9. listopadu, 2011 Hotel Marriott Praha Komplexní přístup k bezpečnosti Aleš Novák
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle s products remains at the sole discretion of Oracle.
Agenda Úvod Novinky Služby Produkty Bezpečnost v prostředí Cloud Computing Quick Wins
Komplexní bezpečnost Identity Management Databázová bezpečnost Bezpečná infrastruktura User Provisioning & správa rolí Identity and Access Governance Správa přístupů Adresářové služby Šifrování a maskování Kontrola privilegovaných uživatelů Více faktorová autentizace Audit, monitorování aktivit Zabezpečení konfigurací CPU, ASICs Operační systémy Virtualizace a hypervisory Ukládání dat, sítě
Kde začít? Oracle Insight Cca 5 man days Discovery workshop Boj proti společnému nepříteli Rozpočty
Cloud Computing a bezpečnost
Cloud computing a bezpečnost Bezpečnost v domácím IT některá témata se neřeší, např. šifrování dat, správa konfigurací a logů,... CC je třeba řešit vše Privátní cloud +bezpečnost, +provisioning, +elasticita, +účtování
Veřejný cloud a bezpečnost Orace On Demand LLG datacentrum v Linlithgow Organizační bezpečnost Klasifikace zdrojů a kontrola Bezpečnost lidských zdrojů Fyzická bezpečnost Komunikace a provoz Vynucení přístupových oprávnění Vývoj a údržba systémů Zajištění Business Continuity Shoda s předpisy Bezpečnostní politiky na straně zákazníků Oracle má certifikaci ISO 27001 pro On Demand zaměstnance, technologie a procesy.
Quick Wins
Oracle Enterprise Single Sign On Problémy s předpisy Zatížení HelpDesku Produktivita práce Rostoucí rizika Zajistit pravidla pro GRC 20% redukce volání Rychlý přístup k aplikacím Jednoduchý a bezpečný přístup Vyhnout se pokutám, procesům, ztrátám Silná autentizace Eliminace výpadků z důvodu zamknutých účtů Vynucení pravidel pro složitost hesel
Důvody k nasazení - bezpečnost Špatná správa hesel znamená horší bezpečnost Zranitelnost slabých hesel Silná hesla se špatně pamatují Synchroizace hesel = Klíče ke království Přínosy Vynucuje silné politiky hesel pro všechny aplikace Dodržuje pravidla pro změny hesel
Důvody k nasazení - ROI Zaměstnanci a správa hesel Komplexní userid / heslo se jen těžko pamatuje. Výsledkem je zamknutí účtu a volání na HelpDesk Přínosy Snížení nároků na HelpDesk o 20% Samoobsluha pro Windows password reset Ostatní hesla si pamatuje ESSO Poskytuje okamžitý bezproblémový přístup k aplikacím
Architektura ESSO Admin Console ESSO-LM Agent Client PC
Jsme úspěšní! Historie Passlogix založen 1996 6 produktů Market leader 20 million+ prodaných licencí 1,500+ enterprise zákazníků 10,000 aplikací Patentovaná technologie Rychlé nasazení Kumulativní # prodaných licencí
Quick Wins II
Problém a požadavky na řešení Zabezpečení webových služeb SOA infrastruktura se řeší za pomoci webových služeb Zabezpečení přístupu k webovým službám Zaměření na DMZ (první linie obrany) Optimalizace web service volání (XML akcelerace) Standardy pro WS Transportní a message level Detekce nekalých aktivit Podpora různých klientů Browser, aplikace
Oracle hloubková obrana First Line Of Defense Web Services Virtualization Last-Mile Security Web Client (Browser) Web Service Client Web Service Client Web Service Client HTTP GET/POST REST XML SOAP Oracle Enterprise Gateway OSB With OWSM Extension OWSM Agent OWSM Agent Web Service Web Service Web Service Client JMS Internet Company s DMZ Company s Green Zone
Představení Oracle Enterprise Gateway Klíčové vlastnosti První linie obrany XML firewalling Transport a message security Zrychlené / akcelerované zpracování XML Governance
První linie obrany XML Firewalling XML content útoky Kontrola formátování XML; kontrola velikosti XML; XPath a XQuery injection; SQL injection; XML encapsulation; XML viruses Skenování odchozích zpráv na citlivé informace Detekce XML bomb Útoky na XML schema a DTD Schema a DTD validace Kryptografické útoky Public Keys Message replay Útoky na SOAP Filtrování SOAP operací Filtrování SOAP attachments (např. viry) Communication attacks HTTP header and query string analysis Filtrování IP adres Traffic throttling - DoS
První linie obrany Transport and Message Security Podpora pro standardní formáty zpráv: Plain XML (POX), SOAP, REST, Ajax, JSON Podpora pro bezpečnostní standardy SSL WS-Security (SOAP security extension) WS-Policy (Oracle Fusion Middleware s policy model) WS-I BSP (interoperability) FIPS (Federal) Industry-standard security tokens SAML, Kerberos, X.509 Industry-standard transport protocols HTTP, JMS, IBM WebSphere MQ, FTP, Tibco, SMTP
Akcelerace zpracování XML Process offloading Offload prostředků na aplikačních serverech XML akcelerace Patentovaný acceleration engine Rychlá XML validace Rychlé zpracování XML query a transformací
Governance Governance v nasazení SOA Přístup na služby Použití služeb Dostupnost Uzavřený cyklus Komunikace s Oracle Service Registry Publikování metrik do Oracle Enterprise Manageru
OEG shrnutí Známe mnoho komplexních útoků na XML a webové služby Obrana vlastními silami je složitá Připraveno pro cloud čistě SW, funguje v rámci všech běžných VM Přidaná hodnota Bezpečnost rychle Governance
Quick Wins III
Oracle Identity Analytics 11g Zdroje dat Oracle Identity Manager Oracle Access Manager Identity Warehouse Analytika Certifikace přístupů Monitorování politik IT auditu Správa rolí Analytika Nástěnky a reporty Automatizace certifikací, monitoring Access Certification, IT Audit Policy Monitoring, Closed-loop Remediation Správa rolí Změnové řízení, atestace, konsolidace a audit, role mining Identity warehouse Analýzy, mining, korelace, reporty
OIA Identity Governance Pravidla pro uživatele, role a aplikace Vynucení pravidel atestace, close loop remediation Monitoring pravidelné importy a skenování dat
Identity Governance OIA Nasazení cca týdny Import uživatelů, např. txt soubor Importy a korelace účtů, např. z AD Role mining oddělení x oprávnění v aplikacích Konzultace s vedením z businessu role x procesy Výsledek = přehled o přístupech, OK x KO
Identity Management x Identity Analytics Online x offline Integrace systémů Měsíce vs. týdny Zákon č. 101 / osobní údaje
Identity Analytics Uplatnění Zákon č. 101/2000 Sb Povinnosti osob při zabezpečení osobních údajů 13 zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby
Identity Analytics Uplatnění Kritická infrastruktura Energetika, zdravotnictví, potraviny, zemědělství, komunikace, telekomunikace, finančnictví http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=com:2011:0163:fin:cs:pdf
Závěr Skoro 30 produktů na bezpečnost + HW + OS Od aplikací po pásky Kde začít s bezpečností? Privátní show Insight, discovery workshop Školení Oracle Služby, workshopy, doporučení, studie Expert Services nebo ACS