пятница, 28 декабря 2012 г.

Защита веб-сервиcов с помощью решений Oracle


Наш коллега Дмитрий Нефедкин недавно провел вебинар "Обеспечение безопасности веб-сервиcов с использованием Fusion Middleware", на котором рассказал о основах веб сервисов, о стандартах SOA, рассмотрел стек Oracle Fusion Middleware, предназначенный для построения SOA решений. Дмитрий привел обзор рисков, возникающих при использовании веб сервисов, стандартов построения SOA, а так же показал на практике применение продуктов Oracle, предназначенных для обеспечения безопасности SOA решений.

Запись вебинара можно посмотреть через webex-плеер по данной ссылке. Также в посте есть ссылка на презентацию.

Кроме темы защиты веб-сервисов Дмитрий уделяет серьезное внимание безопасности ADF-приложений. У него на блоге размещены следующие материалы

1. Вебинар: "Обеспечение безопасности в Oracle ADF-приложениях: обзор, стратегии, лучшие практики"
2. Реализация Single Sign-on в ADF-приложении
3. Мои видео по ADF Security на OTN



Тренинги по Oracle Identity Governance 11gR2

Мы начали сбор пожеланий и потребностей партнеров и заказчиков, для проведения тренинга по новой линейке Oracle Identity Governance Suite 11gR2, в которую входят Oracle Identity Manager 11GR2, Oracle Privileged Account Manager и Oracle Identity Analytics. Более подробная информация рамещена на блоге Олега Файницкого.

Уточнения Регламента получения сертифицированных дистрибутивов

Спешу всех успокоить - никаких серьезных изменений нет; по-прежнему серифицированные ФСТЭК дистрибутивы ПО Oracle выдаются бесплатно при наличии у заказчика соответствующей лицензии и действующей поддержки. Уточнения касаются всего лишь сопроводительных и приемо-передаточных документов - см.
Порядок получения сертифицированного дистрибутива
Перечень документов для получения дистрибутивов

пятница, 21 декабря 2012 г.

Внутреннее внедрение Oracle Identity and Access Management решения в корпорации Oracle

Компания Oracle не только занимается разработкой и продажей программного обеспечения, но и внедряет ПО собственной разработки внутри компании. Команда инженеров Oracle недавно провела крупное обновление внутренних Identity Management систем. Целью данного проекта был переход на единую систему аутентификации, единую систему предоставления доступа и единую систему хранения учетных данных для всех сотрудников Oracle.

В качестве единой системы для аутентификации использован Oracle Access Manager 11G R1. В качестве единой системы для предоставления доступа и хранения информации об учетных данных используется последняя на данный момент версия Identity Manager 11G R2. К OIM'у уже подключено около 70% информационных систем компании, но пока что новый OIM используется не для всей компании, а для одного пилотного региона.



Для интересующихся на публичных ресурсах выложена аудио запись Oracle on Oracle – How Oracle IT uses Oracle IDM, в которой рассказывается о собственном внутреннем внедрении Ораклом SSO-решения, а точнее OAM и OID. Так же доступна часть презентации с Oracle Open World: How Oracle uses Identity Management, иллюстрирующая архитектуру внедрения Identity and Access Management решения.

Oracle выпустила новый продукт Oracle Audit Vault and Database Firewall


12 декабря 2012 компания Oracle объявила о новом продукте Oracle Audit Vault and Database Firewall, который объединяет мониторинг активности базы данных и анализ данных аудита в одно решение. Данный продукт объединяет в себе возможности двух одноименных продуктов - Oracle Audit Vault и Oracle Database Firewall, которые до этого момента предлагались по отдельности.

Русскоязычный пресс-релиз по модифицированному новому продукту можно прочитать, пройдя по данной ссылке на сайт Oracle.
Изменилась модель лицензирования и стоимость решения в технологическом прайс-листе. Ценовые изменения коснулись и опции Database Vault, стоимость которой снижена в два раза.

