Перевод брошюры Oracle Cloud Services Security

Наверное, многие из вас слышали фразу Ларри Эллисона "Security Can Be Better in the Cloud". Если судить о ней исключительно в контексте презентации от 27 октября на Oracle OpenWorld 2015, то может показаться, что все связано с процессором SPARC M7.
Security-in-Silicon - это конечно здорово; но не это главное в облачной безопасности Oracle...

Более важная мысль высказана в статье "Larry Ellison and Mark Hurd: Oracle’s 10-Point Plan To Be #1 In the Cloud", в восьмом пункте Плана "Oracle is bringing unmatched levels of security to the cloud".
A major differentiator between Oracle’s cloud architecture and that of many of its competitors is that Oracle deploys multitenancy technology at the database layer of the cloud, rather than at the application layer, which creates a more secure environment for customers. Plus, Oracle’s unique status as the only cloud vendor playing at all three layers of the cloud—SaaS, PaaS, and IaaS—gives it the ability to optimize security capabilities across all of those layers. “Some of our customers in the cloud will buy a few SaaS applications, and they’ll buy some PaaS, and then they’ll buy some infrastructure as a service because they want to have a unified security model in a PaaS network to interconnect all of those pieces.”

Последняя фраза - скорее для акционеров :-) но это действительно круто: Oracle может создавать для клиентов своего облака разноуровневые (или многоуровневые) решения, опирающиеся на лучшие практики безопасности, такие, на которые у заказчиков в собственных ЦОДах не хватает ни времени, ни денег, ни специалистов. Безопасность в облаке действительно может быть на более высоком уровне, чем "дома".

Представляю перевод брошюры "Безопасность облачных сервисов Oracle Cloud Services для инфраструктур и платформ" с моей любимой пятой главой "Единое управление идентификаторами и доступом".
Благодарности Владимиру Давиденко и Сергею Базылько!

Oracle Cloud Services Security

На сайте наконец опубликована 40-страничная брошюра с детальным описанием подхода к обеспечению безопасности публичных облачных сервисов Oracle.

После общих слов и раздела с разграничением обязанностей и советов "самим не плошать" идет подробное перечисление того, что сделано корпорацией для защиты информации клиентов...
Для примера приведу содержание 4-й главы о защите инфраструктуры:

1. Physical Security Safeguards
2. Oracle Cloud Services Access for Oracle Employees
3. Background Checks
4. Measures to Minimize Employee Risks
5. Oracle Corporate Network Segregation
6. Secure Network Architecture
7. Encrypted Access to Oracle Cloud Services
8. Platform Hardening and Monitoring
9. Security Incident Response
10. Malware Prevention
11. Internal Oversight by Executives
12. Data Disposal
13. Physical Media in Transit
14. Data Privacy
15. Third Party Audit Reports

Далее - главы, посвященные работе общих сервисов по управлению идентификационными данными и доступом (Shared Identity and Access Management = SIM) и безопасности, специфичной для отдельных облачных решений.

Скачать кижку можно из облачного раздела Learn More - White Papers
https://cloud.oracle.com/en_US/compute?lmResID=1385171309534&tabID=1383678920245 

Identity Management 11.1.2 Enterprise Deployment Blueprint

Oracle Identity Management - это платформа для предоставления сервисов  управления IT-привилегиями пользователей в системах и приложениях, а также - сервисов контроля доступа пользователей к информационным системам предприятия. Подключение Oracle IdM к существующим ресурсам происходит с помощью адаптеров и шлюзов, а к Fusion Applications - методом "встраивания".

Поскольку Oracle IdM становится частью критически важных бизнес-систем, в сентябре 2012 г. компания Oracle выпустила специальное руководство Identity Management 11.1.2 Enterprise Deployment Blueprint, описывающее архитектуру Oracle Identity Management для промышленной системы, обеспечивающую высокую доступность и отказоустойчивость. В руководстве описана установка типового решения, включающего в себя следующий набор компонентов: Oracle Identity Manager (OIM), Oracle Access Manager (OAM) и Oracle Autorization Policy Manager.

Основные функции Oracle Identity Manager это управление учетными записями и правами пользователей в системах. Oracle Access Manager включает в себя набор сервисов, обеспечивающих: Web single sign-on; контекст для аутентификации и авторизации; предоставление ограниченного доступа к конфиденциальной информации; single sign-on для мобильных приложений и социальных сетей.

