Конференция

«Технологии будущего – сегодня!»

<Insert Picture Here>

2 февраля 2012 г.,

отель Crown Plaza, Минск

Обеспечение безопасности облачных

вычислений
Андрей Гусаков, ведущий консультант Oracle EE/CIS
 План презентации

<Insert Picture Here>

• Предисловие
• Барьеры на пути к распределенным
вычислениям, связанные с безопасностью
• Защита информации в СУБД
• Identity Management
– Для «частных облаков»
– Для «публичных облаков»
– Для поставщиков «облачных» услуг
• Примеры внедрения
• Почему именно Oracle?
• Вопросы и ответы
3
 Чем привлекательны облачные
вычисления
• Оплата по мере
использования
• Доступность
• Гибкость
• Низкие
первоначальные
затраты
Новая парадигма • Простота

4
 Технологические основы «облаков» и
перспективы с точки зрения Oracle
• Кластеризация
– Распараллеливание задачи на несколько серверов
– Кэширование состояния на разных уровнях (СУБД, сервера
приложений, Java-машины)
• Виртуализация
– Абстрагирование от аппаратной части
– Программные преобразования «на лету»
• Стандартизация интерфейсов взаимодействия
– SOA, специализированные сервисы
– Гетерогенные системы управления и мониторинга, SLA
• Новые стандарты разработки приложений
• Оптимизация аппаратной части (Exadata, ExaLogic, …)
5
 Реалии облачных вычислений
Недавние заголовки новостей

6
 Препятствия для облачных вычислений
Безопасность, законодательство, контроль

Сотрудников IT считают безопасность

87% барьером на пути к облачным вычислениям

Опасаются сложностей в случае возврата к

80% традиционным вычислениям

Сотрудников IT полагают, что будет трудно

77% интегрировать «облака» с «домашней»
инфраструктурой
Уверены, что законодательные требования
49% не позволяют им перемещать данные в
«облака»
Source: IDC Enterprise Panel, Sep 08 & 3Q09

7
 Характерные задачи «облачной»
безопасности
Частные (Private) Облака
• Угрозы инсайдеров
• Ролевой контроль доступа
• Безопасное B2B-
взаимодействие
• Оптимизация, соответствие
законодательству
• Гибкость IT
8
Публичные Облака
• Изощренные атаки
злоумышленников
• Доступ привилегированных
пользователей
• Вопросы юрисдикции
• Зависимость от вендора
 Соответствие законодательству
! Отчетность и аудит
• Требования регуляторов растут
повсеместно
• Серьезные штрафы за нарушения
• Возникают юридические вопросы
• Без централизации нет оптимизации
• Неавтоматизированные процессы
затратны и неустойчивы
• Возможен рост стоимости аудита,
исследований уязвимостей,
исправлений и оповещений
• Важна устойчивость решения!

40% IT-бюджета тратится на выполнение законодательных требований

9
 Уровни контроля «облаков»
Вопросы зависимости, интеграции, взаимодействия
Built by
Cloud
Built by
Customer
Cloud
Customer
Built by
Cloud
Customer
-
Built by
Cloud Control
Customer Provided
Provided by Cloud +
by Cloud
Provided
by Cloud
Provided
by Cloud

Enterprise Infrastructure Platform Application

(ITaaS) (IaaS) (PaaS) (SaaS)
e.g. Amazon EC2 e.g. Google App Engine e.g. Oracle On Demand
Cloud Computing
Облачные вычисленияaccelerates adoption
ускоряют освоение of Appsно
приложений, but forcesуровень
снижают loss ofихcontrol
контроля
10
 План презентации

• Предисловие
• Барьеры на пути к распределенным
вычислениям, связанные с безопасностью
• Защита информации в СУБД
• Identity Management
– Для «частных облаков»
– Для «публичных облаков»
– Для поставщиков «облачных» услуг
• Примеры внедрения
• Почему именно Oracle?
• Вопросы и ответы
11
 Oracle Database Vault & Cloud File System
Защита от внутренних нарушителей, изоляция информации

Снабжение
DBA
HR

Приложения, Финансы
потребители select * from finance.customers
облачных услуг

• Привилегированные пользователи не смогут злоупотреблять

своими правами
• Разделение полномочий по функциональным обязанностям
• Защита от запрещенных действия внутри БД
• Обеспечение доступа к данным приложений только через приложения
(запрет «прямого» доступа к данным)

«OCFS – зачем нам еще одна файловая система» http://www.oraclegis.com/blog/?p=2008

