Embed Size (px)
Citation preview
Komplexní přístup k bezpečnosti
Aleš Novák
Bratislava
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
<Insert Picture Here>
Agenda
• Úvod
• Novinky
• Služby
• Produkty
• Vybrané požadavky zákazníků
• Audit, Propagace identity
Komplexní bezpečnost
Identity
Management
Databázová
bezpečnost
Bezpečná
infrastruktura
• User Provisioning & správa rolí
• Identity and Access Governance
• Správa přístupů
• Adresářové služby
• Šifrování a maskování
• Kontrola privilegovaných uživatelů
• Více faktorová autentizace
• Audit, monitorování aktivit
• Zabezpečení konfigurací
• CPU, ASICs
• Operační systémy
• Virtualizace a hypervisory
• Ukládání dat, sítě
• Oracle Insight
• Cca 5 man days
• Discovery workshop
• Boj proti společnému nepříteli
• Finanční ředitel
Kde začít?
Oracle Enterprise Gateway
Problém a požadavky na řešení
• Zabezpečení webových služeb
• SOA infrastruktura se řeší za pomoci webových služeb
• Zabezpečení přístupu k webovým službám
• Zaměření na DMZ (první linie obrany)
• Optimalizace web service volání (XML akcelerace)
• Standardy pro WS
• Transportní a message level
• Detekce nekalých aktivit
• Podpora různých klientů
• Browser, aplikace
Oracle – hloubková obrana
Web
Service
Web Service
Client
Web Client
(Browser)
Web Service
Client
Web Service
Client
Web Service
Client
Web
Service
Oracle
Enterprise
Gateway
Company’s
DMZ
HTTP GET/POST
REST
XML
SOAP
JMS
OSB With
OWSM
Extension
OWSM
Agent
OWSM
Agent
Internet
First Line Of
Defense
Web Services
Virtualization
Last-Mile
Security
Company’s
“Green Zone”
Představení Oracle Enterprise Gateway Highlights
• První linie obrany
• XML firewalling
• Transport a message security
• Zrychlené / akcelerované zpracování XML
• Governance
První linie obrany XML Firewalling
• XML content útoky • Kontrola formátování XML; kontrola velikosti
XML; XPath a XQuery injection; SQL
injection; XML encapsulation; XML viruses
• Skenování odchozích zpráv na citlivé
informace
• Detekce XML bomb
• Útoky na XML schema a DTD • Schema a DTD validace
• Kryptografické útoky • Public Keys
• Message replay
• Útoky na SOAP • Filtrování SOAP operací
• Filtrování SOAP attachments (např. viry)
• Communication attacks • HTTP header and query string analysis
• Filtrování IP adres
• Traffic throttling - DoS
První linie obrany Transport and Message Security
• Podpora pro standardní formáty zpráv:
• Plain XML (POX), SOAP, REST, Ajax, JSON
• Podpora pro bezpečnostní standardy
• SSL
• WS-Security (SOAP security extension)
• WS-Policy (Oracle Fusion Middleware’s policy model)
• WS-I BSP (interoperability)
• FIPS (Federal)
• Industry-standard security tokens
• SAML, Kerberos, X.509
• Industry-standard transport protocols
• HTTP, JMS, IBM WebSphere MQ, FTP, Tibco, SMTP
Akcelerace zpracování XML
• Process offloading
• Offload prostředků na aplikačních serverech
• XML akcelerace
• Patentovaný acceleration engine
• Rychlá XML validace
• Rychlé zpracování XML query a transformací
Governance
• Governance v nasazení SOA
• Přístup na služby
• Použití služeb
• Dostupnost
• Uzavřený cyklus • Komunikace s Oracle Service Registry
• Publikování metrik do Oracle Enterprise Manageru
OEG shrnutí
• Známe mnoho komplexních útoků na XML a webové
služby
• Obrana vlastními silami je složitá
• Připraveno pro cloud – čistě SW, funguje v rámci
všech běžných VM
• Přidaná hodnota
• Bezpečnost rychle
• Governance
Bezpečnost a Cloud
Oracle Fusion Financial Management
General Ledger Accounts Payable
Payments & Collections
Asset Management
Accounts Receivable
Cash & Expense Management
Common Modules KPIs, Dashboards, & Extensibility FW
Oracle Fusion Human Capital Management
Oracle Fusion Supply Chain Management
Product Master Data Management
Distributed Order Orchestration
Inventory Management
Global Order Promising
Cost Management Shipping & Receiving
KPIs, Dashboards, & Extensibility FW
Oracle Fusion Project Portfolio Management
Project Costing Project Billing
Project Control
Project Performance
Reporting
Project Integration Gateway
Project Contracts
KPIs, Dashboards, & Extensibility FW
Oracle Fusion CRM
Customer Master Sales Marketing
Incentive Compensation
Mobile & Outlook Integration
Territory & Quota Mgmt
KPIs, Dashboards, & Extensibility FW
Financial Compliance
Issue & Risk Manager
Access Controls Transaction
Controls Configuration
Controls
KPIs, Dashboards, &
Extensibility FW
Oracle Fusion GRC
Fusion Applications Complete, Modular Suite of Applications
Global Human Resources
Workforce Lifecycle
Management Benefits
Compensation Management
Talent Review Performance
& Goal Mgmt
Global Payroll
Network @ Work KPIs,
Dashboards, & Extensibility
Oracle Fusion Procurement
Purchasing Self-service Procurement
Sourcing
Supplier Portal Spend &
Performance Analysis
KPIs, Dashboards, & Extensibility FW
Procurement Contracts
Oracle Fusion Financial Management
