное решение Администрирование учетных данных Управление доступом Службы каталогов Доставка учетных данных с учетом ролевой модели Самообслуживание, заявки и подтверждения Управление паролями Аутентификация и борьба с мошенничеством Single Sign-On и федеративное взаимодействие Управление полномочиями и авторизация Безопасность Web-сервисов Защита электронных документов LDAP-хранилища и их синхронизация Виртуализация хранилищ идентификационных данных Оптимизация учетных данных Безопасность платформы Аналитика, Разделение обязанностей, Ресертификация ролей и прав доступа Идентификационные сервисы для разработчиков
51 ……………… OIM Репози- торий Интер- фейс AD ERP Репози- торий Интер- фейс Сотрудник Web SQL Клиент/партнер Web От встроенных в приложения средств защиты к централизованному управлению IT-привилегиями и контролю доступа Биллинг /АБС Репози- торий Интер- фейс
52 Oracle Identity Manager через коннекторы позволяет автоматизировать процессы Создания учетных записей пользователей Выявления «сиротских» учетных записей Назначения / отзыва / изменения привилегий Разделения / делегирования полномочий Вовлечения в документооборот по изменению привилегий всех заинтересованных лиц с формализацией бизнес-процессов Контроля действий администраторов целевых систем Самообслуживания пользователей Саморегистрация; заявки; смена / синхронизация паролей Ведения отчетности (оперативной / исторической) Временной блокировки / аттестации пользователей Удаления учетных записей пользователей
53 ЦЕЛЕВЫЕ СИСТЕМЫ ORACLE IDENTITY MANAGER ОБРАЗ РЕСУРСА MS AD членство ОБРАЗ РЕСУРСА ORACLE DB членство ОБРАЗ РЕСУРСА еBS членство роль Oracle группа AD полно- мочия информация о ролях информация о полномочиях информация о группах создание учет- ных записей привязка к ролям создание учет- ных записей привязка к группам создание учет- ных записей привязка к полномочиям ПОЛИТИКИ ДОСТУПА К ORACLE DB ПОЛИТИКИ ДОСТУПА К MS AD ПОЛИТИКИ ДОСТУПА К еBS учетные записи MS AD ресурс права доступа группа AD членство учетные записи Oracle dB ресурс права доступа роль Oracle членство учетные записи eBS ресурс права доступа полно- мочия членство создание учет- ных записей привязка к ролям создание учет- ных записей привязка к группам создание учет- ных записей привязка к полномочиям глобальные учетные записи OIM РОЛИ В ОРГАНИЗАЦИИ (ГЛОБАЛЬНЫЕ ГРУППЫ) членство ГЛОБАЛЬНЫЕ ПОЛИТИКИ Развертывание OIM ОТДЕЛ КАДРОВ
54 Преимущества использования OIM Управление жизненным циклом учетных записей Усиление безопасности IT-инфраструктуры Единое решение для управления пользовательскими привилегиями в различных системах Исключение фрагментации пользовательских профилей между хранилищами в таблицах, базах данных, каталогах Формализация IT-привилегий и их привязка к бизнес-ролям Достоверные данные аудита прав и истории принятия решений Снижение расходов Самообслуживание пользователей Аттестация, согласование заявок Упрощение внедрения и интеграции С централизованными системами контроля доступа (включая OAM, OeSSO, доступ к помещениям, управление токенами и т.п.)
