Брошюра по Mobile Security и информация по уязвимости в OpenSSL (Heartbleed)

К сожалению, нечасто удается найти время и силы для качественного перевода наших технических материалов... На этот раз мы взялись за Oracle Mobile Security Suite и подготовили локализованную версию OMSS Technical Whitepaper. Правда, возможны небольшие расхождения с оригиналом, поскольку на корпоративном сайте в документ периодически вносят обновления.

Итак, знакомьтесь - "Расширение возможностей корпоративной платформы управления идентификационными данными и доступом с помощью решений Oracle Mobile Security".

Вторая тема - уязвимость Heartbleed, обнаруженная в пакете OpenSSL - наделала много шума; поэтому многим производителям ПО пришлось выпустить не только программные заплатки, но и пресс-релизы, чтобы успокоить своих заказчиков. Не стала исключением и компания Oracle, выпустившая бюллетень "OpenSSL Security Bug - Heartbleed / CVE-2014-0160".

Обратите внимание, на бОльшую часть решений Oracle данная уязвимость не оказывает влияния, но вот компоненты Oracle Mobile Security Suite такому риску подвержены; правда, для актуальных версий уже есть заплатки, которые можно скачать с сайта поддержки (см. MOS Note 1664164.1)

Видеопрезентация Oracle API Gateway на Youtube

Команда Oracle CIS Enterprise Security подготовила видеопрезентацию с позиционированием нашего решения Oracle API Gateway в качестве удобного средства периферийной защиты SOA-инфраструктуры и интеграционного решения, обеспечивающего легкое подключение мобильных приложений.

Видео знакомит с многообразием публичных и корпоративных сервисов, организацией их работы и способами нейтрализации потенциальных угроз; также даны примеры контроля содержимого ответных сообщений и их модификации в зависимости от контекста запроса, реализованные без проведения изменений в связанных IT-системах и приложениях.

Таким образом, один продукт решает и задачи безопасности, и бизнес-задачи по быстрому развертыванию новых каналов интеграционного взаимодействия.
Видео доступно по ссылке http://www.youtube.com/watch?v=KXulA9DdsXs

Identity Management 11.1.2 Enterprise Deployment Blueprint

Oracle Identity Management - это платформа для предоставления сервисов  управления IT-привилегиями пользователей в системах и приложениях, а также - сервисов контроля доступа пользователей к информационным системам предприятия. Подключение Oracle IdM к существующим ресурсам происходит с помощью адаптеров и шлюзов, а к Fusion Applications - методом "встраивания".

Поскольку Oracle IdM становится частью критически важных бизнес-систем, в сентябре 2012 г. компания Oracle выпустила специальное руководство Identity Management 11.1.2 Enterprise Deployment Blueprint, описывающее архитектуру Oracle Identity Management для промышленной системы, обеспечивающую высокую доступность и отказоустойчивость. В руководстве описана установка типового решения, включающего в себя следующий набор компонентов: Oracle Identity Manager (OIM), Oracle Access Manager (OAM) и Oracle Autorization Policy Manager.

Основные функции Oracle Identity Manager это управление учетными записями и правами пользователей в системах. Oracle Access Manager включает в себя набор сервисов, обеспечивающих: Web single sign-on; контекст для аутентификации и авторизации; предоставление ограниченного доступа к конфиденциальной информации; single sign-on для мобильных приложений и социальных сетей.

Руководство будет полезно для технических специалистов при подготовке технико-коммерческих предложений, дизайна архитектуры решений, технического задания, а так же при планировании внедрения OIM в связке с OAM.

В документе подробно описаны установка и конфигурирование компонентов решения и приведены требования по железу при установке на Linux. При использовании других платформ следует использовать Oracle Fusion Middleware Installation Guide и Oracle Fusion Middleware Sizing Guide.

Особенности описанного решения:

• Решение рассчитано на поддержку различных хранилищ идентификационных данных, включая Oracle Internet Directory, Oracle Unified Directory и Oracle Virtual Directory. Oracle Virtual Directory может быть использовано для поддержки сторонних каталогов (т.к. часто предприятие уже имеет свое хранилище LDAP, которое можно переиспользовать) или для поддержки мультидоменности.
• высокая доступность обеспечена для всех компонентов описанного решения.
• SSL настраивается до балансировщика.
• OAM и OIM разворачивается на различные домены для отделения административных задач от операционных.
• Каталоги предложено разворачивать на независимые домены, что позволит устанавливать патчи отдельно от компонентов Oracle Access Management. Таким образом отпадает необходимость удостоверяться что продукты сертифицированы с компонентами инфраструктуры из другого набора программных продуктов и процесс установки обновлений становится проще.

IdM-платформа Oracle

Давно я не маркировал сообщения ярлыком "Books", и вот появился повод - вышла полезная брошюра "The Oracle IdM Platform - Identity Services at Internet Scale".

Примерно год назад тема IdM-платформы Oracle промелькнула в маркетингово-экономическом исследовании "IAM Integrated - Analyzing the Platform vs. Point Solution Approach". На основе опроса и разбора финансовых показателей аналитики Aberdeen Group подводили читателей к мысли о полезности комплексного подхода, давали замечательные советы по выбору решения и отмечали достижения Oracle в этой области.

