<Insert Picture Here> Решения Oracle в области информационной безопасности для заказчиков SAP Андрей Гусаков, ведущий консультант Семинар RISSPA «Безопасность бизнес-приложений» 29 сентября 2011 г.
<Insert Picture Here>
Решения Oracle в области информационной безопасности для заказчиков SAPАндрей Гусаков, ведущий консультант
Семинар RISSPA «Безопасность
бизнес-приложений»
29 сентября 2011 г.
2
<Insert Picture Here>
SAP и Oracle – заклятые друзья
3
http://www.oracle.com/us/solutions/sap/index.html
Партнерство на уровнях СУБД
и инфраструктуры – видение Oracle
4
http://www.sdn.sap.com/irj/sdn/ora http://www.sdn.sap.com/irj/sdn/solaris
Подтверждениена сайте SAP
5
http://www.sdn.sap.com/irj/sdn/landscapelayout
…но конкуренция в Middleware и приложениях
6
Оптимизированные решения для индустрий
http://www.oracle.com/technetwork/topics/entarch/itso-165161.html
7
<Insert Picture Here>
Сравнение предложений SAP и Oracle в области ИБ
8
SAP усиливает свои MW & IdM-решения
9
…но аналитики Gartner позиционируют их как Niche Players
Gartner's Magic Quadrants for User Provisioning
10
Избирательная сертификация чужих решений
http://www.sap.com/ecosystem/customers/directories/SearchSolution.epx
11
Преимущества решений OracleПродуманная интеграция от «железа» до бизнес-приложений
• Стандартные компоненты• Простота в развертывании и
управлении • Лучшая производительность• Большая безопасность• Более высокая надежность• Меньшая стоимость владения
12
Концепция Oracle Enterprise Security – фундамент устойчивой безопасности
Прозрачность, Политики безопасности, Соответствие законодательным требованиям
Безопасная сервис-ориентированная архитектура
Управление учетными данными и доступом
Защита информации и мониторинг
Платформа предоставления услуг, обеспечивающая высокий уровень безопасности
Надежная и гибкая в настройках изоляция нагрузки
Интегрированные высокопроизводительные криптоспредства
Взломоустойчивое хранилище ключей
13
Security-as-a-Service – инновационное решение для крупных организаций
Thick Client Browser VPN Mobile Portal
ERPБизнес-
приложения SCM CRM Custom
ContentMgmt
Сервисы уровняконтента
Info RightsMgmt
Analytics& Reporting
Collab
SOAИнтеграционныесервисы
BPM ESB
RDBMSСервисы уровняданных
XML
HardwareИнфраструктурныеСервисы
Software Storage Virtualization
LDAP Unstructured
Workflow
14
<Insert Picture Here>
Технологии безопасности Oracle в действии
15
Databases
Applications
Content
Infrastructure
Information
• Маскирование и преобразование• Управление привилегированными
пользователями• Многофакторная авторизация• Аудит и мониторинг активности• Безопасное конфигурирование
Identity Management
Information Rights Management
Внимание – защите информации
• Назначение/отзыв IT-привилегий• Управление ролями• Универсальная авторизация• Контроль доступа с учетом рисков • Виртуальные каталоги
• Аудит использования документов• Предоставление и блокирование
доступа к документам• Безопасность документов внутри и
вне межсетевых экранов
Database Security
16
Технологии защиты информации
• Авторизованный доступ (обычно – RBAC)• dB, ASO (аутентификация), EUS (интеграция DB с IAMS), IRM
• Фильтрация (сокрытие) информации• dB, VPD, OLS, DBV
• Криптопреобразование информации• ASO – в базе, в архиве, в сети
• Secured Backup, Data Masking
• IRM – в документах
• Активный мониторинг доступа• DBV, DBFW
• IRM, OAM (из IAMS)
• Аудит и расследование инцидентов • Вышеперечисленное, Audit Vault, OIM, OAAM
17
Advanced Security Option Oracle Database EEПрозрачное шифрование и защита на физическом уровне
Данные на физических носителях информации и в резервных копиях защищены
Расшифровывание данных
при чтении
Зашифровывание данных
при записи
oraclerussia.ru/tech-brochures/data/security/oracle_advanced_security.pdf
18
Контроль доступа к данным сOracle Database Vault
• Опция СУБД Oracle 10gR2 EE или 11g R2 EE или 9i R2 (9.2.0.8) EE
• Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных (DBA)
• Обеспечение доступа к данным на основе динамически настраиваемых правил
• Повышение защищенности объектов БДот несанкционированных изменений
• Разделение полномочий пользователей в соответствии с их функциональными обязанностями и надежный внутренний контроль
oracle.com/technetwork/ru/middleware/id-management/security-solutions-oracle-421791-ru.pdf
19
Oracle Database VaultФункциональные элементы
Отчеты
Защищенные области
Многофакторнаяавторизация
Разграничениепо служебным обязанностям
Динамическаянастройка правил безопасности
Аудит
20
Защищенная область Oracle Database Vault Результат применения
Даже пользователь SYSTEMне может просматривать
защищенные данныеSELECT ANY TABLE
hr.employees
21
Oracle Database VaultПример использования
ADM_DBAselect * from HR.emp
HR_DBA
FIN_DBA
HR HR
FIN FIN
• Администратор БД (ADM_DBA)обращается к даннымв схеме HR
• Пользователь HR_DBAобращается к даннымв схеме FIN или желает получить доступ к области HR во внерабочее время
Безопасная консолидация приложений на одном сервере