55 ……………… OIM Репози- торий Интер- фейс AD ERP Репози- торий Интер- фейс Сотрудник Web SQL Клиент/партнер Web От встроенных в приложения средств защиты к централизованному управлению IT-привилегиями и контролю доступа Биллинг /АБС Репози- торий Интер- фейс OESSO Интер- фейс OeSSO LM AD sync
56 Передача приложениям ID-данных с помощью Oracle Enterprise SSO Suite Пользовательская Рабочая Станция Oracle eSSO Management Console Корпорат. Каталог / Файловый Сервер Аутентификация Биометрика Токен / Смарт-карта Сертификат PKI Имя/Пароль Windows Web Sites Extranet & Portal Mainframes (OS390, AS400) Java Oracle eSSO Password Reset Oracle Identity Manager Oracle eSSO Authentication Manager Oracle eSSO Kiosk Manager Oracle eSSO Logon Manager Oracle eSSO Provisioning Gateway Единый вход OS & Apps Adapters technology
57 Преимущества использования ESSO Прозрачное подключение к унаследованным приложениям Усиление безопасности IT-инфраструктуры Возможность усиления аутентификации для унаследованных приложений Аудит подключений пользователей к приложениям Повышение степени удовлетворенности сотрудников Легкий доступ пользователей к множеству корпоративных приложений с помощью единственного пароля Легкая смена паролей с подсказками для проверки правил сложности Возможность сброса пароля в MS AD, даже если он забыт Упрощение внедрения и интеграции Интеграция с аппаратными аутентификаторами Интеграция с системой доставки идентификационных данных
58 ……………… OIM Репози- торий Интер- фейс AD ERP Репози- торий Интер- фейс Сотрудник Web SQL Клиент/партнер Web От встроенных в приложения средств защиты к централизованному управлению IT-привилегиями и контролю доступа Биллинг /АБС Репози- торий Интер- фейс OESSO Интер- фейс OeSSO LM AD sync OID OAM OVD Интер- фейс
59 Контроль доступа к Web-приложениям и SSO с помощью Oracle Access Manager Страница защищена? Вы аутентифицированы? Доступ разрешен? Информационный ресурс Клиент LDAP Сервер управления доступом Шлюз Аутенти- фикация Автори- зация Аудит Централизо- ванные AAA: Каталог
60 «Распределенная консолидация» учетных данных в Oracle Virtual Directory Преобразование, связывание, маршрутизация, безопасность, аудит Реализуемые сервисы – LDAP, DSMLv2/SOAP
61 Преимущества использования OVD Консолидация учетных данных без их синхронизации Консолидация разрозненных идентификационных данных Быстрая реализация проекта Схема данных в хранилищах не меняется Возможно создание корпоративного справочника Усиление безопасности IT-инфраструктуры Защита хранилищ идентификационных данных за счет их сокрытия Снятие нагрузки с каталогов за счет кэширования, отказоустойчивость Упрощение внедрения и интеграции Решение позволяет снять ограничения на структуру идентификационных данных при внедрении портальных решений (например, преобразовать доменный «лес» в «ветку»)
62 ……………… OIM Репози- торий Интер- фейс AD ERP Репози- торий Интер- фейс Сотрудник Web SQL Клиент/партнер Web От встроенных в приложения средств защиты к централизованному управлению IT-привилегиями и контролю доступа Биллинг /АБС Репози- торий Интер- фейс OID OAM OVD Интер- фейс OESSO Интер- фейс OeSSO LM AD sync Внутренний шлюз Домены защиты, доверие внешней аутенти- фикации Внешний шлюз
63 Преимущества использования OAM Управление доступом к Web-приложениям Повышение степени удовлетворенности сотрудников, партнеров и заказчиков Легкий доступ пользователей к множеству Web-приложений с однократной регистрацией Возможность аутентификации по ГОСТовым сертификатам Повышение степени защищенности приложений Единые политики доступа, включая Усиленную аутентификацию Авторизацию по ACL, политикам и бизнес-логике Аудит доступа Отказоустойчивость и масштабируемость системы Упрощение внедрения и интеграции Повторное использование сервера управления доступом при добавлении новых приложений или сервисов
