View
50
Download
5
Embed Size (px)
Citation preview
<Insert Picture Here>
Андрей Гусаков, ведущий консультант Представительства Oracle в Москве
Управление доступом к web-приложениям
Cеминар Центра компетенциикомпании КРОК
«Управление идентификационнымиданными и доступом к информации»
27 мая 2009 года, г. Москва
2
План презентации
• Решения в области информационной безопасности отOracle – данные, доступ к ним, контроль
• Выбор конкретного решения для повышения уровняинформационной безопасности предприятия
• Что предпочесть – накладные или встроенныесредства защиты (интеграторы vs. разработчики)
• Вынос логики принятия авторизационных решений изприложения
• Интеграция продуктов Oracle для управления доступомк web-приложениям
3
Уровни защиты информации и решенияOracle
Network Perimeter
ApplicationsWeb Services
Data
ПриложенияOracle Identity Management
Web-сервисыOracle Web Services Manager
ДанныеAdvanced Security OptionOracle Database Vault
Secure Backup
Information Rights ManagementКонтроль соответствиянормативным требованиям
Oracle Audit Vault
Oracle Identity Management
4
Эволюция Oracle – от безопасности данныхк универсальной защите приложений
Аутентификация и авторизацияSingle Sign On eSSO Federation
Управление учетными данными,их согласование и доставка
Службы каталоговLDAP Virtual Directory Meta Directory
Преобразование (Encryption)At Rest In Motion Backup
Мониторинг ипредупреждения
Многоуровневыйконтроль доступа
ПриложенияE-Business Suite, PeopleSoft, Siebel,
SAP, Собственной Разработки, Унаследованные
Аудит
иконтроль
соответствия
Применениеполитик
Определениеполитик
Хранилище ID
Безопасностьданных
Fusi
on M
iddl
ewar
e
5
<Insert Picture Here>
Применяемсертифицированныенакладные средства защиты Oracle
См. сертификаты №1664 от 18 августа 2008 г. (IAMS) и №1802 от 13 марта 2009 г. (ESSO)Государственного реестра сертифицированных средств защиты информации
http://www.fstec.ru/_razd/_serto.htm
6
AD
Портал
Прило-жение
Репози-торий
Интер-фейс
OIM
Репози-торий
Интер-фейс
OID
OAM
OVD
Интер-фейс
Внутреннийшлюз
Сотрудник
Web
SQLКлиент/партнер
Web
OIF
Интер-фейс
Внешнийшлюз
Уровеньзащиты
0
25
50
75
100ESSO
Интер-фейс
OeSSO LMAD sync
7
Объединяем решения безопасности науровне базы и приложения через EUS
8
Управление IT-привилегиями сотрудниковРешение – Oracle Identity Manager (OIM)
• Автоматизированное создание учетных записей (УЗ); выявление«сиротских» УЗ; удаление УЗ
• Назначение / отзыв / изменение привилегий в соответствии сдолжностными обязанностями
• Разделение / делегирование полномочий• Вовлечение в документооборот по изменению привилегий всехзаинтересованных лиц с формализацией бизнес-процессов
• Контроль действий администраторов целевых систем• Самообслуживание сотрудников
• заявки; смена / синхронизация паролей• Ведение отчетности (оперативной / исторической)• Временная блокировка / аттестация сотрудников
9
Управления IT-привилегиями внешнихпользователей
• Организация доверительных (федеративных) отношений ссистемами аутентификации партнеров и подключение их безповторной аутентификации (Web SSO)Решение – Oracle Identity Federation (OIF)
или• Саморегистрация партнеров с последующим утверждениемответственными сотрудниками электронной заявки напредоставление расширенных привилегийРешение – Oracle Identity Manager (OIM)
или• Автоматизированное предоставление сервиса «саморегистрация»клиентам без предоставления расширенных привилегийРешение – Oracle Access Manager (OAM)
10
Контроль доступа сотрудников ипривилегированных внешних пользователей
• Защита ресурсов с помощью различных аутентификаторовРешение – Oracle Access Manager (OAM) и Oracle Adaptive Access Manager (OAAM)
• Аудит обращений пользователей к ресурсам, защищенным спомощью политик доступаРешение – Oracle Access Manager (OAM)
или• Аудит решений по авторизации пользователей на выполнениекаких-либо действий сервером назначенийРешение – Oracle Entitlements Server (OES)
11
Контроль доступа к отделяемымдокументам (файлы, почта и т.п.)Решение – Oracle Information Rights Management (IRM)
• Защита документов с помощью маскирования их содержимого, категоризации и предоставления прав на работу с ними тольконекоторым зарегистрированным сотрудникам и партнерам
• Аудит решений по авторизации пользователей на работу сзащищенными документами
12
<Insert Picture Here>
Как обойти ограничения,возникающие при контроледоступа накладнымисредствами защиты
13
OAM проверяет хранящиеся в каталогеполитики в отношении ресурса
http://www.autoparts.com/credit-check
• Страница защищена?• Вы аутентифицированы?• Доступ разрешен?
