Oracle enterprise security_for_sap_customers_gusakov_ru


Published on

1 Like
  • Be the first to comment

No Downloads
Total views
On SlideShare
From Embeds
Number of Embeds
Embeds 0
No embeds

No notes for slide
  • Identity Management is fundamentally about securing access to your organization’s information assets from within the enterprise. At it’s core this represents the efficient management of typically thousands of user accounts across hundreds of applications, from the time user accounts are created to through their complete lifecycle including role changes and termination. Identity Management has three fundamental components: Authentication, which consists of being able to verify who you are, I.e. username/password in most cases Authorization, which defines policies for what data and resources a user has access to Profile, attributes about you, such as your name, title, role, contact info, groups belonged to, etc.
  • 10/17/11 Oracle Confidential
  • Начиная с версии 10 gR 2, реализована опция прозрачного (не заметного для конечного пользователя и приложений) шифрования данных, обеспечивающая защиту важной информации на физическом уровне от несанкционированного доступа, как со стороны пользователей операционной системы, так и в случаях хищения (неправильной утилизации) оборудования или резервных копий данных. В версии 11 g обеспечивается прозрачное шифрование tablespace
  • Database Vault is designed to address what customers have told us are some of their most pressing security related business problems. At Oracle Headquarters in California, we frequently get the opportunity to talk to customers from around the world and virtually every industry imaginable and these are business problems seem to resonate with virtually every customer. I’m sure you’ve all heard the phrase “regulatory compliance”, who hasn’t, it’s certainly being used a lot. I think one of the biggest benefits of regulatory compliance has been awareness, it’s really forced customers to take a long hard look at their business practices. Two of the common themes in many regulations are strong internal controls and separation of duty. Database Vault provides the technology to address these two security problems. In addition, customers are much more concerned about the internal threat today. I don’t mean to say that everyone’s DBA is up to no good, but rather customers are looking for preventative measures to put in place. They want the ability to enforce operational policies on who, when and where data can be accessed, Another common security problem is the powerful DBA. Most applications out there today were not designed with the principle of least privilege – meaning that the application owner only has the minimum privileges necessary. In fact, it’s exactly the opposite. Database Vault provides the ability to restrict the powerful application owners and DBA which reside in a consolidated database environment.
  • Oracle Database Vault provides 6 key pieces of security functionality. 1. The concept of a REALM is the most important. You can think of a REALM as a protection boundary or firewall you define inside the database. Realms are easy to define and once in place, they prevent powerful users such as the DBA from getting at application data. 2. Multi-Factor Authorization is another extremely important addition provided by Database Vault. Some of you may be familiar with the term multi-factor authentication. Multi-factor authorization is similar in that it enables a series of security checks prior to giving access to a database, application or application table. For example, you can tell Database Vault to check things like IP address and time of day prior before giving access to the database, application or a specific Realm, it’s very flexible. 3. The security behind Database Vault is managed by a security account and not the Oracle DBA or SYSDBA, this provides separation of duty, meaning the DBA isn’t the one who controls the REALMS, FACTORS and so forth. 4. Command rules are another important addition, this enables rules to be associated with database commands, the rule is evaluated prior to allowing the command to execute, a powerful feature. 5. Oracle Database Vault also provides auditing, so that you can track when a REALM has blocked someone from attempting to access an application. In addition, over 3 dozen security related reports are provided out-of-the-box. 6. Reports.
  • Let’s first take a look at Database Vault Realms. Here we have a database, let’s assume that this is a consolidated database. As you would expect you have the DBA as well as several other applications, here we’ve included an HR and Financial application. One of the problems faced in this type of situation is that the DBA can, if he or she wished to do so, use their powerful privileges to take a look at application data. Even the possibility of this happening can be prevented using Database Vault Realms. Simply place a Realm around the HR application and the DBA will no longer be able to use his powerful privileges to access the application. The other situation is one I eluded to earlier. Application owners tend to have very powerful privileges. In a consolidated environment, it’s very likely that you’ll have more than one application and thus several powerful users in the database above and beyond the DBA. In this example, it’s possible for the HR DBA to look at the Financial application data. Obviously this wouldn’t be a good situation, especially if it was during the financial reporting quite period. Using a Database Vault Realm, the Financial application can be protected from powerful application owners. Summary, Realms can be easily applied to existing applications and with minimal performance impact. ------------------------ In addition, to Realms, Database Vault also delivers Command Rules and Multi-Factor Authorization. Command Rules provide the ability to instruct the database to evaluate conditions prior to allowing a database command to execute. Combined with Multi-Factor authorization, this provides an extremely powerful tool to limit and restrict access to databases and applications. Let’s take another example. Here I’m showing a database with a single application and the DBA. One of the common problems customers have faced from a compliance perspective is unauthorized activity in the database. This may mean that additional database accounts or application tables have been created. This can raise alarms with auditors because it can point toward lax internal controls. Using a command rule, Database Vault gives the ability to control the conditions under which a command is allowed to execute. For example, a command rule can be associated with the database “Alter System….” command. Perhaps your policy states that all ‘alter system’ commands have to be executed from a connection originating from the server hosting the database. The command rule can check the IP address and reject the command. So the rule based on IP address blocks the action. Perhaps a powerful application DBA creates a new table, command rules combined with multi-factor authorization can block this action. In summary, command rules and multi-factor provide the flexibility to meet operational security requirements.
