Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 1

Защита современного

предприятия и управление

доступом с Oracle Identity

Governance

Игорь Минеев,

ведущий консультант по технологиям

информационной безопасности

Oracle СНГ

#FORUMBS


План выступления

Тенденции развития инфраструктуры IT

Oracle Identity Governance

Сценарии использования

#FORUMBS






#FORUMBS


Основные тенденции развития IT Появляются новые возможности

80% сессий

пользователей

будут

инициированы с

мобильных

устройств

к 2020 году

44% организаций

планируют

использовать

социальные сети

Затраты на

облачные

вычисления

станут основной

статьей расхода

к 2016 в

большинстве IT

подразделений

Количество

различных

устройств,

подключенных к

Сети приблизится

26 миллиардам

2020 году

#FORUMBS


• Утечка персональных

данных (средняя стоимость

скомпрометированной

записи – $202)

• Противоречивые политики

доступа (рост рисков

нарушения безопасности)

• Сложности при выполнении

требований регуляторов

(152ФЗ, СТО БР ИББС-1.0-

2010 и т.д)

• Рост стоимости управления

IT-инфраструктурой

Фрагментированные приложения Децентрализованное IDM решения увеличивают риски и стоимость

User Mgt

User Mgt

SSO

User Mgt

SSO

SSO

Access Cert

Federation

App

Embedded

Identities

Basic SSO

& Provisioning

Access

Certification

Federated

Cloud Apps

Mobile

Apps

LDAP LDAP

LDAP LDAP

Дополнительная интеграция

#FORUMBS


IDENTITY

MANAGEMENT

Доступ: простой, безопасный доступ к любому приложению с

любого устройства

Управление: определение и автоматическое предоставление

полномочий

Каталог учетных данных: безопасное и масштабируемое хранилище

Enterprise Cloud Mobile

#FORUMBS


Облачные

приложения

Мобильные


Корпоративные


Правомер-

ность доступа

Создание

учетных записей

Привилегиро-

ванный доступ

Identity

Governance

Общие коннекторы Хаос

Объединяя управление учетными записями и правами

#FORUMBS


Visa Платформа для автоматизации и соответствия законам

• Требовалось единая, простая и понятная для бизнес-пользователей платформа для запроса и подтверждения доступа

• Внедрен Oracle Identity Governance 11gR2 PS1 и реализован

процесс подтверждения доступа у более чем 20 тыс.

менеджеров, а также создание и удаление доступа в более чем

3000 приложений. Срок внедрения - 4 месяца

• Взаимодействие бизнес-подразделений и ИТ позволило распределить ответственность и трудозатраты

• Дружелюбный интерфейс для менеджеров для ускорения процесса сертификации (подтверждение доступа)

#FORUMBS


Oracle Identity Governance Универсальный подход к управлению учетными данными

База

данных Прило-

жения

Cloud Apps Устрой

ства

Самообслуживание Соответствие законам Углубленное понимание Привилегированный доступ

Общая модель данных Библиотека ролей

и политик Бизнес-процессы и интеграция

с сервис-деском Identity Connector

Framework

Кадровая

система

LDAP

Запрос

доступа Управление

паролям

Подтверждение

прав доступа

Поддержание

соответствия Отчеты о работе Исследование

ролевой модели

Доступ с адм.

привилегиями

Аудит

использования

Платформа

#FORUMBS






#FORUMBS


Единый подход к управлению учетными записями и правами Ключевые требования

Простой и понятный

процесс запроса прав

Гибкие бизнес-процессы

для согласований

Гибкий процесс подтверждения

прав доступа (сертификация)

Масштабное и быстрое

исполнение

Модульная расширяемая

архитектура

Управление и аудит

привилегированного доступа

#FORUMBS


Каталог прав, понятный пользователям

Каталог прав и привилегий,

понятный бизнес- пользователям

Интерфейс самообслуживания для

подключения новых приложений

Поиск, просмотр и рекомендации

необходимых прав

Проверка политик разграничения

доступа

Гибкая настройка формы каталога

Удобный просмотр всего процесса

от согласования до исполнения

Предоставить пользователям нужный доступ

Поиск,

просмотр и

рекомендации

Проверка запроса

на соответствие

политикам

Понятный каталог

#FORUMBS


Бизнес-процессы согласования доступа

Использование Oracle SOA, BPEL-

совместимых бизнес-процессов

Очень гибкие и легко

настраиваемые

Поддержка параллельных,

последовательных и групповых

согласований

Настройка вызовов внешних

источников данных для сложных

процессов

Поддержка и гибкая настройка под бизнес-процессы заказчика

#FORUMBS


Поддержка ручного и

автоматического исполнения

Готовые коннекторы для

автоматического создания

учетных записей в

промышленных приложениях

Упрощенная процедура

включения и управления новыми

приложениями

Единственное решения для

полного и всестороннего

управления приложениями

Oracle

Масштабное и быстрое исполнение

DB Прило-

жения

Cloud Apps Устрой-

ства

Кадровая

система

Интеграция с

сервис-деском Identity Connector

Framework

Упрощенная процедура

включения и управления

новыми приложениями

Удобная среда разработки коннекторов

#FORUMBS


Модульная расширяемая архитектура

Гибкая и модульная архитектура, которая учитывает эволюцию требований к управлению правами и доступом

