Управление доступом к web-приложениям (Oracle)
0 likes518 views
Документ представляет собой презентацию по управлению доступом к web-приложениям от Oracle, проведенную Андреем Гусаковым. Он охватывает решения в области информационной безопасности, выбор между встроенными и накладными средствами защиты, а также обсуждает интеграцию решений Oracle для повышения уровня защиты данных. Презентация включает в себя детали о системах аутентификации, авторизации и управления привилегиями как для сотрудников, так и для внешних пользователей.
Управление доступом к web-приложениям (Oracle)
- 1. <Insert Picture Here> Андрей Гусаков, ведущий консультант Представительства Oracle в Москве Управление доступом к web-приложениям Cеминар Центра компетенции компании КРОК «Управление идентификационными данными и доступом к информации» 27 мая 2009 года, г. Москва
- 2. 2 План презентации • Решения в области информационной безопасности от Oracle – данные, доступ к ним, контроль • Выбор конкретного решения для повышения уровня информационной безопасности предприятия • Что предпочесть – накладные или встроенные средства защиты (интеграторы vs. разработчики) • Вынос логики принятия авторизационных решений из приложения • Интеграция продуктов Oracle для управления доступом к web-приложениям
- 3. 3 Уровни защиты информации и решения Oracle Network Perimeter Applications Web Services Data Приложения Oracle Identity Management Web-сервисы Oracle Web Services Manager Данные Advanced Security Option Oracle Database Vault Secure Backup Information Rights Management Контроль соответствия нормативным требованиям Oracle Audit Vault Oracle Identity Management
- 4. 4 Эволюция Oracle – от безопасности данных к универсальной защите приложений Аутентификация и авторизация Single Sign On eSSO Federation Управление учетными данными, их согласование и доставка Службы каталогов LDAP Virtual Directory Meta Directory Преобразование (Encryption) At Rest In Motion Backup Мониторинг и предупреждения Многоуровневый контроль доступа Приложения E-Business Suite, PeopleSoft, Siebel, SAP, Собственной Разработки, Унаследованные Аудитиконтрольсоответствия Применение политик Определение политик Хранилище ID Безопасность данных FusionMiddleware
- 5. 5 <Insert Picture Here> Применяем сертифицированные накладные средства защиты Oracle См. сертификаты №1664 от 18 августа 2008 г. (IAMS) и №1802 от 13 марта 2009 г. (ESSO) Государственного реестра сертифицированных средств защиты информации http://www.fstec.ru/_razd/_serto.htm
- 7. 7 Объединяем решения безопасности на уровне базы и приложения через EUS
- 8. 8 Управление IT-привилегиями сотрудников Решение – Oracle Identity Manager (OIM) • Автоматизированное создание учетных записей (УЗ); выявление «сиротских» УЗ; удаление УЗ • Назначение / отзыв / изменение привилегий в соответствии с должностными обязанностями • Разделение / делегирование полномочий • Вовлечение в документооборот по изменению привилегий всех заинтересованных лиц с формализацией бизнес-процессов • Контроль действий администраторов целевых систем • Самообслуживание сотрудников • заявки; смена / синхронизация паролей • Ведение отчетности (оперативной / исторической) • Временная блокировка / аттестация сотрудников
- 9. 9 Управления IT-привилегиями внешних пользователей • Организация доверительных (федеративных) отношений с системами аутентификации партнеров и подключение их без повторной аутентификации (Web SSO) Решение – Oracle Identity Federation (OIF) или • Саморегистрация партнеров с последующим утверждением ответственными сотрудниками электронной заявки на предоставление расширенных привилегий Решение – Oracle Identity Manager (OIM) или • Автоматизированное предоставление сервиса «саморегистрация» клиентам без предоставления расширенных привилегий Решение – Oracle Access Manager (OAM)
