Защита современного предприятия и управление доступом с Oracle Identity Governance Игорь Минеев, ведущий консультант по технологиям информационной безопасности Oracle СНГ
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.1
Защита современного предприятия и управление доступом с Oracle Identity Governance
Игорь Минеев,ведущий консультант по технологиям информационной безопасностиOracle СНГ
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.2
План выступления
Тенденции развития инфраструктуры IT
Oracle Identity Governance
Сценарии использования
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.3
План выступления
Тенденции развития инфраструктуры IT
Oracle Identity Governance
Сценарии использования
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.4
Основные тенденции развития ITПоявляются новые возможности
80% сессий пользователей
будут инициированы с
мобильных устройств к 2020 году
44% организаций планируют
использовать социальные сети
Затраты на облачные
вычисления станут основной статьей расхода
к 2016 в большинстве IT подразделений
Количество различных устройств,
подключенных к Сети приблизится
26 миллиардам 2020 году
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.5
• Утечка персональных данных (средняя стоимость скомпрометированной записи – $202)
• Противоречивые политики доступа (рост рисков нарушения безопасности)
• Сложности при выполнении требований регуляторов (152ФЗ, СТО БР ИББС-1.0-2010 и т.д)
• Рост стоимости управления IT-инфраструктурой
Фрагментированные приложенияДецентрализованное IDM решения увеличивают риски и стоимость
User Mgt
SSO
Access Cert
Federation
AppEmbedded Identities
Basic SSO & Provisioning
AccessCertification
Federated Cloud Apps
MobileApps
LDAP
LDAP
LDAP
LDAP
Дополнительная интеграция
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.6
IDENTITYMANAGEMENT
Доступ: простой, безопасный доступ к любому приложению с любого устройстваДоступ: простой, безопасный доступ к любому приложению с любого устройства
Управление: определение и автоматическое предоставление полномочий Управление: определение и автоматическое предоставление полномочий
Каталог учетных данных: безопасное и масштабируемое хранилищеКаталог учетных данных: безопасное и масштабируемое хранилище
Enterprise Cloud Mobile
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.7
Облачные приложения
Мобильные приложения
Корпоративные приложения
Правомер-ность доступа
Создание учетных записей
Привилегиро-ванный доступ
IdentityGovernance
Общие коннекторыХаос
Объединяя управление учетными записями и правами
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.8
VisaПлатформа для автоматизации и соответствия законам
• Требовалось единая, простая и понятная для бизнес-пользователей платформа для запроса и подтверждения доступа
• Внедрен Oracle Identity Governance 11gR2 PS1 и реализован процесс подтверждения доступа у более чем 20 тыс. менеджеров, а также создание и удаление доступа в более чем 3000 приложений. Срок внедрения - 4 месяца
• Взаимодействие бизнес-подразделений и ИТ позволило распределить ответственность и трудозатраты
• Дружелюбный интерфейс для менеджеров для ускорения процесса сертификации (подтверждение доступа)
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.9
Oracle Identity GovernanceУниверсальный подход к управлению учетными данными
База данных
Прило-жения
Cloud Apps Устройства
Самообслуживание Соответствие законам Углубленное понимание Привилегированный доступ
Общая модель данных Библиотека ролей и политик
Бизнес-процессы и интеграция с сервис-деском
Identity ConnectorFramework
Кадроваясистема
LDAP
Запрос доступа
Управление паролям
Подтверждение прав доступа
Поддержание соответствия
Отчеты о работеИсследование ролевой модели
Доступ с адм.привилегиями
Аудит использования
Платформа
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.10
План выступления
Тенденции развития инфраструктуры IT
Oracle Identity Governance
Сценарии использования
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.11