  • Here’s a more detailed look at the Database Vault specific reports tab. You can see a Realm Audit report selection toward the bottom. This report will display audit records where the Realm has blocked an action.
  • CGI NOTE: -------------Original Text------------------------------------ Complete, Integrated, Hot-Pluggable and Delivers Service-Oriented Security Complimentary functionalities must be harnessed to achieve true end to end enterprise class security. Oracle has the most complete identity and access management offering in the industry because we are executing on a complete vision of security. Oracle Identity Management is a comprehensive offering of several best of breed products. Oracle IdM is the most complete and integrated IDM suite in the industry today. It is hot-pluggable and supports most leading third party platforms and applications. It is built on a unique architectural approach called Service Oriented Security which enables security to be externalized from applications and centralized using a standards based IDM framework. At Oracle, we like to think of IdM as being composed of some distinct functional areas:   We have Identity Administration which is all about user provisioning and role lifecycle management. Oracle Identity Manager - our two flagship product in the Id Admin space.   Then we have Access Management which is all about access control – authentication, authorization, single sign on and federation. In addition, Oracle also offers next gen access management technologies for risk based access control, for fine grained authorizaton, for web services security and information rights management for securing sensitive, unstructured business information.   We also have Directory Services for centralizing and consolidating user identities. With Oracle Id analytics and the new Oracle Security Governor, we now offer comprehensive Identity & Access Governance. OPSS is the security foundation across all of Middleware and Fusion apps.
  • Xellerate ProvisionManager: Функциональность GUI design console is used to define the company’s unique business process User profiles Resources Real world system or application Access policies Role and rule based determination of access privileges Rules Business rules used to make decisions throughout the provisioning life cycle Business workflow processes The execution flow or logic by which a user or organization is approved access to a resource Forms for business users
  • Oracle enterprise security_for_sap_customers_gusakov_ru

    1. 1. Решения Oracle в области информационной безопасности для заказчиков SAP Андрей Гусаков, ведущий консультант Семинар RISSPA « Безопасность бизнес-приложений» 29 сентября 2011 г.
    2. 2. <Insert Picture Here> SAP и Oracle – заклятые друзья
    3. 3. Партнерство на уровнях СУБД и инфраструктуры – видение Oracle
    4. 4. Подтверждение на сайте SAP
    5. 5. … но конкуренция в Middleware и приложениях
    6. 6. Оптимизированные решения для индустрий
    7. 7. <Insert Picture Here> Сравнение предложений SAP и Oracle в области ИБ
    8. 8. SAP усиливает свои MW & IdM -решения
    9. 9. … но аналитики Gartner позиционируют их как Niche Players Gartner's Magic Quadrants for User Provisioning
    10. 10. Избирательная сертификация чужих решений
    11. 11. Преимущества решений Oracle Продуманная интеграция от «железа» до бизнес-приложений <ul><li>Стандартные компоненты </li></ul><ul><li>Простота в развертывании и управлении </li></ul><ul><li>Лучшая производительность </li></ul><ul><li>Большая безопасность </li></ul><ul><li>Более высокая надежность </li></ul><ul><li>Меньшая стоимость владения </li></ul>
    12. 12. Концепция Oracle Enterprise Security – фундамент устойчивой безопасности Прозрачность, Политики безопасности, Соответствие законодательным требованиям Безопасная сервис-ориентированная архитектура Управление учетными данными и доступом Защита информации и мониторинг Платформа предоставления услуг, обеспечивающая высокий уровень безопасности Надежная и гибкая в настройках изоляция нагрузки Интегрированные высокопроизводительные криптоспредства Взломоустойчивое хранилище ключей
