Upload
expolink
View
149
Download
6
Embed Size (px)
Citation preview
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 1
Защита современного
предприятия и управление
доступом с Oracle Identity
Governance
Игорь Минеев,
ведущий консультант по технологиям
информационной безопасности
Oracle СНГ
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 2
План выступления
Тенденции развития инфраструктуры IT
Oracle Identity Governance
Сценарии использования
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 3
План выступления
Тенденции развития инфраструктуры IT
Oracle Identity Governance
Сценарии использования
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 4
Основные тенденции развития IT Появляются новые возможности
80% сессий
пользователей
будут
инициированы с
мобильных
устройств
к 2020 году
44% организаций
планируют
использовать
социальные сети
Затраты на
облачные
вычисления
станут основной
статьей расхода
к 2016 в
большинстве IT
подразделений
Количество
различных
устройств,
подключенных к
Сети приблизится
26 миллиардам
2020 году
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 5
• Утечка персональных
данных (средняя стоимость
скомпрометированной
записи – $202)
• Противоречивые политики
доступа (рост рисков
нарушения безопасности)
• Сложности при выполнении
требований регуляторов
(152ФЗ, СТО БР ИББС-1.0-
2010 и т.д)
• Рост стоимости управления
IT-инфраструктурой
Фрагментированные приложения Децентрализованное IDM решения увеличивают риски и стоимость
User Mgt
User Mgt
SSO
User Mgt
SSO
SSO
Access Cert
Federation
App
Embedded
Identities
Basic SSO
& Provisioning
Access
Certification
Federated
Cloud Apps
Mobile
Apps
LDAP LDAP
LDAP LDAP
Дополнительная интеграция
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 6
IDENTITY
MANAGEMENT
Доступ: простой, безопасный доступ к любому приложению с
любого устройства
Управление: определение и автоматическое предоставление
полномочий
Каталог учетных данных: безопасное и масштабируемое хранилище
Enterprise Cloud Mobile
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 7
Облачные
приложения
Мобильные
приложения
Корпоративные
приложения
Правомер-
ность доступа
Создание
учетных записей
Привилегиро-
ванный доступ
Identity
Governance
Общие коннекторы Хаос
Объединяя управление учетными записями и правами
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 8
Visa Платформа для автоматизации и соответствия законам
• Требовалось единая, простая и понятная для бизнес-пользователей платформа для запроса и подтверждения доступа
• Внедрен Oracle Identity Governance 11gR2 PS1 и реализован
процесс подтверждения доступа у более чем 20 тыс.
менеджеров, а также создание и удаление доступа в более чем
3000 приложений. Срок внедрения - 4 месяца
• Взаимодействие бизнес-подразделений и ИТ позволило распределить ответственность и трудозатраты
• Дружелюбный интерфейс для менеджеров для ускорения процесса сертификации (подтверждение доступа)
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 9
Oracle Identity Governance Универсальный подход к управлению учетными данными
База
данных Прило-
жения
Cloud Apps Устрой
ства
Самообслуживание Соответствие законам Углубленное понимание Привилегированный доступ
Общая модель данных Библиотека ролей
и политик Бизнес-процессы и интеграция
с сервис-деском Identity Connector
Framework
Кадровая
система
LDAP
Запрос
доступа Управление
паролям
Подтверждение
прав доступа
Поддержание
соответствия Отчеты о работе Исследование
ролевой модели
Доступ с адм.
привилегиями
Аудит
использования
Платформа
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 10
План выступления
Тенденции развития инфраструктуры IT
Oracle Identity Governance
Сценарии использования
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 11
Единый подход к управлению учетными записями и правами Ключевые требования
Простой и понятный
процесс запроса прав
Гибкие бизнес-процессы
для согласований
Гибкий процесс подтверждения
прав доступа (сертификация)
Масштабное и быстрое
исполнение
Модульная расширяемая
архитектура
Управление и аудит
привилегированного доступа
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 12
Каталог прав, понятный пользователям
Каталог прав и привилегий,
понятный бизнес- пользователям
Интерфейс самообслуживания для
подключения новых приложений
Поиск, просмотр и рекомендации
необходимых прав
Проверка политик разграничения
доступа
Гибкая настройка формы каталога
Удобный просмотр всего процесса
от согласования до исполнения
Предоставить пользователям нужный доступ
Поиск,
просмотр и
рекомендации
Проверка запроса
на соответствие
политикам
Понятный каталог
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 13
Бизнес-процессы согласования доступа
Использование Oracle SOA, BPEL-
совместимых бизнес-процессов
Очень гибкие и легко
настраиваемые
Поддержка параллельных,
последовательных и групповых
согласований
Настройка вызовов внешних
источников данных для сложных
процессов
Поддержка и гибкая настройка под бизнес-процессы заказчика
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 14
Поддержка ручного и
автоматического исполнения
Готовые коннекторы для
автоматического создания
учетных записей в
промышленных приложениях
Упрощенная процедура
включения и управления новыми
приложениями
Единственное решения для
полного и всестороннего
управления приложениями
Oracle
Масштабное и быстрое исполнение
DB Прило-
жения
Cloud Apps Устрой-
ства
Кадровая
система
Интеграция с
сервис-деском Identity Connector
Framework
Упрощенная процедура
включения и управления
новыми приложениями
Удобная среда разработки коннекторов
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 15
Модульная расширяемая архитектура
Гибкая и модульная архитектура, которая учитывает эволюцию требований к управлению правами и доступом