ИнформационныйресурсКлиент Сервер управления
доступомШлюз
Аутенти-фикация
Автори-зация
Аудит
Централизо-ванные AAA:
Есть опасность натолкнуться на громоздкость групповых структур в каталоге
14
Типичная мозаика из ресурсов, ролей, операций и атрибутов
ОперацииЧтение/Запись
ЧтениеЗапись
Ограниченное чтениеУправляющий
Администратор счетовАналитик
Клиент банка
Иерархия ролей Банковское приложение
Ведение счетовФормированиеотчетности
Отчет запериод
Иерархия ресурсов
Итоговыйотчет
Расположение Орг. структура Дата/Время
Атрибуты Не в рабочиедни
с 9 до 18
Россия
МоскваНовосибирск
Петровское отд.
Руководитель подразделения
Главный бухгалтерАудитор
Кассир
15
Ресурсы, защищаемые OAM, и Fine GrainedAuthorization
• HTTP • Web-страницы• Каталоги• Web-приложения• Запросы
• J2EE• Java-страницы• EJBs• Сервлеты• Отдельные Java /
C++ / C программы,ERP и CRM-приложения
IDE
XACML
CARML
Authorization Policy
Identity Attribute Policy
Application
• Java• .Net• Custom• Web 2.0
Policy Plug-in
Identity Plug-in FGA
Разработка
Подключение
16
<Insert Picture Here>
Авторизация на примерепаспортного контроля, Знакомство с серверомназначений Oracle
17
Oracle Entitlements Server (OES) выводит изприложения логику безопасности и затемцентрализованно ею управляет
До использования OES После внедрения OESЗапрос авторизации («Разрешен ли доступ?») выполняется с использованием следующей информации:• запрошенное действие («Trade», т.е. биржевая торговля);
• ресурс («Account», т.е. счет, с которым будут проводиться биржевые операции);
• субъект (кто запрашивает авторизацию для выполнения этих операций – «User», т.е. пользователь);
• контекст из приложения, требуемый для принятия решения об авторизации («Amount», т.е. предельныйобъем биржевых операций).
http://download.oracle.com/docs/cd/E12890_01/ales/docs32/index.html
18
Определение Oracle Entitlements Server
Oracle Entitlements Server
Приложениясобственнойразработки
Проверкаправ
Сервисы
Готовыеприложения
Базы данныхEntitlement Data
Каталогипользователей
Требование
Разрешить
ЗапретитьПользователи
Решение для управления “назначениями” (entitlements) с высокойстепенью детализации, обеспечивающие централизованное
администрирование политик и их распределенное применениепри работе приложений в различных архитектурах
http://www.oracle.com/global/ru/pdfs/tech/introduction-to-oracle-entitlements-server_rus5.pdf
19
Типичные сценарии использования OES
• Динамически изменять интерфейс приложения• Ограничивать доступ пользователя к интерфейсу приложенияпри определенных условиях
Привязать интерфейспользователя к ролям
• Обеспечить прозрачную интеграцию с системами веб SSO икорпоративными системами управленияидентификационными данными
• Разрешить передачу полномочий другим пользователям вовремя отсутствия пользователя или в других ситуациях
Разрешитьопределеннымпользователям доступ кприложениям
• Создать различные представления общей базы данных оклиентах для различных организаций
• Закрыть доступ к информации и зарплате работников длявсех, кроме руководителей подразделений
• Показывать кредитную историю только клиентов, находящихся в том же регионе, что и Call Center
Ограничить доступ кданным
• Только старшие менеджеры могут совершать сделки попродаже акций , суммы которых превышают 10 000 000 рублей, менее чем за пол часа до закрытия биржи
Ограничитьфункциональностьприложения
OES обеспечиваетТребования
20
OES работает в
21
Administration Server(PAP)
Security Module(PDP)
OES PolicyStore
PolicyAdministrator
Application (offline)Security Module(PDP)
Application
Application
ApplicationPolicy Information Points
Policies Policies
PolicyEnforcementPoint (PEP)
PEP
Архитектура Oracle Entitlements Server
22
Что собой представляет политика OES?