    13. 13. Security-as-a-Service – инновационное решение для крупных организаций Thick Client Browser VPN Mobile Portal ERP Бизнес- приложения SCM CRM Custom Content Mgmt Сервисы уровня контента Info Rights Mgmt Analytics & Reporting Collab SOA Интеграционные сервисы BPM ESB RDBMS Сервисы уровня данных XML Hardware Инфраструктурные Сервисы Software Storage Virtualization LDAP Unstructured Workflow
    14. 14. <Insert Picture Here> Технологии безопасности Oracle в действии
    15. 15. Внимание – защите информации Information <ul><li>Маскирование и преобразование </li></ul><ul><li>Управление привилегированными пользователями </li></ul><ul><li>Многофакторная авторизация </li></ul><ul><li>Аудит и мониторинг активности </li></ul><ul><li>Безопасн ое конфигур ирование </li></ul>Identity Management Information Rights Management <ul><li>Назначение /отзыв IT- привилегий </li></ul><ul><li>Управление ролями </li></ul><ul><li>Универсальная авторизация </li></ul><ul><li>Контроль доступ а с учетом рисков </li></ul><ul><li>Виртуальные каталоги </li></ul><ul><li>А удит использования документов </li></ul><ul><li>Предоставление и блокирование доступа к документам </li></ul><ul><li>Безопасност ь документов внутри и вне межсетевых экранов </li></ul>Database Security Databases Applications Content Infrastructure
    16. 16. Технологии защиты информации <ul><li>Авторизованный доступ (обычно – RBAC) </li></ul><ul><ul><li>dB, ASO (аутентификация), EUS (интеграция DB с IAMS), IRM </li></ul></ul><ul><li>Фильтрация (сокрытие) информации </li></ul><ul><ul><li>dB, VPD, OLS, DBV </li></ul></ul><ul><li>Криптопреобразование информации </li></ul><ul><ul><li>ASO – в базе, в архиве, в сети </li></ul></ul><ul><ul><li>Secured Backup, Data Masking </li></ul></ul><ul><ul><li>IRM – в документах </li></ul></ul><ul><li>Активный мониторинг доступа </li></ul><ul><ul><li>DBV, DBFW </li></ul></ul><ul><ul><li>IRM , OAM ( из IAMS) </li></ul></ul><ul><li>Аудит и расследование инцидентов </li></ul><ul><ul><li>Вышеперечисленное, Audit Vault, OIM, OAAM </li></ul></ul>
    17. 17. Advanced Security Option Oracle Database EE Прозрачное шифрование и з ащита на физическом уровне Данные на физических носителях информации и в резервных копиях защищены Расшифровывание данных при чтении Зашифровывание данных при записи
    18. 18. Контроль доступа к данным с Oracle Database Vault <ul><li>Опция СУБД Oracle 10gR2 EE или 1 1g R 2 EE или 9i R2 ( ) EE </li></ul><ul><li>Возможность ограничивать (исключать) доступ к данным приложений со стороны администратора базы данных ( DBA) </li></ul><ul><li>Обеспечение доступа к данным на основе динамически настраиваемых правил </li></ul><ul><li>Повышение защищенности объектов БД от несанкционированных изменений </li></ul><ul><li>Разделение полномочий пользователей в соответствии с их функциональными обязанностями и надежный внутренний контроль </li></ul>
    19. 19. Oracle Database Vault Функциональные элементы Отчеты Защищенные области Многофакторная авторизация Разграничение по служебным обязанностям Динамическая настройка правил безопасности Аудит
    20. 20. Защищенная область Oracle Database Vault Результат применения Даже пользователь SYSTEM не может просматривать защищенные данные SELECT ANY TABLE hr.employees
    21. 21. Oracle Database Vault Пример использования ADM_DBA select * from HR.emp <ul><li>Администратор БД ( ADM_DBA) обращается к данным в схеме HR </li></ul><ul><li>Пользователь HR_DBA обращается к данным в схеме FIN или желает получить доступ к области HR во внерабочее время </li></ul>Безопасная консолидация приложений на одном сервере Соответствие нормативным требованиям и стандартам внутреннего аудита HR_DBA FIN_DBA HR HR FIN FIN
