Oracle enterprise security_for_sap_customers_gusakov_ru

Решения Oracle в области информационной безопасности для заказчиков SAP Андрей Гусаков, ведущий консультант Семинар RISSPA « Безопасность бизнес-приложений» 29 сентября 2011 г.

<Insert Picture Here> SAP и Oracle – заклятые друзья

Партнерство на уровнях СУБД и инфраструктуры – видение Oracle http://www.oracle.com/us/solutions/sap/index.html

Подтверждение на сайте SAP http://www.sdn.sap.com/irj/sdn/ora http://www.sdn.sap.com/irj/sdn/solaris

… но конкуренция в Middleware и приложениях http://www.sdn.sap.com/irj/sdn/landscapelayout

Оптимизированные решения для индустрий http://www.oracle.com/technetwork/topics/entarch/itso-165161.html

<Insert Picture Here> Сравнение предложений SAP и Oracle в области ИБ

SAP усиливает свои MW & IdM -решения

… но аналитики Gartner позиционируют их как Niche Players Gartner's Magic Quadrants for User Provisioning

Избирательная сертификация чужих решений http://www.sap.com/ecosystem/customers/directories/SearchSolution.epx

Преимущества решений Oracle Продуманная интеграция от «железа» до бизнес-приложений
Стандартные компоненты
Простота в развертывании и управлении
Лучшая производительность
Большая безопасность
Более высокая надежность
Меньшая стоимость владения

Концепция Oracle Enterprise Security – фундамент устойчивой безопасности Прозрачность, Политики безопасности, Соответствие законодательным требованиям Безопасная сервис-ориентированная архитектура Управление учетными данными и доступом Защита информации и мониторинг Платформа предоставления услуг, обеспечивающая высокий уровень безопасности Надежная и гибкая в настройках изоляция нагрузки Интегрированные высокопроизводительные криптоспредства Взломоустойчивое хранилище ключей

Security-as-a-Service – инновационное решение для крупных организаций Thick Client Browser VPN Mobile Portal ERP Бизнес- приложения SCM CRM Custom Content Mgmt Сервисы уровня контента Info Rights Mgmt Analytics & Reporting Collab SOA Интеграционные сервисы BPM ESB RDBMS Сервисы уровня данных XML Hardware Инфраструктурные Сервисы Software Storage Virtualization LDAP Unstructured Workflow

<Insert Picture Here> Технологии безопасности Oracle в действии

Внимание – защите информации Information
Маскирование и преобразование
Управление привилегированными пользователями
Многофакторная авторизация
Аудит и мониторинг активности
Безопасн ое конфигур ирование
Identity Management Information Rights Management
Назначение /отзыв IT- привилегий
Управление ролями
Универсальная авторизация
Контроль доступ а с учетом рисков
Виртуальные каталоги
А удит использования документов
Предоставление и блокирование доступа к документам
Безопасност ь документов внутри и вне межсетевых экранов
Database Security Databases Applications Content Infrastructure

Технологии защиты информации
Авторизованный доступ (обычно – RBAC)
dB, ASO (аутентификация), EUS (интеграция DB с IAMS), IRM
Фильтрация (сокрытие) информации
dB, VPD, OLS, DBV
Криптопреобразование информации
ASO – в базе, в архиве, в сети
Secured Backup, Data Masking
IRM – в документах
Активный мониторинг доступа
DBV, DBFW
IRM , OAM ( из IAMS)
Аудит и расследование инцидентов
Вышеперечисленное, Audit Vault, OIM, OAAM

Advanced Security Option Oracle Database EE Прозрачное шифрование и з ащита на физическом уровне Данные на физических носителях информации и в резервных копиях защищены Расшифровывание данных при чтении Зашифровывание данных при записи oraclerussia.ru/tech-brochures/data/security/oracle_advanced_security.pdf

Контроль доступа к данным с Oracle Database Vault
Опция СУБД Oracle 10gR2 EE или 1 1g R 2 EE или 9i R2 ( 9.2.0.8 ) EE
Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных ( DBA)
Обеспечение доступа к данным на основе динамически настраиваемых правил
Повышение защищенности объектов БД от несанкционированных изменений
Разделение полномочий пользователей в соответствии с их функциональными обязанностями и надежный внутренний контроль
oracle.com/technetwork/ru/middleware/id-management/security-solutions-oracle-421791-ru.pdf