А так же появился на русском языке ORACLE DATA SHEET с описанием ключевых моментов предлагаемого решения и новая Oracle Audit Vault and Database Firewall веб страница на английском (включая видео и аудио записи).

пятница, 23 ноября 2012 г.

Обеспечение безопасности базы данных в облаке.


White paper "Security and the Oracle Database Cloud"  можно скачать тут. В данной статье приводится краткое содержание документа.

Oracle предлагает набор облачных решений в двух вариантах, частные облака, это те, которые заказчик может развернуть у себя, на своих собственных ресурсах, и публичные облачные решения, которые можно приобрести и пользоваться ими удаленно. Одним из таких облачных решений является сервис Oracle Public Database Cloud. Попасть на данный сервис можно пройдя по ссылке https://cloud.oracle.com (нажать "Try it" на главной странице, и далее "Try it" в разделе Database). Подробную инструкцию как создать сервис, активировать его, запустить и начать пользоваться можно посмотреть тут.

Сервис Oracle Public Database Cloud построен на основе базы данных Oracle, работающей на сервере Oracle Exadata. Для предоставления доступа к данным, хранящимся в вашей облачной базе, используется веб-сервис RESTful (через простые URI). Для обеспечения быстрой разработки прикладного ПО на основе СУБД Oracle в публичной БД уже предустановлен APEX - Oracle Application Express. А так же имеется возможность использовать набор уже имеющихся бизнес приложений, которые могут быть установлены в несколько кликов.

При переходе организации на модель общего доступа к ресурсам в облаке, одним из ключевых вопросов является обеспечениие безопасности данных, хранящихся в облаке. В данном документе рассматривается несколько аспектов обеспечения безопасности данных в облаке:



  • Основы архитектуры обеспечения безопасности доменов, используемых в облачной СУБД.

    • Описаны основные сущности, используемые для разграничения прав доступа к сервисам БД: Account, Identity Domains (далее "Домен"), User, Role и Database Cloud Service. Account  - это учетная запись организации, которая может иметь один или несколько доменов, но домены при этом будут разделены и обособлены. Домен контролирует аутентификацию и авторизацию (т.е. кто может выполнять вход и к чему он имеет доступ). Домен содержит в себе список пользователей, которым назначаются роли, дающие те или иные права к сервисам. При первом входе в облачную базу создается один домен и его администратор, который в дальнейшем отвечает за управление всеми пользователями и ролями для всех сервисов в пределах домена. Для управления правами доступа к сервисам используется Cloud Identity Manager. Инструкцию по управлению ролями и пользователями можно найти тут. В данном контексте сервис представляет собой одну схему в общей БД, которая изолирована от других схем. 


  • Меры безопасности, применяемые к сервисам в целом.

    • Ко всем данным, хранящимся в облаке, применяется "Прозрачное шифрование" - Transparent Data Encryption. TDE шифрует данные на диске и в бекапе, защищая от неавторизованного доступа напрямую к файлам базы. Шифрование и расшифровка данных происходит автоматически и не требует какого либо программирования или настроки.
      Для защиты от вредоносного кода, который может повлиять на данные всех пользователей, используется Secure FTP сервер. При загрузке файлы с данными сначала сохраняются на Secure FTP сервере. Там они проверяются на вирусы и далее загружаются на сервис вашей облачной базы данных, используя информацию вашей учетной записи БД. Этот двух этапный процесс так же автоматически сжимает данные перед загрузкой, снижая тем самым время загрузки данных в БД.


  • Меры безопасности, применяемые к индивидуальным сервисам БД.

    • Применяются правила БД для разграничения прав в многопользовательской среде. Например, запрещен доступ на просмотр представлений, позволяющих владецу схемы БД видеть существование других схем БД. Запрещены некоторые виды SQL, такие как GRANT или REVOKE, т.к. они позволяют владельцу схемы выдавать права на свои объекты для другого владельца схемы базы данных.


  • Опции для обеспечения безопасности прикладных приложений.

