Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general...
Transcript of Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general...
![Page 1: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/1.jpg)
Komplexní přístup k bezpečnosti
Aleš Novák
Bratislava
![Page 2: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/2.jpg)
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
![Page 3: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/3.jpg)
<Insert Picture Here>
Agenda
• Úvod
• Novinky
• Služby
• Produkty
• Vybrané požadavky zákazníků
• Audit, Propagace identity
![Page 4: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/4.jpg)
Komplexní bezpečnost
Identity
Management
Databázová
bezpečnost
Bezpečná
infrastruktura
• User Provisioning & správa rolí
• Identity and Access Governance
• Správa přístupů
• Adresářové služby
• Šifrování a maskování
• Kontrola privilegovaných uživatelů
• Více faktorová autentizace
• Audit, monitorování aktivit
• Zabezpečení konfigurací
• CPU, ASICs
• Operační systémy
• Virtualizace a hypervisory
• Ukládání dat, sítě
![Page 5: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/5.jpg)
• Oracle Insight
• Cca 5 man days
• Discovery workshop
• Boj proti společnému nepříteli
• Finanční ředitel
Kde začít?
![Page 6: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/6.jpg)
Oracle Enterprise Gateway
![Page 7: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/7.jpg)
Problém a požadavky na řešení
• Zabezpečení webových služeb
• SOA infrastruktura se řeší za pomoci webových služeb
• Zabezpečení přístupu k webovým službám
• Zaměření na DMZ (první linie obrany)
• Optimalizace web service volání (XML akcelerace)
• Standardy pro WS
• Transportní a message level
• Detekce nekalých aktivit
• Podpora různých klientů
• Browser, aplikace
![Page 8: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/8.jpg)
Oracle – hloubková obrana
Web
Service
Web Service
Client
Web Client
(Browser)
Web Service
Client
Web Service
Client
Web Service
Client
Web
Service
Oracle
Enterprise
Gateway
Company’s
DMZ
HTTP GET/POST
REST
XML
SOAP
JMS
OSB With
OWSM
Extension
OWSM
Agent
OWSM
Agent
Internet
First Line Of
Defense
Web Services
Virtualization
Last-Mile
Security
Company’s
“Green Zone”
![Page 9: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/9.jpg)
Představení Oracle Enterprise Gateway Highlights
• První linie obrany
• XML firewalling
• Transport a message security
• Zrychlené / akcelerované zpracování XML
• Governance
![Page 10: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/10.jpg)
První linie obrany XML Firewalling
• XML content útoky • Kontrola formátování XML; kontrola velikosti
XML; XPath a XQuery injection; SQL
injection; XML encapsulation; XML viruses
• Skenování odchozích zpráv na citlivé
informace
• Detekce XML bomb
• Útoky na XML schema a DTD • Schema a DTD validace
• Kryptografické útoky • Public Keys
• Message replay
• Útoky na SOAP • Filtrování SOAP operací
• Filtrování SOAP attachments (např. viry)
• Communication attacks • HTTP header and query string analysis
• Filtrování IP adres
• Traffic throttling - DoS
![Page 11: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/11.jpg)
První linie obrany Transport and Message Security
• Podpora pro standardní formáty zpráv:
• Plain XML (POX), SOAP, REST, Ajax, JSON
• Podpora pro bezpečnostní standardy
• SSL
• WS-Security (SOAP security extension)
• WS-Policy (Oracle Fusion Middleware’s policy model)
• WS-I BSP (interoperability)
• FIPS (Federal)
• Industry-standard security tokens
• SAML, Kerberos, X.509
• Industry-standard transport protocols
• HTTP, JMS, IBM WebSphere MQ, FTP, Tibco, SMTP
![Page 12: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/12.jpg)
Akcelerace zpracování XML
• Process offloading
• Offload prostředků na aplikačních serverech
• XML akcelerace
• Patentovaný acceleration engine
• Rychlá XML validace
• Rychlé zpracování XML query a transformací