- 10. 10 Контроль доступа сотрудников и привилегированных внешних пользователей • Защита ресурсов с помощью различных аутентификаторов Решение – Oracle Access Manager (OAM) и Oracle Adaptive Access Manager (OAAM) • Аудит обращений пользователей к ресурсам, защищенным с помощью политик доступа Решение – Oracle Access Manager (OAM) или • Аудит решений по авторизации пользователей на выполнение каких-либо действий сервером назначений Решение – Oracle Entitlements Server (OES)
- 11. 11 Контроль доступа к отделяемым документам (файлы, почта и т.п.) Решение – Oracle Information Rights Management (IRM) • Защита документов с помощью маскирования их содержимого, категоризации и предоставления прав на работу с ними только некоторым зарегистрированным сотрудникам и партнерам • Аудит решений по авторизации пользователей на работу с защищенными документами
- 12. 12 <Insert Picture Here> Как обойти ограничения, возникающие при контроле доступа накладными средствами защиты
- 13. 13 OAM проверяет хранящиеся в каталоге политики в отношении ресурса http://www.autoparts.com/credit-check • Страница защищена? • Вы аутентифицированы? • Доступ разрешен? Информационный ресурсКлиент Сервер управления доступомШлюз Аутенти- фикация Автори- зация Аудит Централизо- ванные AAA: Есть опасность натолкнуться на громоздкость групповых структур в каталоге
- 14. 14 Типичная мозаика из ресурсов, ролей, операций и атрибутов Операции Чтение/Запись ЧтениеЗапись Ограниченное чтение Управляющий Администратор счетов Аналитик Клиент банка Иерархия ролей Банковское приложение Ведение счетов Формирование отчетности Отчет за период Иерархия ресурсов Итоговый отчет Расположение Орг. структура Дата/Время Атрибуты Не в рабочие дни с 9 до 18 Россия МоскваНовосибирск Петровское отд. Руководитель подразделения Главный бухгалтер Аудитор Кассир
- 15. 15 Ресурсы, защищаемые OAM, и Fine Grained Authorization • HTTP • Web-страницы • Каталоги • Web-приложения • Запросы • J2EE • Java-страницы • EJBs • Сервлеты • Отдельные Java / C++ / C программы, ERP и CRM- приложения IDE XACML CARML Authorization Policy Identity Attribute Policy Application • Java • .Net • Custom • Web 2.0 Policy Plug-in Identity Plug-in FGA Разработка Подключение
- 16. 16 <Insert Picture Here> Авторизация на примере паспортного контроля, Знакомство с сервером назначений Oracle
- 17. 17 Oracle Entitlements Server (OES) выводит из приложения логику безопасности и затем централизованно ею управляет До использования OES После внедрения OES Запрос авторизации («Разрешен ли доступ?») выполняется с использованием следующей информации: • запрошенное действие («Trade», т.е. биржевая торговля); • ресурс («Account», т.е. счет, с которым будут проводиться биржевые операции); • субъект (кто запрашивает авторизацию для выполнения этих операций – «User», т.е. пользователь); • контекст из приложения, требуемый для принятия решения об авторизации («Amount», т.е. предельный объем биржевых операций). http://download.oracle.com/docs/cd/E12890_01/ales/docs32/index.html
- 18. 18 Определение Oracle Entitlements Server Oracle Entitlements Server Приложения собственной разработки Проверка прав Сервисы Готовые приложения Базы данных Entitlement Data Каталоги пользователей Требование Разрешить Запретить Пользователи Решение для управления “назначениями” (entitlements) с высокой степенью детализации, обеспечивающие централизованное администрирование политик и их распределенное применение при работе приложений в различных архитектурах http://www.oracle.com/global/ru/pdfs/tech/introduction-to-oracle-entitlements-server_rus5.pdf
