Oracle IDM 솔루션을통한보안강화 - DBGuide.net · 2007-02-09 · Security & Identity Management Oracle Identity Management Solution Oracle Identity Manager-기능및아키텍쳐-Use

Page 1

김진미기술 컨설팅 본부,

한국오라클㈜

Oracle IDM 솔루션을 통한 보안 강화

Page 2

Page 2

목 차

Security & Identity Management

Oracle Identity Management Solution

Oracle Identity Manager- 기능 및 아키텍쳐

- Use Case

Page 3

Page 3

보안의 변화

1996

• Amateur hackers

• Web site defacement

• Viruses

• Infrequent attacks

2006

• Organized crime

• IP theft

• Identity theft

• Constant threat

Page 4

Page 4

외부인외부인 보다보다내부인에내부인에 대한대한 통제통제 시급시급

보안의 신조

Page 5

Page 5

산업기밀 유출의 90%가 내부자 소행2003년 ~ 2006년 6월까지 적발된 산업기밀 유출사건 총 72건 중65건이 전/현직 직원 소행

전직직원

현직직원

용역/협력업체

외국인유치과학자

매수

공동연구

불법수출

해킹

위장합작

무단보관

금전유혹

개인영리

처우/인사불만

비리연루

신분불안

38

27

4

3

60

4

3

2

1

1

27

22

17

4

2

유출자 유출유형 유출동기

* 국정원 산업기밀보호센터2003년 ~ 2006년 6월

출처 : 서울경제신문 8월 2일자[창간특별기획/첨단기술을 지켜라]

산업 기밀 유출 현황

Page 6

Page 6

어디에 비용이 많이 소요되는가?

- Computer Security Institute

“외부의 공격으로 인한 손실은 평균 $57,000 정도 인데

비해, 내부자에 의한 평균 손실은 약 $2.7 million 이었다.”

사용자 한 명당 패스워드 관리 비용으로연간 약 $200 에서 $300 정도가 소요된다.

- Gartner

Page 7

Page 7

규제 준수

Organizations today face a growing number of regulations that mandate the accuracy, protection and reliability of information

Page 8

Page 8

전형적인 Identity 관리

Business DomainBusiness Domain

Policy / Role

Policy / Role

Policy / Role

Policy / Role

Core Apps

Portal

File andPrint

Collaboration

Mainframe

User

IT DomainIT Domain

Directories

Databases

OperatingSystems

Business Identity

BusinessRoles

Employees

Customers

Suppliers / Partners

Page 9

Page 9

Core Apps

Portal

File andPrint

Collaboration

Mainframe

Access Mgmt

LDAP Directory

LDAP Directory

Desktop / Network Portal& SSO

Identity Hub

BusinessRoles

Employees

Customers

Suppliers / Partners

EnterpriseDirectoryDataHub

““Security is a byproduct ofSecurity is a byproduct ofa business needa business need””

비즈니스 기반의 Identity 관리

Page 10

Page 10

Identity Management란?

• 어플리케이션과 정보의 액세스를 보호 하는 것

- 인증 (Authentication): 당신은 누구인가? (사용자 ID와 패스워드)

- 권한(Authorization): 당신은 어디에 접근할 수 있는가?

• 전체 라이프사이클을 통하여 디지털 사용자 관리를 인식(Identify) 하는 것

- 직원채용 (계정 생성) -> 진급/부서이동(권한 변경) -> 퇴사(계정 삭제)

- 계정 생성에서 계정 삭제에 이르기까지 전체 라이프사이클과 관련한 계정관리

• 확장성 있고 가용한 계정 정보 저장소

- 프로파일(Roles & attributes)을 안정적이고 가용성 있게 관리

Page 11

Page 11

Enterprise Identity Management

NOS/DirectoriesOS (Unix)

Systems & RepositoriesApplications

ERP CRM HR Mainframe

Auditingand

ReportingPolicy and Workflow

EmployeesIT Staff SOA Applications

Partners

External

Delegated Admin

SOA Applications

Customers

Internal

Identity Management Service

Access Management•Authentication & SSO•Authorization & RBAC• Identity Federation

Identity Administration•Delegated Administration•Self-Registration & Self-Service•User & Group Management

