Oracle минеев

Copyright © 2014, Oracle and/or its affiliates. All rights reserved.1

Защита современного предприятия и управление доступом с Oracle Identity Governance

Игорь Минеев,ведущий консультант по технологиям информационной безопасностиOracle СНГ


План выступления

Тенденции развития инфраструктуры IT

Oracle Identity Governance

Сценарии использования







Основные тенденции развития ITПоявляются новые возможности

80% сессий пользователей

будут инициированы с

мобильных устройств к 2020 году

44% организаций планируют

использовать социальные сети

Затраты на облачные

вычисления станут основной статьей расхода

к 2016 в большинстве IT подразделений

Количество различных устройств,

подключенных к Сети приблизится

26 миллиардам 2020 году


• Утечка персональных данных (средняя стоимость скомпрометированной записи – $202)

• Противоречивые политики доступа (рост рисков нарушения безопасности)

• Сложности при выполнении требований регуляторов (152ФЗ, СТО БР ИББС-1.0-2010 и т.д)

• Рост стоимости управления IT-инфраструктурой

Фрагментированные приложенияДецентрализованное IDM решения увеличивают риски и стоимость

User Mgt

SSO

Access Cert

Federation

AppEmbedded Identities

Basic SSO & Provisioning

AccessCertification

Federated Cloud Apps

MobileApps

LDAP

LDAP

LDAP

LDAP

Дополнительная интеграция


IDENTITYMANAGEMENT

Доступ: простой, безопасный доступ к любому приложению с любого устройстваДоступ: простой, безопасный доступ к любому приложению с любого устройства

Управление: определение и автоматическое предоставление полномочий Управление: определение и автоматическое предоставление полномочий

Каталог учетных данных: безопасное и масштабируемое хранилищеКаталог учетных данных: безопасное и масштабируемое хранилище

Enterprise Cloud Mobile


Облачные приложения

Мобильные приложения

Корпоративные приложения

Правомер-ность доступа

Создание учетных записей

Привилегиро-ванный доступ

IdentityGovernance

Общие коннекторыХаос

Объединяя управление учетными записями и правами


VisaПлатформа для автоматизации и соответствия законам

• Требовалось единая, простая и понятная для бизнес-пользователей платформа для запроса и подтверждения доступа

• Внедрен Oracle Identity Governance 11gR2 PS1 и реализован процесс подтверждения доступа у более чем 20 тыс. менеджеров, а также создание и удаление доступа в более чем 3000 приложений. Срок внедрения - 4 месяца

• Взаимодействие бизнес-подразделений и ИТ позволило распределить ответственность и трудозатраты

• Дружелюбный интерфейс для менеджеров для ускорения процесса сертификации (подтверждение доступа)


Oracle Identity GovernanceУниверсальный подход к управлению учетными данными

База данных

Прило-жения

Cloud Apps Устройства

Самообслуживание Соответствие законам Углубленное понимание Привилегированный доступ

Общая модель данных Библиотека ролей и политик

Бизнес-процессы и интеграция с сервис-деском

Identity ConnectorFramework

Кадроваясистема

LDAP

Запрос доступа

Управление паролям

Подтверждение прав доступа

Поддержание соответствия

Отчеты о работеИсследование ролевой модели

Доступ с адм.привилегиями

Аудит использования

Платформа







Единый подход к управлению учетными записями и правамиКлючевые требования

Простой и понятный процесс запроса прав

Гибкие бизнес-процессыдля согласований

Гибкий процесс подтверждения прав доступа (сертификация)

Масштабное и быстроеисполнение

Модульная расширяемаяархитектура

Управление и аудит привилегированного доступа


Каталог прав, понятный пользователям

Каталог прав и привилегий, понятный бизнес- пользователям

Интерфейс самообслуживания для подключения новых приложений

Поиск, просмотр и рекомендации необходимых прав

Проверка политик разграничения доступа

Гибкая настройка формы каталога Удобный просмотр всего процесса

от согласования до исполнения

Предоставить пользователям нужный доступ

Поиск, просмотр и

рекомендации

Проверка запроса на соответствие

политикам

Понятный каталог


Бизнес-процессы согласования доступа

Использование Oracle SOA, BPEL-совместимых бизнес-процессов

Очень гибкие и легко настраиваемые

Поддержка параллельных, последовательных и групповых согласований

Настройка вызовов внешних источников данных для сложных процессов

Поддержка и гибкая настройка под бизнес-процессы заказчика


Поддержка ручного и автоматического исполнения

Готовые коннекторы для автоматического создания учетных записей в промышленных приложениях

Упрощенная процедура включения и управления новыми приложениями

Единственное решения для полного и всестороннего управления приложениями Oracle

Масштабное и быстрое исполнение

DBПрило-жения

Cloud Apps Устрой-ства

Кадровая система

Интеграция с сервис-деском

Identity ConnectorFramework

Упрощенная процедура включения и управления новыми приложениями

Удобная среда разработки коннекторов


Модульная расширяемая архитектура

Гибкая и модульная архитектура, которая учитывает эволюцию требований к управлению правами и доступом

Единое хранилища для всех аспектов управления правами и доступом

Множество подходов для начала проекта по управлению правами и доступом

– Создать каталог прав и доступа для запросов пользователями

– Автоматизация подтверждения прав доступа

– Автоматизация управления учетными записями в ключевых приложениях

– Управление привилегированным учетным доступом

В соответствии с требованиями и планами заказчика


Предоставление и контроль привилегированного доступа

Использование каталога и процессов согласования

Подход с использованием Single Sign-On и прокси-серверов

Функционал Check in – Check out Запись и проигрывание сессии Среда разработки коннекторов Identity

