Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и соблюдение законодательства с помощью решений Oracle"

Copyright © 2015 Oracle and/or its affiliates. All rights reserved. |
Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied upon
in making purchasing decisions. The development, release, and timing of any features or
functionality described for Oracle’s products remains at the sole discretion of Oracle.
2

Защита информации, новые
возможности для бизнеса
и соблюдение законодательства
с помощью решений Oracle
Андрей Гусаков,
руководитель группы Информационная Безопасность
технологического консалтинга
Уфа, 11 февраля 2016 года

Взаимоотношения с клиентами
через социальные сервисы
Дистанционное
Банковское
Обслуживание
Производственные
сервисы
Трансформация
бизнеса и
модификация
приложений
Услуги для
граждан
Поддержка
мобильной
среды
Доступ к
медицинским
данным
Розничная торговля
Облачные сервисы
МЫ НАБЛЮДАЕМ
НАИБОЛЕЕ
ЗНАЧИТЕЛЬНОЕ
ЗА
Контент по
подписке

IDSAntivirus,
DLP, VPN
Отдел безопасности не всегда готов к решению новых
задач в области защиты информации
Пользователи
портативных и
стационарных
компьютеров
LDAP
Бизнес-приложения
и другие гетерогенные
информационные системы;
корпоративные web-сервисы
Intranet Web Tier Application Tier Data Tier
Сетевойшлюз/Балансировщикнагрузки
Web-сервисы
Внешние
пользователи
мобильных
устройств и
социальных сетей
HTTP/REST
OAuth
JMS - SOAP
Корпоративные
мобильных
устройств
Public Zone &
Как навести порядок в
существующих учетных
записях и предоставить
пользователям средства
самообслуживания?
Как защитить
данные от
угроз?
Как контролировать
доступ, обеспечивать
SSO и предотвращать
мошенничество?
Как обеспечить
соответствие
требованиям, избежав
модификации
и сертификации
приложений?
Как безопасно
реализовать
концепцию
BYOD?

Направление Oracle Enterprise Security
• Разработка и поддержка каждого слоя
в стеке продуктов для облака
– Оборудование
– Операционные системы (Solaris, Linux)
– Серверы (БД, MySQL, WebLogic)
– Tools (BI, Identity Management,…)
• Oracle – эксперт
– Архитектура, возможности
– Методология внедрения
– Настройка и внедрение
• Oracle ведет свой бизнес, основываясь
на использовании своих продуктов
• Наш бизнес непосредственно зависит от
надежности наших же средств
безопасности
– Защита интеллектуальной собственности
– Защита важных корпоративных данных
• Тысячи клиентов
• 100’000+ сотрудников
• Наши Облачные ЦОД расположены в
разных странах по всему миру
– Обрабатывают информацию в режиме 24х7
– Неукоснительно и полно выполняются
нормативные и законодательные требования
этих стран
Ответ на требования рынка крупного вендора с опытом построения
масштабных корпоративных решений

МЕЖДУ СИСТЕМАМИНА КАЖДОМ УРОВНЕ МЕЖДУ УРОВНЯМИ
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
S E C U R I T Y
Безопасность нужна не только на периметре
OS & DB Sec tools, Java
(FMW) Security, GRC…
Enterprise Manager,
DB Firewall, API Gateway… IdM

Знакомство со средствами защиты приложений
Защита информации на уровне СУБД
Защита данных
СУБД
на уровне ядра
Public Zone &
Шлюз для анализа
SQL-трафика
Разработка,
Журналирование
• От обхода политик защиты СУБД
и политик защиты приложения
• От раскрытия данных при просмотре и экспорте
• От порчи журнальных файлов
См. видео на https://www.youtube.com/watch?v=vzoPwqz6oGs

Построение системы разделения полномочий
Identity Governance
Адаптеры для унаследованных систем
СУБД
Public Zone &
SQL-трафика
Directory
Services
Управление жизненным циклом учетных записей и
корпоративных ролей, процедурное использования
административных УЗ
Высокопроизводительные чтение и запись учетных
данных, их синхронизация и виртуализация

Контроль доступа пользователей, обеспечение SSO
Identity Governance
Access Management
Шлюздляконтролядоступа
пользователей
СУБД
Public Zone &
SQL-трафика
Directory
Services
Защита web-ресурсов,
усиленная
аутентификация, выдача
и трансформация
токенов, управление
сессиями, федеративные
и социальные SSO,
выявление
мошенничества,
одноразовые пароли