- 19. 19 Типичные сценарии использования OES • Динамически изменять интерфейс приложения • Ограничивать доступ пользователя к интерфейсу приложения при определенных условиях Привязать интерфейс пользователя к ролям • Обеспечить прозрачную интеграцию с системами веб SSO и корпоративными системами управления идентификационными данными • Разрешить передачу полномочий другим пользователям во время отсутствия пользователя или в других ситуациях Разрешить определенным пользователям доступ к приложениям • Создать различные представления общей базы данных о клиентах для различных организаций • Закрыть доступ к информации и зарплате работников для всех, кроме руководителей подразделений • Показывать кредитную историю только клиентов, находящихся в том же регионе, что и Call Center Ограничить доступ к данным • Только старшие менеджеры могут совершать сделки по продаже акций , суммы которых превышают 10 000 000 рублей, менее чем за пол часа до закрытия биржи Ограничить функциональность приложения OES обеспечиваетТребования
- 21. 21 Administration Server (PAP) Security Module (PDP) OES Policy Store Policy Administrator Application (offline)Security Module (PDP) Application Application Application Policy Information Points Policies Policies Policy Enforcement Point (PEP) PEP Архитектура Oracle Entitlements Server
- 22. 22 Что собой представляет политика OES? Grant (view, /app/Sales/RevenueReport, /role/Manager) if region = “East”; Application Objects Resources Subjects Constraint Boolean Attributes Eval Functions Action Read Write View … External Data Identity Store(s) Authorization Request Authorization Response Effect Grant Deny Delegate Maps to Based on Read from
- 23. 23 Security Module Pluggable Framework OES Security Module Authentication Framework API Authorization Role Mapping Auditing Cred Mapping Entitlements Identity Directories Entitlements Secure Audit Logs External Application • Integrate with LDAP, RDBMS, Custom Identity Stores • Leverage multiple stores simultaneously • Assert identity from SSO or custom tokens • Establishes JAAS Subject • Provide Grant/Deny decisions based upon policies • Integrate external entitlement attribute data from LDAP, RDBMS, SDO • Dynamically map users to Roles based upon policy • Log messages generated by framework events • Write to everything from log4j to secured filesystems and RDBMS • Describe custom handlers for various events • Translate credentials into custom formats • Helps propagate identity across disparate systems
- 26. 26 Контролирующие органы и аудиторы Администраторы приложений DeveloperOracle Entitlements Server Разработчики Офицер безопасности • Integrate w ith Applications • Configure External Attribute Retrievers • Review Audit Logs • Generate Policy Reports • M onitor Perform ance • Define Access Rights • M anage Roles • Define Security Policies • Integrate w ith Idm System s • Configure Security Providers Поддержка жизненного цикла политик
- 27. 27 <Insert Picture Here> Интеграция продуктов Oracle для управления доступом к web-приложениям
- 28. 28 Oracle Access Management Functional Architecture Web Tier Application Tier Data Tier Oracle Access Manager Federation Service Oracle Entitlements Server Oracle Entitlements Server Oracle Adaptive Access Manager Authentication & SSO Identity Assertion Oracle Adaptive Access Manager Federation Service Entitlements & Authorization Web Tier
- 29. 29 Oracle Access Manager Applications Authentication Oracle Access Management OAM and Application Integration Single Sign-On 1. Check URL Access 2. Challenge for Credentials 3. Validate Credentials 4. Set Session Cookie 5. Authorize URL Access 6. Assert Authenticated Identity ID Assertion HTTP Header Variables Windows Users JAAS Subject
- 30. 30 Oracle Access Manager Oracle Entitlements Server Authentication Authorization Oracle Access Management OAM and OES, Part I Single Sign-On Entitlements ID Assertion 3. Validate Credentials 6. Assert Authenticated Identity 7. Fine-grained Resource Access 1. Check URL Access 2. Challenge for Credentials 4. Set Session Cookie 5. Authorize URL Access
- 31. 31 Oracle Access Manager Oracle Entitlements Server Authorization Oracle Access Management OAM and OES, Part II Entitlements 7. Retrieve Trusted Subject, Resource Request, & Security ContextID Assertion 8. Dynamic Role Evaluation 9. Retrieve Additional Attributes 10. Check Application Authorization Policy Against Subject/Roles + Resource/Action 11. Enforce Fine Grained Resource Access 6. Assert Authenticated Identity