    • Для разработки прикладных приложений используется технология APEX, которая имеет собственные средства безопасности. APEX поддерживает несколько схем аутетификации. Экранирование спецсимволов в скриптах не позволяет вкладывать различные типы скриптов в страницы, возвращаемые пользователям. APEX имеет опцию автоматической защиты навигационных ссылок (URL). Так же APEX включает в себя средства для мониторинга и отчеты.


  • Опции для обеспечения безопасности веб-сервисов RESTful.

    • Для обесечения безопасной передачи данных между клиентом и сервисом следует включить HTTPs. Сервис базы данных в облаке основывается на одной схеме и все RESTful веб-сервисы выполняются от имени владельца этой схемы. Вследствие этого, без применения дополнительной защиты RESTful сервис вернет все данные, возвращаемые SQL выражением. В документе описано четыре способа для обеспечения безопасности веб-сервиса RESTful:
      - собственными средствами RESTful;
      - доступ конкретному приложению (используется OAUTH Request token встроенный в клиента приложения);
      - доступ конкретному пользователю (на основе идентификационных данных пользователя);
      - логическое разграничение доступа (с использованием параметра OAM_REMOTE_USER, содержащего в себе идентификационную информацию пользователя).

    понедельник, 12 ноября 2012 г.

    Identity Management 11.1.2 Enterprise Deployment Blueprint

    Oracle Identity Management - это платформа для предоставления сервисов  управления IT-привилегиями пользователей в системах и приложениях, а также - сервисов контроля доступа пользователей к информационным системам предприятия. Подключение Oracle IdM к существующим ресурсам происходит с помощью адаптеров и шлюзов, а к Fusion Applications - методом "встраивания".

    Поскольку Oracle IdM становится частью критически важных бизнес-систем, в сентябре 2012 г. компания Oracle выпустила специальное руководство Identity Management 11.1.2 Enterprise Deployment Blueprint, описывающее архитектуру Oracle Identity Management для промышленной системы, обеспечивающую высокую доступность и отказоустойчивость. В руководстве описана установка типового решения, включающего в себя следующий набор компонентов: Oracle Identity Manager (OIM), Oracle Access Manager (OAM) и Oracle Autorization Policy Manager.

    Основные функции Oracle Identity Manager это управление учетными записями и правами пользователей в системах. Oracle Access Manager включает в себя набор сервисов, обеспечивающих: Web single sign-on; контекст для аутентификации и авторизации; предоставление ограниченного доступа к конфиденциальной информации; single sign-on для мобильных приложений и социальных сетей.

    Руководство будет полезно для технических специалистов при подготовке технико-коммерческих предложений, дизайна архитектуры решений, технического задания, а так же при планировании внедрения OIM в связке с OAM.

    В документе подробно описаны установка и конфигурирование компонентов решения и приведены требования по железу при установке на Linux. При использовании других платформ следует использовать Oracle Fusion Middleware Installation Guide и Oracle Fusion Middleware Sizing Guide.

    Особенности описанного решения:

    • Решение рассчитано на поддержку различных хранилищ идентификационных данных, включая Oracle Internet Directory, Oracle Unified Directory и Oracle Virtual Directory. Oracle Virtual Directory может быть использовано для поддержки сторонних каталогов (т.к. часто предприятие уже имеет свое хранилище LDAP, которое можно переиспользовать) или для поддержки мультидоменности.
    • высокая доступность обеспечена для всех компонентов описанного решения.
    • SSL настраивается до балансировщика.
    • OAM и OIM разворачивается на различные домены для отделения административных задач от операционных.
    • Каталоги предложено разворачивать на независимые домены, что позволит устанавливать патчи отдельно от компонентов Oracle Access Management. Таким образом отпадает необходимость удостоверяться что продукты сертифицированы с компонентами инфраструктуры из другого набора программных продуктов и процесс установки обновлений становится проще.

    четверг, 1 ноября 2012 г.