64 ……………… OIM Репози- торий Интер- фейс AD ERP Репози- торий Интер- фейс Сотрудник Web SQL Клиент/партнер Web От встроенных в приложения средств защиты к централизованному управлению IT-привилегиями и контролю доступа Биллинг /АБС Репози- торий Интер- фейс Домены защиты, доверие внешней аутенти- фикации OID OAM OVD Интер- фейс Внутренний шлюз OIF Интер- фейс Внешний шлюз Уровень защиты OESSO Интер- фейс OeSSO LM AD sync
65 Oracle Identity Federation – WebSSO для пользователей филиалов и партнеров После успешной аутентификации у провайдера IDs пользователь обращается к защищенному внешнему ресурсу OIF сервер провайдера IDs создает подтверждение (assertion) SAML, основываясь на профиле провайдера приложения OIF сервер провайдера приложения получает подтверждение и соотносит внешнего пользователя с локальным, проверяет его права доступа к запрошенному ресурсу и, при положительной авторизации, перенаправляет браузер пользователя к своему приложению. АутентификацияАвторизация IdMBridge провайдер идентификационной информации провайдер приложения Oracle Identity Federation Server
66 Oracle Identity Management реализует модель «Безопасность как Сервис» Революционная архитектура, поддерживающая SOA и среду приложений Целостные, повторно используемые сервисы безопасности Возможность подключения внешних сервисов (включая облачные Identity Services) в дополнение к собственным Легкое подключение, обеспечивающее долговременную устойчивость и гетерогенность бизнес-решений SaaS Apps Partner Apps Cloud IdM Service Provider Oracle IDM or In-house IDM provider Oracle Fusion Apps 3 rd Party Apps Custom Apps User Provisioning Service Role Management Service Identity Data Services Authentication Service Authorization Service Federation & Trust Services
67 Мнение аналитиков: Oracle – 1 в IdM
68 Oracle - лидер рынка в областях доставки учетных данных и управления доступом User Provisioning, 2H 2010 Web Access Management, 2H 2009 s Magic Quadrants
69 Решение недавно приобретенной компании Passlogix также считается лучшим Gartners Magic Quadrants for Enterprise Single Sign-On, 2H 2008
70 С чем Oracle идет к заказчикам в России Решения Oracle в области информационной безопасности = Технологии мирового уровня + Знание и учет национальной специфики Опора на партнеров, обладающих полномочиями по выполнению работ, связанных с обеспечением информационной безопасности Системные интеграторы Компании-разработчики программного обеспечения Центры компетенции по информационной безопасности
71 Референсные заказчики и ключевые партнеры в России ПромСвязьБанк – Forshttp://oracleday.ru/agenda.html СУЭК – IBS Borlashttp:// ПетроКоммерц, Иркут D=3075 – Jet Infosystems D=3075 ВТБ – RDTEX + Lins-Mhttp://rdtex.ru/win/root/news_all.html Аэрофлот Университет ФизКультуры Спорта и Туризма СИБУР – R-Stylehttp:// Опытные партнеры Croc, RNT, Elvis+, ICL Астерос, Sitronics, Газинформсервис ISV и интеграционные решения ЕВРААС.ИТ, InfoWatch
72 Oracle Enterprise Security – ресурсы Блог «Информационная Безопасность - Решения Oracle» Брошюра «Техническое описание Oracle Identity Management 11g» Библиотека документов на русском языке Страница «Управление идентификационной информацией» management/index.html management/index.html Библиотека документов на английском языке по IdM management/resource-library/index.html management/resource-library/index.html Страница «Oracle Database Security and Compliance»
73 Соответствие требованиям ФЗ РФ 152 затратно, но надо постараться получить дополнительную выгоду от решения! Соответствие требованиям законодательства Финансовая эффективность
74 Устраняем преграды... Сертификация ФСТЭКом наших решений Oracle DB + Oracle DB Vault Oracle IAMS Oracle ESSO Oracle IRM Локализация Региональный маркетинг Разные модели угроз
75 Программа сертификации решений Информация – в Государственном реестре сертифицированных средств защиты информации на Официальном сайте Федеральной службы по техническому и экспортному контролю на Актуальные сертификаты На СУБД Oracle с опцией DB Vault Версии 11 на Windows 64 bit (#1849) Версии 10 на RedHat, HPUX и Solaris (#2265) На IAMS версии 10 (#1664) и 11 (#2238) На IRM версии 10 (#1801) и 11 (#2128) На ESSO версии 10 (#1802)