Grant (view, /app/Sales/RevenueReport, /role/Manager) if region = “East”;
Application
Objects
Resources Subjects ConstraintBoolean
Attributes
Eval Functions
ActionRead
Write
View
…
External
Data
Identity
Store(s)
Authorization RequestAuthorization Response
EffectGrant
Deny
Delegate
Maps to Based on Read from
23
Security Module Pluggable FrameworkOES Security Module
Authentication
Framework API
Authorization Role Mapping Auditing Cred Mapping
EntitlementsIdentity
Directories
Entitlements Secure
Audit Logs
External
Application
• Integrate with LDAP, RDBMS, Custom Identity Stores
• Leverage multiple stores simultaneously
• Assert identity fromSSO or custom tokens
• Establishes JAAS Subject
• Provide Grant/Deny decisions based upon policies
• Integrate external entitlement attribute data from LDAP, RDBMS, SDO
• Dynamically map users to Roles based upon policy
• Log messages generated by framework events
• Write to everything from log4j to securedfilesystems and RDBMS
• Describe custom handlers for various events
• Translate credentials into custom formats
• Helps propagate identity across disparate systems
24
Распределенная (offline) конфигурация
25
Централизованная конфигурация
26
Контролирующиеорганы и аудиторы
Администраторыприложений
DeveloperOracleEntitlements
Server
Разработчики Офицербезопасности
• Integrate with
Applications
• Configure External
Attribute Retrievers
• Review Audit L
ogs
• Generate Policy R
eports
• Monitor P
erform
ance
• Define Access Rights
• Manage Roles
• Define Security
Policies
• Integrate withIdm
Systems
• Configure Security
Providers
Поддержка жизненного цикла политик
27
<Insert Picture Here>
Интеграция продуктов Oracle для управления доступомк web-приложениям
28
Oracle Access Management Functional Architecture
Web Tier Application Tier Data Tier
Oracle Access Manager
Federation Service
Oracle Entitlements
Server
Oracle Entitlements
Server
Oracle Adaptive Access Manager
Authentication & SSO
Identity Assertion
Oracle Adaptive Access Manager
Federation Service
Entitlements & Authorization
Web Tier
29
Oracle Access Manager Applications
Authentication
Oracle Access Management OAM and Application Integration
Single Sign-On
1. Check URL Access
2. Challenge for Credentials
3. Validate Credentials
4. Set Session Cookie
5. Authorize URL Access
6. Assert Authenticated Identity
ID Assertion
HTTP Header VariablesWindows UsersJAAS Subject
30
Oracle Access Manager Oracle Entitlements Server
Authentication
Authorization
Oracle Access Management OAM and OES, Part I
Single Sign-On
Entitlements
ID Assertion
3. Validate Credentials
6. Assert Authenticated Identity
7. Fine-grained Resource Access
1. Check URL Access
2. Challenge for Credentials
4. Set Session Cookie
5. Authorize URL Access
31
Oracle Access Manager Oracle Entitlements Server
Authorization
Oracle Access Management OAM and OES, Part II
Entitlements
7. Retrieve Trusted Subject, Resource Request, &
Security ContextID Assertion
8. Dynamic Role Evaluation
9. Retrieve Additional Attributes
10. Check Application Authorization Policy Against
Subject/Roles + Resource/Action11. Enforce Fine Grained
Resource Access
6. Assert Authenticated Identity
32
Oracle Access Manager Oracle Entitlements Server
Oracle Access Management OAM and OES, Part III
Entitlements
7. Retrieve Subject, Security Context, Data RequestID Assertion
8. Dynamic Role Evaluation