    ФОРС получил специализацию по Oracle Identity Administration and Analytics


    18 октября 2012
    Компания «ФОРС», платиновый партнер корпорации Oracle, объявляет о получении специализации в области информационной безопасности по Oracle Identity Administration and Analytics 11g. Теперь в портфолио ФОРС 13-ть различных специализаций по продуктам Oracle, стратегического вендора компании.
    Для получения специализации все партнеры Oracle должны выполнить ряд требований, непосредственно относящихся к потребностям и приоритетам заказчиков и партнерского сообщества. Соблюдение критериев специализации дало возможность компании «ФОРС» получить подтверждение от Oracle в части ее экспертизы по Oracle Identity Analytics. Компания выполнила все необходимые для этого требования корпорации — по количеству продаж, числу сертифицированных специалистов и выполненных проектов.
    Получение специализации по Oracle Identity Administration and Analytics означает признание вендором того, что экспертиза и опыт, накопленные в компании по данному направлению, позволяют осуществлять проекты в области разграничения прав доступа пользователей к информации на самом высоком профессиональном уровне. Для заказчиков это гарантия качества проекта, для рынка – свидетельство сильных позиций ФОРС в данном сегменте рынка.
    Среди осуществленных компанией проектов — внедрение систем централизованного управления учетными записями и доступом на предприятиях топливно-энергетического комплекса, в ОАО «МРСК Центра и Приволжья» и Промсвязьбанке. Развернутые там сервера c установленным программным обеспечением Oracle Identity Manager (OIM) были проинтегрированы с рядом корпоративных систем и приложений, в т.ч., с кадровым модулем SAP, выступившим в роли источника идентификационных данных, с каталогом MS Active Directory и с сервером Lotus Notes Domino, через который осуществлялась автоматическая отправка уведомлений Oracle Identity Manager.

    Новость размещена на сайте компании: ФОРС получил специализацию по Oracle Identity Administration and Analytics

    вторник, 28 августа 2012 г.

    Лицензирование ПО Oracle IAMS 11gR2 и привязка сертификатов ФСТЭК к лицензиям


    Появились пояснения к новому технологическому прайс-листу с Oracle IAMS 11gR2. В обновленной 10-й главе "Oracle Identity and Access Management Independent License Offerings" брошюры "Fusion Middleware Licensing Information" перечислены продукты, входящие в состав наборов решений (Suites) и описаны права на ограниченное использование дополнительных технологий Oracle в рамках отдельных лицензий... Обратите внимание, что несколько продуктов возможно приобрести только в составе наборов решений; например, Identity Analytics и Privileged Account Manager (из Oracle Identity Governance Suite) или Adaptive Access Manager и Mobile and Social (из Oracle Access Management Suite Plus).

    Вышеперечисленные наборы используют альтернативные метрики лицензирования - Named User Plus и Processor; очевидно, что первый вариант будет интересен небольшим организациям или для реализации конкретных проектов в области ИБ или интеграции, а второй - крупным компаниям, которым необходимо создать систему разграничения доступа для большого числа пользователей.

    Намечена программа сертификации новой версии ПО Oracle IAMS 11gR2, а также внесены изменения в правила выдачи сертифицированных медиа-паков предыдущих версий... Ранее положительное решение о выдаче представителю заказчика предусмотренного регламентом пакета документов и дисков принималось в случае лицензирования им Oracle Identity and Access Management Suite Plus; теперь их смогут получить также заказчики Oracle Access Management Suite Plus и Oracle Identity Governance Suite.

    ДОПОЛНЕНИЕ ОТ 28 ДЕКАБРЯ 2012 Г.
    См. сообщение Уточнения Регламента получения сертифицированных дистрибутивов.

    пятница, 3 августа 2012 г.

    Выход нового пакета ПО Oracle IAMS 11gR2


    На русскоязычной страничке сайта Oracle опубликован пресс-релиз об анонсе Oracle Identity Management 11g Release 2. Англоязычное мероприятие (webcast) состоялось 19 июля и положило начало массовому появлению новых материалов по теме. Наиболее полную информацию можно найти на официальном блоге Oracle Identity Management; в частности, рекомендую посмотреть сессию вопросов и ответов.

