Identity Cloud Services — нове покоління ідентифікаційних сервісів

Ця стаття присвячена Oracle Identity Cloud Services — новому поколінню ідентифікаційних сервісів, які працюють як з хмарними бізнес-додатками, так і в складі систем, розгорнутих в ІТ-інфраструктурі підприємства.



Здавалося б, у Identity Management (IdM) немає і не може бути нічого незвичайного, це стандартна корпоративна технологія, засіб автоматизації вторинних бізнес-процесів компанії, мінімізації ризиків, пов'язаних з інформаційною безпекою, зниження трудовитрат адміністраторів та служби Help Desk, ну і підвищення задоволеності кінцевих користувачів, звичайно. Але світ змінюється, і хмарні рішення в області бізнес-додатків вимагають розвитку сервісів IdM.

Безпека — це головний пріоритет хмарних рішень Oracle. Метою Oracle є створення максимально безпечних і надійних послуг для інфраструктур і платформ на основі публічного хмари, призначених для комерційних і державних організацій. Місія Oracle полягає в тому, щоб будувати безпечні сервіси інфраструктур та платформ в публічному хмарі, в якому замовникам Oracle надається надійна і керована безпека для впевненого виконання робочих навантажень і створення довірених масштабованих хмарних рішень.

Процитуємо Ларрі Еллісона. Нещодавно він сказав: «Через п'ять років безпеку з основного перешкоди стане основною причиною переходу в хмару». Іншими словами, якщо вашим бізнесом не є інформаційна безпека, то навряд чи ви зможете захистити свої додатки так, як це може зробити для вас провайдер хмарних рішень. Oracle давно працює в області інформаційної безпеки, і, крім власних рішень, має можливість застосувати безліч сторонніх рішень, щоб ваші дані були в безпеці і при цьому забезпечувалося відповідність міжнародним стандартам в галузі ІБ.

Враховуючи те, про що ми сьогодні хочемо написати, це аж ніяк не витончений парадокс — це найближче майбутнє хмарних обчислень з урахуванням сучасних тенденцій. Адже сервіси Oracle Identity Cloud Services саме так і будуть працювати як з хмарними бізнес-додатками, так і в складі систем, розгорнутих в ІТ-інфраструктурі підприємства (Малюнок 1). IdM для Oracle Cloud захищає самі хмарні технології, але другий блок, який на малюнку названий «Oracle IDCS», для нас особливо цікавий — це захист як хмарний сервіс для інших додатків.

IdM в Oracle Cloud
Почнемо з того, як забезпечено захист власне хмари Oracle, — а це близько 80 тис. віртуальних машин і 19 Цодів по всьому світу. Щодня через Oracle Cloud проходить 30 млрд транзакцій. Oracle — другий провайдер SaaS в світі, при цьому Oracle регулярно набуває постачальників хмарних сервісів і постійно наймає фахівців в цій області — сотні фахівців щороку.


Рисунок 2 ілюструє місцезнаходження центрів обробки даних Oracle. Зеленим кольором позначені ті Цод, які будуть введені в дію до кінця 2016 р. Цод Oracle забезпечують високу ступінь доступності — 99,999%, всі вони пройшли сертифікацію по ISO.

Малюнок 3 відображає потужність Цодів Oracle. Компанія зробила істотні інвестиції як хмарний провайдер і демонструє серйозний підхід. Для зберігання даних в ЦОДах використовується Oracle Oracle Exadata, для роботи з Big Data — Big Data Appliance, для зберігання даних — ZFS Storage Appliance. Крім того, використовуються SPARC-сервери з М7-процесором, який дозволяє розмежувати області пам'яті.

Oracle забезпечує механізми безпеки, які дозволяють контролювати, хто і на яких умовах може отримати доступ до даних, — виключно жорсткий контроль. Крім фізичної безпеки використовується і логічний захист, шифрування дисків, антивірус і антиспам, всілякі рівні захисту мережі. Для надання доступу та контролю доступу використовуються продукти Oracle IDM (точніше, Identity & Access Management), які дозволяють реалізувати такі речі, як створення облікових записів, призначення привілеїв, авторизація, аудит, періодичні перевірки надмірності повноважень при наданні доступу (т. зв. сертифікація доступу). Для доступу до додатків використовується двофакторна аутентифікація. Службова мережа Oracle Cloud відокремлена від корпоративної мережі Oracle і вимагає окремого введення облікових даних для отримання доступу — співробітники Oracle, які володіють доступом до корпоративної мережі, не володіють доступом до мережі Oracle Cloud, і, щоб отримати доступ до хмари, вони повинні в явному вигляді запитувати облікові дані для доступу до компонентів Oracle Cloud, всі ці запити перевіряються відповідальними особами.