 Строим «частные облака»
Требования к Identity Management
• Интеграция IAM с приложениями и IT-
IAM инфраструктурой частного облака
Apps
• Модульный набор сервисов для
управления доступом, учетными
данными и их распространением, а
также привилегиями.
• Соответствие законодательству,
проверка неизбыточности прав,
аналитика
Dept 1 Dept 2 • Самообслуживание и делегированное
администрирование
Когда мы рассматриваем «частные облака», традиционные «жестко встроенные»
When it comes to private clouds, traditional silo’ed security solutions will not cut it.
решения безопасности могут не подойти. В качестве альтернативы, оказание услуг
Instead, delivering security solutions through a service model will help security controls
защиты в рамках сервисной модели поможет средствам безопасности быстро
to adapt and protect information where needed” – Gartner 2010
приспосабливаться и защищать информацию там, где необходимо – Gartner 2010
13
 Oracle Identity Management реализует
модель «Безопасность как Сервис»
Oracle 3rd Party Custom
Fusion Apps Apps
Apps

User Provisioning Risk Assessment Identity Data

Service Service Services

Partner
Apps Authentication Authorization Federation & Trust
Service Service Services

SaaS Apps
Oracle IDM or
In-house IDM
Cloud IdM provider
Service Provider

• Революционная архитектура, поддерживающая SOA и среду приложений

• Целостные, повторно используемые сервисы безопасности
• Возможность подключения внешних сервисов (включая облачные Identity
Services) в дополнение к собственным
• Легкое подключение, обеспечивающее долговременную устойчивость и
гетерогенность бизнес-решений
14
 Oracle Platform Security Services (OPSS)
Основа сервис-ориентированной безопасности

Oracle Platform Security Services

Authentication Authorization Roles & Auditing Directory User Policy Store Session Data
Entitlements Services Provisioning Management

Интерфейсы на основе стандартов

Oracle Identity Management

Identity Store, Credential Store, and Policy Store Providers

Управление доступом Администрирование учетных данных Службы каталогов

• Декларативная среда безопасности оптимизирует поддержку жизненного

цикла приложений
• Базирующаяся на стандартах и обеспечивающая быстрое подключение к
системам управления идентификационной информацией
• Платформа безопасности для Oracle Fusion Middleware и Fusion Apps
15
 Внешняя авторизация для приложений
Распределенная реализация детализированных
политик безопасности для приложений
Разработчик Разработчик
приложения приложения
Концентрация на Делегирование
бизнес-логике, контроля в Развертывание приложения,
стандартизированные политики XACML с подключение к сервисам
вызовы сервисов помощью OPSS API
Apps
Shared Services

Oracle Identity Management

IT
Oracle BPM Suite
Oracle SOA Suite

Oracle WebCenter

policies Управление политиками

всех приложений с
Authentication Authorization Directory помощью интерфейса OES
Service Service Service
Модификация политик в
User соответствии с требованиями
Role Mgmt Federation безопасности без изменения
Provisioning
Service
Service Service кода приложений

Пользователи портала
Oracle WebLogic Suite-based Application Grid Применение
детализированных
политик авторизации
16
 Подключаемся к «публичным облакам»
Требования к Identity Management
Intranet Internet

SaaS SaaS
PaaS PaaS
IaaS IaaS

• Управление жизненным циклом учетных записей как на внутренних ресурсах,

так и в «облачных приложениях»
• Федеративная аутентификация в экосистему «облачных приложений»
• Устойчивое соответствие законодательству

17
 Автоматизированное управление
идентификаторами пользователей
Oracle Identity Manager

Временный Само- Утверждение

сотрудник регистрация заявки
Домашние
ресурсы

Identity
Store
Пользо- Политика Потоки Облачные
Коннектор приложения
ватель доступа задач
Группа
SPML

Постоянный Кадровая Согласование

сотрудник система данных

18
 Однократная аутентификация в
федеративных (доверенных) средах
Oracle Identity
Federation Домашние
Сотрудники/Партнеры/ ресурсы
Заказчики  SAML 1.x
 SAML 2.0
 Windows CardSpace
Аффилированные  WS-Fed Облачные
структуры/Дочерние приложения
компании  OpenID

• Универсальный SSO как для домашних ресурсов, так и для облачных

приложений
• Взаимодействие обеспечивается за счет использования стандартов
• Ускоряет подключение партнеров и поставщиков сервисов

19
 Предоставляем «облачные» услуги
Требования к Identity Management
Предприятие клиента

Cloud IdM

Managed Service
Provider (MSP) Предприятие клиента

• Поставщики услуг (MSP) готовы предлагать IdM в качестве сервиса

– Большинству клиентов необходимо федеративное взаимодействие
– Облегчение за счет самообслуживания, делегированного администрирования
– Может потребовать укрепления клиентских IdM-систем для повышения доверия
• Некоторые клиенты рассматривают возможность «аутсорсинга» IdM
– Расширение возможностей домашней IdM или замена какой-либо его части
– Сложности с высококлассным IT-персоналом