    В настоящий момент уже обновилась страница сертификации; вы можете посмотреть, что именно вошло в этот релиз, на чем работает и с чем прединтегрированно, скачав таблицу "System Requirements and Supported Platforms for Oracle Identity and Access Management 11g Release 2 (11.1.2.x)". Также доступна новая документация на Oracle IAMS, OUD и OESSO.

    Приблизительно через месяц у нас в офисе запланировано мероприятие по знакомству с новым функционалом, но наиболее нетерпеливые могут почитать о нем во множестве только что опубликованных брошюр на страничках продуктов OTN. Интересно, что обновились статьи даже у решений, формально не входящих в релиз 11gR2; например, у OIF.

    Корпорация Oracle в очередной раз продемонстрировала способность создавать и развивать новейшие технологии, востребованные заказчиками. Вместе с Партнерской организацией мы готовы внедрять и поддерживать их на нашей территории. Призываем первопроходцев к более глубокому знакомству и тестированию. Дистрибутивы должны быть опубликованы в течение нескольких дней.


    ДОПОЛНЕНИЕ ОТ 10 АВГУСТА 2012 Г.

    На https://edelivery.oracle.com/ в разделе Oracle Fusion Middleware выложен новый Identity Management 11g R2 Media Pack... В ближайшее время должна обновиться информация по лицензированию Oracle IdM; изменения связаны с появлением нового функционала и общей тенденцией к группировке отдельных продуктов в пакеты решений.

    понедельник, 2 июля 2012 г.

    Новости партнеров


    Еще один крупный системный интегратор России получил статус специализированного партнера Oracle в сфере информационной безопасности! На сайте компании "Астерос" 28 июня 2012 г. опубликован пресс-релиз, свидетельствующий о подтверждении ими специализаций Oracle Identity Administration and Analytics и Oracle Database Security Options.
    Поздравляем команду "Астерос" и желаем новых крупных проектов, таких, как внедрение системы ролевого управления IT-привилегиями в ОАО "Мегафон". Технически сложное территориально-распределенное решение на основе Oracle Identity Manager и Oracle Role Manager потребовало от системного интегратора мобилизации ресурсов, освоения новых технологий и напряженной, но плодотворной работы. Итог - одно из самых крупных внедрений IdM-решений в нашей стране!

    Еще один партнер отчитался о успешном завершении пары проектов - на сайте компании Крок появились пресс-релизы о внедрении системы защиты персональных данных в страховой компании РОСНО и системы защиты информации, хранящейся в электронном виде, в банке Уралсиб.
    Первый проект примечателен тем, что сразу создавалась комплексная система, включающая модуль управления IT-привилегиями на основе кадровой информации (OIM) и модуль контроля доступа к бизнес-приложениям (OAM). Специалистам Крок одним из первых пришлось строить решение на 11 версии Oracle IAMS, по ходу проекта осваивая новые технологии и разрабатывая специализированные интеграционные плагины.
    Ну, а внедренная в Уралсибе система защиты документов на основе политик Oracle Information Rights Management - это вообще первый референс на нашей территории. И тут команде Крок довелось продемонстрировать высокую квалификацию и творческий подход к решению технических и архитектурных вопросов (например, для организации защиты информации корпоративного каталога при доступе к IRM-серверу извне организации).

    Последняя на сегодня новость посвящена выходу свежего выпуска информационного бюллетеня Jet Info "Защита банков от мошенничества". Приятно, что сотрудники Центра информационной безопасности компании "Инфосистемы Джет" дали высокую оценку нашему комплексу защиты систем дистанционного банковского обслуживания на базе Oracle Adaptive Access Manager.

    понедельник, 25 июня 2012 г.