Единое хранилища для всех аспектов управления правами и доступом

Множество подходов для начала проекта по управлению правами и доступом

– Создать каталог прав и доступа для запросов пользователями

– Автоматизация подтверждения прав доступа

– Автоматизация управления учетными записями в ключевых приложениях

– Управление привилегированным учетным доступом

В соответствии с требованиями и планами заказчика

Привиле-гированный

доступ

Запрос и создание учетных записей

Серти-фикация доступа

#FORUMBS


Предоставление и контроль привилегированного доступа

Использование каталога и процессов согласования

Подход с использованием Single Sign-On и прокси-серверов

Функционал Check in – Check out

Запись и проигрывание сессии

Среда разработки коннекторов Identity Connector Framework

Полная интеграция с процессами подтверждения прав (сертификация)

Единая платформа для всех учетных записей

#FORUMBS


Сертификация

security-orcl.blogspot.com

#FORUMBS


Место Oracle Identity Governance 11g R2 Платформа для управления доступом

Oracle Identity Management


Oracle Identity Manager

Oracle Identity Analytics

Oracle Privileged Account Manager

ICF Oracle Directory

Services

Oracle Mobile Security

Oracle Access Management

#FORUMBS


Рекомендуемые сертифицированные* решения безопасности Oracle

Identity Governance –

управление

жизненным циклом

учетных записей

пользователей

приложений

Адаптеры для унаследованных систем

AP

I G

ate

way –

тр

ан

сф

ор

мац

ия

дан

ны

х и

защ

ита и

нтегр

ац

ио

нн

ых и

нтер

фей

со

в;

Mo

bile A

ccess S

erv

er

– M

DM

& M

AM

Access Manager

– WebSSO и

контроль доступа

пользователей;

Entitlements Server

– контекстная

авторизация к

компонентам

приложений

Access

Man

ag

er

Web

Gate

s

Entitlements

Server Security

Modules

Пользователи

портативных и

стационарных

компьютеров

Web-сервисы

Внешние

пользователи

мобильных

устройств и

социальных сетей

HTTP/REST

OAuth

JSM - SOAP

Label Security,

Database Vault,

Advanced Security

Бизнес-приложения

и другие гетерогенные

информационные системы;

корпоративные web-сервисы

Public Zone &

Intranet Web Tier Application Tier Data Tier

Database

Firewall

Data Masking,

Audit Vault

3rd partу

/ Virtual

/ Unified

/ Internet

Directory

Корпоративные

пользователи

мобильных

устройств

Mobile Security

Container или

Mobile and Social

Client SDK * Детали – в дополнительных слайдах

#FORUMBS


Sun2Oracle Customer

Заказчики Oracle Identity Management Известные мировые бренды; Тысячи заказчиков

Identity Governance Access Management Directory Services

Suite Customer

1200+ 70+ 100M+ 1.5M+ DEPLOYMENTS

ON 11gR2+ PARTNERS

TRAINED IDENTITIES

MANAGED

MOBILE

DEVICES

#FORUMBS






#FORUMBS


Сценарий 1. Прием на работу.

22

Кадры Новый

сотрудник

Само-

регистрация

Реконсилиация

Политики

доступа

Доступ к

приложениям

Согласование

Процессы Пользователи /

роли

Новый

контрактор

Центральный

репозиторий

Механизм

запросов

Запрет доступа к


Коннектор

#FORUMBS


Сценарий 2. Запрос ресурса.

23

Сотрудник

Создание

заявки

Шаг 1 Контрактор

Механизм

запросов

Процесс

согласования

Шаг 2

Согласование

Процесс

предоставления

доступа

Выделение

физического

ресурса

Проверка SoD

(политик по

разграничению

прав)

Доступ к


#FORUMBS


Сценарий 3. Управление изменениями.

24

Реконсилиация Политики

доступа

Доступ к


Процессы Пользователи

/ роли



Коннектор

Администратор Прямое

создание

пользователя

Обработка

исключения

Кадры Перевод

сотрудника

Выявление

непривязанной

учетной записи

#FORUMBS


Сценарий 4. Увольнение.

25

Увольнение

сотрудника

Ручная

задача

Процесс


доступа

Отзыв

физических

ресурсов

Кадры Реконсилиация Коннектор Центральный


Отзыв привилегий,

блокировка / удаление


#FORUMBS


Сценарий 5. Сертификация.

26

Ручная

задача

Процесс


доступа

Отзыв

физических

ресурсов

Сертификация Запуск по

времени/событию



Отзыв привилегий,

блокировка / удаление


Ответственный

сотрудник

Подтвердить /

отозвать

#FORUMBS


Сценарий 6. Привилегированный доступ

27

Запросить пароль DBA (“check out”)

Войти как DBA

Добавить Tablespace

Войти как суперпользователь

Добавить дисковое пространство

Возвратить пароли (“check in”)

Возвратить пароль DBA Есть право на запрос записи DBA?

Да

Сгенерировать и установить

пароль DBA в соответствии с

парольной политикой

Админ / DBA

Unix

LDAP сервер

Запросить пароль Unix (“check out”)

Возвратить пароль Unix (root)

Сгенерировать и установить

пароль суперпользователя в

соответствии с парольной

политикой

Oracle

Identity

Governance

Бизнес процессы

согласования доступа к привилегированным записям

Бизнес процессы согласования экстренного доступа

#FORUMBS


Узнайте больше

Twitter twitter.com/OracleIDM

Facebook facebook.com/OracleIDM

Oracle Blogs Blogs.oracle.com/OracleIDM

Oracle IdM Website oracle.com/Identity

#FORUMBS

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. 29 #FORUMBS

security-orcl.blogspot.com



#FORUMBS

Business

Oracle (Игорь Минеев) - Защита современного предприятия и управление доступом