На этот раз г-н Mike Neuenschwander, бывший VP & Research Director at Burton Group, бывший Senior Product Manager at Novell Inc., а ныне - Senior Director of Product Management for Oracle's Identity Portfolio, развивает тему унифицированных и масштабируемых сервисов безопасности с использованием более технических аргументов.

Проведено позиционирование отдельных решений, представлены несколько сценариев работы и планы развития продуктов (честно говоря, не слишком далекие; релиз описанного IAMS 11gR2 намечен на июль).



В общем, рекомендую; жмите на ссылку

Пример настройки Oracle ADF Security

В январском выпуске Oracle Magazine руководитель направления Oracle JDeveloper и Application Development Framework Франк Нимфиус опубликовал статью с громким названием "Security for Everyone". Рассматривается пример организации разграничения доступа к тестовому приложению с использованием только базовых средств безопасности FMW - Oracle Platform Security Services. Oracle ADF Security, базирующаяся на OPSS, значительно упрощает разработку системы защиты небольших приложений, абстрагируясь от сложностей JAAS-авторизации и Java EE аутентификации, а также облегчает перенос приложений из тестовой среды в продуктивную и их развертывание. Таким образом, название статьи "Безопасность для всех" можно трактовать как "Безопасность даже для тех, кто не смог приобрести специализированные решения Oracle Identity & Access Management". :-) Это, конечно, шутка; главное, что у заказчиков есть выбор средств реализации безопасности приложений в зависимости от масштаба разработки и решаемых задач... При этом архитектура приложения не слишком меняется - оно использует вызовы внешних сервисов безопасности на либо основе Java, либо на основе решений Oracle IdM.

Книжечки и статейки

Начнем с моей любимой архитектурной темы...
В качестве удобного перехода к ранее афишируемой брошюре по архитектуре безопасности (2,4 MB) из серии "Oracle Reference Architecture" рекомендую ознакомиться с книжечкой "Information Security: A Conceptual Architecture Approach" (0,7 MB)
Требования, принципы, стандарты информационной безопасности, архитектура защиты, требования бизнеса, риски и их минимизация - все это емко и толково описано и проиллюстрировано

Следующая статья - описание внедрения комплексного IdM-решения в компании Schneider National с деталями заимодействия Кадровой системы, Системы планирования предприятия, Корпоративного каталога, Систем администрирования учетных данных и контроля доступа, Ролевого управления и Портала. Итак, встречайте "A Role-Based Approach to Automated Provisioning and Personalized Portals"

И наконец, обновление брошюры, описывающей работу экстремальной системы аутентификации на базе нашего каталога. Поскольку в основе Oracle Internet Directory 11g лежат технологии Oracle Database, исследователи задались вопросом, насколько эффективно проявит себя каталог, если установить его на Exadata...
Даже вы не владелец Facebook, но вам интересны результаты испытаний, можете их посмотреть по ссылке http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oid11g-500m-socialmedia-benchmark-349887.pdf (0,5 MB).

Несколько весьма полезных книжек

Я наконец-то завершил творческий перевод английской брошюры «Oracle Identity Management 11gR1 - White Paper» (4,7 MB). Получилось 68 страниц подробного описания всех наших решений; особое внимание уделено платформе безопасности OPSS, реализации концепции Безопасность-как-Сервис, новым продуктам и всевозможным интеграциям. Надеюсь, в ближайшем будущем книжку распечатают и разместят в русскоязычной зоне официального сайта; пока что ее можно забрать с файлообменника...
Итак, встречайте "Техническое описание Oracle Identity Management 11g" (2,2 MB)

Вторая рекомендуемая мною брошюра из Oracle Identity Management Resource Library помещена там в раздел "Business White Papers" и посвящена (несмотря на название) аспектам безопасности на протяжении жизненного цикла приложения, т.е. адресована в первую очередь разработчикам. Ну, и остальным тоже, наверное, будет интересно, как корпорация Oracle оптимизировала свои процессы производства защищенных и легкоинтегрируемых бизнес-приложений. Читайте "Service-Oriented Security" (1,5 MB)!

А по ссылке oracle.com/goto/itstrategies после регистрации можно попасть в целую библиотеку, да какую! Наконец-то опубликована на открытом ресурсе «IT Strategies from Oracle reference library».
Для тех, кто ни разу не сталкивался, - это набор брошюр, увязывающих существующие технологии с индустриальными требованиями на основе Oracle Reference Architecture. Каждая книжка представляет собой логический переход от концепции и IT-стандартов к технологическим решениям, продуктам и примерам развертывания, т.е. идеальна для архитектурного позиционирования.
Самому проекту уже года два, поэтому материалы зрелые… Мало того, они регулярно обновляются (по крайней мере, так было на внутреннем ресурсе). Так что, советую активно знакомиться! Для самых нетерпеливых выкладываю ссылку на брошюру по архитектуре безопасности (2,4 MB)