Weitere ähnliche Inhalte
Ähnlich wie Управление административными учетными записями как средство защиты от человеческого фактора (20)
Mehr von Andrey Akulov (18)
Управление административными учетными записями как средство защиты от человеческого фактора
- 2. Управление административными
учетными записями как средство
защиты от человеческого фактора
Андрей Гусаков,
руководитель группы консультантов
по Enterprise Security, Oracle СНГ
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
- 3. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
План презентации
1
2
3
Нейтрализация человеческих ошибок – подходы к решению задачи
Применение средств превентивного контроля
Управление административными учетными
3
- 4. Инциденты ИБ – от ошибок до злого умысла
НЕПРАВИЛЬНОЕ
ИСПОЛЬЗОВАНИЕ
• Злоупотребление
полномочиями
• Редкие утечки
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
ОПЛОШНОСТИ
И ОШИБКИ
• Случайное
повреждение /
• разглашение
4
ЗЛОЙ
УМЫСЕЛ
Социальная
инженерия
Изощренные атаки
Утечка бизнес-
важных данных
Утрата репутации
организации
«Предоставленные самим себе события
имеют тенденцию развиваться от
плохого к худшему»
- 5. Методы нейтрализации человеческих ошибок
• Предупреждение
– Административные – обучение персонала, регламенты работ, экономические
санкции
– Технологические – «защита от дурака», автоматизированные скрипты или
процедуры
• Исправление
– Технологические – контроль изменений и возврат в исходное состояние (Total
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Recall)
5
- 6. ПРЕВЕНТИВНАЯ ДЕТЕКТИВНАЯ
АДМИНИСТРАТИВНАЯ
Контроль активности
Database Firewall
Аудит и отчетность
Управление ключами и др.
служебной информацией
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Шифрование
Редакция и
Маскирование
Контроль за действиями
привилегированных
пользователей
Анализ привилегий и
поиск конфиденциальных
данных
Управление конфигурациями
6
Можно усложнить доступ к «продуктиву»
внутренними средствами безопасности СУБД Oracle
- 7. Контроль привилегированных пользователей
Превентивный контроль для баз данных Oracle
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Database Vault
• Контроль и ограничение, при необходимости,
прав доступа администраторов к данным
приложений
• Многофакторная авторизация и контроль
выполнения команд
• Защищенные зоны
• Разграничение прав доступа в соответствии со
служебными обязанностями
• Специализированные настройки для
приложений
Application
DBA
Отдел
кадров
Отдел
закупок
Финансовый
отдел
DV_OWNER
select * from finance_customers
Администратор
DBA
DV_ACTMGR
7
- 8. Возможный сценарий защиты
• Блокировка исполнения привилегированными чувствительных команд,
таких как:
– SHUTDOWN …
– FLASHBACK DATABASE …
– ALTER SYSTEM …
– DML-группа (TRUNCATE, DELETE, UPDATE, INSERT)…
• Разблокировка исполнения команд по процедуре
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
8
+
усиление контроля за использованием
привилегированных учетных записей
- 9. С большей властью приходят большие риски
root
• Привилегированные учетными записи – ключевая «точка входа» для мошенников
• Сложность мониторинга использования разделяемых среди нескольких администраторов
учетных записей
• Избыточные права доступа – главное направление в атаках на базы данных
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Базы данных
Каталоги
UNIX серверы
sys
cn=orcladmin
9
- 10. Привилегированные записи – с наибольшим
доступом, но самые незащищенные
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
• Неограниченная власть
• Разделяемые пароли к учетным
записям
• Пароли никогда не меняются
• Нет сертификации и аудита
10
- 11. Главные проблемы управления привилегированным
доступом
Как определить
привилегированные
учетные записи?
Как отследить их
использование?
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
11
- 12. Рекомендуемый подход к управлению
Запрос доступа
Self-
Reinforcing
Автоматизи-
рованное
предостав-
ление
Отчеты и сертификация
доступа
Ключ к решению – полная прозрачность предоставляемого доступа!
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Коррекция
доступа
12
- 13. Представляем Oracle Privileged Accounts Manager 11g R2
• Центральное хранилище для централизованного управления паролями
привилегированных и разделяемых учетных записей
– Баз данных, ОС, LDAP каталогов, приложений Oracle
• Автоматическая смена значения пароля при помощи ICF коннекторов
• Подход “check in / check out” на основе политик
– Стандарт в области компьютерной индустрии для управления разделяемыми объектами
• Гибкие политики доступа к паролям привилегированных учетных записей
• Отчетность по запросу привилегированных учетных записей
– С применением BI Publisher
• Неотъемлемый компонент Oracle Identity Governance Suite 11g R2
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
13
- 15. Сгенерировать и установить
пароль DBA в соответствии с
парольной политикой
Возвратить пароль DBA Есть право на запрос записи DBA?