    22. 22. Oracle Database Vault Отчеты и аудит <ul><ul><li>Более 30 предустановленных отчетов о выполнении политик безопасности </li></ul></ul><ul><ul><li>Аудит попыток нарушений защиты </li></ul></ul><ul><ul><li>Отчеты по защищенным областям ( Realms ) , выполнении правил ( Rules) и условий (Factors) </li></ul></ul><ul><ul><li>Списки системных и пользовательских привилегий на доступ и обработку данных </li></ul></ul>
    23. 23. Сертификация
    24. 24. В Oracle Cloud File System имеется аналог ASO и DB Vault на уровне OS
    25. 25. Мнение IDC: Эффективная защита от утечек данных начинается в СУБД Преобразование данных и маскирование Контроль доступа к данным Контроль изменений и аудит Мониторинг и блокирование трафика Oracle Advanced Security Oracle Secure Backup Oracle Data Masking Oracle Database Vault Oracle Label Security Oracle Audit Vault Oracle Configuration Management Oracle Total Recall Oracle Database Firewall Безопасность Баз Данных
    26. 26. Защита документов с помощью Oracle Information Rights Management Управление классификацией, правами и аудитом Oracle IRM Standard Rights Model Администратор Бизнес-менеджер Аудит Oracle IRM Management Console Автор Редактор Рецензент Oracle IRM Desktop Запечатывание и классификация документов и писем Передача через email, web, file shares, IM, USB, DVD, и т.д. Читатель Oracle IRM Desktop Oracle IRM Server Корпоративная аутентификация, службы каталогов, системы CRM и т.д. Автоматическая синхронизация прав / аудит действий Безопасный offline cache
    27. 27. Варианты выгрузки конфиденциальной информации из приложений <ul><li>На защищенную web- страницу (shtml) </li></ul><ul><li>В специальную файловую папку, в которой происходит присваивание грифа (категоризация) и защита файла (sxls, sdoc, spdf, sjpeg) </li></ul>
    28. 28. Полнофункциональное лучшее в классе прединтегрированное IdM- решение Oracle Администрирование учетных данных Управление доступом Службы каталогов <ul><li>Доставка учетных данных с учетом ролевой модели </li></ul><ul><li>Самообслуживание, заявки и подтверждения </li></ul><ul><li>Управление паролями </li></ul><ul><li>Аутентификация и борьба с мошенничеством </li></ul><ul><li>Single Sign-On и федеративное взаимодействие </li></ul><ul><li>Управление полномочиями и авторизация </li></ul><ul><li>Безопасность Web -сервисов </li></ul><ul><li>Защита электронных документов </li></ul><ul><li>LDAP -хранилища и их синхронизация </li></ul><ul><li>Виртуализация хранилищ идентификационных данных </li></ul>Оптимизация учетных данных Аналитика, Разделение обязанностей, Ресертификация ролей и прав доступа Программные интерфейсы к идентификационным сервисам для разработчиков и клиентов Безопасность платформы
    29. 29. Опыт интеграции решений Oracle IdM у российских заказчиков SAP <ul><li>Промсвязьбанк (партнер Форс) </li></ul><ul><li>Крупный оператор мобильной связи </li></ul><ul><li>подключены HR -модули (анализ кадровой информации) </li></ul><ul><li>Сибирская угольная энергетическая компания (СУЭК) </li></ul><ul><li>Крупная энергетическая компания </li></ul><ul><li>Крупный универсальный банк </li></ul><ul><li>Крупная государственная корпорация </li></ul><ul><li>подключены HR -модули и модули управления бизнес-пользователями ( SAP User Management & SAP CUA ) </li></ul>
    30. 30. Oracle Identity Manager для приложений SAP ( SAP R/3, mySAP & SAP Portal)
    31. 31. Обеспечение внешнего контроля SoD в OIM Oracle Identity Manager Oracle Application Access Controls Governor ( ранее LogicalApps) SAP GRC Access Controls ( ранее Virsa) SIL Providers <ul><li>Превентивный подход </li></ul><ul><li>Симуляция предоставления привилегии перед реальным предоставлением </li></ul>SoD Invocation Library (SIL) SAP GRC Provider OAACG Provider 1 Встроенное решение для SAP & EBS Интеграция с другими SoD провайдерами 2 PeopleSoft UM Connector SAP UM/CUA Connector Преконфигурированный вызов SAP GRC Provider Entitlement Конфигурация новых точек вызова ( invocation points ) без разработки Entitlement Преконфигурированный вызов OAACG Provider EBS UM Connector Entitlement