![Page 13: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/13.jpg)
Governance
• Governance v nasazení SOA
• Přístup na služby
• Použití služeb
• Dostupnost
• Uzavřený cyklus • Komunikace s Oracle Service Registry
• Publikování metrik do Oracle Enterprise Manageru
![Page 14: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/14.jpg)
OEG shrnutí
• Známe mnoho komplexních útoků na XML a webové
služby
• Obrana vlastními silami je složitá
• Připraveno pro cloud – čistě SW, funguje v rámci
všech běžných VM
• Přidaná hodnota
• Bezpečnost rychle
• Governance
![Page 15: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/15.jpg)
Bezpečnost a Cloud
![Page 16: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/16.jpg)
Oracle Fusion Financial Management
General Ledger Accounts Payable
Payments & Collections
Asset Management
Accounts Receivable
Cash & Expense Management
Common Modules KPIs, Dashboards, & Extensibility FW
Oracle Fusion Human Capital Management
Oracle Fusion Supply Chain Management
Product Master Data Management
Distributed Order Orchestration
Inventory Management
Global Order Promising
Cost Management Shipping & Receiving
KPIs, Dashboards, & Extensibility FW
Oracle Fusion Project Portfolio Management
Project Costing Project Billing
Project Control
Project Performance
Reporting
Project Integration Gateway
Project Contracts
KPIs, Dashboards, & Extensibility FW
Oracle Fusion CRM
Customer Master Sales Marketing
Incentive Compensation
Mobile & Outlook Integration
Territory & Quota Mgmt
KPIs, Dashboards, & Extensibility FW
Financial Compliance
Issue & Risk Manager
Access Controls Transaction
Controls Configuration
Controls
KPIs, Dashboards, &
Extensibility FW
Oracle Fusion GRC
Fusion Applications Complete, Modular Suite of Applications
Global Human Resources
Workforce Lifecycle
Management Benefits
Compensation Management
Talent Review Performance
& Goal Mgmt
Global Payroll
Network @ Work KPIs,
Dashboards, & Extensibility
Oracle Fusion Procurement
Purchasing Self-service Procurement
Sourcing
Supplier Portal Spend &
Performance Analysis
KPIs, Dashboards, & Extensibility FW
Procurement Contracts
![Page 17: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/17.jpg)
Oracle Fusion Financial Management
General Ledger Accounts Payable
Payments & Collections
Asset Management
Accounts Receivable
Cash & Expense Management
Common Modules KPIs, Dashboards, & Extensibility FW
Oracle Fusion Human Capital Management
Oracle Fusion Supply Chain Management
Product Master Data Management
Distributed Order Orchestration
Inventory Management
Global Order Promising
Cost Management Shipping & Receiving
KPIs, Dashboards, & Extensibility FW
Oracle Fusion Project Portfolio Management
Project Costing Project Billing
Project Control
Project Performance
Reporting
Project Integration Gateway
Project Contracts
KPIs, Dashboards, & Extensibility FW
Financial Compliance
Issue & Risk Manager
Access Controls Transaction
Controls Configuration
Controls
KPIs, Dashboards, &
Extensibility FW
Oracle Fusion GRC
Fusion Applications Complete, Modular Suite of Applications
Global Human Resources
Workforce Lifecycle
Management Benefits
Compensation Management
Talent Review Performance
& Goal Mgmt
Global Payroll
Network @ Work KPIs,
Dashboards, & Extensibility
Oracle Fusion Procurement
Purchasing Self-service Procurement
Sourcing
Supplier Portal Spend &
Performance Analysis
KPIs, Dashboards, & Extensibility FW
Procurement Contracts
![Page 18: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/18.jpg)
! Cloud umožňuje vývojářům se znovu zamyslet nad bezpečností –
identita a kontext je bod kontroly, který poskytuje celkový pohled a
redukuje fragmentaci mezi aplikacemi.
Komplexní pohled na bezpečnost
• Centrální řízení – centrální vynucení, řízení
autentizace, autorizace, auditu centralizovaně
• Konzistentní bezpečnostní politiky –
Autorizační politiky jsou externí, mimo aplikaci a
použitelné přes všechny aplikace.