Connector Framework Полная интеграция с процессами

подтверждения прав (сертификация)

Единая платформа для всех учетных записей


Сертификация

security-orcl.blogspot.com


Место Oracle Identity Governance 11g R2Платформа для управления доступом

Oracle Identity Management


Oracle Identity Manager

Oracle Identity Analytics

Oracle Privileged Account Manager

ICF Oracle DirectoryServices

Oracle MobileSecurity

Oracle Access Management


Рекомендуемые сертифицированные* решения безопасности Oracle

Identity Governance – управление

жизненным циклом учетных записей пользователей

приложений

Identity Governance – управление

жизненным циклом учетных записей пользователей

приложений

Адаптеры для унаследованных системA

PI G

atew

ay –

тр

ансф

ор

мац

ия

дан

ны

х и

за

щи

та и

нте

грац

ио

нн

ых

ин

тер

фей

сов

;M

ob

ile A

cces

s S

erve

r –

MD

M &

MA

M

AP

I Gat

eway

– т

ран

сфо

рм

аци

я д

анн

ых

и

защ

ита

ин

тегр

аци

он

ны

х и

нте

рф

ейсо

в;

Mo

bile

Acc

ess

Ser

ver

– M

DM

& M

AM

Access Manager – WebSSO и

контроль доступа пользователей;

Entitlements Server – контекстнаяавторизация к компонентам приложений

Access Manager – WebSSO и

контроль доступа пользователей;

Entitlements Server – контекстнаяавторизация к компонентам приложений

Acc

ess

Man

ager

Web

Gat

esA

cces

s M

anag

er W

ebG

ates

Entitlements Server Security

Modules

Entitlements Server Security

Modules

Пользователи портативных и стационарных компьютеров

Пользователи портативных и стационарных компьютеров

Web-сервисыWeb-сервисы

Внешние пользователи

мобильных устройств и

социальных сетей

Внешние пользователи

мобильных устройств и

социальных сетей

HTTP/RESTOAuthJSM - SOAP

Label Security, Database Vault,

Advanced Security

Бизнес-приложения и другие гетерогенные

информационные системы; корпоративные web-сервисы

Public Zone & Intranet Web Tier Application Tier Data Tier

DatabaseFirewall

DatabaseFirewall

Data Masking, Audit Vault

3rd partу/ Virtual / Unified / Internet Directory

3rd partу/ Virtual / Unified / Internet Directory

Корпоративные пользователи

мобильных устройств

Корпоративные пользователи

мобильных устройств

Mobile Security Container или

Mobile and Social Client SDK * Детали – в дополнительных слайдах


Sun2Oracle Customer

Заказчики Oracle Identity ManagementИзвестные мировые бренды; Тысячи заказчиков

Identity Governance Access Management Directory Services

Suite Customer

1200+ 70+ 100M+ 1.5M+DEPLOYMENTS

ON 11gR2+PARTNERSTRAINED

IDENTITIESMANAGED

MOBILEDEVICES







Сценарий 1. Прием на работу.

22

КадрыНовыйсотрудник

Само-регистрация

Реконсилиация

Политикидоступа

Доступ к приложениям

Согласование

ПроцессыПользователи /роли

Новый контрактор

Центральный репозиторий

Механизмзапросов

Запрет доступа кприложениям

Коннектор


Сценарий 2. Запрос ресурса.

23

Сотрудник

Созданиезаявки

Шаг 1Контрактор

Механизм запросов

Процесссогласования

Шаг 2

Согласование

Процесспредоставлениядоступа

Выделениефизическогоресурса

Проверка SoD (политик по разграничению прав)



Сценарий 3. Управление изменениями.

24

Реконсилиация Политики доступа


ПроцессыПользователи/ роли

Центральныйрепозиторий

Коннектор

Администратор Прямое созданиепользователя

Обработка исключения

КадрыПеревод сотрудника

Выявлениенепривязаннойучетной записи


Сценарий 4. Увольнение.

25

Увольнениесотрудника

Ручнаязадача


Отзывфизическихресурсов

Кадры РеконсилиацияКоннектор Центральныйрепозиторий

Отзыв привилегий,блокировка / удалениеучетной записи


Сценарий 5. Сертификация.

26

Ручнаязадача


Отзывфизическихресурсов

СертификацияЗапуск по времени/событию

Центральныйрепозиторий

Отзыв привилегий,блокировка / удалениеучетной записи

Ответственныйсотрудник

Подтвердить /отозвать


Сценарий 6. Привилегированный доступ

27

Запросить пароль DBA (“check out”)

Войти как DBAДобавить Tablespace

Войти как суперпользовательДобавить дисковое пространство

Возвратить пароли (“check in”)

Возвратить пароль DBA Есть право на запрос записи DBA?

Да

Сгенерировать и установить пароль DBA в соответствии с парольной политикой

Админ / DBA

Unix

LDAP сервер

Запросить пароль Unix (“check out”)

Возвратить пароль Unix (root)

Сгенерировать и установить пароль суперпользователя в соответствии с парольной политикой

OracleIdentityGovernance

Бизнес процессы согласования доступа к привилегированным записямБизнес процессы согласования экстренного доступа


Узнайте больше

Twittertwitter.com/OracleIDM

Facebookfacebook.com/OracleIDM

Oracle BlogsBlogs.oracle.com/OracleIDM

Oracle IdM Websiteoracle.com/Identity


security-orcl.blogspot.com



Oracle минеев

Documents

oracle andor

oracle soa

oracle db cloud apps

advanced security web

enterprise cloud mobile

database vault

audit vault

social client sdk