пятница, 14 октября 2016 г.

Получен сертификат ФСТЭК на Oracle Database 12c

Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ЗАО "Центр разработки, испытаний и обучения в области информационных технологий" (ЦРИОИТ) завершило работы по сертификационным испытания СУБД Oracle Database 12c с используемыми компонентами Advanced Security и Database Vault и получило сертификат ФСТЭК №3611 сроком действия до 6 сентября 2019 г.
Это - наш первый опыт сертификации в режиме производства на территории Российской Федерации разработанных в Oracle Corporation программных решений; в связи с чем возможны небольшие изменения в Регламенте выдачи дистрибутивов обновлений, которые будут проходить проверку и выдаваться ЗАО ЦРИОИТ.

среда, 8 июня 2016 г.

Перевод брошюры Oracle Cloud Services Security


Наверное, многие из вас слышали фразу Ларри Эллисона "Security Can Be Better in the Cloud". Если судить о ней исключительно в контексте презентации от 27 октября на Oracle OpenWorld 2015, то может показаться, что все связано с процессором SPARC M7.
Security-in-Silicon - это конечно здорово; но не это главное в облачной безопасности Oracle...

Более важная мысль высказана в статье "Larry Ellison and Mark Hurd: Oracle’s 10-Point Plan To Be #1 In the Cloud", в восьмом пункте Плана "Oracle is bringing unmatched levels of security to the cloud".
A major differentiator between Oracle’s cloud architecture and that of many of its competitors is that Oracle deploys multitenancy technology at the database layer of the cloud, rather than at the application layer, which creates a more secure environment for customers. Plus, Oracle’s unique status as the only cloud vendor playing at all three layers of the cloud—SaaS, PaaS, and IaaS—gives it the ability to optimize security capabilities across all of those layers. “Some of our customers in the cloud will buy a few SaaS applications, and they’ll buy some PaaS, and then they’ll buy some infrastructure as a service because they want to have a unified security model in a PaaS network to interconnect all of those pieces.”

Последняя фраза - скорее для акционеров :-) но это действительно круто: Oracle может создавать для клиентов своего облака разноуровневые (или многоуровневые) решения, опирающиеся на лучшие практики безопасности, такие, на которые у заказчиков в собственных ЦОДах не хватает ни времени, ни денег, ни специалистов. Безопасность в облаке действительно может быть на более высоком уровне, чем "дома".

Представляю перевод брошюры "Безопасность облачных сервисов Oracle Cloud Services для инфраструктур и платформ" с моей любимой пятой главой "Единое управление идентификаторами и доступом".
Благодарности Владимиру Давиденко и Сергею Базылько!

четверг, 2 июня 2016 г.

Получен сертификат ФСТЭК на Oracle Identity Governance Suite 11g R2

Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ООО "ФОРС-Центр разработки" завершило работы по сертификационным испытания ПО Oracle Identity Governance Suite (IGS) 11g R2 и получило сертификат ФСТЭК №3563 сроком действия до 13 мая 2019 г.



В соответствии с условиями привязки сертификатов к лицензиям заказчики IGS ранее могли получить сертификаты на IAMS №2238 и №3295; теперь у них есть возможность запросить "одноименный" сертификат. Также от будет полезен тем, кто хочет получить сертифицированное средство защиты от угроз, связанных с привилегированными пользователями, поскольку Технические Условия 5021-002-52384799-2015 включают в себя проверки функций управления учетными записями пользователей с применением Oracle Privilege Account Manager. И наконец - была сертифицирована самая свежая на сегодняшний день версия ПО Oracle Identity and Access Management 11g R2 PS3 (11.1.2.3.0).

Также хочется отметить вклад нашего партнера ООО "Газинформсервис", испытательная лаборатория которого приобрела опыт по сертификации IdM-решений в дополнение к практике реализации интеграционных и сервисных проектов, которыми мы давно и успешно совместно занимались. Поскольку за плечами испытательной лаборатории ООО "Газинформсервис" также сертификация средств безопасности СУБД (№2858), у нас появилось больше вариантов распределения работ в условиях интенсификации программы сертификации средств защиты информации.

среда, 13 апреля 2016 г.

Oracle IdM Self Study Materials

Oracle регулярно публикует на различных ресурсах материалы для самостоятельного изучения... Для новичков наиболее полезными являются проработанные сценарии решения конкретных задач. Я решил собрать ссылки на актуальные советы в одном месте...