Oracle Database Vault Функциональные элементы Отчеты Защищенные области Многофакторная авторизация Разграничение по служебным обязанностям Динамическая настройка правил безопасности Аудит

Защищенная область Oracle Database Vault Результат применения Даже пользователь SYSTEM не может просматривать защищенные данные SELECT ANY TABLE hr.employees

Oracle Database Vault Пример использования ADM_DBA select * from HR.emp
Администратор БД ( ADM_DBA) обращается к данным в схеме HR
Пользователь HR_DBA обращается к данным в схеме FIN или желает получить доступ к области HR во внерабочее время
Безопасная консолидация приложений на одном сервере Соответствие нормативным требованиям и стандартам внутреннего аудита HR_DBA FIN_DBA HR HR FIN FIN

Oracle Database Vault Отчеты и аудит
Более 30 предустановленных отчетов о выполнении политик безопасности
Аудит попыток нарушений защиты
Отчеты по защищенным областям ( Realms ) , выполнении правил ( Rules) и условий (Factors)
Списки системных и пользовательских привилегий на доступ и обработку данных

Сертификация oracle.com/ru/corporate/press/press-release-runov19-09-332547-ru.html

В Oracle Cloud File System имеется аналог ASO и DB Vault на уровне OS oracle.com/ru/corporate/press/press-release-rufeb-15-326447-ru.html

Мнение IDC: Эффективная защита от утечек данных начинается в СУБД Преобразование данных и маскирование Контроль доступа к данным Контроль изменений и аудит Мониторинг и блокирование трафика Oracle Advanced Security Oracle Secure Backup Oracle Data Masking Oracle Database Vault Oracle Label Security Oracle Audit Vault Oracle Configuration Management Oracle Total Recall Oracle Database Firewall oracle.com/us/corporate/analystreports/infrastructure/index.html Безопасность Баз Данных

Защита документов с помощью Oracle Information Rights Management Управление классификацией, правами и аудитом Oracle IRM Standard Rights Model Администратор Бизнес-менеджер Аудит Oracle IRM Management Console Автор Редактор Рецензент Oracle IRM Desktop Запечатывание и классификация документов и писем Передача через email, web, file shares, IM, USB, DVD, и т.д. Читатель Oracle IRM Desktop Oracle IRM Server Корпоративная аутентификация, службы каталогов, системы CRM и т.д. Автоматическая синхронизация прав / аудит действий Безопасный offline cache

Варианты выгрузки конфиденциальной информации из приложений
На защищенную web- страницу (shtml)
В специальную файловую папку, в которой происходит присваивание грифа (категоризация) и защита файла (sxls, sdoc, spdf, sjpeg)
blogs.oracle.com/irm/tags/hotfolder oracle.com/ru/corporate/press/press-release-rufeb10-323916-ru.html

Полнофункциональное лучшее в классе прединтегрированное IdM- решение Oracle Администрирование учетных данных Управление доступом Службы каталогов
Доставка учетных данных с учетом ролевой модели
Самообслуживание, заявки и подтверждения
Управление паролями
Аутентификация и борьба с мошенничеством
Single Sign-On и федеративное взаимодействие
Управление полномочиями и авторизация
Безопасность Web -сервисов
Защита электронных документов
LDAP -хранилища и их синхронизация
Виртуализация хранилищ идентификационных данных
Оптимизация учетных данных Аналитика, Разделение обязанностей, Ресертификация ролей и прав доступа Программные интерфейсы к идентификационным сервисам для разработчиков и клиентов oracle.com/technetwork/ru/middleware/id-management/index.html Безопасность платформы

Опыт интеграции решений Oracle IdM у российских заказчиков SAP
Промсвязьбанк (партнер Форс) oracleday.ru/presentation2010/oday_fmv_promsvyaz.pdf
Крупный оператор мобильной связи
подключены HR -модули (анализ кадровой информации)
Сибирская угольная энергетическая компания (СУЭК) ibs.ru/content/rus/545/5453-article.asp
Крупная энергетическая компания
Крупный универсальный банк
Крупная государственная корпорация
подключены HR -модули и модули управления бизнес-пользователями ( SAP User Management & SAP CUA )

Oracle Identity Manager для приложений SAP ( SAP R/3, mySAP & SAP Portal)