Directory Services•LDAP Directory•Meta-Directory•Virtual Directory

Identity Provisioning•Agent-based•Agentless•Password Synchronization

Monitoringand

Management

Page 12

Page 12

Identity Management 기대효과

• 저렴한 관리 비용– SSO, 패스워드 변경, 관리 권한이양,

user self service, 자동화된 provisioning

– Help 데스크 콜 감소로 연간 인당 $420 비용 절감

– Provisioning*을 통한 연간 직원당 $1250 ROI

• 개선된 보안– Access control, user provisioning

• 강화된 규정준수 및 프라이버시– SoX, 개인 정보 보호 강화, 통합 감사

* * -- Burton Group Report August 2004Burton Group Report August 2004

Page 13

Page 13

목 차




- Use Case

Page 14

Page 14

Oracle Identity Management

Leading Portals & Applications

Leading Directories, OS, DBs, J2EE

Oracle Identity Federation

Oracle Access Manager

Oracle Identity Manager

Oracle Web Services Manager

Oracle Virtual Directory

Oracle Internet Directory

Oracle Enterprise Single Sign-On

Page 15

Page 15

Oracle Access Manager

• 기능– 정책 관리

– 멀티-레벨, 멀티-팩터 인증 관리

– 셀프 서비스 패스워드 관리

– 위임 관리

– 워크플로우 엔진

– 웹 서비스 인터페이스

• 장점– 이종 환경 간의 중앙 집중화되고

일관성 있는 보안성

– 관리 비용 절감

– 개선된 사용자 편의성

– 규정 준수

Authentication

Authorization

Identity Admin

Page 16

Page 16

Oracle eSSO

• 기능

- 네트워크 및 시스템에 접근 시에 사용자

인증

- 각각의 어플리케이션에 대한 접근 시

인증을 별도로 수행

- 사용자가 접근하고자 하는 모든 것에 대한

인증 담당

• 장점

- Windows 데스크톱 및 모든 어플리케이션에

대한 패스워드를 관리

- 사용자 편의성을 증대하며 보안 강화

- 규정 준수

- 모든 어플리케이션에 대한 인증 강화

Oracle Enterprise Single Sign-On

Page 17

Page 17

Oracle Identity Federation

• 기능

– SSO 와 연계하여 비즈니스 파트너간의 계정공유

멀티 프로토콜 게이트웨이– SAML, Liberty, WS-Federation

서비스 제공자(Hub) / 계정 제공자 패키지(Spoke)로 이용

– 유연한 배치 구성 기능 제공

Standalone 웹 접근 관리 솔루션으로도 제공 가능

커스텀 애플리케이션을 위한 Protocol SDK 제공

• 장점

– 비즈니스 파트너와의 안전한 통합 보장

– 관리 비용 절감

– 개선된 사용자 편의성

Page 18

Page 18

Oracle Virtual Directory

• 기능– 가상화,프록시,조인,라우팅 기능

– 최신 자바와 웹서비스 기술 수용

– 강력한 확장성

– 대규모 멀티 사이트 관리

– 직접적인 데이터의 접근

• 장점– 실시간 디렉토리 통합

– 애플리케이션 배치의 가속화

– 개발 공수의 절감

LDAP

VDE DIRECTORY ENGINE

WEB GATEWAYWEB SERVICES WEB GATEWAY

JOIN VIEW

LocalStore LDAP DB NT Custom

Virtual Directory Product Architecture

Page 19

Page 19

Oracle Internet Directory

• 기능

– Oracle 데이터베이스를 저장소로 가지면서 LDAP 서버의 모든 기능을 수용

– 확장성 및 HA 기능

– 오라클 플랫폼들과의 강한 통합성

– VSLDAP 인증 및 EAL4 호환

• 장점

– Oracle 그리드 컴퓨팅의 지원으로 운영비용 절감

– 오라클 제품들과의 매끄러운 통합

Page 20

Page 20

목 차




- Use Case

Page 21

Page 21

기능 및 아키텍쳐

Page 22

Page 22

Oracle Identity Manager의 역할?

• 계정관리 자동화

• 사용자 계정 및 권한 lifecycle 관리

• 보안 강화

Oracle Identity Manager는 계정과 권한 관리에최적화된 provisioning solution이다.

Oracle Identity Manager 이란?

리소스

사용자

Profile사용자

Page 23

Page 23

Oracle Identity Manager 기능 모델

Page 24

Page 24

• 사용자의 리소스 접근에 대한 정책관리

• 롤/ 속성 기반의 정책 엔진

• 각 리소스에 대한 세밀한 권한 제어

• 자동화된 계정 provision/de-provision정책

주요 특징 : Policies / RBAC

Roles and Rules configuration

Access Policy configuration

Page 25

Page 25

• 승인과 공급 workflow지원.

• 고도의 확장성과 유연성을 갖춘 아키텍쳐

- multiple workflows를 통한 reusable Global task library지원

- customization과 자동화를 위한 Adapter framework 지원

- 수동과 자동 공급 태스크 혼합 지원.