Для начала - учебные материалы от
http://www.oracle.com/technetwork/tutorials/index.html

Configuring an Identity Provider with Oracle Cloud as Service Provider

Oracle Mobile Security Suite 11g R2 PS3 Series

Oracle Identity Manager 11g R2 PS3: Getting Started Series
Oracle Identity Manager 11g R2 PS3: Upgrade Series
Oracle Privileged Account Manager 11g R2 PS3: New Features
Oracle Identity Manager 11g R2 PS2: ADF Primer Series
Oracle Identity Governance 11g R2 PS1: Customization Series
Oracle Identity Manager 11g R2 PS1: Closed Loop Identity Certification

Oracle Mobile and Social 11g R2 PS2 SeriesOracle Access Portal 11g R2 PS2 Series
Oracle Access Manager 11g R2 PS2 Upgrading 

Oracle Directory Services 11g Series: Virtual Directory Setup
 
Oracle Platform Security Services 11g R1 Series

Oracle Enterprise Manager 13c: Best Practices for Identity Management - Using Dashboards
Oracle Enterprise Manager 12c: Best Practices to Successfully Monitor and Manage Oracle’s Identity Management Product Line
Oracle Enterprise Manager 12c: Compliance Management for Oracle Identity Manager
Oracle Enterprise Manager 12c: Manage Oracle Identity Management


http://www.oracle.com/technetwork/middleware/id-mgmt/overview/index.html

Oracle Identity Manager 11g R2 Sample Assets
...

http://www.oracle.com/partners/en/products/middleware/identity-management/get-trained/index.html

Oracle Access Management 11g R2 PS3 Workshop
Oracle Identity Governance 11g R2 PS3 Workshop
Место размещения пусть вас не смущают... Для доступа к материалам потребуется аутентификация (скорее всего - партнерский аккаунт), поэтому я скопировал описание тренингов и лабораторные работы в личную папку

пятница, 8 апреля 2016 г.

Oracle Cloud Services Security


На сайте наконец опубликована 40-страничная брошюра с детальным описанием подхода к обеспечению безопасности публичных облачных сервисов Oracle.


После общих слов и раздела с разграничением обязанностей и советов "самим не плошать" идет подробное перечисление того, что сделано корпорацией для защиты информации клиентов...
Для примера приведу содержание 4-й главы о защите инфраструктуры:
  1. Physical Security Safeguards
  2. Oracle Cloud Services Access for Oracle Employees
  3. Background Checks
  4. Measures to Minimize Employee Risks
  5. Oracle Corporate Network Segregation
  6. Secure Network Architecture
  7. Encrypted Access to Oracle Cloud Services
  8. Platform Hardening and Monitoring
  9. Security Incident Response
  10. Malware Prevention
  11. Internal Oversight by Executives
  12. Data Disposal
  13. Physical Media in Transit
  14. Data Privacy
  15. Third Party Audit Reports
Далее - главы, посвященные работе общих сервисов по управлению идентификационными данными и доступом (Shared Identity and Access Management = SIM) и безопасности, специфичной для отдельных облачных решений.

Скачать кижку можно из облачного раздела Learn More - White Papers
https://cloud.oracle.com/en_US/compute?lmResID=1385171309534&tabID=1383678920245 

вторник, 15 марта 2016 г.

Свежие аналитические отчеты от Gartner


В соответствии с Gartner's Magic Quadrant for Identity Governance and Administration от 29 февраля 2016 года решения Oracle Identity Management продолжают лидировать на рынке.


Среди преимуществ Oracle Identity Governance Suite 11gR2 PS3 перечислены: 
  • Гибкость и кастомизируемость решений, а также эффективная модель данных, позволяющая перенести исполнение ресурсоемких задач на уровень СУБД
  • Единая технологическая платформа, включающая управление мобильными ресурсами
  • Глубокая интеграция в семейство решений Fusion Middleware, позволяющая заказчикам получать синергетический эффект от совместного использования продуктов
  • Возможность повсеместного развертывания за счет глобального присутствия на рынке вендора и наличия разветвленной партнерской сети
Нашлись и недостатки - относительная сложность внедрения, требующая обучения сотрудников или привлечения сторонних ресурсов, не самые восторженные отзывы заказчиков и опасения в связи с реорганизацией...

В последнем пункте речь возможно идет об облачном курсе Oracle и о том, как он повлияет на планы развития продуктов и сроки появления новых версий. Тут я могу всех успокоить - уже в этом квартале мы должны анонсировать новые Identity Cloud Services, а затем - 12 версию IdM.

Как минимум в течение года по этой ссылке можно будет посмотреть оригинал отчета.

