Управление административными учетными записями как средство защиты от человеческого фактора

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Управление административными

учетными записями как средство

защиты от человеческого фактора

Андрей Гусаков, руководитель группы консультантов по Enterprise Security, Oracle СНГ


План презентации

1

2

3

Нейтрализация человеческих ошибок – подходы к решению задачи

Применение средств превентивного контроля

Управление административными учетными

3


НЕПРАВИЛЬНОЕ ИСПОЛЬЗОВАНИЕ

• Злоупотребление полномочиями

• Редкие утечки

ОПЛОШНОСТИ И ОШИБКИ

• Случайное повреждение /

• разглашение

Инциденты ИБ – от ошибок до злого умысла

4

ЗЛОЙ УМЫСЕЛ

Социальная инженерия

Изощренные атаки

Утечка бизнес-важных данных

Утрата репутацииорганизации

«Предоставленные самим себе события

имеют тенденцию развиваться от

плохого к худшему»


Методы нейтрализации человеческих ошибок

• Предупреждение

– Административные – обучение персонала, регламенты работ, экономические санкции

– Технологические – «защита от дурака», автоматизированные скрипты или процедуры

• Исправление

– Технологические – контроль изменений и возврат в исходное состояние (Total Recall)

5


Контроль активности

Database Firewall

Аудит и отчетность

ДЕТЕКТИВНАЯ

Редакция иМаскирование

Контроль за действиями привилегированных

пользователей

Шифрование

ПРЕВЕНТИВНАЯ АДМИНИСТРАТИВНАЯ

Анализ привилегий ипоиск конфиденциальных

данных

Управление конфигурациями

Управление ключами и др. служебной информацией

6

Можно усложнить доступ к «продуктиву» внутренними средствами безопасности СУБД Oracle


Контроль привилегированных пользователей

Превентивный контроль для баз данных Oracle

Database Vault

• Контроль и ограничение, при необходимости, прав доступа администраторов к данным приложений

• Многофакторная авторизация и контроль выполнения команд

• Защищенные зоны

• Разграничение прав доступа в соответствии со служебными обязанностями

• Специализированные настройки для приложений

Application

DBA

Отделзакупок

Отделкадров

Финансовыйотдел

DV_OWNER

АдминистраторDBA

select * from finance_customers

DV_ACTMGR

7


Возможный сценарий защиты

• Блокировка исполнения привилегированными чувствительных команд, таких как:

– SHUTDOWN …

– FLASHBACK DATABASE …

– ALTER SYSTEM …

– DML-группа (TRUNCATE, DELETE, UPDATE, INSERT)…

• Разблокировка исполнения команд по процедуре

8

+ усиление контроля за использованием привилегированных учетных записей


С большей властью приходят большие риски

• Привилегированные учетными записи – ключевая «точка входа» для мошенников

• Сложность мониторинга использования разделяемых среди нескольких администраторов учетных записей

• Избыточные права доступа – главное направление в атаках на базы данных

Базы данныхКаталоги

UNIX серверы

sys

cn=orcladmin

root

9


Привилегированные записи – с наибольшим доступом, но самые незащищенные

• Неограниченная власть

• Разделяемые пароли к учетным записям

• Пароли никогда не меняются

• Нет сертификации и аудита

10


Главные проблемы управления привилегированным доступом

Как определить

привилегированные

учетные записи?

Как отследить их

использование?

11


Рекомендуемый подход к управлению

Ключ к решению – полная прозрачность предоставляемого доступа!

Self-Reinforcing

Запрос доступа

Автоматизи-

рованное

предостав-

ление

Отчеты и сертификация

доступа

Коррекция

доступа

12


Представляем Oracle Privileged Accounts Manager 11g R2

• Центральное хранилище для централизованного управления паролями привилегированных и разделяемых учетных записей

– Баз данных, ОС, LDAP каталогов, приложений Oracle

• Автоматическая смена значения пароля при помощи ICF коннекторов

• Подход “check in / check out” на основе политик

– Стандарт в области компьютерной индустрии для управления разделяемыми объектами

• Гибкие политики доступа к паролям привилегированных учетных записей

• Отчетность по запросу привилегированных учетных записей

– С применением BI Publisher

• Неотъемлемый компонент Oracle Identity Governance Suite 11g R2

13


Архитектура Oracle Privileged Accounts Manager 11g R2

14


Пример использования

Запросить пароль DBA (“check out”)

Войти как DBA

Добавить Tablespace

Войти как суперпользователь

Добавить дисковое пространство

Возвратить пароли (“check in”)

Возвратить пароль DBA Есть право на запрос записи DBA?