Единое хранилища для всех аспектов управления правами и доступом
Множество подходов для начала проекта по управлению правами и доступом
– Создать каталог прав и доступа для запросов пользователями
– Автоматизация подтверждения прав доступа
– Автоматизация управления учетными записями в ключевых приложениях
– Управление привилегированным учетным доступом
В соответствии с требованиями и планами заказчика
Привиле-гированный
доступ
Запрос и создание учетных записей
Серти-фикация доступа
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 16
Предоставление и контроль привилегированного доступа
Использование каталога и процессов согласования
Подход с использованием Single Sign-On и прокси-серверов
Функционал Check in – Check out
Запись и проигрывание сессии
Среда разработки коннекторов Identity Connector Framework
Полная интеграция с процессами подтверждения прав (сертификация)
Единая платформа для всех учетных записей
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 17
Сертификация
security-orcl.blogspot.com
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 18
Место Oracle Identity Governance 11g R2 Платформа для управления доступом
Oracle Identity Management
Oracle Identity Governance
Oracle Identity Manager
Oracle Identity Analytics
Oracle Privileged Account Manager
ICF Oracle Directory
Services
Oracle Mobile Security
Oracle Access Management
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 19
Рекомендуемые сертифицированные* решения безопасности Oracle
Identity Governance –
управление
жизненным циклом
учетных записей
пользователей
приложений
Адаптеры для унаследованных систем
AP
I G
ate
way –
тр
ан
сф
ор
мац
ия
дан
ны
х и
защ
ита и
нтегр
ац
ио
нн
ых и
нтер
фей
со
в;
Mo
bile A
ccess S
erv
er
– M
DM
& M
AM
Access Manager
– WebSSO и
контроль доступа
пользователей;
Entitlements Server
– контекстная
авторизация к
компонентам
приложений
Access
Man
ag
er
Web
Gate
s
Entitlements
Server Security
Modules
Пользователи
портативных и
стационарных
компьютеров
Web-сервисы
Внешние
пользователи
мобильных
устройств и
социальных сетей
HTTP/REST
OAuth
JSM - SOAP
Label Security,
Database Vault,
Advanced Security
Бизнес-приложения
и другие гетерогенные
информационные системы;
корпоративные web-сервисы
Public Zone &
Intranet Web Tier Application Tier Data Tier
Database
Firewall
Data Masking,
Audit Vault
3rd partу
/ Virtual
/ Unified
/ Internet
Directory
Корпоративные
пользователи
мобильных
устройств
Mobile Security
Container или
Mobile and Social
Client SDK * Детали – в дополнительных слайдах
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 20
Sun2Oracle Customer
Заказчики Oracle Identity Management Известные мировые бренды; Тысячи заказчиков
Identity Governance Access Management Directory Services
Suite Customer
1200+ 70+ 100M+ 1.5M+ DEPLOYMENTS
ON 11gR2+ PARTNERS
TRAINED IDENTITIES
MANAGED
MOBILE
DEVICES
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 21
План выступления
Тенденции развития инфраструктуры IT
Oracle Identity Governance
Сценарии использования
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 22
Сценарий 1. Прием на работу.
22
Кадры Новый
сотрудник
Само-
регистрация
Реконсилиация
Политики
доступа
Доступ к
приложениям
Согласование
Процессы Пользователи /
роли
Новый
контрактор
Центральный
репозиторий
Механизм
запросов
Запрет доступа к
приложениям
Коннектор
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 23
Сценарий 2. Запрос ресурса.
23
Сотрудник
Создание
заявки
Шаг 1 Контрактор
Механизм
запросов
Процесс
согласования
Шаг 2
Согласование
Процесс
предоставления
доступа
Выделение
физического
ресурса
Проверка SoD
(политик по
разграничению
прав)
Доступ к
приложениям
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 24
Сценарий 3. Управление изменениями.
24
Реконсилиация Политики
доступа
Доступ к
приложениям
Процессы Пользователи
/ роли
Центральный
репозиторий
Коннектор
Администратор Прямое
создание
пользователя
Обработка
исключения
Кадры Перевод
сотрудника
Выявление
непривязанной
учетной записи
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 25
Сценарий 4. Увольнение.
25
Увольнение
сотрудника
Ручная
задача
Процесс
предоставления
доступа
Отзыв
физических
ресурсов
Кадры Реконсилиация Коннектор Центральный
репозиторий
Отзыв привилегий,
блокировка / удаление
учетной записи
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 26
Сценарий 5. Сертификация.
26
Ручная
задача
Процесс
предоставления
доступа
Отзыв
физических
ресурсов
Сертификация Запуск по
времени/событию
Центральный
репозиторий
Отзыв привилегий,
блокировка / удаление
учетной записи
Ответственный
сотрудник
Подтвердить /
отозвать
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 27
Сценарий 6. Привилегированный доступ
27
Запросить пароль DBA (“check out”)
Войти как DBA
Добавить Tablespace
Войти как суперпользователь
Добавить дисковое пространство
Возвратить пароли (“check in”)
Возвратить пароль DBA Есть право на запрос записи DBA?
Да
Сгенерировать и установить
пароль DBA в соответствии с
парольной политикой
Админ / DBA
Unix
LDAP сервер
Запросить пароль Unix (“check out”)
Возвратить пароль Unix (root)
Сгенерировать и установить
пароль суперпользователя в
соответствии с парольной
политикой
Oracle
Identity
Governance
Бизнес процессы
согласования доступа к привилегированным записям
Бизнес процессы согласования экстренного доступа
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 28
Узнайте больше
Twitter twitter.com/OracleIDM
Facebook facebook.com/OracleIDM
Oracle Blogs Blogs.oracle.com/OracleIDM
Oracle IdM Website oracle.com/Identity
#FORUMBS
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 29 #FORUMBS
security-orcl.blogspot.com
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 30
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 31
#FORUMBS