Кстати Gartner ужесточил требования к участникам сравнения - например, из пятерых прошлогодних лидера оставил только троих самых-самых, а общее число претендентов сократилось с 19 до 14... О других изменениях можете почитать в статье "What’s Changed: Gartner’s 2016 Magic Quadrant for Identity Governance and Administration (IGA)".


Второй отчет - Gartner's Magic Quadrant for Data Masking Technology от 22 декабря 2015 года - подтверждает наше лидерство в области защиты данных.



Аналитики Gartner отметили, что “организации должны обеспечивать маскирование, деперсонализацию и защиту конфиденциальных данных при их хранении внутри компании и защите от внешних атак. Применение технологии обезличивания данных помогает организациям повысить уровень безопасности и обеспечить конфиденциальность данных и в то же время - обеспечить соответствие требованиям регуляторов.

В отчете Gartner также отмечается, что “обезличивание данных предназначено для обеспечения защиты данных, сохраняя при этом удобство использования защищенными данными. Это необходимо для тестирования приложений (когда тестирование должно быть проведено на тестовых данными вместо реальных) и проведения статистического анализа (который предполагает использование совокупности данных для скоринга и статистической отчетности, где не требуются конфиденциальные данные, которые должны быть сохранены в тайне, а достаточно статистической). Все большее число предприятий внедряют технологии маскирования и объявляют ее обязательной частью своей стратегии безопасности.”

Среди преимуществ решения Oracle перечислены: 
  • Высокая производительность при маскировании и подготовке выборок в СУБД Oracle
  • Встроенность решения для динамического маскирования данных с учетом множества факторов - имени пользователя, его роли, IP-адреса клиента и т.п.
  • Уникальный интерфейс для поиска конфиденциальных данных как в локальных ЦОДах, так и в облачных СУБД
  • Несколько дополняющих решений ИБ - шифрование, управление ключами, анализ SQL-запросов и защита данных аудита, контроль доступа привилегированных пользователей
В плюсы Oracle Data Masking and Subsetting Pack я бы еще добавил прединтегрированности с популярными бизнес-приложениями (например, готовые шаблоны для Oracle E-Business Suite) и средствами тестирования (например, пакетом Real Application Testing). Подробности - на http://www.oracle.com/technetwork/database/options/data-masking-subsetting/learnmore/index.html

Недостатки переводить не буду, т.к. фактически это не недостатки :-) Желающие могут убедиться сами:
  • For non-Oracle Database SDM (Static Data Masking), an Oracle RDBMS and Oracle Database Gateway must be part of the data discovery and SDM. To address users' needs, a restricted use license for Oracle Database Gateway is included with Oracle Data Masking and Subsetting Pack for non-Oracle Databases at no extra charge.
  • SDM for big data requires loading Hadoop data into Oracle, masking it there and then loading it back into Hadoop. Support for Hadoop beyond Oracle Big Data Appliance is planned.
  • DDM (Dynamic Data Masking) for Hadoop also requires Oracle Big Data Appliance. Hadoop plugs into Oracle RDBMS as an external table, Oracle queries it and responses come back to Oracle, and then Oracle masks them dynamically.
  • For unstructured data outside the database, Oracle does not offer a data redaction tool, but rather a set of APIs for operating on unstructured data. The vendor does provide this functionality as part of a different product line, Oracle WebCenter.
Как минимум в течение года по этой ссылке можно будет посмотреть оригинал отчета.

пятница, 4 декабря 2015 г.

Управление доступом в Oracle Cloud


На мероприятиях мы часто говорили о том, что сервисы разграничения доступа к облачным службам Oracle построены на базе наших IdM-решений. К сожалению, далеко не все заказчики использовали все их преимущества, такие как:

  • Массовое создание учетных записей в Oracle Cloud


  • Массовое начначение привилегий учетным записям в Oracle Cloud


  • Оповещение сотрудников об изменениях атрибутов их учетных записей в Oracle Cloud через копоративную почту


  • И наконец - федеративную аутентификацию

Настроенная федеративная аутентификация позволяет отказаться от испрользования паролей, хранящихся у поставщика облачных сервисов (таких, как Oracle IaaS, PaaS, SaaS и др.) в пользу проверки паролей в корпоративных каталогах (таких, как MS Active Directory) или в облачных каталогах (например, MS Azure Active Directory).

За последний месяц на наших ресурсах были опубликованы несколько инструкций, облегчающих использование Oracle Public Cloud за счет настройки его служб Shared Identity Management. См.

Кроме того, много полезных материалов по теме федеративных отношений и организации SSO можно найти на Damien Carru's Blog: It's a Federated World