Bratislava
Komplexní přístup k bezpečnosti Aleš Novák
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Agenda • Úvod • Novinky • Služby • Produkty
• Vybrané požadavky zákazníků • Audit, Propagace identity
Komplexní bezpečnost
Identity Management
Databázová bezpečnost
Bezpečná infrastruktura
• • • •
User Provisioning & správa rolí Identity and Access Governance Správa přístupů Adresářové služby
• • • • •
Šifrování a maskování Kontrola privilegovaných uživatelů Více faktorová autentizace Audit, monitorování aktivit Zabezpečení konfigurací
• • • •
CPU, ASICs Operační systémy Virtualizace a hypervisory Ukládání dat, sítě
Kde začít?
• Oracle Insight • Cca 5 man days
• Discovery workshop • Boj proti společnému nepříteli • Finanční ředitel
Oracle Enterprise Gateway
Problém a požadavky na řešení
• Zabezpečení webových služeb • SOA infrastruktura se řeší za pomoci webových služeb • Zabezpečení přístupu k webovým službám • Zaměření na DMZ (první linie obrany) • Optimalizace web service volání (XML akcelerace)
• Standardy pro WS • Transportní a message level • Detekce nekalých aktivit
• Podpora různých klientů • Browser, aplikace
Oracle – hloubková obrana First Line Of Defense
Web Client (Browser) Web Service Client
Web Services Virtualization
Last-Mile Security
HTTP GET/POST
REST
XML
Web Service Client
Oracle Enterprise Gateway
SOAP
Web Service Client
Web Service Client
OSB With OWSM Extension
OWSM Agent
Web Service
OWSM Agent
Web Service
JMS
Internet
Company’s DMZ
Company’s “Green Zone”
Představení Oracle Enterprise Gateway Highlights • První linie obrany • XML firewalling • Transport a message security
• Zrychlené / akcelerované zpracování XML • Governance
První linie obrany XML Firewalling • XML content útoky • Kontrola formátování XML; kontrola velikosti XML; XPath a XQuery injection; SQL injection; XML encapsulation; XML viruses • Skenování odchozích zpráv na citlivé informace • Detekce XML bomb
• Útoky na XML schema a DTD • Schema a DTD validace
• Kryptografické útoky • Public Keys • Message replay
• Útoky na SOAP • Filtrování SOAP operací • Filtrování SOAP attachments (např. viry)
• Communication attacks • HTTP header and query string analysis • Filtrování IP adres • Traffic throttling - DoS
První linie obrany Transport and Message Security • Podpora pro standardní formáty zpráv: • Plain XML (POX), SOAP, REST, Ajax, JSON
• Podpora pro bezpečnostní standardy • • • • •
SSL WS-Security (SOAP security extension) WS-Policy (Oracle Fusion Middleware’s policy model) WS-I BSP (interoperability) FIPS (Federal)
• Industry-standard security tokens • SAML, Kerberos, X.509
• Industry-standard transport protocols • HTTP, JMS, IBM WebSphere MQ, FTP, Tibco, SMTP
Akcelerace zpracování XML • Process offloading • Offload prostředků na aplikačních serverech
• XML akcelerace • Patentovaný acceleration engine • Rychlá XML validace • Rychlé zpracování XML query a transformací
Governance • Governance v nasazení SOA • Přístup na služby • Použití služeb • Dostupnost
• Uzavřený cyklus • Komunikace s Oracle Service Registry • Publikování metrik do Oracle Enterprise Manageru
OEG shrnutí • Známe mnoho komplexních útoků na XML a webové služby • Obrana vlastními silami je složitá • Připraveno pro cloud – čistě SW, funguje v rámci všech běžných VM • Přidaná hodnota • Bezpečnost rychle • Governance
