Umfassende Sicherheit mit Oracle - von der Applikation bis zu den Daten - 17. April 2008 17. April 2008 Heike Jürgensen Oracle Sales Consultant
Sicherheit versus Aufwand Es gibt keinen 100%igen Schutz! Quelle BSI Grundschutz
Oracles Sicherheits Infrastruktur Sicherheit als Service von der Applikation bis zu den Daten Zugriffskontrolle Provisioning Repository Anwender Verwaltung LDAP
Oracle Access Manager Single Sign-On für Web-Applikationen http://www.autoparts.com/ Web Server http(s) Web Gate Ist die URL geschüzt? Ist der Benutzer authentifiziert? Ist der Benutzer autorisiert? Oracle Access Server LDAP Benutzerid s für Authentifizierung und Autorisierung Security Policies für Authentifizierung und Autorisierung
Oracle Access Manager Single Sign-On in heterogenen Welten Portale WebGate HTTP(s) Web Server Single Sign-on E-Business Applikationen Web-Applikationen Application Server Access Server LDAP ADS, edir, IBM Dir, OID, OVD, Sun Dir
Oracle Enterprise SSO um auch Client-Server Applikationen einzubinden Vorteile Eliminiert vergessene Passwörter für Windows und Applikationen Verbesserte Security & Benutzerempfinden Regulation (Compliance) Oracle esso Suite (Desktop/Legacy) Funktionen Passwortänderungen werden übernommen Fehlerdialoge werden erkannt und verarbeitet Keine Änderungen an der Applikation notwendig Sichere Speicherung der Passwörter Client Server / Mainframe
Phishing http://www.heise.de/security/news/meldung/67102 http://www.heise.de/security/result.xhtml?url=/security/news/meldung/95094&words=phishing&t=phishing
Oracles Sicherheits Infrastruktur Sicherheit als Service von der Applikation bis zu den Daten Bitte geben Sie Ihre PIN ein : PIN :...Oracle Hamburg... Zugriffskontrolle Provisioning Repository Anwender Verwaltung LDAP
Oracle Adaptive Strong Authenticator Unterschiedliche Login-Module: Slider, Tresor-Rad, etc Veränderung der Login-Maske in Größe oder Platzierung Hinterlegung des Login-Fensters mit eigenem Bild und/oder Text
Oracle Adaptive Strong Authenticator Schützt das Login vor vielen Attacken, wie Phishing und Keylogging
Oracle Adaptive Risk Manager Überwacht Benutzeraktivitäten vor, während und nach dem Login Durch definierte Regeln können Alerts und Aktionen ausgelöst werden Kann erneute Authentifizierung, Beantwortung von Fragen oder Sperrung auslösen Vielzahl von Monitoring Funktionalitäten Offline Forensic Analyse von protokollierten Daten
Oracles Sicherheits Infrastruktur Sicherheit als Service von der Applikation bis zu den Daten Bitte geben Sie Ihre PIN ein : PIN :...Oracle Hamburg... Zugriffskontrolle Verschlüsselung Daten Provisioning Repository Anwender Verwaltung LDAP
Zugriffsschutz Anforderung Verschlüsselung => Oracle Advanced Security Netzwerkverschlüsselung Backup- Verschlüsselung Applikations- Server Datenbank Person Gehalt HTTPS Transparente Datenverschlüsselung (TDE)
Oracles Sicherheits Infrastruktur Sicherheit als Service von der Applikation bis zu den Daten Bitte geben Sie Ihre PIN ein : PIN :...Oracle Hamburg... Zugriffskontrolle Verschlüsselung Daten Provisioning Repository Datenzugriff Anwender Verwaltung LDAP
Zugriffsschutz Anforderung Zugriffskontrolle => Oracle Label Security Mitarbeiter OLG1 Generalstaatsanwaltschaft Staatsanwaltschaft1 Staatsanwaltschaft2 OLG1 OLG2 OLG3 OLG4 Vorfall OLG3 Datenbank OLG1 OLG2 Anwender haben nur Zugriff auf Daten ihres Zuständigkeitsbereiches Zentraler Schutz direkt an den Daten Mandantenfähigkeit
Zugriffsschutz Anforderung Zugriffskontrolle => Oracle Database Vault Datenbank Administratoren dürfen keine Anwendungsdaten sehen DBA Person Gehalt
Überwachung Anforderung Auditing => Oracle Audit Vault Anwend ung 3 Anwend ung 2 Anwend ung 1 Oracle Datenbank Monitor Report Alert Betriebsysteme: Linux, Windows etc. Applikations Server Nicht-Oracle DBs: SQL-Server etc. Eigenentwicklung: SDK Zentrales, sicheres Berichtssystem Standardsoftware: Oracle, SAP, etc
Oracle Audit Vault
Oracles Sicherheits Infrastruktur Sicherheit als Service von der Applikation bis zu den Daten Bitte geben Sie Ihre PIN ein : PIN :...Oracle Hamburg... Zugriffskontrolle Verschlüsselung Daten Datenzugriff Provisioning Repository Dokumente Anwender Verwaltung LDAP