Единый подход к управлению учетными записями и правамиКлючевые требования
Простой и понятный процесс запроса прав
Гибкие бизнес-процессыдля согласований
Гибкий процесс подтверждения прав доступа (сертификация)
Масштабное и быстроеисполнение
Модульная расширяемаяархитектура
Управление и аудит привилегированного доступа
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.12
Каталог прав, понятный пользователям
Каталог прав и привилегий, понятный бизнес- пользователям
Интерфейс самообслуживания для подключения новых приложений
Поиск, просмотр и рекомендации необходимых прав
Проверка политик разграничения доступа
Гибкая настройка формы каталога Удобный просмотр всего процесса
от согласования до исполнения
Предоставить пользователям нужный доступ
Поиск, просмотр и
рекомендации
Проверка запроса на соответствие
политикам
Понятный каталог
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.13
Бизнес-процессы согласования доступа
Использование Oracle SOA, BPEL-совместимых бизнес-процессов
Очень гибкие и легко настраиваемые
Поддержка параллельных, последовательных и групповых согласований
Настройка вызовов внешних источников данных для сложных процессов
Поддержка и гибкая настройка под бизнес-процессы заказчика
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.14
Поддержка ручного и автоматического исполнения
Готовые коннекторы для автоматического создания учетных записей в промышленных приложениях
Упрощенная процедура включения и управления новыми приложениями
Единственное решения для полного и всестороннего управления приложениями Oracle
Масштабное и быстрое исполнение
DBПрило-жения
Cloud Apps Устрой-ства
Кадровая система
Интеграция с сервис-деском
Identity ConnectorFramework
Упрощенная процедура включения и управления новыми приложениями
Удобная среда разработки коннекторов
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.15
Модульная расширяемая архитектура
Гибкая и модульная архитектура, которая учитывает эволюцию требований к управлению правами и доступом
Единое хранилища для всех аспектов управления правами и доступом
Множество подходов для начала проекта по управлению правами и доступом
– Создать каталог прав и доступа для запросов пользователями
– Автоматизация подтверждения прав доступа
– Автоматизация управления учетными записями в ключевых приложениях
– Управление привилегированным учетным доступом
В соответствии с требованиями и планами заказчика
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.16
Предоставление и контроль привилегированного доступа
Использование каталога и процессов согласования
Подход с использованием Single Sign-On и прокси-серверов
Функционал Check in – Check out Запись и проигрывание сессии Среда разработки коннекторов Identity
Connector Framework Полная интеграция с процессами
подтверждения прав (сертификация)
Единая платформа для всех учетных записей
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.17
Сертификация
security-orcl.blogspot.com
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.18
Место Oracle Identity Governance 11g R2Платформа для управления доступом
Oracle Identity Management
Oracle Identity Governance
Oracle Identity Manager
Oracle Identity Analytics
Oracle Privileged Account Manager
ICF Oracle DirectoryServices
Oracle MobileSecurity
Oracle Access Management
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.19
Рекомендуемые сертифицированные* решения безопасности Oracle
Identity Governance – управление
жизненным циклом учетных записей пользователей
приложений
Identity Governance – управление
жизненным циклом учетных записей пользователей
приложений
Адаптеры для унаследованных системA
PI G
atew
ay –
тр
ансф
ор
мац
ия
дан
ны
х и
за
щи
та и
нте
грац
ио
нн
ых
ин
тер
фей
сов
;M
ob
ile A
cces
s S
erve
r –
MD
M &
MA
M
AP
I Gat
eway
– т
ран
сфо
рм
аци
я д
анн
ых
и
защ
ита
ин
тегр
аци
он
ны
х и
нте
рф
ейсо
в;
Mo
bile
Acc
ess
Ser
ver
– M
DM
& M
AM
Access Manager – WebSSO и
контроль доступа пользователей;
Entitlements Server – контекстнаяавторизация к компонентам приложений
Access Manager – WebSSO и
