Komplexní přístup k bezpečnosti

Transkript

1 Bratislava Komplexní přístup k bezpečnosti Aleš Novák

2 The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle.

3 Agenda Úvod Novinky Služby Produkty Vybrané požadavky zákazníků Audit, Propagace identity <Insert Picture Here>

4 Komplexní bezpečnost Identity Management User Provisioning & správa rolí Identity and Access Governance Správa přístupů Adresářové služby bázová bezpečnost Šifrování a maskování Kontrola privilegovaných uživatelů Více faktorová autentizace Audit, monitorování aktivit Zabezpečení konfigurací Bezpečná infrastruktura CPU, ASICs Operační systémy Virtualizace a hypervisory Ukládání dat, sítě

5 Kde začít? Oracle Insight Cca 5 man days Discovery workshop Boj proti společnému nepříteli Finanční ředitel

6 Oracle Enterprise Gateway

7 Problém a požadavky na řešení Zabezpečení webových služeb SOA infrastruktura se řeší za pomoci webových služeb Zabezpečení přístupu k webovým službám Zaměření na DMZ (první linie obrany) Optimalizace web service volání (XML akcelerace) Standardy pro WS Transportní a message level Detekce nekalých aktivit Podpora různých klientů Browser, aplikace

8 Oracle hloubková obrana First Line Of Defense Virtualization Last-Mile Security Client (Browser) HTTP GET/POST Service Client REST OWSM Agent Service Service Client Service Client XML SOAP Oracle Enterprise Gateway OSB With OWSM Extension OWSM Agent Service Service Client JMS Internet Company s DMZ Company s Green Zone

9 Představení Oracle Enterprise Gateway Highlights První linie obrany XML firewalling Transport a message security Zrychlené / akcelerované zpracování XML Governance

10 První linie obrany XML Firewalling XML content útoky Kontrola formátování XML; kontrola velikosti XML; XPath a XQuery injection; SQL injection; XML encapsulation; XML viruses Skenování odchozích zpráv na citlivé informace Detekce XML bomb Útoky na XML schema a DTD Schema a DTD validace Kryptografické útoky Public Keys Message replay Útoky na SOAP Filtrování SOAP operací Filtrování SOAP attachments (např. viry) Communication attacks HTTP header and query string analysis Filtrování IP adres Traffic throttling - DoS

11 První linie obrany Transport and Message Security Podpora pro standardní formáty zpráv: Plain XML (POX), SOAP, REST, Ajax, JSON Podpora pro bezpečnostní standardy SSL WS-Security (SOAP security extension) WS-Policy (Oracle Fusion Middleware s policy model) WS-I BSP (interoperability) FIPS (Federal) Industry-standard security tokens SAML, Kerberos, X.509 Industry-standard transport protocols HTTP, JMS, IBM Sphere MQ, FTP, Tibco, SMTP

12 Akcelerace zpracování XML Process offloading Offload prostředků na aplikačních serverech XML akcelerace Patentovaný acceleration engine Rychlá XML validace Rychlé zpracování XML query a transformací

13 Governance Governance v nasazení SOA Přístup na služby Použití služeb Dostupnost Uzavřený cyklus Komunikace s Oracle Service Registry Publikování metrik do Oracle Enterprise Manageru

14 OEG shrnutí Známe mnoho komplexních útoků na XML a webové služby Obrana vlastními silami je složitá Připraveno pro cloud čistě SW, funguje v rámci všech běžných VM Přidaná hodnota Bezpečnost rychle Governance

15 Bezpečnost a Cloud

16 Fusion Applications Complete, Modular Suite of Applications Oracle Fusion Financial Management Oracle Fusion Human Capital Management Oracle Fusion Supply Chain Management General Ledger Accounts Payable Asset Management Global Human Resources Workforce Lifecycle Management Benefits Product Master Management Distributed Order Orchestration Global Order Promising Payments & Collections Accounts Receivable Cash & Expense Management Compensation Management Talent Review Performance & Goal Mgmt Inventory Management Cost Management Shipping & Receiving Common Modules KPIs, Dashboards, & Extensibility FW Global Payroll Work KPIs, Dashboards, & Extensibility KPIs, Dashboards, & Extensibility FW Oracle Fusion Project Portfolio Management Oracle Fusion Procurement Oracle Fusion CRM Project Costing Project Billing Project Performance Reporting Purchasing Self-service Procurement Sourcing Customer Master Sales Marketing Project Control Project Integration Gateway Project Contracts Procurement Contracts Supplier Portal Spend & Performance Analysis Incentive Compensation Mobile & Outlook Integration Territory & Quota Mgmt KPIs, Dashboards, & Extensibility FW KPIs, Dashboards, & Extensibility FW KPIs, Dashboards, & Extensibility FW Oracle Fusion GRC Financial Compliance Issue & Risk Manager Access Controls Transaction Controls Configuration Controls KPIs, Dashboards, & Extensibility FW

