понедельник, 21 апреля 2014 г.

Брошюра по Mobile Security и информация по уязвимости в OpenSSL (Heartbleed)

К сожалению, нечасто удается найти время и силы для качественного перевода наших технических материалов... На этот раз мы взялись за Oracle Mobile Security Suite и подготовили локализованную версию OMSS Technical Whitepaper. Правда, возможны небольшие расхождения с оригиналом, поскольку на корпоративном сайте в документ периодически вносят обновления.

Итак, знакомьтесь - "Расширение возможностей корпоративной платформы управления идентификационными данными и доступом с помощью решений Oracle Mobile Security".



Вторая тема - уязвимость Heartbleed, обнаруженная в пакете OpenSSL - наделала много шума; поэтому многим производителям ПО пришлось выпустить не только программные заплатки, но и пресс-релизы, чтобы успокоить своих заказчиков. Не стала исключением и компания Oracle, выпустившая бюллетень "OpenSSL Security Bug - Heartbleed / CVE-2014-0160".

Обратите внимание, на бОльшую часть решений Oracle данная уязвимость не оказывает влияния, но вот компоненты Oracle Mobile Security Suite такому риску подвержены; правда, для актуальных версий уже есть заплатки, которые можно скачать с сайта поддержки (см. MOS Note 1664164.1)

четверг, 10 апреля 2014 г.

Новые внедрения решений безопасности Oracle и новости партнеров


Пришло время обновить нашу таблицу, опубликованную в мае прошлого года... Повод появился еще полгода назад, когда наши партнеры из ООО «Газинформсервис» представили на Oracle Day 2013 в Москве согласованный с заказчиком доклад о внедрения решения по автоматизированному управлению учетными записями пользователей в ООО «Газпром трансгаз Ухта». В состав решения вошли Oracle Identity Manager, Oracle Access Manager и Oracle Enterprise Single Sign-On Suite.
Справедливости ради стоит заметить, что это - всего лишь типовой пример внедрения, которые проходят во многих дочерних компаниях ОАО «Газпром». Кроме ООО «Газинформсервис», на IdM-проектах в ОАО «Газпром» активно работают наши партнеры из ООО «НПО ВС» (ссылка1, ссылка2), НИИ СОКБ и другие компании...


Разглядеть наши технологии в пресс-релизе компании IBS, посвященном созданию новой инфраструктуры для Высшего Арбитражного Суда РФ, на первый взгляд не так уж просто :-) Немного помогает связанная статья на CNews, но без брошюры с архитектурой решения всё равно не слишком понятно, что там и для чего. Наш хороший знакомый, бизнес-архитектор Группы IBS Александр Касенков любезно поведал подробности и пообещал подготовить подробное техническое описание, подобное приложенным ниже листовкам.

Итак, на проекте решается типовая задача по аутентификации в Oracle eBusiness Suite с помощью ГОСТовых сертификатов, размещенных на eToken... Для организации ГОСТового канала между клиентом и серверной инфраструктурой используется StoneGate SSL VPN со СКЗИ производства «Крипто-Про»; изделие StoneSoft похоже также аутентифицирует клиента в MS Active Directory и передает идентификатор (например, ключ Kerberos) в его обозреватель. При запросе клиентом любого защищенного с помощью Oracle Access Manager ресурса этот идентификатор перехватывается шлюзом WebGate и передается в OAM для валидации. После успешной проверки ключа Kerberos на MS AD для клиента создается новая сессия OAM и обеспечивается WebSSO ко всем разрешенным ресурсам.

Поскольку идентификаторы одного клиента в OeBS и MS AD могут не совпадать, для их синхронизации используется промежуточный LDAP-каталог Oracle Internet Directory и сервис Oracle Directory Integration Platform. Поэтому, когда клиент хочет попасть на OeBS, OAM запрашивает в OID связанную с предъявленным идентификатором MS AD учетную запись OeBS, а затем (уже с правильным именем) перенаправляет клиента на OeBS через свой специализированный шлюз Oracle E-Business Suite AccessGate... Как-то так; в общем, чтобы кому-то было потом легко, кому-то другому сначала надо как следует поработать :-)


К счастью, по другим типовым решениям от IBS мне писать ничего не надо - посмотрите, если интересно на "Модуль  формирования  и  проверки  электронной  подписи  при согласовании заявок на доступ в Oracle  Identity Manager" и "Единый сервис проверки электронной подписи"

среда, 9 апреля 2014 г.

Получены новые сертификаты ФСТЭК на ПО Oracle Enterprise Single Sign-On Suite Plus и Oracle Enterprise Linux


Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ООО "ФОРС-Центр разработки" завершило испытания набора ПО Oracle Enterprise Single Sign-On Suite Plus и получило сертификат ФСТЭК №3103 сроком действия до 20 февраля 2017 г.

ESSO версии 11.1.2.1 (Part Number V37624-01)  можно использовать как средство защиты от несанкционированного доступа к информации, реализующим функции идентификации и аутентификации, а также – регистрации событий безопасности.

Сканы формуляра и ТУ-5019-001-52384799 высылаются по запросу; регламент получения сертифицированных дистрибутивов ESSO – прежний.


Второй сертификат вообще уникальный; нечасто программное обеспечение западных вендоров (а тем более - операционная система) получает признание соответствия требованиям руководящих документов «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992) - по 3 классу защищенности и «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999) - по 2 уровню контроля...

Работы по сертификации Oracle Enterprise Linux потребовали огромных усилий и заняли в общей сложности около трех лет; зато сейчас средства защиты этой операционной системы могут быть использованы для обеспечения безопасности фактически любых программных продуктов, совместимых с OEL 5 update 5! Причем для других сертифицированных средств защиты информации от несанкционированного доступа действует "повышающий коэффициент"! Так, например, специализированное средство защиты СУБД Oracle Database Vault теперь может быть использовано для защиты ПДн и 2-го, и 1-го типов, если установить его на эту операционную систему.

В связи с большой широтой применения доверенной OS, в настоящий момент отсутствует четкий регламент получения дистрибутивов по сертификату №3095 сроком действия до 13 февраля 2017 г. Принципы остаются прежними – мы принимаем решение о бесплатной передаче пакета на основании запроса, подтверждающего легитимность использования продуктов Oracle, являющимися средствами защиты. С большой долей вероятности будут одобрены запросы заказчиков сертифицированной опции Database Vault; по всем остальным случаям решение будет приниматься на уровне руководства Московского Представительства компании Oracle.

Презентация с Oracle CloudWorld и обновленное предложение по защите ПДн


Презентацию по вопросам Облачной Безопасности с прошедшего в городе Москве 8 апреля 2014 г. глобального форума по облачным инновациям можно загрузить отсюда.

В связи с получением двух новых сертификатов ФСТЭК мы также обновили брошюру "Защита информации и бизнес-приложений в соответствии с требованиями Закона о персональных данных с помощью сертифицированных средств безопасности Oracle".