Соответствие нормативным требованиям и стандартам
внутреннего аудита
22
Oracle Database Vault Отчеты и аудит
• Более 30 предустановленных отчетов о выполнении политик безопасности
• Аудит попыток нарушений защиты
• Отчеты по защищенным областям (Realms), выполнении правил (Rules) и условий (Factors)
• Списки системных и пользовательских привилегийна доступ и обработку данных
23
Сертификация
oracle.com/ru/corporate/press/press-release-runov19-09-332547-ru.html
24
В Oracle Cloud File System имеется аналог ASO и DB Vault на уровне OS
oracle.com/ru/corporate/press/press-release-rufeb-15-326447-ru.html
25
Безопасность Баз Данных
Мнение IDC: Эффективная защита от утечек данных начинается в СУБД
Преобразование данных и маскирование
Контроль доступа к данным
Контроль изменений и аудит
Мониторинг и блокирование трафика
Oracle Advanced SecurityOracle Secure BackupOracle Data Masking
Oracle Database VaultOracle Label Security
Oracle Audit VaultOracle Configuration Management
Oracle Total Recall
Oracle Database Firewall
oracle.com/us/corporate/analystreports/infrastructure/index.html
26
Защита документов с помощью Oracle Information Rights ManagementУправление классификацией, правами и аудитом
Oracle IRM Standard Rights Model
АдминистраторБизнес-менеджер
Аудит
Oracle IRM Management Console
АвторРедакторРецензент
Oracle IRM DesktopЗапечатывание иклассификация
документов и писем
Передача через email, web, file shares, IM,
USB, DVD, и т.д.
Читатель
Oracle IRM Desktop
Oracle IRM Server
Корпоративная аутентификация,службы каталогов, системы CRM и т.д.
Автоматическаясинхронизация
прав / аудит действий Безопасныйoffline cache
27
Варианты выгрузки
конфиденциальной информации из приложений• На защищенную web-страницу (shtml)
• В специальную файловую папку, в которой происходит присваивание грифа (категоризация) и защита файла (sxls, sdoc, spdf, sjpeg)
blogs.oracle.com/irm/tags/hotfolder
oracle.com/ru/corporate/press/press-release-rufeb10-323916-ru.html
28
Полнофункциональное лучшее в классе прединтегрированное IdM-решение Oracle
Администрированиеучетных данных
Администрированиеучетных данных
Управлениедоступом
Управлениедоступом
СлужбыкаталоговСлужбы
каталогов
• Доставка учетных данных с учетом ролевой модели
• Самообслуживание, заявки и подтверждения
• Управление паролями
• Доставка учетных данных с учетом ролевой модели
• Самообслуживание, заявки и подтверждения
• Управление паролями
• Аутентификация и борьба с мошенничеством
• Single Sign-On и федеративное взаимодействие
• Управление полномочиями и авторизация
• Безопасность Web-сервисов
• Защита электронных документов
• Аутентификация и борьба с мошенничеством
• Single Sign-On и федеративное взаимодействие
• Управление полномочиями и авторизация
• Безопасность Web-сервисов
• Защита электронных документов
• LDAP-хранилища и их синхронизация
• Виртуализация хранилищ идентификационных данных
• LDAP-хранилища и их синхронизация
• Виртуализация хранилищ идентификационных данных
Оптимизация учетных данных Безопасность платформыАналитика, Разделение обязанностей, Ресертификация ролей и прав доступаАналитика, Разделение обязанностей, Ресертификация ролей и прав доступа
Программные интерфейсы к идентификационным сервисам
для разработчиков и клиентов
Программные интерфейсы к идентификационным сервисам
для разработчиков и клиентов
oracle.com/technetwork/ru/middleware/id-management/index.html
29
Опыт интеграции решений Oracle IdM у российских заказчиков SAP
• Промсвязьбанк (партнер Форс) oracleday.ru/presentation2010/oday_fmv_promsvyaz.pdf
• Крупный оператор мобильной связи
подключены HR-модули (анализ кадровой информации)
• Сибирская угольная энергетическая компания (СУЭК) ibs.ru/content/rus/545/5453-article.asp
• Крупная энергетическая компания• Крупный универсальный банк• Крупная государственная корпорация
подключены HR-модули и модули управления бизнес-пользователями (SAP User Management & SAP CUA)
30
Oracle Identity Manager для приложений SAP (SAP R/3, mySAP & SAP Portal)
31
Обеспечение внешнего контроля SoD в OIM
Oracle Identity Manager
Oracle Application Access Controls Governor (ранее
LogicalApps)
SAP GRC Access Controls (ранее Virsa)
SoD Invocation
Library (SIL)
SAP GRC ProviderSAP GRC Provider
OAACG ProviderOAACG Provider
1 Встроенное решение для SAP & EBS
SIL Providers
Интеграция с другими SoD провайдерами
2
PeopleSoft UM Connector
SAP UM/CUA Connector
Преконфигурированный вызов SAP GRC Provider
Entitlement
Конфигурация новых точек вызова (invocation points) без
разработки
Entitlement
Преконфигурированный вызов OAACG Provider
EBS UM Connector
Entitlement
• Превентивный подход
• Симуляция предоставления привилегии перед реальным предоставлением
32
Вместо SAP GRC можно использовать OIAПревентивная симуляция применения политик SOD
Синхронизация данных о доступе
Предоставлениедоступа в
соответствии с политиками SoD
Анализ конфликтов
Симуляция применения
SoD
Запрос на проверку SoD
!!