    Обновление сертифицированного набора ПО Oracle IAMS 11g прошло инспекционный контроль


    Выполняя обязательства перед Российскими заказчиками, желающими использовать сертифицированные средства защиты информации, Московское Представительство компании Oracle вместе с ООО "ФОРС-Центр разработки" завершило проверку обновления программного кода Oracle Identity & Access Management Suite 11g.

    По результатам инспекционного контроля 25 мая 2012 г. в ТУ и Формуляр сертифицированного по требованиям ФСТЭК России программного обеспечения Oracle IAMS 11g внесены изменения, позволяющие заказчикам использовать версию 11.1.1.5 (11g R1 PS1) наряду с изначально испытанной версией 11.1.1.3.

    Номер (2238), срок действия сертификата соответствия (до 23 декабря 2013 г.), а также общее число дистрибутивов (200) не изменились. Новые заказчики ПО Oracle Identity & Access Management Suite могут получить сертифицированные наборы по опубликованному регламенту, сразу указав интересующую их версию. Пользователи сертифицированного набора версии 11.1.1.3, желающие перейти на версию 11.1.1.5, могут сдать старый набор и получить взамен новый.

    Обновление рекомендовано для заказчиков, желающих расширить функциональность Oracle Access Manager (новые модули аутентификации, ASDK, прединтегрированный Security Token Service и пр.) или Oracle Identity Manager (поддержка Identity Connector Framework, готовые сценарии апгрейда с версии 9.1 и пр.) для усиления защиты своей серверной инфраструктуры.

    ДОПОЛНЕНИЕ ОТ 28 ДЕКАБРЯ 2012 Г.
    См. сообщение Уточнения Регламента получения сертифицированных дистрибутивов.

    понедельник, 18 июня 2012 г.

    IdM-платформа Oracle

    Давно я не маркировал сообщения ярлыком "Books", и вот появился повод - вышла полезная брошюра "The Oracle IdM Platform - Identity Services at Internet Scale".

    Примерно год назад тема IdM-платформы Oracle промелькнула в маркетингово-экономическом исследовании "IAM Integrated - Analyzing the Platform vs. Point Solution Approach". На основе опроса и разбора финансовых показателей аналитики Aberdeen Group подводили читателей к мысли о полезности комплексного подхода, давали замечательные советы по выбору решения и отмечали достижения Oracle в этой области.

    На этот раз г-н Mike Neuenschwander, бывший VP & Research Director at Burton Group, бывший Senior Product Manager at Novell Inc., а ныне - Senior Director of Product Management for Oracle's Identity Portfolio, развивает тему унифицированных и масштабируемых сервисов безопасности с использованием более технических аргументов.

    Проведено позиционирование отдельных решений, представлены несколько сценариев работы и планы развития продуктов (честно говоря, не слишком далекие; релиз описанного IAMS 11gR2 намечен на июль).



    В общем, рекомендую; жмите на ссылку

    пятница, 27 апреля 2012 г.

    Встроенная безопасность в приложениях Oracle FWM

    В конце марта обновилась брошюра Oracle Fusion Middleware Licensing Information; и это обновление прекрасно иллюстрирует то, "о чем так долго говорили большевики" - наши программные решения все глубже проникают друг в друга. В данном случае речь пойдет о наиболее глубоком проникновении одной из технологий безопасности в продукты FMW для разработки, интеграции, отчетности и совместной работы. Но давайте обо всем по-порядку...
    Долгое время наши IdM-решения являлись потребителями "дружественных" технологий, которые поставлялись в виде ограниченных лицензий. Подробно об этом написано в соответствующей главе, а кратко проиллюстрировано на картинке ниже (указаны не все продукты).


    Но постепенно ситуация менялась; сначала заказчикам (старого) Oracle Internet Application Server разрешили ограниченно использовать новые технологии аутентификации и контроля доступа через лицензии OAM Basic, затем добавились ограниченные лицензии на наш каталог и вот недавно - на средство внешней авторизации OES Basic. Подробности смотрите в описаниях продуктов, а кратко - на картинке ниже.