    32. 32. Вместо SAP GRC можно использовать OIA Превентивная симуляция применения политик SOD Синхронизация данных о доступе Предоставление доступа в соответствии с политиками SoD Анализ конфликтов Симуляция применения SoD Запрос на проверку SoD !  Ответ проверки SoD Oracle Identity Analytics Приложения Oracle Identity Manager Согласование заявки на доступ Предоставление доступа
    33. 33. Oracle Identity Analytics 11g – репозиторий IdM- информации ( Identity Warehouse ) Другие источники Identity- данных ETL Интеграция Oracle Identity Manager Identity Warehouse Приложения & привилегии Согласо-вание Сертифи-кация Политики Пользо- ватели Роли Органи- зации
    34. 34. Разделение полномочий с OIM и OIA Роли Бизнес-привилегии Меню Бизнес-функции Политики доступа Привилегии <ul><li>Корпоративные IT SoD политики </li></ul><ul><li>Фокус на бизнес-пользователях </li></ul><ul><li>Определено на основе бизнес-функций пользователей </li></ul><ul><li>Позволяет включить механизм SoD в системах, где отсутствует его встроенная поддержка (например AD) </li></ul><ul><li>Политики приложений ( ERP Application SoD ) </li></ul><ul><li>Используются соответствующие механизмы ERP ( например OAACG для EBS, SAP GRC для SAP) </li></ul><ul><li>Управление доступом в соответствии с политиками SOD: OIM/OIA обеспечивает управление привилегиями с использованием «превентивного» механизма при назначении ролей и привилегий </li></ul>
    35. 35. Типичное применение Oracle IdM <ul><li>Импорт кадровой информации (доверенный источник для OIM), используется IDoc </li></ul><ul><ul><li>Возможна инкрементальная загрузка напрямую из SAP HR в OIM или полная через промежуточный текстовый файл </li></ul></ul><ul><ul><li>Расширения позволяют анализировать кадровую структуру (вычислять менеджеров и т.п.) </li></ul></ul><ul><li>Управление пользователями и их привилегиями в SAP </li></ul><ul><ul><li>Активация/деактивация </li></ul></ul><ul><ul><li>Изменение атрибутов (паролей) </li></ul></ul><ul><ul><li>Назначение/отзыв ролей и профилей </li></ul></ul><ul><ul><li>Удаление несвязанных учетных записей </li></ul></ul>
    36. 36. Типичное применение Oracle IdM <ul><li>Оптимизация ролевой модели в SAP, управление жизненным циклом бизнес-ролей (комбинацией ролей и профилей SAP) </li></ul><ul><ul><li>см. ниже ссылку на брошюру «Оптимизация ролевой модели и соответствие законодательным требованиям для пользователей SAP» </li></ul></ul><ul><li>Контроль эталонной модели прав, ресертификация учетных записей, их привилегий и состава бизнес-ролей </li></ul><ul><li>Контроль соблюдения политик SoD </li></ul><ul><ul><li>Превентивно (через обращение OIM к SAP GRC) </li></ul></ul><ul><ul><li>Детективно (анализ полномочий в OIA) </li></ul></ul>
    37. 37. Типичное применение Oracle IdM <ul><li>Обеспечение прозрачного подключения клиентов SAP (Enterprise SSO) </li></ul><ul><li>Возможно усиление методов аутентификации (применение смарт-карт и USB- токенов) </li></ul><ul><li>Организация WebSSO для пользователей SAP Portal </li></ul>
    38. 39. Источники информации и Вопросы 123317, Россия, Москва, Пресненская набережная, 10 - Башня на Набережной, Блок С (+7495) 6411400 [email_address]
    39. 40. План презентации <ul><li>SAP и Oracle – совместные решения для заказчиков </li></ul><ul><li>Предложение Oracle – всеобъемлющая безопасность информации </li></ul><ul><li>Обзор нескольких продуктов Oracle Identity Management 11g </li></ul><ul><li>Достижения и планы </li></ul>
    40. 41. Создадим нового пользователя в SAP HR и настроим правила согласования в OIM
    41. 43. В результате OIM создаст новую запись и свяжет ее с ресурсом SAP HRMS
    42. 44. После назначения в OIM пользователю роли SAP R3 произойдет доставка учетных ID ...
    43. 45. … и пользователь получит соответствующие привилегии в SAP R3
    44. 46. Из меню OIM доступны опции блокировки пользователя SAP…
    45. 47. … и отзыва привилегий Результат – сообщения типа или