Zabezpečení dat a zajištění oprávněných přístupů k Vašim aplikacím David Krch Technology Sales Consultant

Oracle – 30 let zkušeností Audit Vault Database Vault Content DB, Records DB Secure Enterprise Search Thor & Octet String (IdM Acquisitions) Phaos, Oblix, (IdM Acquisitions) Database CC Security Eval #18 (10g R1) Transparent Data Encryption VPD Column Sec Policies Fine Grained Auditing (9i) 1st Database Common Criteria (EAL4) Oracle Label Security (2000 8.1.7) Virtual Private Database (1998) Enterprise User Security (8i) Database Encryption API Kerberos Support (8i) Support for PKI Radius Authentication Network Encryption (Oracle7) Oracle Advanced Security introduced First Orange Book B1 evaluation (1993) Trusted Oracle7 MLS DB Government customer (CIA – Project Oracle) 2007 I like to show this slide to let customers know that Oracle has been working in the security space pretty much since day 1. The very first Oracle customers were in the government space. This close working relationship with customers has enabled Oracle to stay at the forefront of database security technology. As you can see we’ve delivered a great deal of technology over the years. Just recently we completed our 18th independent evaluation of the Oracle database. This was completed under the Common Criteria at EAL4. Some of you may see a few new things in the upper right hand corner. I’ll talk more about those later in the presentation. 1977 3

Agenda Nové možnosti v zabezpečení dat Centrální správa identit v heterogenním prostředí

<Insert Picture Here> Nové možnosti v zabezpečení dat

Odpovídá IT realitě v organizaci? Organizace Databázový administrátor Zodpovědnost za provoz databáze Bezpečnostní správce Pravidla zabezpečení dat – kdo, kdy, odkud může co provádět, další požadavky na IS Kontrola splnění definovaných pravidel Databáze Minimálně jeden má vždy plná zodpovědnost za zabezpečení i provoz databáze Jen statické přidělování práv – kdo může co provádět Nástroje pro správu

Oracle Database Vault Cíl Bezpečnostní správce Hlavní administrátor databáze Cíl Rozdělení zodpovědnosti Zavedení principu 4 očí Přesnější definice aplikačních DBA Bezpečnostní správce určuje pravidla pro každodenní operace db. správců Řízení přístupu dle pravidel Kdo, kdy, odkud, ... Specificky pro různé skupiny objektů Specificky pro různé příkazy Přesnější rozdělení funkcí jednotlivých databázových administrátorů Účetnictví FIN Sklady Administrátor Person. HR Mzdy Administrátor OLTP Jiné DWH Administrátor

Oracle Database Vault Nové mechanismy řízení přístupu Oblasti (Realm) – sada chráněných db. objektů, schémat a rolí Explicitně vyjmenovaní uživatelé autorizovaní pro práci s objekty Další pravidla pro řízení přístupu – na základě různých faktorů např. IP adresa klienta, datum, typ autentifikace, jméno uživatele/Proxy uživatele, jméno klientského programu, libovolné PL/SQL Příkazová pravidla – dále omezující spuštění jednotlivých databázových příkazů Database Vault definuje Bezpečnostní správce Běžné řízení přístup definuje Data a operace DBA

Oracle Database Vault Příklady implementovatelných omezení Administrátor může spravovat databázi atd., ale nevidí data vybraných tabulek Omezení možností vytváření uživatelů Přidělovat určitou roli smí jen aplikační administrátor, ne administrátor databáze Omezení přihlášení v určitou dobu, či z určité IP adresy Na provozních databázích lze rušit tabulky jen při upgrade aplikace

<Insert Picture Here> Centrální správa identit v heterogenním prostředí

Jak důležitá je pro vás správa uživatelů? Jak dlouho trvá zavedení nového zaměstnance do všech potřebných aplikací? Jak dlouho trvá jeho deaktivace v celém IS v případě ukončení pracovního poměru? Nemáte v systému „mrtvé duše“ s aktivním účtem? Můžete v případě incidentu okamžitě zjistit k jakým systémům má vybraný uživatel oprávnění? Kolik hesel do aplikací má Váš běžný uživatel? A nemá je náhodou někde napsané? Kolik procent času a zdrojů zabere Vašemu IT oddělení neustálé nastavování zapomenutých hesel uživatelů?

Správa uživatelů Tradiční způsob Aplikace 1 Aplikace 2 Aplikace 3 Správa uživatelů Správa uživatelů Správa uživatelů Samostatná správa pro jednotlivé aplikace a komponenty Vysoké náklady na správu (duplikace práce) Nekonzistentní informace Pomalá reakce na změnu Riziko ponechání přístupu neoprávněné osobě Špatná kontrola Správa uživatelů Správa uživatelů

Centrální evidence uživatelů Oracle Internet Directory LDAP v3 Uložení dat v Oracle DB Výkon Velké objemy dat Bezpečnost Dostupnost Aplikace 1 Aplikace 2 Aplikace 3 Adresářová služba (LDAP) Správa uživatelů Správa uživatelů Vyšší přehlednost Rychlejší reakce Efektivnější správa Jak řešit “nepřizpůsobivé“ aplikace? Jak řešit procesy?