17 Fusion Applications Complete, Modular Suite of Applications Oracle Fusion Financial Management Oracle Fusion Human Capital Management Oracle Fusion Supply Chain Management General Ledger Accounts Payable Asset Management Global Human Resources Workforce Lifecycle Management Benefits Product Master Management Distributed Order Orchestration Global Order Promising Payments & Collections Accounts Receivable Cash & Expense Management Compensation Management Talent Review Performance & Goal Mgmt Inventory Management Cost Management Shipping & Receiving Common Modules KPIs, Dashboards, & Extensibility FW Global Payroll Work KPIs, Dashboards, & Extensibility KPIs, Dashboards, & Extensibility FW Oracle Fusion Project Portfolio Management Oracle Fusion Procurement Project Costing Project Billing Project Performance Reporting Purchasing Self-service Procurement Sourcing Project Control Project Integration Gateway Project Contracts Procurement Contracts Supplier Portal Spend & Performance Analysis KPIs, Dashboards, & Extensibility FW KPIs, Dashboards, & Extensibility FW Oracle Fusion GRC Financial Compliance Issue & Risk Manager Access Controls Transaction Controls Configuration Controls KPIs, Dashboards, & Extensibility FW

18 Komplexní pohled na bezpečnost Centrální řízení centrální vynucení, řízení autentizace, autorizace, auditu centralizovaně Konzistentní bezpečnostní politiky Autorizační politiky jsou externí, mimo aplikaci a použitelné přes všechny aplikace. Automatizace životního cyklu správa uživatelských účtů, CRUD, by se neměly řešit v aplikaci! Cloud umožňuje vývojářům se znovu zamyslet nad bezpečností identita a kontext je bod kontroly, který poskytuje celkový pohled a redukuje fragmentaci mezi aplikacemi.

19 Platform Security: User Provisioning Service Automatizace User Provisioning Vytvoření, změna, smazání identity Virtualizace identit Správa osiřelých účtů Řízeno workflow Flexibilní procesy Schvalování Řízeno politikami Politiky hesel Podpora pro Role Based Access Control Změna Vytvoření Smazání

20 Platform Security: Přihlašování Autentizace a standardy Zjednodušuje integraci Federovaný sign - on Samoobslužná správa hesel Password reset Změny hesel Vynucení politik silných hesel Vícefaktorová autentizace Identity proofing Shoda s předpisy Sign-on Policy Password Management

21 Platform Security: Deklarativní bezpečnost Externí autorizace Standardy XACML NIST ABAC a RBAC Separation of Duties Prebetivní a detektivní Funkční a datová bezpečnost Integrace s ADF Snižuje náklady na vývoj Snižuje složitost SOD Roles Policy Enforcement

22 Platform Security: Identity Provider Service Zabezpečuje uživatelské informace Ochrana privátních uživatelských dat Externalizace identit Jednotný pohled na uživatele Jeden účet pro více aplikací Zjednodušuje audit Jeden bod pro ukončení přístupů Jeden bod pro audit Privacy Virtualized Identity

23 Vybrané požadavky zákazníků

24 Audit přístupů k citlivým údajům DB Audit log HR je aplikační účet SQL> select username, client_id, sql_text from dba_audit_trail; USERNAME CLIENT_ID SQL_TEXT HR select * from employees Propagace identity v rámci IT Desktop, middleware, service bus, middleware, ERP, DB SQL> select username, client_id, sql_text from dba_audit_trail; USERNAME CLIENT_ID SQL_TEXT HR anovak select * from employees

25 Prezentace Procesy Logika Klienti Browser Application Client Portal WSRP WSRP Aplikační účty Process Process Aplikační účty Aplikační účty Adapter Identity/ Policy Mainframes bases Legacy App Mobile App Přenos identity přes vrstvy

26 Prezentace Procesy Logika Klienti Browser Application Client Portal WSRP WSRP Aplikační účty Process Process Aplikační účty Aplikační účty Adapter Identity/ Policy Mainframes bases Legacy App Mobile App Cache zde? Audit zde?

27 Prezentace Procesy Logika Klienti Browser Application Client Portal WSRP WSRP Process Identity/ Policy Mainframes bases Process Adapter Legacy App Mobile App Získání informací o identitě Hesla, OTP, NTLM, Kerberos, certifikáty, SecurID Výsledkem je session nebo i Single Sign On cookie Access Management, adresářové služby

28 Prezentace Procesy Logika Klienti Browser Application Client Portal WSRP WSRP Process Identity/ Policy Mainframes bases Process Adapter Legacy App Mobile App Typicky mám session nebo SSO cookie Transformace na SAML token Secure Token Service Logic SAML Credential Mapper

29 Prezentace Procesy Logika Klienti Browser Application Client Portal WSRP WSRP Process Identity/ Policy Mainframes bases Process Adapter Legacy App Mobile App SAML token, Username token Logic SAML Asserter Oracle Enterprise Gateway

30 Prezentace Procesy Logika Klienti Browser Application Client Portal WSRP WSRP Process bases Process Mobile App Proxy autentizace Client Identifier

31 Když to nejde... Klienti SAP SAP klient bases Omezení přístupů DB Vault, Advanced Security

32 Závěr Skoro 30 produktů na bezpečnost + HW + OS Od aplikací po pásky Kde začít s bezpečností? Privátní show Insight, discovery workshop Školení Oracle Služby, workshopy, doporučení, studie Expert nebo ACS audit databáze

33