Періодично Oracle виконує аналіз вразливостей і тести на проникнення, і на щоденній основі Oracle виконує сканування — щотижня виконується сканування майже 2 млн IP-адрес, щотижня виконується 518 скануючих робіт. Для автоматичної кореляції подій безпеки і виявлення загроз на основі кореляції використовуються системи Security Information and Event Management, або SIEM (продукти компанії McAfee). Індивідуальні джерела (сервери, роутери і т. д.) відправляють журнали в колектори, далі журнали відправляються в Enterprise Security Manager (ESM) для нормалізації і агрегації, Enterprise Log Manager (ELM) для довгострокового зберігання. Дані McAfee Global Threat Intelligence використовуються спільно з ESM. Advanced Correlation Engine (ACE) виявляє загрози і події безпеки відповідно до нормализованными даними ESM.

Для захисту хмарних обчислень Oracle використовує кращі сервіси безпеки — безпечний доступ до мережі за допомогою VPN, запобігання витоку даних за допомогою Bastion Hosts і пр… Мережа Oracle Cloud забезпечує надійний захист від традиційних проблем безпеки, таких як атаки з перехопленням, підміна IP-адрес, сканування портів. Широко використовуються пристрої мережевого захисту, в тому числі пристрої моніторингу мережних комунікацій і управління ними як на зовнішніх, так і на внутрішніх кордонах мережі.

Для доступу до мережних служб Oracle Cloud широко використовується шифрування. Замовники отримують доступ до служб по шифрованих протоколів, підключення формується з використанням надійного шифрування. Крім того, Oracle Cloud додатків забезпечує відповідність міжнародним законодавчим вимогам, включаючи вимоги стандарту PCI DSS, які особливо затребувані російськими замовниками. В цілому це потужна ешелонована захист на всіх рівнях: від рівня процесорів до фізичного рівня і рівня програми.

IdM як сервіс
Рішення, яке незабаром з'явиться вже під згаданою назвою Identity Cloud Services (IDCS), дозволить замовникам Oracle захистити за допомогою хмарних продуктів безпеки як додатки, розміщені локально, так і хмарні додатки. Рішення Identity Cloud Services призначене для управління як ідентифікаторами, так і доступом до всіх типів сервісів Oracle Cloud. Ключова особливість IDCS — загальні ідентифікатори користувачів, сервісів і додатків.

Для управління користувачами — тобто для того, щоб створювати користувачів, отримувати дані, організовувати пошукові запити серед користувачів, список користувачів, — застосовується стандарт SCIM. Для інтеграції локальних і хмарних додатків також використовуються стандарти: стандарти федеративного взаємодії SAML — федеративний SSO, що забезпечує можливість передачі атрибутів профілю, OIDC — аутентифікація для OAuth і власне стандарт OAuth, що забезпечує делеговану авторизацію від сервісу до сервісу і передачу ідентифікаторів.



Малюнок 4 відображає плановану функціональність Oracle Identity Cloud Services, є рішення двох типів: корпоративне рішення з набором додатків, для якого забезпечується безпека з одноразової реєстрацією, з IdM і т. д., і хмарна інфраструктура, і ці два середовища необхідно зв'язати, щоб не потрібно було відразу мігрувати в хмару, а можна було використовувати технології як з корпоративного рішення, так і з хмари — брати найкраще з двох світів.

Коли користувач отримує обліковий запис адміністратора Identity Cloud Services, він повинен вибрати набір додатків, прив'язати ці додатки до користувачів, синхронізувати список користувачів з локальних репозитарием, організувати список ролей, які будуть використані в додатках, створити групи користувачів, які отримають доступ до додатків, тобто фактично зробити все те, що зараз робить IdM.

Саме такий робочий процес і буде реалізований у IDCS. В плані управління додатками IDCS пропонує наступні можливості: вибір зі списку заздалегідь зареєстрованих додатків або реєстрацію нових (OAuth або SAML), введення адміністративної облікового запису в програмі, прив'язку груп користувачів домену до додатка, реєстрацію, генерацію ідентифікаторів і ключів, опис і додавання ресурсів, управління способами авторизації в специфікації OAuth, підключення профілю SP і надання доступу користувачам і групам користувачів до додатка.

Далі належить робота з користувачами. Можна активувати, деактивувати користувача, змусити користувача скинути пароль при вході, прив'язати певні політики для зміни пароля користувача і т. д. Коли користувач входить у власну систему, йому надаються можливості самообслуговування: список доступних додатків, реєстрація облікового запису для додатків, зміна власних атрибутів, — щоб він даремно не турбував адміністратора.

Нарешті, про внутрішні можливості примірника сервісу. Користувач зможе настроювати повідомлення кінцевих користувачів і адміністраторів, реєструвати провайдерів ідентифікації, включати федеративний SSO, вибирати IdP, реєструвати надійних партнерів (OAuth і SAML), змінювати пароль політику, описувати параметри з'єднання з корпоративним LDAP каталогом для синхронізації облікових записів, наділяти користувачів адміністративними правами, змінювати зовнішній вигляд графічного інтерфейсу, включати режим діагностики і працювати з мережевою безпекою (тобто зі списком адрес, які можуть отримувати доступ до системи, тощо), а також налаштовувати SSO.

Інструментарій управління завданнями дозволяє вибирати завдання із заздалегідь визначеного списку.

В якості ресурсів для вивчення IdM і IDCS ми рекомендуємо (статті з IDCS будуть з'являтися у міру повяления офіційних анонсів):
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.