Centrální správa identit v heterogenním prostředí Schvalovací procesy Flexibilní vícekrokové workflow: Pro každou událost lze definovat specifické workflow. Připravené procesy ověřené z předchozích implementací Samoobslužný webový přístup Administrátorské prostředí Personalistika Audit Identity Management Server Oracle Virtual Directory ADAPTERY Aplikace ERP Aplikace CRM Vlastní aplikace EMail Operační systémy LDAP V3 Oracle Internet Directory Osvědčená Oracle Internet Directory a to nejlepší z Oblix, Phaos, Thor Technologies, OctetString

Oracle Identity Management Externí uživatelé Interní uživatelé SOA aplikace Delegovaná správa Občané Podřízené organizace IT oddělení Zaměstnanci SOA aplikace Služba Identity Management Zabezpečení přístupu Ověření & jednotné přihlášení Autorizace Federovaná identita Správa identit Delegovaná administrace Samoregistrace, uživatelská samoobsluha Správa uživatelů a skupin Auditing a výkazy Monitoring a správa Definice a provoz automatizovaných procesů Adresářové služby LDAP adresář Metadata adresář Virtuální adresář Synchronizace s aplikacemi Obousměrná synchronizace Uživatelé, role, práva Nezávislé na cílové aplikaci Aplikace Systémy a úložiště ARCHITECTURE SLIDE ERP vlastní OS Personální systém Mainframe LDAP a jiné adresáře

Ministerstvo zemědělství Slovenské republiky PROBLÉM ŘEŠENÍ ORACLE Potřeba zprovoznění bezpečného systému pro správu a rozdělování dotací EU lokálním příjemcům na devíti pobočkách. Neexistence centrální správy žadatelů a jejich přístupových oprávnění do různých aplikací. Potřeba zajištění přístupu na základě rolí a profilů, zejména z důvodu práce s citlivými finančními údaji. V roce 2005 zvoleno řešení postavené na produktu Oracle Access Manager. Spravuje identity a zajišťuje přístup více než 2.000 uživatelů. Integrováno s Java aplikacemi, s Lotus Notes, Cisco Network Managerem a Oracle Forms. PŘÍNOSY ŘEŠENÍ Snížení provozních nákladů díky centralizaci správy uživatelů. Integrované a plně zabezpečené prostředí pro práci uživatelů s aplikacemi. Jednoduchá integrace a zabezpečení současných i budoucích aplikací.

Oracle Identity Management Pilotní projekt na městském úřadě 10.11.2006 úspěšně dokončen pilotní projekt v jednom z největších městských úřadů v ČR Řešení postaveno na produktech Oracle Access Manager a Oracle Internet Directory Implementován proces automatického zavedení nového zaměstnance z personálního systému OKinfo do všech adresářových služeb (Oracle Internet Directory, MS Active Directory, Sun One a Novell eDirectory).

Přínosem řešení Identity Management není jen vyšší bezpečnost... Povýšení správy uživatelů a jejich oprávnění na klíčový podnikový proces – možnost automatizace a důkladného monitoringu Okamžitý přehled o stavu IS z pohledu přístupových oprávnění – audity, výkazy, upozornění (e-mail, SMS, ...) Výrazné snížení provozních nákladů – až 30% práce IT oddělení se týká řešení požadavků uživatelů na přístup k aplikacím a na změnu zapomenutých hesel Zamezení neoprávněnému přístupu k podnikovým aplikacím a citlivým datům Zvýšení důvěryhodnosti organizace

Oracle – 30 let zkušeností Audit Vault Database Vault Content DB, Records DB Secure Enterprise Search Thor & Octet String (IdM Acquisitions) Phaos, Oblix, (IdM Acquisitions) Database CC Security Eval #18 (10g R1) Transparent Data Encryption VPD Column Sec Policies Fine Grained Auditing (9i) 1st Database Common Criteria (EAL4) Oracle Label Security (2000 8.1.7) Virtual Private Database (1998) Enterprise User Security (8i) Database Encryption API Kerberos Support (8i) Support for PKI Radius Authentication Network Encryption (Oracle7) Oracle Advanced Security introduced First Orange Book B1 evaluation (1993) Trusted Oracle7 MLS DB Government customer (CIA – Project Oracle) 2007 I like to show this slide to let customers know that Oracle has been working in the security space pretty much since day 1. The very first Oracle customers were in the government space. This close working relationship with customers has enabled Oracle to stay at the forefront of database security technology. As you can see we’ve delivered a great deal of technology over the years. Just recently we completed our 18th independent evaluation of the Oracle database. This was completed under the Common Criteria at EAL4. Some of you may see a few new things in the upper right hand corner. I’ll talk more about those later in the presentation. 1977 19