76 Что изменится с внедрением IAMS Технологии Биллинг/АБС, ERP, Система документооборота автоматизированное изменение и исторический контроль привилегий, заявки, согласования, выявление «сиротских» учетных записей, контроль неизбыточности полномочий SSO, первичная авторизация и аудит обращений для Web- интерфейсов Биллинг/HRMS еще и виртуальный профиль пользователя Service Desk еще и виртуальный справочник Электронная почта SSO для Web-интерфейса
77 Что изменится с внедрением IAMS Возврат инвестиций Снижение рисков (DLP, Compliance) Ускорение бизнес-процессов Назначения, изменения, отзыва IT-привилегий Подготовки отчетности Подключения новых систем Снижение нагрузки на help-desk Консолидированные данные Самообслуживание пользователей Косвенные факторы Повышение качества обслуживания (возможность SLA) Оптимизация ролевой модели и пула лицензий
78 Ожидаемые финансовые результаты По данным Radicati Group и экспертным оценкам Снижение TCO Сокращение связанного с IdM простоя сотрудников на 78% Сокращения затрат на ИТ-аудит на 75% Снижение лицензионных отчислений для бизнес-приложений до 30% Снижение рисков информационной безопасности на 15% Повышение производительности Help Desk на 55% Повышение эффективности управления учетными записями на 78% Финансовая эффективность ROI %, окупаемость 2-3 года
79 Вопросы , Россия, Москва, Пресненская набережная, 10 Башня на Набережной, Блок С (+7495)
80 «Критичные данные должны быть доступны только уполномоченным лицам только тем способом, который разрешён политикой безопасности и только с помощью средств определенных политикой безопасности» Концепция IT-безопасности и определение конфиденциальности (классификация) (управление IT-привилегиями) (управление доступом) (аудит) -> единая стратегия
81 Бизнес- логика ACLs Репози- торий Интер- фейс Учетные записи пользо- вателей Ссылки на защи- щаемые объекты Интер- фейс Управление Доступом (Web & Enterprise SSO) Централизованное или распределенное приме- нение политик доступа Пользователи Управление Привилегиями (Reconciliation & Provisioning) Определение политик доступа Администраторы Как работает Identity & Access Management ACL - листы контроля доступа - уровни решений безопасности
82 Автоматизация бизнес-процессов с Управление привилегиями Управление доступом Защита контента
83 Достаточно ли защиты каналов для обеспечения целостности информации? Web Server (app Proxy) Application Server DB Message Queue Mainframe Application DB Client Point to Point Interactions End to End Security Нежелательность раскрытия информации на хостах требует защиты самих сообщений В SOA-среде эту роль выполняет Oracle Web Services Manager Криптосредство ГОСТ Дальше данные идут в открытом виде или защищенные по RSA-алгоритмам
84 Защита информации при ее передаче Данные Доку- менты Web- сервисы OWSM обеспечивает защиту SOAP-сообщений и авторизацию сервисов Клиентский уровень Уровень сервера приложений Уровень СУБД OIRM обеспечивает защиту документов и авторизацию пользователей Клиентское представ- ление OAM обеспечивает защиту приложений и авторизацию пользователей Опция Oracle dB Advanced Security обеспечивает защиту объектов СУБД и строгую аутентификацию клиентов, а Database Vault – их авторизацию Данные Доку- менты Web- сервисы Клиентское представ- ление
85 Использование сертифицированных криптоалгоритмов для WebSSO Подробности – на нашем блоге WebSSO Oracle Access Manager Сервер Контроля Доступа Сервер Консолидации Идентификационных Атрибутов Oracle Virtual Directory WebSSO Передача идентификатора пользователя Проверка политик, прав, получение дополнительных идентификаторов пользователя со шлюзом Oracle Access Manager
86 Перспективы Oracle Identity Manager в России и мире