Bezpečnost a Cloud
Fusion Applications Complete, Modular Suite of Applications Oracle Fusion Human Capital Management
Oracle Fusion Financial Management
Oracle Fusion Supply Chain Management
General Ledger
Accounts Payable
Asset Management
Global Human Resources
Workforce Lifecycle Management
Benefits
Payments & Collections
Accounts Receivable
Cash & Expense Management
Compensation Management
Talent Review
Performance & Goal Mgmt
Global Payroll
Network @ Work
KPIs, Dashboards, & Extensibility
KPIs, Dashboards, & Extensibility FW
Common Modules
Oracle Fusion Project Portfolio Management
Product Master Distributed Order Data Management Orchestration Inventory Management
Cost Management
Global Order Promising
Shipping & Receiving
KPIs, Dashboards, & Extensibility FW
Oracle Fusion CRM
Oracle Fusion Procurement
Project Costing
Project Billing
Project Performance Reporting
Purchasing
Self-service Procurement
Sourcing
Customer Master
Sales
Marketing
Project Control
Project Integration Gateway
Project Contracts
Procurement Contracts
Supplier Portal
Spend & Performance Analysis
Incentive Compensation
Mobile & Outlook Integration
Territory & Quota Mgmt
KPIs, Dashboards, & Extensibility FW
KPIs, Dashboards, & Extensibility FW
Oracle Fusion GRC
Financial Compliance
Issue & Risk Manager
Access Controls
KPIs, Dashboards, & Extensibility FW
Transaction Controls
Configuration Controls
KPIs, Dashboards, & Extensibility FW
Fusion Applications Complete, Modular Suite of Applications Oracle Fusion Human Capital Management
Oracle Fusion Financial Management
Oracle Fusion Supply Chain Management
General Ledger
Accounts Payable
Asset Management
Global Human Resources
Workforce Lifecycle Management
Benefits
Payments & Collections
Accounts Receivable
Cash & Expense Management
Compensation Management
Talent Review
Performance & Goal Mgmt
Global Payroll
Network @ Work
KPIs, Dashboards, & Extensibility
KPIs, Dashboards, & Extensibility FW
Common Modules
Oracle Fusion Project Portfolio Management
Inventory Management
Cost Management
Global Order Promising
Shipping & Receiving
KPIs, Dashboards, & Extensibility FW
Oracle Fusion Procurement
Project Costing
Project Billing
Project Performance Reporting
Purchasing
Self-service Procurement
Sourcing
Project Control
Project Integration Gateway
Project Contracts
Procurement Contracts
Supplier Portal
Spend & Performance Analysis
KPIs, Dashboards, & Extensibility FW
KPIs, Dashboards, & Extensibility FW
Oracle Fusion GRC
Product Master Distributed Order Data Management Orchestration
Financial Compliance
Issue & Risk Manager
Access Controls
Transaction Controls
Configuration Controls
KPIs, Dashboards, & Extensibility FW
Komplexní pohled na bezpečnost • Centrální řízení – centrální vynucení, řízení autentizace, autorizace, auditu centralizovaně • Konzistentní bezpečnostní politiky – Autorizační politiky jsou externí, mimo aplikaci a použitelné přes všechny aplikace. • Automatizace životního cyklu – správa uživatelských účtů, CRUD, by se neměly řešit v aplikaci
!
Cloud umožňuje vývojářům se znovu zamyslet nad bezpečností – identita a kontext je bod kontroly, který poskytuje celkový pohled a redukuje fragmentaci mezi aplikacemi.