• 태스크의 상태, 데이터의 가용성 정보 제공

주요 특징: Workflow

Page 26

Page 26

• Deployment Manager- 개발, 스테이징, 운영 환경 이관 지원

- 개발작업 통합 및 분산 지원

- 전체 또는 부분 임포트/익스포트XML package사용

- versioning 과 archiving지원

- 그래픽 위져드 제공

• Diagnostic Dashboard

- 설치 전후 환경에 대한 테스트. 연결, 네트웍, 환경설정

• GUI installer (InstallShield)

주요 특징: 구축 툴

Page 27

Page 27

• Agent-less architecture

• 표준 기반의 connectors

- 다양한 OOTB(out of the box) connectors

- 표준 기술 기반의 connectors (e.g. flat file, LDAP, JDBC, Web Services)

• Adapter Factory™- 컨넥터 유지 및 개발 GUI 툴

- 코드 자동 생성

• Business application connectors

- SAP

- Oracle eBusiness

- PeopleSoft

- Siebel

주요 특징: 통합 기술

Page 28

Page 28

Web Access Control

Security ManagementOperating Systems

Help Desk

Enterprise MessagingEnterprise Applications

Directory ServersDatabase Servers

*

* Available in Connector Pack 9.0 (late-April release)

*

*

RACF*ACF2

TopSecret

*

주요특징: 지원 Connectors

Page 29

Page 29

주요 특징: 사용이 용이한 UI

• 구성 작업을 위한 디자인 콘솔 제공

• End-User를 위한 커스터마이즈 가능한 웹 UI 제공

Page 30

Page 30

주요 특징: 리포팅 및 감사

• 기존 상용 리포팅 도구와 연계 가능 (Ex. Crystal Report등)

• 운영 상황 과 이력에 대한 리포팅 기능 제공

사용자가 lifecycle동안의 프로파일의 변경내역User Profile History

관리되는 리소스에 권한을 가졌던 사용자 리스트Resource Access List History

사용자가 lifecycle동안에 가진 리소스에 대한 권한

User Access History(Who Had What)

Historical

리소스에 권한을 가지고 있는 사용자 리스트Resource Access List

사용자에 대한 현재의 리소스 할당 상태Who Has What (Users' Entitlements)

Operational

설명Report 이름

Page 31

Page 31

Oracle Identity Manager 아키텍처

• 기능 컴포넌트 위주의 아키텍처

Page 32

Page 32


• J2EE 표준 기반 / 확장성 있는 3-tier 아키텍처

Page 33

Page 33


• 고 가용성 아키텍처

Page 34

Page 34

To-Be 이미지

• EAM과 연계되는 통합 계정 관리

Page 35

Page 35

Use Case

Page 36

Page 36

인사시스템

(HR DB)

정규직

관리자에의한 등록

중재(Reconciliation)엔진

AccessPolicy

Unix/LinuxServer

승인

워크플로우사용자그룹

계약직

Identity저장소

요청 엔진 WindowsServer

HR DB커넥터

계정의 생성 및 등록 (입사)


Page 37

Page 37

퇴사 프로비저닝워크플로우

인사시스템

(HR DB)

중재(Reconciliation)Engine

커넥터 Identity저장소

RevokedApplications


계정의 삭제 (퇴사 및 발령)

AccessPolicy

Page 38

Page 38

정규직

자가요청

계약직

요청엔진

승인워크플로우

승인

프로비저닝워크플로우

어플리케이션프로비저닝

OracleIdentity Manager

자가 계정 신청

Page 39

Page 39

장규직

자가요청

계약직

요청엔진

프로비저닝워크플로우

패스워드초기화


패스워드 초기화

Page 40

Page 40

Unix계정추가

중재(Reconciliation)엔진

Accept /Reject

Reject:Unix에서계정 삭제

워크플로우

Accept: Identify저장소

정보 변경


커넥터

임의 계정 생성시 처리

관리자공지

Page 41

Page 41

Delegate

감사관은 데이터 확인, 조치 수행

태스크 주기 정의 - 예) 주단위

정해진 시간에 데이터 스냅샷 생성

감사관의 조치에 따른 워크플로우

감사관에게 감사 요청 공지

RejectCertify

Decline

예외 처리 워크플로우

각 데이터에 대해세밀한 조치 수행

위임 감사관에게 공지

감사 절차

프로세스 소유자에게감사 거부 공지

Page 42

Page 42

요 약




- Use Case

Oracle Identity Management는계정에 대한 통합관리를 통해내부 보안 강화, 규제 준수,

관리 비용 절감을가능하게 하는 솔루션입니다.

Documents

Oracle IDM 솔루션을통한보안강화 - DBGuide.net · 2007-02-09 · Security & Identity Management Oracle Identity Management Solution Oracle Identity Manager-기능및아키텍쳐-Use