пятница, 23 ноября 2012 г.

Обеспечение безопасности базы данных в облаке.


White paper "Security and the Oracle Database Cloud"  можно скачать тут. В данной статье приводится краткое содержание документа.

Oracle предлагает набор облачных решений в двух вариантах, частные облака, это те, которые заказчик может развернуть у себя, на своих собственных ресурсах, и публичные облачные решения, которые можно приобрести и пользоваться ими удаленно. Одним из таких облачных решений является сервис Oracle Public Database Cloud. Попасть на данный сервис можно пройдя по ссылке https://cloud.oracle.com (нажать "Try it" на главной странице, и далее "Try it" в разделе Database). Подробную инструкцию как создать сервис, активировать его, запустить и начать пользоваться можно посмотреть тут.

Сервис Oracle Public Database Cloud построен на основе базы данных Oracle, работающей на сервере Oracle Exadata. Для предоставления доступа к данным, хранящимся в вашей облачной базе, используется веб-сервис RESTful (через простые URI). Для обеспечения быстрой разработки прикладного ПО на основе СУБД Oracle в публичной БД уже предустановлен APEX - Oracle Application Express. А так же имеется возможность использовать набор уже имеющихся бизнес приложений, которые могут быть установлены в несколько кликов.

При переходе организации на модель общего доступа к ресурсам в облаке, одним из ключевых вопросов является обеспечениие безопасности данных, хранящихся в облаке. В данном документе рассматривается несколько аспектов обеспечения безопасности данных в облаке:



  • Основы архитектуры обеспечения безопасности доменов, используемых в облачной СУБД.

    • Описаны основные сущности, используемые для разграничения прав доступа к сервисам БД: Account, Identity Domains (далее "Домен"), User, Role и Database Cloud Service. Account  - это учетная запись организации, которая может иметь один или несколько доменов, но домены при этом будут разделены и обособлены. Домен контролирует аутентификацию и авторизацию (т.е. кто может выполнять вход и к чему он имеет доступ). Домен содержит в себе список пользователей, которым назначаются роли, дающие те или иные права к сервисам. При первом входе в облачную базу создается один домен и его администратор, который в дальнейшем отвечает за управление всеми пользователями и ролями для всех сервисов в пределах домена. Для управления правами доступа к сервисам используется Cloud Identity Manager. Инструкцию по управлению ролями и пользователями можно найти тут. В данном контексте сервис представляет собой одну схему в общей БД, которая изолирована от других схем. 


  • Меры безопасности, применяемые к сервисам в целом.

    • Ко всем данным, хранящимся в облаке, применяется "Прозрачное шифрование" - Transparent Data Encryption. TDE шифрует данные на диске и в бекапе, защищая от неавторизованного доступа напрямую к файлам базы. Шифрование и расшифровка данных происходит автоматически и не требует какого либо программирования или настроки.
      Для защиты от вредоносного кода, который может повлиять на данные всех пользователей, используется Secure FTP сервер. При загрузке файлы с данными сначала сохраняются на Secure FTP сервере. Там они проверяются на вирусы и далее загружаются на сервис вашей облачной базы данных, используя информацию вашей учетной записи БД. Этот двух этапный процесс так же автоматически сжимает данные перед загрузкой, снижая тем самым время загрузки данных в БД.


  • Меры безопасности, применяемые к индивидуальным сервисам БД.

    • Применяются правила БД для разграничения прав в многопользовательской среде. Например, запрещен доступ на просмотр представлений, позволяющих владецу схемы БД видеть существование других схем БД. Запрещены некоторые виды SQL, такие как GRANT или REVOKE, т.к. они позволяют владельцу схемы выдавать права на свои объекты для другого владельца схемы базы данных.


  • Опции для обеспечения безопасности прикладных приложений.

    • Для разработки прикладных приложений используется технология APEX, которая имеет собственные средства безопасности. APEX поддерживает несколько схем аутетификации. Экранирование спецсимволов в скриптах не позволяет вкладывать различные типы скриптов в страницы, возвращаемые пользователям. APEX имеет опцию автоматической защиты навигационных ссылок (URL). Так же APEX включает в себя средства для мониторинга и отчеты.


  • Опции для обеспечения безопасности веб-сервисов RESTful.

    • Для обесечения безопасной передачи данных между клиентом и сервисом следует включить HTTPs. Сервис базы данных в облаке основывается на одной схеме и все RESTful веб-сервисы выполняются от имени владельца этой схемы. Вследствие этого, без применения дополнительной защиты RESTful сервис вернет все данные, возвращаемые SQL выражением. В документе описано четыре способа для обеспечения безопасности веб-сервиса RESTful:
      - собственными средствами RESTful;
      - доступ конкретному приложению (используется OAUTH Request token встроенный в клиента приложения);
      - доступ конкретному пользователю (на основе идентификационных данных пользователя);
      - логическое разграничение доступа (с использованием параметра OAM_REMOTE_USER, содержащего в себе идентификационную информацию пользователя).