Обеспечение безопасности внешних коммуникаций
Identity Governance
Серверазащитыweb-сервисов
иорганизациидоступавнешнихи
корпоративныхмобильныхклиентов
Access Management
СУБД
Public Zone &
SQL-трафика
Directory
Services
См. видео на https://www.youtube.com/watch?v=KXulA9DdsXs
Защита и
маршрути-
зация web-
сервисов с
учетом
контекста

Поддержка концепции BYOD, безопасность мобильных данных
Identity Governance
Access Management
Web-сервисы
Внешние
мобильных
HTTP/REST
OAuth
JMS - SOAP
СУБД
Public Zone &
SQL-трафика
Directory
Services
мобильных
устройств
Контейнер
для защиты
корпоративной
информации

Избавление от жестко прописанных правил авторизации
Identity Governance
Access Management
Агенты для
исполнения
политик
СУБД
Public Zone &
SQL-трафика
Directory
Services
мобильных
устройств
Контейнер
для защиты
корпоративной
информации
Web-сервисы
Внешние
мобильных
HTTP/REST
OAuth
JMS - SOAP

Взаимоотношения с клиентами
Дистанционное
Банковское
Обслуживание
Производственные
сервисы
Трансформация
бизнеса и
модификация
Услуги для
граждан
Поддержка
мобильной
среды
Доступ к
медицинским
данным
Розничная торговля
Облачные сервисы
СРЕДСТВА
БЕЗОПАСНОСТИ
ORACLE
ОБЕСПЕЧИВАЮТ
РЕАЛИЗАЦИЮ
БИЗНЕС-
ИНИЦИАТИВ
Контент по
подписке

Решения Oracle закрывают половину требований PCI DSS
http://security-orcl.blogspot.co.uk/2014/05/blog-post.html

…и требований Национальной Платежной Системы
http://security-orcl.blogspot.co.uk/2014/05/blog-post.html

Требования Российского законодательства
Информация (сведения)
Составляющие ГТ Не составляющие ГТ
Секретно Сов. секретно Конфиденциальная
Коммерческая
тайна
Н/Конф
Персональные
данные
Типы обрабатываемой информации

Системы сертификации СЗИ
ФСТЭК ФСБ МО Газпром
СЗИ СКЗИ
РД АС
РД СВТ
РД НДВ
РД МСЭ
СТР-К
СЗИ СЗИ
...
Требования
к АС
РД МО

Соответствие требованиям через экстернализацию средств
защиты приложений в сертифицированные решения Oracle
Identity Manager –
управление жизненным
циклом учетных записей
Адаптеры для управления учетными
данными в унаследованных системах
Access Manager
– WebSSO и
контроль доступа
пользователей;
Entitlements Server
– контекстная
авторизация к
компонентам приложений
Агенты OES для
исполнения политик
безопасности,
мандатный доступ
Web-сервисы
Внешние пользователи
мобильных устройств и
HTTP/REST
OAuth
JSM - SOAP
Label Security,
Database Vault,
Advanced Security
Public Zone &
Database
Firewall
Audit Vault
Directory
Services
(хранение
уч. данных)
пользователи мобильных
устройств
Агент сервиса
однократной
аутентификации ко
всем типам
(Enterprise SSO)
Адаптер для доставки уч. данных на рабочие станции пользователей

Максимальная
производительность
на базе инженерных
систем Oracle
Максимальный
уровень
защищенности
(СВТ НСД3+НДВ2)
Защита
гетерогенных
сред
#3095 – Oracle
Enterprise Linux (OEL)
– механизмы защиты
операционной
системы
#3196 – Oracle Fusion
Middleware на серт. OEL
Java (FMW Platform
Security Services)
#3295 – Oracle Identity & Access
Management на серт. OEL –
механизмы защиты сервисов
безопасности (Identity Manager,
Access Manager & Entitlements Server)
#2858 – Oracle
Database на OEL,
Solaris & Windows –
механизмы защиты
СУБД (высокий
уровень защиты
при использовании
серт. OEL)
#3103 – Oracle
Enterprise Single
Sign-On для среды
Windows –
идентификация и
аутентификация,
регистрация событий
#3215 – Oracle Database
на Exadata – механизмы
защиты СУБД
#3299 – Oracle Fusion Middleware
на Exalogic – механизмы защиты Java
(FMW Platform Security Services)
#2238 – Oracle Identity
& Access Management
сервисов
безопасности (Identity
Manager & Access
Manager)
Средства безопасности Oracle, сертифицированные ФСТЭК
#3364 – Oracle
Audit Vault &
Database Firewall
– межсетевой
экран для SQL-
трафика и защита
данных аудита
20

