<Insert Picture Here> Андрей Гусаков, ведущий консультант Представительства Oracle в Москве Управление доступом к web-приложениям Cеминар Центра компетенции компании КРОК «Управление идентификационными данными и доступом к информации» 27 мая 2009 года, г. Москва
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
<Insert Picture Here>
Андрей Гусаков, ведущий консультант Представительства Oracle в Москве
Управление доступом к web-приложениям
Cеминар Центра компетенциикомпании КРОК
«Управление идентификационнымиданными и доступом к информации»
27 мая 2009 года, г. Москва
2
План презентации
• Решения в области информационной безопасности отOracle – данные, доступ к ним, контроль
• Выбор конкретного решения для повышения уровняинформационной безопасности предприятия
• Что предпочесть – накладные или встроенныесредства защиты (интеграторы vs. разработчики)
• Вынос логики принятия авторизационных решений изприложения
• Интеграция продуктов Oracle для управления доступомк web-приложениям
Information Rights ManagementКонтроль соответствиянормативным требованиям
Oracle Audit Vault
Oracle Identity Management
4
Эволюция Oracle – от безопасности данныхк универсальной защите приложений
Аутентификация и авторизацияSingle Sign On eSSO Federation
Управление учетными данными,их согласование и доставка
Службы каталоговLDAP Virtual Directory Meta Directory
Преобразование (Encryption)At Rest In Motion Backup
Мониторинг ипредупреждения
Многоуровневыйконтроль доступа
ПриложенияE-Business Suite, PeopleSoft, Siebel,
SAP, Собственной Разработки, Унаследованные
Аудит
иконтроль
соответствия
Применениеполитик
Определениеполитик
Хранилище ID
Безопасностьданных
Fusi
on M
iddl
ewar
e
5
<Insert Picture Here>
Применяемсертифицированныенакладные средства защиты Oracle
См. сертификаты №1664 от 18 августа 2008 г. (IAMS) и №1802 от 13 марта 2009 г. (ESSO)Государственного реестра сертифицированных средств защиты информации
http://www.fstec.ru/_razd/_serto.htm
6
AD
Портал
Прило-жение
Репози-торий
Интер-фейс
OIM
Репози-торий
Интер-фейс
OID
OAM
OVD
Интер-фейс
Внутреннийшлюз
Сотрудник
Web
SQLКлиент/партнер
Web
OIF
Интер-фейс
Внешнийшлюз
Уровеньзащиты
0
25
50
75
100ESSO
Интер-фейс
OeSSO LMAD sync
7
Объединяем решения безопасности науровне базы и приложения через EUS
8
Управление IT-привилегиями сотрудниковРешение – Oracle Identity Manager (OIM)
• Автоматизированное создание учетных записей (УЗ); выявление«сиротских» УЗ; удаление УЗ
• Назначение / отзыв / изменение привилегий в соответствии сдолжностными обязанностями
• Разделение / делегирование полномочий• Вовлечение в документооборот по изменению привилегий всехзаинтересованных лиц с формализацией бизнес-процессов
• Контроль действий администраторов целевых систем• Самообслуживание сотрудников
• Организация доверительных (федеративных) отношений ссистемами аутентификации партнеров и подключение их безповторной аутентификации (Web SSO)Решение – Oracle Identity Federation (OIF)
или• Саморегистрация партнеров с последующим утверждениемответственными сотрудниками электронной заявки напредоставление расширенных привилегийРешение – Oracle Identity Manager (OIM)
Контроль доступа сотрудников ипривилегированных внешних пользователей
• Защита ресурсов с помощью различных аутентификаторовРешение – Oracle Access Manager (OAM) и Oracle Adaptive Access Manager (OAAM)
• Аудит обращений пользователей к ресурсам, защищенным спомощью политик доступаРешение – Oracle Access Manager (OAM)
или• Аудит решений по авторизации пользователей на выполнениекаких-либо действий сервером назначенийРешение – Oracle Entitlements Server (OES)
11
Контроль доступа к отделяемымдокументам (файлы, почта и т.п.)Решение – Oracle Information Rights Management (IRM)
• Защита документов с помощью маскирования их содержимого, категоризации и предоставления прав на работу с ними тольконекоторым зарегистрированным сотрудникам и партнерам
• Аудит решений по авторизации пользователей на работу сзащищенными документами
12
<Insert Picture Here>
Как обойти ограничения,возникающие при контроледоступа накладнымисредствами защиты
13
OAM проверяет хранящиеся в каталогеполитики в отношении ресурса
http://www.autoparts.com/credit-check
• Страница защищена?• Вы аутентифицированы?• Доступ разрешен?
ИнформационныйресурсКлиент Сервер управления
доступомШлюз
Аутенти-фикация
Автори-зация
Аудит
Централизо-ванные AAA:
Есть опасность натолкнуться на громоздкость групповых структур в каталоге
14
Типичная мозаика из ресурсов, ролей, операций и атрибутов
ОперацииЧтение/Запись
ЧтениеЗапись
Ограниченное чтениеУправляющий
Администратор счетовАналитик
Клиент банка
Иерархия ролей Банковское приложение
Ведение счетовФормированиеотчетности
Отчет запериод
Иерархия ресурсов
Итоговыйотчет
Расположение Орг. структура Дата/Время
Атрибуты Не в рабочиедни
с 9 до 18
Россия
МоскваНовосибирск
Петровское отд.
Руководитель подразделения
Главный бухгалтерАудитор
Кассир
15
Ресурсы, защищаемые OAM, и Fine GrainedAuthorization
• J2EE• Java-страницы• EJBs• Сервлеты• Отдельные Java /
C++ / C программы,ERP и CRM-приложения
IDE
XACML
CARML
Authorization Policy
Identity Attribute Policy
Application
• Java• .Net• Custom• Web 2.0
Policy Plug-in
Identity Plug-in FGA
Разработка
Подключение
16
<Insert Picture Here>
Авторизация на примерепаспортного контроля, Знакомство с серверомназначений Oracle
17
Oracle Entitlements Server (OES) выводит изприложения логику безопасности и затемцентрализованно ею управляет
До использования OES После внедрения OESЗапрос авторизации («Разрешен ли доступ?») выполняется с использованием следующей информации:• запрошенное действие («Trade», т.е. биржевая торговля);
• ресурс («Account», т.е. счет, с которым будут проводиться биржевые операции);
• субъект (кто запрашивает авторизацию для выполнения этих операций – «User», т.е. пользователь);
• контекст из приложения, требуемый для принятия решения об авторизации («Amount», т.е. предельныйобъем биржевых операций).