• Automatizace životního cyklu – správa
uživatelských účtů, CRUD, by se neměly řešit v
aplikaci
![Page 19: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/19.jpg)
• Automatizace User Provisioning
• Vytvoření, změna, smazání identity
• Virtualizace identit
• Správa osiřelých účtů
• Řízeno workflow
• Flexibilní procesy
• Schvalování
• Řízeno politikami
• Politiky hesel
• Podpora pro Role Based Access Control
Smazání
Změna
Vytvoření
Platform Security: User Provisioning Service
![Page 20: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/20.jpg)
• Autentizace a standardy
• Zjednodušuje integraci
• Federovaný sign - on
• Samoobslužná správa hesel
• Password reset
• Změny hesel
• Vynucení politik silných hesel
• Vícefaktorová autentizace
• Identity proofing
• Shoda s předpisy
Password
Management
Sign-on
Policy
Platform Security: Přihlašování
![Page 21: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/21.jpg)
• Standardy
• XACML
• NIST
• ABAC a RBAC
• Separation of Duties
• Prebetivní a detektivní
• Funkční a datová bezpečnost
• Integrace s ADF
• Snižuje náklady na vývoj
• Snižuje složitost
Policy
Enforcement
SOD
Roles
Platform Security: Deklarativní bezpečnost Externí autorizace
![Page 22: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/22.jpg)
• Zabezpečuje uživatelské informace
• Ochrana privátních uživatelských dat
• Externalizace identit
• Jednotný pohled na uživatele
• Jeden účet pro více aplikací
• Zjednodušuje audit
• Jeden bod pro ukončení přístupů
• Jeden bod pro audit
Virtualized
Identity
Privacy
Data
Platform Security: Identity Provider Service
![Page 23: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/23.jpg)
Vybrané požadavky zákazníků
![Page 24: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/24.jpg)
Audit přístupů k citlivým údajům
• DB Audit log – HR je aplikační účet
• Propagace identity v rámci IT • Desktop, middleware, service bus, middleware, ERP, DB
SQL> select username, client_id, sql_text from dba_audit_trail; USERNAME CLIENT_ID SQL_TEXT ------------------------- ---------------------- -------------------- HR select * from employees
SQL> select username, client_id, sql_text from dba_audit_trail; USERNAME CLIENT_ID SQL_TEXT ------------------------- ---------------------- -------------------- HR anovak select * from employees
![Page 25: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/25.jpg)
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
Aplik
ační ú
čty
Aplik
ační ú
čty
Aplik
ační ú
čty
Přenos identity přes vrstvy
![Page 26: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/26.jpg)
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
Aplik
ační ú
čty
Aplik
ační ú
čty
Aplik
ační ú
čty
Cache zde?
Audit zde
?
![Page 27: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/27.jpg)
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
Získání informací o identitě
Hesla, OTP, NTLM, Kerberos, certifikáty, SecurID
Výsledkem je session nebo i Single Sign On cookie
Access Management, adresářové služby
![Page 28: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/28.jpg)
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
Typicky mám session nebo SSO cookie
Transformace na SAML token – Secure Token Service
WebLogic SAML Credential Mapper
![Page 29: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/29.jpg)
Logika Prezentace
Application
Client
Browser
Klienti
Data
Legacy App
Mainframes
Databases
Identity/
Policy
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Data
Adapter
Data
Web
App
Process Web
Services
Mobile
Web
Services
SAML token, Username token
WebLogic SAML Asserter
Oracle Enterprise Gateway
![Page 30: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/30.jpg)
Logika Prezentace
Application
Client
Browser
Klienti
Data
Databases
Procesy
Portal
WSRP
WSRP
Process Web
Services
Web
Services
Web
App
Process Web
Services
Mobile
Web
Services
Proxy autentizace
Client Identifier
![Page 31: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/31.jpg)
Data
Databases
Když to nejde...
Klienti
SAP klient
Omezení přístupů
DB Vault, Advanced Security
SAP
![Page 32: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/32.jpg)
Závěr
• Skoro 30 produktů na bezpečnost + HW + OS
• Od aplikací po pásky
• Kde začít s bezpečností?
• Privátní show
• Insight, discovery workshop
• Školení
• Oracle
• Služby, workshopy, doporučení, studie
• Expert Services nebo ACS – audit databáze
![Page 33: Komplexní přístup k bezpečnosti - Oracle...The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated](https://reader034.fdocuments.us/reader034/viewer/2022052008/601ccaf94db344786c321ccb/html5/thumbnails/33.jpg)