контроль доступа пользователей;
Entitlements Server – контекстнаяавторизация к компонентам приложений
Acc
ess
Man
ager
Web
Gat
esA
cces
s M
anag
er W
ebG
ates
Entitlements Server Security
Modules
Entitlements Server Security
Modules
Пользователи портативных и стационарных компьютеров
Пользователи портативных и стационарных компьютеров
Web-сервисыWeb-сервисы
Внешние пользователи
мобильных устройств и
социальных сетей
Внешние пользователи
мобильных устройств и
социальных сетей
HTTP/RESTOAuthJSM - SOAP
Label Security, Database Vault,
Advanced Security
Бизнес-приложения и другие гетерогенные
информационные системы; корпоративные web-сервисы
Public Zone & Intranet Web Tier Application Tier Data Tier
DatabaseFirewall
DatabaseFirewall
Data Masking, Audit Vault
3rd partу/ Virtual / Unified / Internet Directory
3rd partу/ Virtual / Unified / Internet Directory
Корпоративные пользователи
мобильных устройств
Корпоративные пользователи
мобильных устройств
Mobile Security Container или
Mobile and Social Client SDK * Детали – в дополнительных слайдах
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.20
Sun2Oracle Customer
Заказчики Oracle Identity ManagementИзвестные мировые бренды; Тысячи заказчиков
Identity Governance Access Management Directory Services
Suite Customer
1200+ 70+ 100M+ 1.5M+DEPLOYMENTS
ON 11gR2+PARTNERSTRAINED
IDENTITIESMANAGED
MOBILEDEVICES
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.21
План выступления
Тенденции развития инфраструктуры IT
Oracle Identity Governance
Сценарии использования
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.22
Сценарий 1. Прием на работу.
22
КадрыНовыйсотрудник
Само-регистрация
Реконсилиация
Политикидоступа
Доступ к приложениям
Согласование
ПроцессыПользователи /роли
Новый контрактор
Центральный репозиторий
Механизмзапросов
Запрет доступа кприложениям
Коннектор
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.23
Сценарий 2. Запрос ресурса.
23
Сотрудник
Созданиезаявки
Шаг 1Контрактор
Механизм запросов
Процесссогласования
Шаг 2
Согласование
Процесспредоставлениядоступа
Выделениефизическогоресурса
Проверка SoD (политик по разграничению прав)
Доступ к приложениям
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.24
Сценарий 3. Управление изменениями.
24
Реконсилиация Политики доступа
Доступ к приложениям
ПроцессыПользователи/ роли
Центральныйрепозиторий
Коннектор
Администратор Прямое созданиепользователя
Обработка исключения
КадрыПеревод сотрудника
Выявлениенепривязаннойучетной записи
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.25
Сценарий 4. Увольнение.
25
Увольнениесотрудника
Ручнаязадача
Процесспредоставлениядоступа
Отзывфизическихресурсов
Кадры РеконсилиацияКоннектор Центральныйрепозиторий
Отзыв привилегий,блокировка / удалениеучетной записи
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.26
Сценарий 5. Сертификация.
26
Ручнаязадача
Процесспредоставлениядоступа
Отзывфизическихресурсов
СертификацияЗапуск по времени/событию
Центральныйрепозиторий
Отзыв привилегий,блокировка / удалениеучетной записи
Ответственныйсотрудник
Подтвердить /отозвать
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.27
Сценарий 6. Привилегированный доступ
27
Запросить пароль DBA (“check out”)
Войти как DBAДобавить Tablespace
Войти как суперпользовательДобавить дисковое пространство
Возвратить пароли (“check in”)
Возвратить пароль DBA Есть право на запрос записи DBA?
Да
Сгенерировать и установить пароль DBA в соответствии с парольной политикой
Админ / DBA
Unix
LDAP сервер
Запросить пароль Unix (“check out”)
Возвратить пароль Unix (root)
Сгенерировать и установить пароль суперпользователя в соответствии с парольной политикой
OracleIdentityGovernance
Бизнес процессы согласования доступа к привилегированным записямБизнес процессы согласования экстренного доступа
Copyright © 2014, Oracle and/or its affiliates. All rights reserved.28
Узнайте больше
Twittertwitter.com/OracleIDM
Facebookfacebook.com/OracleIDM
Oracle BlogsBlogs.oracle.com/OracleIDM
Oracle IdM Websiteoracle.com/Identity