Да

Сгенерировать и установить

пароль DBA в соответствии с

парольной политикой

Запросить пароль Unix (“check out”)

Возвратить пароль Unix (root)

Сгенерировать и установить

пароль суперпользователя в

соответствии с парольной

политикой

OIM

Бизнес процессы согласования доступа

к привилегированным записям

Бизнес процессы согласования экстренного доступа

15

OPAMАдмин / DBA

Unix

LDAP сервер

СУБД


Поддерживаемые из коробки клиенты / целевые системы

Unix СУБД Каталоги

• Linux, Solaris

• Все Unix с SSH

• Oracle Database 9-11

• MS SQL Server

• Любая другая СУБД с

JDBC

• Любой LDAP-

совместимый

каталог

16


Преимущества Oracle Privileged Accounts Manager 11g R2

• Возможность применения единых политик безопасности как к обычным, так и к привилегированным (разделяемым) учетным записям

• Устранение (уменьшение) потенциальных угроз от инсайдеров

• Упрощение соответствия требованиям регуляторов

– Сертификация «владения» привилегированными учетными записями

• Снижение нагрузки на службу технической поддержки за счет автоматизации процессов предоставления административного и разделяемого доступа

• Отчеты по выдаче привилегированных (разделяемых) учетных записей как в реальном времени, так и по отчетному периоду через BI Publisher

17


Преимущества Oracle Privileged Accounts Manager 11g R2 (продолжение)

• Возможность записи административных сессий Unix

– Используется промежуточный Telnet / SSH прокси, администратор проходит на прокси под своей учетной записью

– Больше поддерживаемых систем для записи сессий с выходом OIG11gR2 PS3

• Интеграция с Oracle Enterprise Single Sign-on

– Пароль административной учетной записи не сообщается администратору, а поступает непосредственно в репозиторий ESSO

– Администратор получает доступ под привилегированной учетной записью прозрачно (ESSO подставляет имя пользователя и пароль), не зная самого значения пароля

18


OPAM и Oracle Identity Governance

• Автоматизированное создание учетных записей и назначение привилегий в LDAP-каталоге, используемом OPAM через OIG

– Возможность применения ролей и политик доступа для автоматизированного предоставления привилегий

• Использование сервиса каталога OIG для запроса привилегий доступа к учетным записям в OPAM

– OIM наполняет каталог запросов, заполняя его доступными привилегиями LDAP

– Администратор запрашивает доступ к привилегированной записи через OIM

– Запрос проходит согласование через SOA Suite и Oracle Identity Manager, после чего администратор получает необходимый доступ

Единая платформа

19


OPAM и Oracle Identity Governance

• Запрос экстренного административного доступа (“Break-glass access request”)

– Может быть указан при создании запроса на предоставление доступа

– Запрос может быть согласован в упрощенном виде или автоматически

– Администраторам направляются соответствующие оповещения

– Право на запрос привилегии может быть автоматически отобрано потом при проведении сертификации доступа

• Сертификация, основанная на рисках и коррекция доступа

– Доступ к привилегированным / разделяемым учетным записям виден в консоли OIG и доступен для сертификации

– Автоматическая корректировка доступа по результатам сертификации

20


OPAM и Oracle Access Management

• Oracle Access Manager обеспечивает контроль доступа к административной консоли OPAM

– Централизованный, основанный на политиках сервис аутентификации для веб-приложений

– Web SSO

– Контроль сессии

• Oracle Adaptive Access Manager обеспечивает многоуровневый контроль доступа к административной консоли OPAM

– Защита от мошенничества в реальном времени

– Программная многофакторная аутентификация

• ESSO интегрировано с OPAM для реализации SSO для администраторов

Работаем вместе

21


Сертификация средств безопасности Oracle на соответствие требованиям Российского законодательства

22

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. | 2329.07.2014

Дополнительная информацияoracle.com/identity security-orcl.blogspot.ru

123317, Россия, Москва, Пресненская набережная, 10

Башня на Набережной, Блок С

(+7495) 6411400 [email protected]

Technology

Управление административными учетными записями как средство защиты от человеческого фактора