    А это значит, что, например, заказчик WebCenter Portal без дополнительных лицензионных затрат сможет использовать OAM для организации SSO между компонентами портала, OID - для хранения пользовательских атрибутов и OES для защиты всевозможных элементов страницы - закладок, портлетов, таблиц, текстовых полей, кнопок, графиков, элементов меню и структурированной информации - с помощью гибких, легко модифицируемых политик авторизации.

    Что же касается разработчиков, то они получат возможность выбора механизма авторизации - через OPSS JAZN или с помощью OES. После миграции политик безопасности из файла jazn-data.xml в хранилище политик OES на базе СУБД вместо существующих инструментов авторизации ADF они смогут использовать удобные интерфейсы APM (он же - Authorization Policy Manager, он же - OES Admin Server). Кроме того, задумана авторизация OES на уровне строк СУБД через TopLink; при этом строки должны быть помечены с помощью меток Virtual Private Database или Label Security.

    Для справки, Oracle Entitlements Server - наша реализация референсной архитектуры XACML.



    Предрелизная версия OES 11gR2 недавно успешна прошла испытания на соответствие стандартам XACML 3, а совместимый с текущей версией OES Security Module for Microsoft Office SharePoint Server пару недель назад был выложен на сайте поддержки "по просьбам трудящихся" (см. OES Patch 13713980)

    Успешное внедрение OAM в Банке ВТБ

    Наш партнер РДТЕХ отчитался о завершении очередного этапа проекта по сопровождению подсистемы управления доступом в Банке ВТБ. В этой крупной финансовой организации много внимания уделяется информационной безопасности, и мы рады тому, что банк успешно реализовал несколько проектов на базе технологий Oracle. На сайте РДТЕХ можно найти упоминания о внедрениях решений безопасности на уровне СУБД (Label Security и Audit Vault), сервера приложений (Enterprise Single Sign-On, Identity Manager и Access Manager), а также - об их объединении (Enterprise User Security).
    Желаем уважаемому заказчику и нашему специализированному партнеру РДТЕХ дальнейших успехов!

    пятница, 30 марта 2012 г.

    Cервера Exa-стека и лицензирование ПО Oracle по процессорам


    Продолжая тему лицензирования ПО Oracle по процессорам, нельзя пройти мимо наших инженерных систем Exa-стека. Интрига заключается в том, что текущие версии Exadata 2-2 и Exalogic 2-2 используют шестиядерные Intel Xeon X5675, а Exadata 2-8 – десятиядерные Intel Xeon E7-8870, т.е. работают на процессорах, которым немного "досталось" в моем предыдущем посте. Давайте пройдемся по Exa-машинам по отработанному сценарию "производительность / стоимость (HW+SW)"...

    С публичными тестами на Exa-стеке ситуация не такая прозрачная, как в прошлый раз; фактически, можно найти только отчеты либо о портировании конкретных приложений с фантастическим приростом производительности (например, «Oracle Exadata повышает производительность Oracle Utilities Customer Care and Billing» и «Oracle Exadata и Oracle Exalogic повышают производительность Oracle Communications»), либо пресс-релизы об успешных миграциях на Exa-стек приложений клиентов.

    Причина, видимо, не в производительности Exa-систем, а в их стоимости… Если строго следовать правилам тестирования, не хитрить (что позволяют себе многие другие участники), то суммарная стоимость наших передовых аппаратно-программных технологий покажется некоторым потенциальным заказчикам чрезмерной... К огорчению Oracle, в этих тестах у конкурентов гораздо больше лазеек; например, узким местом в большинстве промышленных решений является система хранения данных или канал между сервером базы данных и системой хранения... Стоимость ликвидации этих «бутылочных горлышек» уже включена в цену Exadata, а что и за какие деньги используют другие компании для этих задач, остается загадкой, поскольку формально тестируется только производительность сервера.