Обеспечение внешнего контроля SoD в OIM Oracle Identity Manager Oracle Application Access Controls Governor ( ранее LogicalApps) SAP GRC Access Controls ( ранее Virsa) SIL Providers
Превентивный подход
Симуляция предоставления привилегии перед реальным предоставлением
SoD Invocation Library (SIL) SAP GRC Provider OAACG Provider 1 Встроенное решение для SAP & EBS Интеграция с другими SoD провайдерами 2 PeopleSoft UM Connector SAP UM/CUA Connector Преконфигурированный вызов SAP GRC Provider Entitlement Конфигурация новых точек вызова ( invocation points ) без разработки Entitlement Преконфигурированный вызов OAACG Provider EBS UM Connector Entitlement

Вместо SAP GRC можно использовать OIA Превентивная симуляция применения политик SOD Синхронизация данных о доступе Предоставление доступа в соответствии с политиками SoD Анализ конфликтов Симуляция применения SoD Запрос на проверку SoD !  Ответ проверки SoD Oracle Identity Analytics Приложения Oracle Identity Manager Согласование заявки на доступ Предоставление доступа

Oracle Identity Analytics 11g – репозиторий IdM- информации ( Identity Warehouse ) Другие источники Identity- данных ETL Интеграция Oracle Identity Manager Identity Warehouse Приложения & привилегии Согласо-вание Сертифи-кация Политики Пользо- ватели Роли Органи- зации

Разделение полномочий с OIM и OIA Роли Бизнес-привилегии Меню Бизнес-функции Политики доступа Привилегии
Корпоративные IT SoD политики
Фокус на бизнес-пользователях
Определено на основе бизнес-функций пользователей
Позволяет включить механизм SoD в системах, где отсутствует его встроенная поддержка (например AD)
Политики приложений ( ERP Application SoD )
Используются соответствующие механизмы ERP ( например OAACG для EBS, SAP GRC для SAP)
Управление доступом в соответствии с политиками SOD: OIM/OIA обеспечивает управление привилегиями с использованием «превентивного» механизма при назначении ролей и привилегий

Типичное применение Oracle IdM
Импорт кадровой информации (доверенный источник для OIM), используется IDoc
Возможна инкрементальная загрузка напрямую из SAP HR в OIM или полная через промежуточный текстовый файл
Расширения позволяют анализировать кадровую структуру (вычислять менеджеров и т.п.)
Управление пользователями и их привилегиями в SAP
Активация/деактивация
Изменение атрибутов (паролей)
Назначение/отзыв ролей и профилей
Удаление несвязанных учетных записей

Оптимизация ролевой модели в SAP, управление жизненным циклом бизнес-ролей (комбинацией ролей и профилей SAP)
см. ниже ссылку на брошюру «Оптимизация ролевой модели и соответствие законодательным требованиям для пользователей SAP»
Контроль эталонной модели прав, ресертификация учетных записей, их привилегий и состава бизнес-ролей
Контроль соблюдения политик SoD
Превентивно (через обращение OIM к SAP GRC)
Детективно (анализ полномочий в OIA)
oracle.com/technetwork/ru/middleware/id-management/oia-sap-compliance-package-ru-427575-ru.pdf

Обеспечение прозрачного подключения клиентов SAP (Enterprise SSO)
Возможно усиление методов аутентификации (применение смарт-карт и USB- токенов)
Организация WebSSO для пользователей SAP Portal

Источники информации и Вопросы 123317, Россия, Москва, Пресненская набережная, 10 - Башня на Набережной, Блок С (+7495) 6411400 [email_address] oracle.com/technetwork/ru/middleware/id-management/index.html security-orcl.blogspot.com/ easyoraidm.ru/

План презентации
SAP и Oracle – совместные решения для заказчиков
Предложение Oracle – всеобъемлющая безопасность информации
Обзор нескольких продуктов Oracle Identity Management 11g
Достижения и планы

Создадим нового пользователя в SAP HR и настроим правила согласования в OIM

В результате OIM создаст новую запись и свяжет ее с ресурсом SAP HRMS

После назначения в OIM пользователю роли SAP R3 произойдет доставка учетных ID ...

… и пользователь получит соответствующие привилегии в SAP R3

Из меню OIM доступны опции блокировки пользователя SAP…

… и отзыва привилегий Результат – сообщения типа или

Oracle enterprise security_for_sap_customers_gusakov_ru

by RISSPA on Oct 16, 2011

Accessibility

Upload Details

Usage Rights

2 Embeds 79

Statistics

Oracle enterprise security_for_sap_customers_gusakov_ru — Presentation Transcript

http://www.risspa.ru	78
http://ec2-176-34-245-108.eu-west-1.compute.amazonaws.com	1