Platform Security: User Provisioning Service • Automatizace User Provisioning • Vytvoření, změna, smazání identity • Virtualizace identit • Správa osiřelých účtů
• Řízeno workflow • Flexibilní procesy • Schvalování
• Řízeno politikami • Politiky hesel • Podpora pro Role Based Access Control
Vytvoření
Změna
Smazání
Platform Security: Přihlašování • Autentizace a standardy • Zjednodušuje integraci • Federovaný sign - on
• Samoobslužná správa hesel • Password reset • Změny hesel • Vynucení politik silných hesel
• Vícefaktorová autentizace • Identity proofing • Shoda s předpisy
Policy
Sign-on
Password Management
Platform Security: Deklarativní bezpečnost Externí autorizace • Standardy • XACML • NIST • ABAC a RBAC
• Separation of Duties • Prebetivní a detektivní • Funkční a datová bezpečnost
• Integrace s ADF • Snižuje náklady na vývoj • Snižuje složitost
Roles
SOD Policy Enforcement
Platform Security: Identity Provider Service • Zabezpečuje uživatelské informace • Ochrana privátních uživatelských dat
Data
• Externalizace identit • Jednotný pohled na uživatele • Jeden účet pro více aplikací
• Zjednodušuje audit • Jeden bod pro ukončení přístupů • Jeden bod pro audit
Privacy Virtualized Identity
Vybrané požadavky zákazníků
Audit přístupů k citlivým údajům • DB Audit log – HR je aplikační účet SQL> select username, client_id, sql_text from dba_audit_trail; USERNAME CLIENT_ID SQL_TEXT ------------------------- ---------------------- -------------------HR select * from employees
• Propagace identity v rámci IT • Desktop, middleware, service bus, middleware, ERP, DB SQL> select username, client_id, sql_text from dba_audit_trail; USERNAME CLIENT_ID SQL_TEXT ------------------------- ---------------------- -------------------HR anovak select * from employees
Prezentace
Mobile
WSRP
Web App
Process
Web Services Web Services
Web Services
Data
Aplikační účty
Application Client
WSRP
Process
Aplikační účty
Browser
Portal
Aplikační účty
Klienti
Logika
Procesy
Web Services
Přenos identity přes vrstvy
Identity/ Policy Data
Mainframes
Data
Databases
Adapter
Legacy App
Prezentace
Mobile
WSRP
Web App
Cache zde?
Process
Web Services Web Services
Web Services
Data
Aplikační účty
Application Client
WSRP
Process
Aplikační účty
Browser
Portal
Aplikační účty
Klienti
Logika
Procesy
Identity/ Policy Data
Mainframes
Data
Databases
Adapter
Legacy App
Web Services
Audit zde
?
Prezentace Klienti Browser
Application Client
Portal
Procesy
Process
Web Services
WSRP
Data Identity/ Policy Data
Mainframes
Web Services WSRP
Process Mobile
Logika
Web App
Web Services
Data
Databases
Adapter
Legacy App
Web Services
Získání informací o identitě Hesla, OTP, NTLM, Kerberos, certifikáty, SecurID Výsledkem je session nebo i Single Sign On cookie Access Management, adresářové služby
Prezentace Klienti Browser
Application Client
Portal
Procesy
Process
Web Services
WSRP
Data Identity/ Policy Data
Mainframes
Web Services WSRP
Process Mobile
Logika
Web App
Web Services
Data
Databases
Adapter
Legacy App
Web Services
Typicky mám session nebo SSO cookie Transformace na SAML token – Secure Token Service WebLogic SAML Credential Mapper
Prezentace Klienti Browser
Application Client
Portal
Procesy
Process
Web Services
WSRP
Data Identity/ Policy Data
Mainframes
Web Services WSRP
Process Mobile
Logika
Web App
Web Services
Data
Databases
Adapter
Legacy App
Web Services
SAML token, Username token WebLogic SAML Asserter Oracle Enterprise Gateway
Prezentace Klienti Browser
Application Client
Portal
Procesy
Process
Data
Web Services
WSRP
Web Services WSRP
Databases
Process Mobile
Logika
Web App
Web Services
Web Services
Proxy autentizace Client Identifier
Když to nejde... Data
Klienti SAP klient
SAP Databases
Omezení přístupů DB Vault, Advanced Security
Závěr • Skoro 30 produktů na bezpečnost + HW + OS • Od aplikací po pásky
• Kde začít s bezpečností? • Privátní show • Insight, discovery workshop • Školení
• Oracle • Služby, workshopy, doporučení, studie • Expert Services nebo ACS – audit databáze