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Пример использования
Войти как DBA
Добавить Tablespace
Запросить пароль DBA (“check out”)
Возвратить пароли (“check in”)
Войти как суперпользователь
Добавить дисковое пространство
Да
Запросить пароль Unix (“check out”)
Возвратить пароль Unix (root)
Сгенерировать и установить
пароль суперпользователя в
соответствии с парольной
политикой
OIM
Бизнес процессы согласования доступа
к привилегированным записям
Бизнес процессы согласования экстренного доступа
15
OPAM
Админ / DBA
Unix
LDAP сервер
СУБД
- 16. Поддерживаемые из коробки клиенты / целевые
системы
Unix СУБД Каталоги
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
• Linux, Solaris
• Все Unix с SSH
• Oracle Database 9-11
• MS SQL Server
• Любая другая СУБД с
JDBC
• Любой LDAP-
совместимый
каталог
16
- 17. Преимущества Oracle Privileged Accounts Manager 11g R2
• Возможность применения единых политик безопасности как к обычным,
так и к привилегированным (разделяемым) учетным записям
• Устранение (уменьшение) потенциальных угроз от инсайдеров
• Упрощение соответствия требованиям регуляторов
– Сертификация «владения» привилегированными учетными записями
• Снижение нагрузки на службу технической поддержки за счет
автоматизации процессов предоставления административного и
разделяемого доступа
• Отчеты по выдаче привилегированных (разделяемых) учетных записей как
в реальном времени, так и по отчетному периоду через BI Publisher
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
17
- 18. Преимущества Oracle Privileged Accounts Manager 11g R2
(продолжение)
• Возможность записи административных сессий Unix
– Используется промежуточный Telnet / SSH прокси, администратор проходит на
прокси под своей учетной записью
– Больше поддерживаемых систем для записи сессий с выходом OIG11gR2 PS3
• Интеграция с Oracle Enterprise Single Sign-on
– Пароль административной учетной записи не сообщается администратору,
а поступает непосредственно в репозиторий ESSO
– Администратор получает доступ под привилегированной учетной записью прозрачно
(ESSO подставляет имя пользователя и пароль), не зная самого значения пароля
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
18
- 19. OPAM и Oracle Identity Governance
Единая платформа
• Автоматизированное создание учетных записей и назначение привилегий
в LDAP-каталоге, используемом OPAM через OIG
– Возможность применения ролей и политик доступа для автоматизированного
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
предоставления привилегий
• Использование сервиса каталога OIG для запроса привилегий доступа к
учетным записям в OPAM
– OIM наполняет каталог запросов, заполняя его доступными привилегиями LDAP
– Администратор запрашивает доступ к привилегированной записи через OIM
– Запрос проходит согласование через SOA Suite и Oracle Identity Manager, после
чего администратор получает необходимый доступ
19
- 20. OPAM и Oracle Identity Governance
• Запрос экстренного административного доступа (“Break-glass access
request”)
–Может быть указан при создании запроса на предоставление доступа
– Запрос может быть согласован в упрощенном виде или автоматически
– Администраторам направляются соответствующие оповещения
– Право на запрос привилегии может быть автоматически отобрано потом при
проведении сертификации доступа
• Сертификация, основанная на рисках и коррекция доступа
– Доступ к привилегированным / разделяемым учетным записям виден в консоли
OIG и доступен для сертификации
– Автоматическая корректировка доступа по результатам сертификации
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
20
- 21. OPAM и Oracle Access Management
• Oracle Access Manager обеспечивает контроль доступа к административной
консоли OPAM
– Централизованный, основанный на политиках сервис аутентификации для веб-приложений
– Web SSO
– Контроль сессии
• Oracle Adaptive Access Manager обеспечивает многоуровневый контроль
доступа к административной консоли OPAM
– Защита от мошенничества в реальном времени
– Программная многофакторная аутентификация
• ESSO интегрировано с OPAM для реализации SSO для администраторов
Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Работаем вместе
21
- 22. Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Сертификация
средств
безопасности
Oracle на
соответствие
требованиям
Российского
законодательства
22
- 23. 123317, Россия, Москва, Пресненская набережная, 10
Башня на Набережной, Блок С
(+7495) 6411400 Andrey.Gusakov@Oracle.Com
Дополнительная информация
oracle.com/identity security-orcl.blogspot.ru
Copyright © 2014, Oracle and/or its affiliates. All rights 29.07.2014 reserved. | 23