Внедрения средств безопасности в России
См. таблицу на http://security-orcl.blogspot.ru/2013/05/oracle.html

Ваши инвестиции будут надежно защищены
Oracle Enterprise Security
 Полное и открытое решение
 Испытанное при многочисленных
внедрениях
 Обеспечивающее надежную
безопасность частным и публичным
«облакам»
 Предлагающее сервис-
ориентированную безопасность
 Доступное для проверки
Начните использование средств безопасности Oracle прямо сейчас!
Первоклассно!
22

Внедрение средств защиты приложений в ЦОД
Database Security – core
• Label Security – для защиты строк таблиц за счет использования
составных меток и меток безопасности, регулирующих права доступа
для разных категорий пользователей; имеется серт. ФСТЭК (срок действия истек)
• Advanced Security – для защиты данных СУБД на дисках и в архивах
(TDE) путем изменения формата хранения, а также – изменение
способа отображения данных полей СУБД при запросах (Data
Redaction); имеется серт. ФСТЭК
• Database Vault – для защиты объектов СУБД и разграничения доступа к
ним на основе политик; обеспечивает изоляцию бизнес-данных от
администратора СУБД; имеется серт. ФСТЭК
24

Database Security – firewall, audit & masking
• Audit Vault and Database Firewall – для высокопроизводительного
мониторинга SQL-трафика и реализации политик контроля доступа;
обеспечивает защиту от SQL-инъекций и консолидацию данных аудита
(базы данных, каталоги, операционные системы, пользовательские
файлы); гетерогенное решение; имеется серт. ФСТЭК
• Oracle Enterprise Manager Data Masking Pack – для создания тестовых
баз данных заданного объема, используемых для
разработки/тестирования приложений, путем замены
конфиденциальных данных тестовыми значениями с сохранением
типа данных и логической структуры БД в целом; гетерогенное решение
25

Identity Governance
• Обеспечивает консолидацию идентификационных данных и
автоматизированное управление их жизненным циклом – заведение,
изменение прав доступа, самообслуживание (например, смену
паролей и формирование заявок), контроль изменений привилегий в
подключенных системах, блокирование, удаление, историческую
отчетность, документооборот по согласованию заявок, соответствие
законодательным нормам (OIM); имеется серт. ФСТЭК
• Обеспечивает управление жизненным циклом ролей, их оптимизацию
и согласование, а также – контроль операций, осуществляемых от
имени суперпользователей (OIA&OPAM)
26

Directory Services & Access Management
• Обеспечивают стандартизацию форматов хранения и обработки
идентификационных данных и их синхронизацию с помощью создания
высокопроизводительных реальных и виртуальных LDAP-каталогов
(ODS)
• Обеспечивает аутентификацию, WebSSO, авторизацию к
запрашиваемым ресурсам, аудит запросов, передачу приложениям
меток аутентификации, контроль сессий и таймаутов,
перенаправление на сервис самообслуживания для
смены/восстановления пароля (OAM); имеется серт. ФСТЭК
27

Access Management
• Обеспечивают распределенную контекстную авторизацию (например
мандатную) к сервисам, объектам приложений и СУБД на основе
централизованно задаваемых политик и получение отсутствующих в
запросе атрибутов из внешних источников (OES); имеется серт. ФСТЭК
• Обеспечивает противодействие мошенническим действиям,
выявляемым в реальном масштабе времени за счет комплексного
анализа поведения пользователей и взаимодействия с ними по
нескольким каналам данных (e-mail, SMS, чат и т.п.); предоставляет
консоли для анализа инцидентов и аналитику для их расследования
(OAAM)
28