- 32. 32 Oracle Access Manager Oracle Entitlements Server Oracle Access Management OAM and OES, Part III Entitlements 7. Retrieve Subject, Security Context, Data RequestID Assertion 8. Dynamic Role Evaluation 9. Retrieve Additional Attributes 10. Check Data Access Policy 11. Enforce Fine Grained Data Access Data Security 12. Redact Data From Application/End User 6. Assert Authenticated Identity
- 33. 33 Oracle Access Management OAAM and OES, Part I Oracle Entitlements Server 6. User/Session ID Authentication Security Fraud Detection 7. Retrieve Trusted Subject, Resource Request, & Security Context Authorization Entitlements 8. Evaluate Context Data and Compute Risk Score 9. Return Risk Score Attribute To OES 10. Enforce Fine Grained Application Access Policy with Risk Obligations Oracle Adaptive Access Manager Oracle Adaptive Access Manager
- 34. 34 Oracle Access Management OAAM and OES, Part II Oracle Entitlements Server 6. User/Session ID Authentication Security Fraud Detection Authorization Entitlements 8. Evaluate Context Data and Compute Risk Score Oracle Adaptive Access Manager Oracle Adaptive Access Manager 9. Present Knowledge- Based Authentication Challenge or OTP 10. Recalculate Risk Score Based on Secondary Challenge 7. Resource Request 12. Enforce Fine Grained Policy 11. Return New Risk Score Attribute To OES
- 35. 35 Oracle Access Management OAAM and OAM Authentication Security Fraud Detection Oracle Access Manager Authentication 4. Authenticate with Virtual AuthN Device 1. Check URL Access Adaptive Access Manager Adaptive Access Manager ID Assertion 2. Evaluate Risk 3. Generate and Return Virtual AuthN Device 5. Validate Credentials, Set SSO Cookie, Assert Identity 6. Evaluate Real Time Transaction Data 7. Calculate Risk for Transaction 1, Set Alert 8. Calculate Risk for Transaction 2, Block Transaction 9. Calculate Risk for Transaction 3, Set Secondary Knowledge- Based Authentication or One Time Pin
- 36. 36 Oracle Access Management OAM and OIF Oracle Access Manager Identity Provider Authentication Single Sign-On Federation Services Federation Services Service Provider 1. User Requests Protected Resource, OIF Redirects to OAM for Authentication 2. Challenges User, Authenticates Credentials 3. Set SSO Cookie, Asserts Authenticated Identity to Federation Service 4. IdP Generates Authentication Assertion, Sends Signed/Encrypted Assertion to Service Provider 5. SP Consumes Authentication Assertion, Locally Authenticates User, Redirects to Protected Resource
- 37. 37 Oracle Entitlements Server Authorization Oracle Access Management OES and OWSM Entitlements 2. Retrieve Trusted Subject, Service Request 3. Dynamic Role Evaluation 4. Retrieve Message Context 5. Check Application Authorization Policy Against Subject/Roles + Resource/Action 6. Provide service access decision to OWSM WS Security 1. User invokes secured web service Oracle Web Services Manager 7. Enforce Fine Grained Service Access
- 38. 38 Oracle Access Management OAM and OWSM Oracle Web Services ManagerOracle Access Manager Authentication Single Sign-On WS Security 1. Challenges User, Authenticates Credentials 2. Set SSO Cookie, Asserts Authenticated Identity to Portal 3. Portal Invokes Remote Web Service on User’s Behalf 4. PEP Intercepts Request and Checks for SSO Cookie 5. SSO Cookie Verified by OAM, Service Access Allowed
- 39. 39 119435, Россия, Москва, Краснопресненская набережная, 18 Башня на Набережной, Блок С (+7495) 6411400 Andrey.Gusakov@Oracle.Com Есть вопросы?
- 40. 40 Устраняем преграды... • Сертификация ФСТЭКом наших решений • Oracle DB • Oracle DB Vault • Oracle IAMS • Oracle ESSO • Oracle IRM • Локализация • Региональный маркетинг