Komplexní přístup k bezpečnosti

Rozměr: px

Začít zobrazení ze stránky:

Download "Komplexní přístup k bezpečnosti"

Štěpánka Hájková
před 8 lety
Počet zobrazení:

1 9. listopadu, 2011 Hotel Marriott Praha Komplexní přístup k bezpečnosti Aleš Novák

2 The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle.

3 Agenda Úvod Novinky Služby Produkty Bezpečnost v prostředí Cloud Computing Quick Wins

Šifrování a maskování Kontrola privilegovaných uživatelů Více faktorová autentizace Audit,

4 Komplexní bezpečnost Identity Management Databázová bezpečnost Bezpečná infrastruktura User Provisioning & správa rolí Identity and Access Governance Správa přístupů Adresářové služby Šifrování a maskování Kontrola privilegovaných uživatelů Více faktorová autentizace Audit, monitorování aktivit Zabezpečení konfigurací CPU, ASICs Operační systémy Virtualizace a hypervisory Ukládání dat, sítě

5 Kde začít? Oracle Insight Cca 5 man days Discovery workshop Boj proti společnému nepříteli Rozpočty

6 Cloud Computing a bezpečnost

7 Cloud computing a bezpečnost Bezpečnost v domácím IT některá témata se neřeší, např. šifrování dat, správa konfigurací a logů,... CC je třeba řešit vše Privátní cloud +bezpečnost, +provisioning, +elasticita, +účtování

8 Veřejný cloud a bezpečnost Orace On Demand LLG datacentrum v Linlithgow Organizační bezpečnost Klasifikace zdrojů a kontrola Bezpečnost lidských zdrojů Fyzická bezpečnost Komunikace a provoz Vynucení přístupových oprávnění Vývoj a údržba systémů Zajištění Business Continuity Shoda s předpisy Bezpečnostní politiky na straně zákazníků Oracle má certifikaci ISO pro On Demand zaměstnance, technologie a procesy.

9 Quick Wins

10 Oracle Enterprise Single Sign On Problémy s předpisy Zatížení HelpDesku Produktivita práce Rostoucí rizika Zajistit pravidla pro GRC 20% redukce volání Rychlý přístup k aplikacím Jednoduchý a bezpečný přístup Vyhnout se pokutám, procesům, ztrátám Silná autentizace Eliminace výpadků z důvodu zamknutých účtů Vynucení pravidel pro složitost hesel

11 Důvody k nasazení - bezpečnost Špatná správa hesel znamená horší bezpečnost Zranitelnost slabých hesel Silná hesla se špatně pamatují Synchroizace hesel = Klíče ke království Přínosy Vynucuje silné politiky hesel pro všechny aplikace Dodržuje pravidla pro změny hesel

12 Důvody k nasazení - ROI Zaměstnanci a správa hesel Komplexní userid / heslo se jen těžko pamatuje. Výsledkem je zamknutí účtu a volání na HelpDesk Přínosy Snížení nároků na HelpDesk o 20% Samoobsluha pro Windows password reset Ostatní hesla si pamatuje ESSO Poskytuje okamžitý bezproblémový přístup k aplikacím

13 Architektura ESSO Admin Console ESSO-LM Agent Client PC

14 Jsme úspěšní! Historie Passlogix založen produktů Market leader 20 million+ prodaných licencí 1,500+ enterprise zákazníků 10,000 aplikací Patentovaná technologie Rychlé nasazení Kumulativní # prodaných licencí

15 Quick Wins II

16 Problém a požadavky na řešení Zabezpečení webových služeb SOA infrastruktura se řeší za pomoci webových služeb Zabezpečení přístupu k webovým službám Zaměření na DMZ (první linie obrany) Optimalizace web service volání (XML akcelerace) Standardy pro WS Transportní a message level Detekce nekalých aktivit Podpora různých klientů Browser, aplikace