Web Services Security & Access Management
• Обеспечивают применение политик доступа к Web-сервисам на
периметре (API Gateway) и внутри его (Web Services Security); реализует
защиту от таких внешних угроз, как подмена содержимого, вирусы,
DDoS, XML-бомбы, SQL инъекции, межсайтовые скрипты, ведущие к
недоступности сервисов, раскрытию конфиденциальной информации,
ущербу на стороне клиента
• Интегрируется с системой определения политик Access Management,
преобразует REST в SOAP и обратно на лету
29

Mobile Security
• Без ущерба для комфорта владельца мобильного устройства обеспечивает изоляцию
(контейнеризацию) корпоративных данных и приложений, их шифрование и применение
политик безопасности, направленных на борьбу с утечками
• Реализует SSL-туннель уровня приложения между корпоративной системой контроля доступа
и контейнером, что исключает необходимость организации VPN на уровне мобильного
устройства и защищает от вредоносных приложений
• Предоставляет несколько готовых к использованию защищенных мобильных приложений,
средства их распространения и набор инструментов для встраивания функций безопасности
как в собственные приложения, так и в решения сторонних разработчиков
• Прединтегрирован со средами Microsoft Active Directory, Oracle Identity & Access Management;
поддерживает платформы iOS и Android, в ближайших планах – Windows Phone; запланирована
сертификация во ФСТЭК
30

Отчеты
Предупреждения
Oracle Audit Vault and Database Firewall
Экономное решение с большими возможностями
Public 31
События по результатам
контроля SQL-трафика
Приложения
Database Firewall
Разрешить
Log
Предупредить
Подменить
Блокировать
Данные аудита
Audit Vault
Server
OS, Directory, File System &
Custom Audit Logs
Политики
Аналитик
Аудитор
Пользовательские
отчеты

Enterprise Single Sign-On
Однократная аутентификация
обеспечивает доступ ко всем
приложениям

Enterprise Single Sign-On
• Об однократной аутентификации мечтают пользователи
• Лучшие практики безопасности требуют сильных паролей
Востребовано компаниями
• Сложно применить одну форму аутентификации ко всем приложениям
• Сложно обеспечить синхронизацию паролей
Преодолевает трудности
• Количество звонков на HelpDesk снижается на 80%
• Реализуются строгие парольные политики
• Появляется возможность добавить строгую аутентификацию
Преимущества
Экономия за счет:
• Лицензирования по ‘named user’
• Самостоятельного внедрения

Защита информации в Oracle Database Cloud
• Персональные данные и другая критичная информация в Публичном
Облаке Oracle защищена от неавторизованного доступа к файловой
системе с помощью шифрования, прозрачного для приложений
– «All data stored in the Oracle Database Cloud - Multitenant Edition benefits from the use of
Transparent Data Encryption. TDE encrypts data stored on disk and in backups, protecting against
unauthorized direct file access»
cloud.oracle.com/_downloads/WhitePaper_Database_4/Security+and+the+Oracle+Database+Cloud+Service.pdf
• Заказчики High Performance & Extreme Performance сервисов
дополнительно могут использовать Label Security, Database Vault и Data
Masking & Subsetting Pack
cloud.oracle.com/database?tabID=1406491812773
34

ЦОД вне РФ ЦОД на территории РФ
TCP/IP
Capture
Trail
Pump Delivery
Trail
Capture: транзакции захватываются (и фильтруются) по мере
их появления в журналах
Trail: записываются данные для маршрутизации
Pump: данные передаются на целевую систему
Options: данные могут быть сжаты
и зашифрованы при передаче
Delivery: зафиксированные изменения применяются
с транзакционной целостностью
Source
Oracle & Non-Oracle Database(s)
Синхронизаця ПДн с помощью Oracle GoldenGate
Target
Oracle & Non-Oracle Database(s)
otn.oracle.com/ru/middleware/goldengate
Collect
35

Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и соблюдение законодательства с помощью решений Oracle"

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Destaque

Destaque (14)

Semelhante a Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и соблюдение законодательства с помощью решений Oracle"

Semelhante a Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и соблюдение законодательства с помощью решений Oracle" (20)

Mais de Expolink

Mais de Expolink (20)

Oracle. Гусаков Алексей. "Защита информации, новые возможности для бизнеса и соблюдение законодательства с помощью решений Oracle"

Notas do Editor