Ответ проверки SoD
Oracle Identity Analytics
Приложения
Oracle Identity Manager
Согласование заявки на
доступ
Предоставление доступа
33
Oracle Identity Analytics 11g – репозиторий IdM-информации (Identity Warehouse)
Другие источники
Identity-данных
ETLИнтеграция
Oracle Identity Manager
Identity WarehouseIdentity Warehouse
Приложения & привилегии
Согласо-вание
Сертифи-кация
Политики
Пользо-ватели
Роли
Органи-зации
34
Разделение полномочий с OIM и OIA
Роли
Бизнес-привилегии
Меню
Бизнес-функции
Политики доступа
Привилегии
• Корпоративные IT SoD политики• Фокус на бизнес-пользователях• Определено на основе бизнес-функций
пользователей• Позволяет включить механизм SoD в
системах, где отсутствует его встроенная поддержка (например AD)
• Политики приложений (ERP Application SoD)• Используются соответствующие механизмы
ERP (например OAACG для EBS, SAP GRC для SAP)
• Управление доступом в соответствии с политиками SOD: OIM/OIA обеспечивает управление привилегиями с использованием «превентивного» механизма при назначении ролей и привилегий
35
Типичное применение Oracle IdM
• Импорт кадровой информации (доверенный источник для OIM), используется IDoc • Возможна инкрементальная загрузка напрямую из SAP HR в
OIM или полная через промежуточный текстовый файл
• Расширения позволяют анализировать кадровую структуру (вычислять менеджеров и т.п.)
• Управление пользователями и их привилегиями в SAP• Активация/деактивация
• Изменение атрибутов (паролей)
• Назначение/отзыв ролей и профилей
• Удаление несвязанных учетных записей
36
Типичное применение Oracle IdM
• Оптимизация ролевой модели в SAP, управление жизненным циклом бизнес-ролей (комбинацией ролей и профилей SAP)• см. ниже ссылку на брошюру «Оптимизация ролевой модели и
соответствие законодательным требованиям для пользователей SAP»
• Контроль эталонной модели прав, ресертификация учетных записей, их привилегий и состава бизнес-ролей
• Контроль соблюдения политик SoD• Превентивно (через обращение OIM к SAP GRC)
• Детективно (анализ полномочий в OIA)
oracle.com/technetwork/ru/middleware/id-management/oia-sap-compliance-package-ru-427575-ru.pdf
37
Типичное применение Oracle IdM
• Обеспечение прозрачного подключения клиентов SAP (Enterprise SSO)
• Возможно усиление методов аутентификации (применение смарт-карт и USB-токенов)
• Организация WebSSO для пользователей SAP Portal
38
39
Источники информации и Вопросы
123317, Россия, Москва, Пресненская набережная, 10 - Башня на Набережной, Блок С(+7495) 6411400 [email protected]
oracle.com/technetwork/ru/middleware/id-management/index.html
security-orcl.blogspot.com/ easyoraidm.ru/
40
План презентации
• SAP и Oracle – совместные решения для заказчиков
• Предложение Oracle – всеобъемлющая безопасность информации
• Обзор нескольких продуктов Oracle Identity Management 11g
• Достижения и планы
41
Создадим нового пользователя в SAP HR и настроим правила согласования в OIM
42
43
В результате OIM создаст новую запись и свяжет ее с ресурсом SAP HRMS
44
После назначения в OIM пользователю роли SAP R3 произойдет доставка учетных ID...
45
…и пользователь получит соответствующие привилегии в SAP R3
46
Из меню OIM доступны опции блокировки пользователя SAP…
47
…и отзыва привилегий
Результат – сообщения типа
или