20
 План презентации

<Insert Picture Here>

• Предисловие
• Барьеры на пути к распределенным
вычислениям, связанные с безопасностью
• Защита информации в СУБД
• Identity Management
– Для «частных облаков»
– Для «публичных облаков»
– Для поставщиков «облачных» услуг
• Примеры внедрения
• Почему именно Oracle?
• Вопросы и ответы
21
 British Telecom
Предлагает потребителям идентификационные
сервисы на базе Oracle IDM

22

http://www.oracle.com/us/corporate/customers/bt-group-identity-management-078167.pdf
 European Identity Award
За внедрение системы противодействия
Web-мошенничеству на базе OAAM

23

http://blog.talkingidentity.com/2011/05/bt-wins-european-identity-award-for-fraud-service-powered-by-oracle.html
 Референсные IdM-заказчики и
ключевые партнеры в России
• ПромСвязьБанк http://oracleday.ru/agenda.html – Fors
• СУЭК http://www.ibs.ru/content/rus/545/5453-article.asp – IBS Borlas
• ПетроКоммерц, Иркут
http://www.jet.msk.su/press_center/news/archive_of_news/detail.php?
ID=3075 – Jet Infosystems
• ВТБ http://www.rdtex.ru/win/root/project_vtb1.html – RDTEX + Lins-M
• Аэрофлот http://www.pcweek.ru/themes/detail.php?ID=104989,
Университет ФизКультуры Спорта и Туризма
http://www.r-style.ru/presscenter/news/oracle_IAMS/,
СИБУР http://www.r-style.ru/presscenter/news/sibur-ident/ – R-Style
• Опытные партнеры
– Croc, RNT, Elvis+, ICL
– Астерос, Sitronics, Газинформсервис, Уральский Центр Систем Безопасности
– Интеграционные решения ЕВРААС.ИТ, InfoWatch, Инвест Информ Проект
24
 План презентации

<Insert Picture Here>

• Предисловие
• Барьеры на пути к распределенным
вычислениям, связанные с безопасностью
• Защита информации в СУБД
• Identity Management
– Для «частных облаков»
– Для «публичных облаков»
– Для поставщиков «облачных» услуг
• Примеры внедрения
• Почему именно Oracle?
• Вопросы и ответы
25
 Identity Management как часть «облачной
платформы» Oracle
Приложения Управление «облаками»

Oracle Enterprise
3rd Party Apps Oracle Apps ISV Apps Manager

Application
Performance Mgmt
Platform as a Service

Lifecycle
Integration: Process Mgmt: Security: User Interaction:
Management
SOA Suite BPM Suite Identity Mgmt WebCenter

Application Grid: WebLogic Server, Coherence, Tuxedo, JRockit Configuration

Management
Database Grid: Oracle Database, RAC, ASM, Partitioning,
IMDB Cache, Active Data Guard, Database Security Application
Quality Mgmt

Infrastructure as a Service

Oracle
Operating
Solaris
Systems: Oracle Enterprise
Oracle Linux
Linux
Ops Center
Oracle VM for SPARC (LDom) Oracle VM for x86
Solaris Containers
Physical & Virtual
Servers Systems Mgmt

Storage

26
 Ключевые отличительные особенности
Oracle Identity Management
• Наиболее полное,
лучшее в своем классе
решение
• Наиболее
интегрированный
комплекс решений по
управлению учетными
данными в отрасли
• Сервис-
ориентированная
система безопасности

cnews.ru/reviews/free/security2011/
27
 Oracle Identity Management
Полнофункциональное первоклассное решение

Администрирование Управление Службы

учетных данных доступом каталогов
• Доставка учетных • Аутентификация и борьба с • LDAP-хранилища и их
данных с учетом мошенничеством синхронизация
ролевой модели • Single Sign-On и федеративное • Виртуализация
• Самообслуживание, взаимодействие хранилищ
заявки и идентификационных
• Управление полномочиями и
подтверждения данных
авторизация
• Управление паролями • Безопасность Web-сервисов
• Защита электронных документов

Оптимизация учетных данных Безопасность платформы

Аналитика, Разделение обязанностей, Идентификационные сервисы
Ресертификация ролей и прав доступа для разработчиков

28
http://www.oracle.com/technetwork/ru/middleware/id-management/index.html
 Полная поддержка стандартов и систем

Отраслевые стандарты: Поддержка всех лидирующих

Инновации, Вклад, Использование приложений и систем

ACF-2 & TSS

29
 Итог
Oracle Identity Management
• Полное и открытое
• Проверенное при многочисленных
внедрениях
• Обеспечивающее надежную
безопасность частным и
публичным «облакам»
• Предлагающее сервис-
ориентированную безопасность
Первоклассно! • Доступное для проверки

Дополнительная информация
– www.oracle.com/identity
– bit.ly/idmcloud
30
 Вопросы и ответы

Q&
A
123317, Россия, Москва, Пресненская набережная, 10
Башня на Набережной, Блок С
(+7495) 6411400 Andrey.Gusakov@oracle.com
блог на русском языке http://security-orcl.blogspot.com/
31