Zugriffsschutz Vertrauliche Dokumente werden in vielen Dateiverzeichnissen, Email Accounts usw. gespeichert Dokumente können auf Desktops, Laptops, USB Sticks, CD/DVDs, Wireless kopiert werden Dokumente werden extern von Partnern genutzt
Zugriffsschutz Oracle IRM Server => Oracle Information Rightsmanagement Versiegelung von Dokumenten und EMails Zentrale Berechtigungssteuerung Öffnen/Verändern, Drucken, Hardcopies, Screenshoots usw. Intern und Extern (durch die Firewall) Zentrales Auditing
Oracles Sicherheits Infrastruktur Sicherheit als Service von der Applikation bis zu den Daten Bitte geben Sie Ihre PIN ein : PIN : Prozesse...Oracle Hamburg... sichere Services Zugriffskontrolle Verschlüsselung Daten Datenzugriff Provisioning Repository Dokumente Anwender Verwaltung LDAP
Sicherung von Services Überprüfung der Unversehrtheit (Integrität) einer empfangenen Nachricht Vertraulichkeit einer Nachricht muss beibehalten werden Identitätsbestimmung des Senders Ist der Sender autorisiert auf die Operation zuzugreifen, die in der Nachricht angegeben ist
Oracle WSM Management Konsole
Oracles Sicherheits Infrastruktur Sicherheit als Service von der Applikation bis zu den Daten Bitte geben Sie Ihre PIN ein : PIN : Prozesse...Oracle Hamburg... sichere Services Zugriffskontrolle Verschlüsselung Daten Datenzugriff Provisioning Repository Dokumente Anwender Verwaltung LDAP SSO über Unternehmensgrenzen Föderierte Anwender Infos Partner
Oracle Identity Federation ohne Föderation - erfordert mehrmaliges Anmelden Mitarbeiter Portal Altersvorsorge Versicherungsvorteile Login: AnwenderABC Passwort: XXXX Login: AnwenderA23 Passwort: XXXX Anmeldung Anmeldung Anmeldung Login: AnwenderA Passwort: XXXX
Oracle Identity Federation mit Föderation - erfordert nur einmaliges Anmelden Altersvorsorge Mitarbeiter Portal Versicherungsvorteile Federated SSO Federated SSO Login: AnwenderABC Passwort: XXXX Anmeldung
Oracle Identity Federation vereinfacht Partnerschaften Firmenübergreifende Zugriffsverwaltung auf Resourcen Partnerunternehmen (Identitätsprovider) erhalten Zugriff auf Benutzerdaten anderer Unternehmen (Service Provider) Authentifizierung einmalig beim Identitätsprovider einmalige Speicherung und Pflege der Benutzerdaten Abmachung zwischen Identitäts- und Serviceprovider bezogen auf Daten die einen Benutzer beschreiben (z.b. Email, Personal ID, Rolle, etc.) Autorisierung meistens beim Service Provider Standardisierter Ansatz SAML (Security Assertion Markup Language) Liberty Alliance WS Federation
Durchgängiges Sicherheitskonzept vom Anwender - zur Applikation - bis in die Datenbank Bitte geben Sie Ihre PIN ein : PIN : Prozesse...Oracle Hamburg... sichere Services Zugriffskontrolle Verschlüsselung Daten Datenzugriff Provisioning Repository Dokumente Anwender Verwaltung LDAP SSO über Unternehmensgrenzen Föderierte Anwender Infos Partner
Durchgängiges Sicherheitskonzept vom Anwender - zur Applikation - bis in die Datenbank Bitte geben Sie Ihre PIN ein : PIN : Prozesse...Oracle Hamburg... Web Services Manager sichere Services Oracle Access Access Manager Manager Zugriffskontrolle Oracle Adaptive Adaptive Access Access Manager Manager Enterprise Oracle Enterprise SSO SSO Anwender Verwaltung Identity Manager Role Manager Provisioning Repository LDAP Internet Directory Virtual Directory SSO über Unternehmensgrenzen Föderierte Anwender Infos Verschlüsselung Daten Advanced Security Datenzugriff Secure Backup Label Security Dokumente Database/Audit Vault Information Right Mgmt Identity Federation Partner http://www.oracle.com/security/security-solutions.html http://www.oracle.com/products/middleware/identity-management/identity-management.html
Produkte Identity Management Access Manager Adaptive Acc. Manager Web Services Manager Role Manager Web Single Sign-On Fraud Detection Risk-base Acc. Control Web Services Security Enterprise Role Admin. Rule/Role Mining esso Suite Identity Federation Identity Manager Directory Services Desktop/Legacy Single Sign-On Cross Domain Single Sign-On Identity, Role Administration Provisioning Secure Storage for Identities
Produkte Datensicherheit Information Right-Mgmt Database Vault Label Security Advanced Security Secure Backup Secure Documents Multi-factor DBA Controls Data Classification Encrypted Data Encrypted Data on Tape