Руководство будет полезно для технических специалистов при подготовке технико-коммерческих предложений, дизайна архитектуры решений, технического задания, а так же при планировании внедрения OIM в связке с OAM.

В документе подробно описаны установка и конфигурирование компонентов решения и приведены требования по железу при установке на Linux. При использовании других платформ следует использовать Oracle Fusion Middleware Installation Guide и Oracle Fusion Middleware Sizing Guide.

Особенности описанного решения:

• Решение рассчитано на поддержку различных хранилищ идентификационных данных, включая Oracle Internet Directory, Oracle Unified Directory и Oracle Virtual Directory. Oracle Virtual Directory может быть использовано для поддержки сторонних каталогов (т.к. часто предприятие уже имеет свое хранилище LDAP, которое можно переиспользовать) или для поддержки мультидоменности.
• высокая доступность обеспечена для всех компонентов описанного решения.
• SSL настраивается до балансировщика.
• OAM и OIM разворачивается на различные домены для отделения административных задач от операционных.
• Каталоги предложено разворачивать на независимые домены, что позволит устанавливать патчи отдельно от компонентов Oracle Access Management. Таким образом отпадает необходимость удостоверяться что продукты сертифицированы с компонентами инфраструктуры из другого набора программных продуктов и процесс установки обновлений становится проще.

IdM-платформа Oracle

Давно я не маркировал сообщения ярлыком "Books", и вот появился повод - вышла полезная брошюра "The Oracle IdM Platform - Identity Services at Internet Scale".

Примерно год назад тема IdM-платформы Oracle промелькнула в маркетингово-экономическом исследовании "IAM Integrated - Analyzing the Platform vs. Point Solution Approach". На основе опроса и разбора финансовых показателей аналитики Aberdeen Group подводили читателей к мысли о полезности комплексного подхода, давали замечательные советы по выбору решения и отмечали достижения Oracle в этой области.

На этот раз г-н Mike Neuenschwander, бывший VP & Research Director at Burton Group, бывший Senior Product Manager at Novell Inc., а ныне - Senior Director of Product Management for Oracle's Identity Portfolio, развивает тему унифицированных и масштабируемых сервисов безопасности с использованием более технических аргументов.

Проведено позиционирование отдельных решений, представлены несколько сценариев работы и планы развития продуктов (честно говоря, не слишком далекие; релиз описанного IAMS 11gR2 намечен на июль).



В общем, рекомендую; жмите на ссылку

Книжечки и статейки

Начнем с моей любимой архитектурной темы...
В качестве удобного перехода к ранее афишируемой брошюре по архитектуре безопасности (2,4 MB) из серии "Oracle Reference Architecture" рекомендую ознакомиться с книжечкой "Information Security: A Conceptual Architecture Approach" (0,7 MB)
Требования, принципы, стандарты информационной безопасности, архитектура защиты, требования бизнеса, риски и их минимизация - все это емко и толково описано и проиллюстрировано

Следующая статья - описание внедрения комплексного IdM-решения в компании Schneider National с деталями заимодействия Кадровой системы, Системы планирования предприятия, Корпоративного каталога, Систем администрирования учетных данных и контроля доступа, Ролевого управления и Портала. Итак, встречайте "A Role-Based Approach to Automated Provisioning and Personalized Portals"

И наконец, обновление брошюры, описывающей работу экстремальной системы аутентификации на базе нашего каталога. Поскольку в основе Oracle Internet Directory 11g лежат технологии Oracle Database, исследователи задались вопросом, насколько эффективно проявит себя каталог, если установить его на Exadata...
Даже вы не владелец Facebook, но вам интересны результаты испытаний, можете их посмотреть по ссылке http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oid11g-500m-socialmedia-benchmark-349887.pdf (0,5 MB).