General Ledger Accounts Payable
Payments & Collections
Asset Management
Accounts Receivable
Cash & Expense Management
Common Modules KPIs, Dashboards, & Extensibility FW
Oracle Fusion Human Capital Management
Oracle Fusion Supply Chain Management
Product Master Data Management
Distributed Order Orchestration
Inventory Management
Global Order Promising
Cost Management Shipping & Receiving
KPIs, Dashboards, & Extensibility FW
Oracle Fusion Project Portfolio Management
Project Costing Project Billing
Project Control
Project Performance
Reporting
Project Integration Gateway
Project Contracts
KPIs, Dashboards, & Extensibility FW
Financial Compliance
Issue & Risk Manager
Access Controls Transaction
Controls Configuration
Controls
KPIs, Dashboards, &
Extensibility FW
Oracle Fusion GRC
Fusion Applications Complete, Modular Suite of Applications
Global Human Resources
Workforce Lifecycle
Management Benefits
Compensation Management
Talent Review Performance
& Goal Mgmt
Global Payroll
Network @ Work KPIs,
Dashboards, & Extensibility
Oracle Fusion Procurement
Purchasing Self-service Procurement
Sourcing
Supplier Portal Spend &
Performance Analysis
KPIs, Dashboards, & Extensibility FW
Procurement Contracts
! Cloud umožňuje vývojářům se znovu zamyslet nad bezpečností –
identita a kontext je bod kontroly, který poskytuje celkový pohled a
redukuje fragmentaci mezi aplikacemi.
Komplexní pohled na bezpečnost
• Centrální řízení – centrální vynucení, řízení
autentizace, autorizace, auditu centralizovaně
• Konzistentní bezpečnostní politiky –
Autorizační politiky jsou externí, mimo aplikaci a
použitelné přes všechny aplikace.
• Automatizace životního cyklu – správa
uživatelských účtů, CRUD, by se neměly řešit v
aplikaci
• Automatizace User Provisioning
• Vytvoření, změna, smazání identity
• Virtualizace identit
• Správa osiřelých účtů
• Řízeno workflow
• Flexibilní procesy
• Schvalování
• Řízeno politikami
• Politiky hesel
• Podpora pro Role Based Access Control
Smazání
Změna
Vytvoření
Platform Security: User Provisioning Service
• Autentizace a standardy
• Zjednodušuje integraci
• Federovaný sign - on
• Samoobslužná správa hesel
• Password reset
• Změny hesel
• Vynucení politik silných hesel
• Vícefaktorová autentizace
• Identity proofing
• Shoda s předpisy
Password
Management
Sign-on
Policy
Platform Security: Přihlašování
• Standardy
• XACML
• NIST
• ABAC a RBAC
• Separation of Duties
• Prebetivní a detektivní
• Funkční a datová bezpečnost
• Integrace s ADF
• Snižuje náklady na vývoj
• Snižuje složitost
Policy
Enforcement
SOD
Roles
Platform Security: Deklarativní bezpečnost Externí autorizace
• Zabezpečuje uživatelské informace
• Ochrana privátních uživatelských dat
• Externalizace identit
• Jednotný pohled na uživatele
• Jeden účet pro více aplikací
• Zjednodušuje audit
• Jeden bod pro ukončení přístupů
• Jeden bod pro audit
Virtualized
Identity
Privacy
Data
Platform Security: Identity Provider Service
Vybrané požadavky zákazníků
Audit přístupů k citlivým údajům
• DB Audit log – HR je aplikační účet
• Propagace identity v rámci IT • Desktop, middleware, service bus, middleware, ERP, DB
SQL> select username, client_id, sql_text from dba_audit_trail; USERNAME CLIENT_ID SQL_TEXT ------------------------- ---------------------- -------------------- HR select * from employees
SQL> select username, client_id, sql_text from dba_audit_trail; USERNAME CLIENT_ID SQL_TEXT ------------------------- ---------------------- -------------------- HR anovak select * from employees
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
Aplik
ační ú
čty
Aplik
ační ú
čty
Aplik
ační ú
čty
Přenos identity přes vrstvy
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
Aplik
ační ú
čty
Aplik
ační ú
čty
Aplik
ační ú
čty
Cache zde?
Audit zde
?
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
Získání informací o identitě
Hesla, OTP, NTLM, Kerberos, certifikáty, SecurID
Výsledkem je session nebo i Single Sign On cookie
Access Management, adresářové služby
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
Typicky mám session nebo SSO cookie
Transformace na SAML token – Secure Token Service
WebLogic SAML Credential Mapper
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
SAML token, Username token
WebLogic SAML Asserter
Oracle Enterprise Gateway
Logika Prezentace
Application
Client
Browser
Klienti
Data
Databases
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Web
App
Process Web
Services
Mobile
Web
Services
Proxy autentizace
Client Identifier
Data
Databases
Když to nejde...
Klienti
SAP klient
Omezení přístupů
DB Vault, Advanced Security
SAP
Závěr
• Skoro 30 produktů na bezpečnost + HW + OS
• Od aplikací po pásky
• Kde začít s bezpečností?
• Privátní show
• Insight, discovery workshop
• Školení
• Oracle
• Služby, workshopy, doporučení, studie
• Expert Services nebo ACS – audit databáze