9. Retrieve Additional Attributes
10. Check Data Access Policy
11. Enforce Fine Grained Data Access
Data Security
12. Redact Data From Application/End User
6. Assert Authenticated Identity
33
Oracle Access Management OAAM and OES, Part I
Oracle Entitlements Server
6. User/Session ID
Authentication Security Fraud Detection
7. Retrieve Trusted Subject, Resource Request, &
Security Context
Authorization
Entitlements
8. Evaluate Context Data and Compute Risk Score
9. Return Risk Score Attribute To OES
10. Enforce Fine Grained Application Access
Policy with Risk Obligations
Oracle Adaptive Access Manager
Oracle Adaptive Access Manager
34
Oracle Access Management OAAM and OES, Part II
Oracle Entitlements Server
6. User/Session ID
Authentication Security Fraud Detection
Authorization
Entitlements
8. Evaluate Context Data and Compute Risk Score
Oracle Adaptive Access Manager
Oracle Adaptive Access Manager
9. Present Knowledge-Based Authentication
Challenge or OTP
10. Recalculate Risk Score Based on Secondary Challenge
7. Resource Request
12. Enforce Fine Grained Policy
11. Return New Risk Score Attribute To OES
35
Oracle Access Management OAAM and OAM
Authentication Security
Fraud Detection
Oracle Access Manager
Authentication4. Authenticate with
Virtual AuthN Device
1. Check URL Access
Adaptive Access Manager
Adaptive Access Manager
ID Assertion
2. Evaluate Risk3. Generate and Return Virtual
AuthN Device
5. Validate Credentials, Set SSO Cookie, Assert Identity 6. Evaluate Real Time Transaction Data
7. Calculate Risk for Transaction 1, Set Alert
8. Calculate Risk for Transaction 2, Block
Transaction
9. Calculate Risk for Transaction 3, Set
Secondary Knowledge-Based Authentication or
One Time Pin
36
Oracle Access Management OAM and OIF
Oracle Access Manager Identity Provider
Authentication
Single Sign-On
Federation Services
Federation Services
Service Provider
1. User Requests Protected Resource, OIF Redirects to
OAM for Authentication
2. Challenges User, Authenticates
Credentials
3. Set SSO Cookie, Asserts Authenticated Identity to Federation
Service
4. IdP Generates Authentication Assertion, Sends Signed/Encrypted
Assertion to Service Provider
5. SP Consumes Authentication Assertion,
Locally Authenticates User, Redirects to Protected
Resource
37
Oracle Entitlements Server
Authorization
Oracle Access Management OES and OWSM
Entitlements
2. Retrieve Trusted Subject, Service Request
3. Dynamic Role Evaluation
4. Retrieve Message Context
5. Check Application Authorization Policy
Against Subject/Roles + Resource/Action6. Provide service access
decision to OWSM
WS Security
1. User invokes secured web service
Oracle Web ServicesManager
7. Enforce Fine Grained Service Access
38
Oracle Access Management OAM and OWSM
Oracle Web Services ManagerOracle Access Manager
Authentication
Single Sign-On
WS Security
1. Challenges User, Authenticates
Credentials
2. Set SSO Cookie, Asserts Authenticated
Identity to Portal
3. Portal Invokes Remote Web Service
on User’s Behalf
4. PEP Intercepts Request and Checks
for SSO Cookie
5. SSO Cookie Verified by OAM, Service Access Allowed
39119435, Россия, Москва, Краснопресненская набережная, 18
Башня на Набережной, Блок С(+7495) 6411400 [email protected]
Есть вопросы?
40
Устраняемпреграды...
• СертификацияФСТЭКомнаших решений• Oracle DB• Oracle DB Vault• Oracle IAMS• Oracle ESSO• Oracle IRM
• Локализация• Региональныймаркетинг