17 Oracle hloubková obrana First Line Of Defense Web Services Virtualization Last-Mile Security Web Client (Browser) Web Service Client Web Service Client Web Service Client HTTP GET/POST REST XML SOAP Oracle Enterprise Gateway OSB With OWSM Extension OWSM Agent OWSM Agent Web Service Web Service Web Service Client JMS Internet Company s DMZ Company s Green Zone

18 Představení Oracle Enterprise Gateway Klíčové vlastnosti První linie obrany XML firewalling Transport a message security Zrychlené / akcelerované zpracování XML Governance

19 První linie obrany XML Firewalling XML content útoky Kontrola formátování XML; kontrola velikosti XML; XPath a XQuery injection; SQL injection; XML encapsulation; XML viruses Skenování odchozích zpráv na citlivé informace Detekce XML bomb Útoky na XML schema a DTD Schema a DTD validace Kryptografické útoky Public Keys Message replay Útoky na SOAP Filtrování SOAP operací Filtrování SOAP attachments (např. viry) Communication attacks HTTP header and query string analysis Filtrování IP adres Traffic throttling - DoS

20 První linie obrany Transport and Message Security Podpora pro standardní formáty zpráv: Plain XML (POX), SOAP, REST, Ajax, JSON Podpora pro bezpečnostní standardy SSL WS-Security (SOAP security extension) WS-Policy (Oracle Fusion Middleware s policy model) WS-I BSP (interoperability) FIPS (Federal) Industry-standard security tokens SAML, Kerberos, X.509 Industry-standard transport protocols HTTP, JMS, IBM WebSphere MQ, FTP, Tibco, SMTP

21 Akcelerace zpracování XML Process offloading Offload prostředků na aplikačních serverech XML akcelerace Patentovaný acceleration engine Rychlá XML validace Rychlé zpracování XML query a transformací

22 Governance Governance v nasazení SOA Přístup na služby Použití služeb Dostupnost Uzavřený cyklus Komunikace s Oracle Service Registry Publikování metrik do Oracle Enterprise Manageru

23 OEG shrnutí Známe mnoho komplexních útoků na XML a webové služby Obrana vlastními silami je složitá Připraveno pro cloud čistě SW, funguje v rámci všech běžných VM Přidaná hodnota Bezpečnost rychle Governance

24 Quick Wins III

25 Oracle Identity Analytics 11g Zdroje dat Oracle Identity Manager Oracle Access Manager Identity Warehouse Analytika Certifikace přístupů Monitorování politik IT auditu Správa rolí Analytika Nástěnky a reporty Automatizace certifikací, monitoring Access Certification, IT Audit Policy Monitoring, Closed-loop Remediation Správa rolí Změnové řízení, atestace, konsolidace a audit, role mining Identity warehouse Analýzy, mining, korelace, reporty

26 OIA Identity Governance Pravidla pro uživatele, role a aplikace Vynucení pravidel atestace, close loop remediation Monitoring pravidelné importy a skenování dat

27 Identity Governance OIA Nasazení cca týdny Import uživatelů, např. txt soubor Importy a korelace účtů, např. z AD Role mining oddělení x oprávnění v aplikacích Konzultace s vedením z businessu role x procesy Výsledek = přehled o přístupech, OK x KO

28 Identity Management x Identity Analytics Online x offline Integrace systémů Měsíce vs. týdny Zákon č. 101 / osobní údaje

29 Identity Analytics Uplatnění Zákon č. 101/2000 Sb Povinnosti osob při zabezpečení osobních údajů 13 zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby

30 Identity Analytics Uplatnění Kritická infrastruktura Energetika, zdravotnictví, potraviny, zemědělství, komunikace, telekomunikace, finančnictví

31 Závěr Skoro 30 produktů na bezpečnost + HW + OS Od aplikací po pásky Kde začít s bezpečností? Privátní show Insight, discovery workshop Školení Oracle Služby, workshopy, doporučení, studie Expert Services nebo ACS

Podobné dokumenty

Komplexní přístup k bezpečnosti

Bratislava Komplexní přístup k bezpečnosti Aleš Novák The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into