Несколько весьма полезных книжек

Я наконец-то завершил творческий перевод английской брошюры «Oracle Identity Management 11gR1 - White Paper» (4,7 MB). Получилось 68 страниц подробного описания всех наших решений; особое внимание уделено платформе безопасности OPSS, реализации концепции Безопасность-как-Сервис, новым продуктам и всевозможным интеграциям. Надеюсь, в ближайшем будущем книжку распечатают и разместят в русскоязычной зоне официального сайта; пока что ее можно забрать с файлообменника...
Итак, встречайте "Техническое описание Oracle Identity Management 11g" (2,2 MB)

Вторая рекомендуемая мною брошюра из Oracle Identity Management Resource Library помещена там в раздел "Business White Papers" и посвящена (несмотря на название) аспектам безопасности на протяжении жизненного цикла приложения, т.е. адресована в первую очередь разработчикам. Ну, и остальным тоже, наверное, будет интересно, как корпорация Oracle оптимизировала свои процессы производства защищенных и легкоинтегрируемых бизнес-приложений. Читайте "Service-Oriented Security" (1,5 MB)!

А по ссылке oracle.com/goto/itstrategies после регистрации можно попасть в целую библиотеку, да какую! Наконец-то опубликована на открытом ресурсе «IT Strategies from Oracle reference library».
Для тех, кто ни разу не сталкивался, - это набор брошюр, увязывающих существующие технологии с индустриальными требованиями на основе Oracle Reference Architecture. Каждая книжка представляет собой логический переход от концепции и IT-стандартов к технологическим решениям, продуктам и примерам развертывания, т.е. идеальна для архитектурного позиционирования.
Самому проекту уже года два, поэтому материалы зрелые… Мало того, они регулярно обновляются (по крайней мере, так было на внутреннем ресурсе). Так что, советую активно знакомиться! Для самых нетерпеливых выкладываю ссылку на брошюру по архитектуре безопасности (2,4 MB)

Новые информационные материалы

Я думаю, многие заметили, что многие старые ссылки на сайтах Oracle перестали работать... Надеюсь, большинство полезных документов перевыложат...
Пока что рекомендую ознакомиться с новыми Technical WhitePapers, появившимся в Oracle Identity Management Resource Library

Oracle Identity Analytics 11g Architecture - Whitepaper (0,5 MB)
http://www.oracle.com/technetwork/middleware/id-mgmt/overview/oia-wp-11gr1-156948.pdf
Oracle Identity Manager 11g Architecture - Whitepaper (1 MB)
http://www.oracle.com/technetwork/middleware/id-mgmt/overview/identity-manager-wp-11gr1-156947.pdf

Новые информационные материалы

Прошла веб-конференция с анонсом Oracle Identity Management Suite 11g. В основном она содержала маркетинговые материалы; дистрибутивы и документацию пока что не выложили, но появилась новая информация о ключевых свойствах продуктов и их наборах на странице http://www.oracle.com/us/products/middleware/identity-management/identity-management-11g-151984.html
Желающие могут почитать там новости об Oracle Identity Manager 11g, Oracle Access Manager 11g, Oracle Adaptive Access Manager 11g, Oracle Identity Analytics 11g, Oracle Identity Federation 11g, Oracle Directory Services Plus, Oracle Access Management Suite Plus и Oracle Enterprise Manager Grid Control Management Pack for Identity Management 11g

Сам анонс о "Significant Advances in Application Security with Oracle Identity Management 11g" доступен по ссылке http://www.oracle.com/us/corporate/press/154293

Вышла полезная книжка по Oracle Database Auditing "Performance Guidelines", описывающая способы снижения нагрузки с продуктивных систем при проведении их централизованного аудита. Скачать можно по ссылке http://www.oracle.com/technology/products/audit-vault/pdf/twp-security_auditperformance.pdf

Библиотека документов Oracle IDM 11g на английском языке

Общая информация
Oracle Identity Management 11gR1 - Data Sheet (0,3 MB)
Oracle Identity Management 11gR1 - White Paper (3,3 MB)

Отдельные продукты
Oracle Access Manager 10.1.4.3.0 - FAQ (0,2 MB)
Oracle Identity Federation 11g - Data Sheet (0,2 MB)
Oracle Identity Federation 11g - FAQ (0,2 MB)
Oracle Identity Federation 11g - Whitepaper (0,8 MB)
Oracle Internet Directory 11g - Data Sheet (0,2 MB)
Oracle Internet Directory 11g - Whitepaper (0,6 MB)
Oracle Platform Security Services 11g - FAQ (0,2 MB)
Oracle Platform Security Services 11g - Whitepaper (0,3 MB)
Oracle Virtual Directory 11g - Data Sheet (0,3 MB)
Oracle Virtual Directory 11g - Whitepaper (0,5 MB)