    понедельник, 12 ноября 2012 г.

    Identity Management 11.1.2 Enterprise Deployment Blueprint

    Oracle Identity Management - это платформа для предоставления сервисов  управления IT-привилегиями пользователей в системах и приложениях, а также - сервисов контроля доступа пользователей к информационным системам предприятия. Подключение Oracle IdM к существующим ресурсам происходит с помощью адаптеров и шлюзов, а к Fusion Applications - методом "встраивания".

    Поскольку Oracle IdM становится частью критически важных бизнес-систем, в сентябре 2012 г. компания Oracle выпустила специальное руководство Identity Management 11.1.2 Enterprise Deployment Blueprint, описывающее архитектуру Oracle Identity Management для промышленной системы, обеспечивающую высокую доступность и отказоустойчивость. В руководстве описана установка типового решения, включающего в себя следующий набор компонентов: Oracle Identity Manager (OIM), Oracle Access Manager (OAM) и Oracle Autorization Policy Manager.

    Основные функции Oracle Identity Manager это управление учетными записями и правами пользователей в системах. Oracle Access Manager включает в себя набор сервисов, обеспечивающих: Web single sign-on; контекст для аутентификации и авторизации; предоставление ограниченного доступа к конфиденциальной информации; single sign-on для мобильных приложений и социальных сетей.

    Руководство будет полезно для технических специалистов при подготовке технико-коммерческих предложений, дизайна архитектуры решений, технического задания, а так же при планировании внедрения OIM в связке с OAM.

    В документе подробно описаны установка и конфигурирование компонентов решения и приведены требования по железу при установке на Linux. При использовании других платформ следует использовать Oracle Fusion Middleware Installation Guide и Oracle Fusion Middleware Sizing Guide.

    Особенности описанного решения:

    • Решение рассчитано на поддержку различных хранилищ идентификационных данных, включая Oracle Internet Directory, Oracle Unified Directory и Oracle Virtual Directory. Oracle Virtual Directory может быть использовано для поддержки сторонних каталогов (т.к. часто предприятие уже имеет свое хранилище LDAP, которое можно переиспользовать) или для поддержки мультидоменности.
    • высокая доступность обеспечена для всех компонентов описанного решения.
    • SSL настраивается до балансировщика.
    • OAM и OIM разворачивается на различные домены для отделения административных задач от операционных.
    • Каталоги предложено разворачивать на независимые домены, что позволит устанавливать патчи отдельно от компонентов Oracle Access Management. Таким образом отпадает необходимость удостоверяться что продукты сертифицированы с компонентами инфраструктуры из другого набора программных продуктов и процесс установки обновлений становится проще.

    четверг, 1 ноября 2012 г.

    ФОРС получил специализацию по Oracle Identity Administration and Analytics


    18 октября 2012
    Компания «ФОРС», платиновый партнер корпорации Oracle, объявляет о получении специализации в области информационной безопасности по Oracle Identity Administration and Analytics 11g. Теперь в портфолио ФОРС 13-ть различных специализаций по продуктам Oracle, стратегического вендора компании.
    Для получения специализации все партнеры Oracle должны выполнить ряд требований, непосредственно относящихся к потребностям и приоритетам заказчиков и партнерского сообщества. Соблюдение критериев специализации дало возможность компании «ФОРС» получить подтверждение от Oracle в части ее экспертизы по Oracle Identity Analytics. Компания выполнила все необходимые для этого требования корпорации — по количеству продаж, числу сертифицированных специалистов и выполненных проектов.
    Получение специализации по Oracle Identity Administration and Analytics означает признание вендором того, что экспертиза и опыт, накопленные в компании по данному направлению, позволяют осуществлять проекты в области разграничения прав доступа пользователей к информации на самом высоком профессиональном уровне. Для заказчиков это гарантия качества проекта, для рынка – свидетельство сильных позиций ФОРС в данном сегменте рынка.
    Среди осуществленных компанией проектов — внедрение систем централизованного управления учетными записями и доступом на предприятиях топливно-энергетического комплекса, в ОАО «МРСК Центра и Приволжья» и Промсвязьбанке. Развернутые там сервера c установленным программным обеспечением Oracle Identity Manager (OIM) были проинтегрированы с рядом корпоративных систем и приложений, в т.ч., с кадровым модулем SAP, выступившим в роли источника идентификационных данных, с каталогом MS Active Directory и с сервером Lotus Notes Domino, через который осуществлялась автоматическая отправка уведомлений Oracle Identity Manager.

    Новость размещена на сайте компании: ФОРС получил специализацию по Oracle Identity Administration and Analytics