    Конечно, результаты синтетических тестов могут заинтересовать потенциальных заказчиков; но еще более заманчива для них возможность тестирования производительности конкретных задач и приложений. Корпорация Oracle и ее партнеры готовы к проведению подобных исследований и долгосрочному продуктивному сотрудничеству. Несколько примеров такой работы с конкретными цифрами представлены на нашем сайте: «Программа МАЛИНА повышает лояльность участников с помощью Oracle Siebel CRM на Oracle Exadata», «Oracle Exadata повышает производительность систем «Киевстар» в 3-5 раз», «Банк «Санкт-Петербург» преобразует бизнес с Oracle Exadata», «SquareTwo Financial Goes Live with Oracle Engineered Systems».


    По поводу лицензирования ситуация проще с Exalogic – во-первых, есть несколько вариантов поставки в зависимости от требуемой мощности (от осьмушки с 48 процессорными ядрами до полного ящика с 360), и во-вторых, имеется возможность зонирования либо через вычислительные модули (если будет использоваться Linux), либо через уже знакомые зоны Oracle Solaris (см. брошюру «What Oracle Solaris Brings to Oracle Exalogic Elastic Cloud»).

    Вычислительный модуль (node) представляет собой самодостаточный микросервер со всеми необходимыми аппаратными ресурсами, включая 12 процессорных ядер. Безо всякого гипервизора (на "голое" железо) каждого модуля устанавливается Linux, а затем - дополнительное ПО... Т.е. пока что (до выхода Oracle VM для Exalogic) шаг лицензирования ПО на Exalogic с Linux - 6 процессорных лицензий, а на Exalogic с Solaris - 1 процессорная лицензия.

    Оправдано ли выделение какой-либо (довольно дорогостоящей) зоны Exalogic под задачи IdM? Все зависит от специфики приложения и интенсивности его использования большим количеством клиентов... Oracle Exalogic создан для консолидации на оптимизированной аппаратной платформе высоконагруженных транзакционных приложений; например, это - идеальная инфраструктура для веб-сайтов, порталов и приложений класса XTP (eXtreme Transaction Processing).

    Сбалансированность аппаратной платформы Exalogic (частоты процессоров, пропускной способности шины данных и сетевого стека) вкупе с оптимизацией программного обеспечения (операционной системы, java-машины, сервера приложений, распределенного кеша, балансировщика нагрузки, firewall'а для приложений и т.д.) гарантируют высокую пропускную способность, линейную масштабируемость и гарантированное время отклика бизнес-приложений... И теперь представьте, что все это упирается в маломощную внешнюю систему аутентификации и авторизации клиентов...

    Так что размещение на Exalogic наиболее загруженных компонентов IdM-системы (в первую очередь - сервера контроля доступа и каталога) выглядит вполне логично. Неспроста в недавнем тесте каталог Oracle Internet Directory с 10 миллионов пользователей именно на Exalogic X2-2 смог показать производительность 1.7 миллионов операций в секунду! Так что для средних и больших инсталляций приложений (например инфраструктура безопасности на базе OAMsuite+ODS, бизнес приложения или порталы в телекомах, финансовых и государственных организациях) использование Exalogic с оптимизированными под него компонентами Oracle Fusion Middleware полностью оправдано.


    Вариантов поставки Exadata X2-2 – тоже несколько – от четвертинки с 24 процессорными ядрами до полного ящика с 96, и Oracle Solaris вроде поддерживается; вот только зонирование тут применяется совсем другое... Надо немного отвлечься от упражнений с процессорным лицензированием (которое, кстати, может оказаться менее выгодным, чем по именованным пользователям) и вспомнить о позиционировании этого аппаратно-программного комплекса. В предыдущей статье я писал, что «чаще всего на мощных серверах одновременно выполняются несколько разных задач»; как раз в отношении Exadata это обычно не так...

    Цель Oracle Exadata Database Machine – экстремальная производительность для приложений любых типов (OLTP, DWH или гибридных) и консолидация структурированной информации. Разработчики, стремясь избавиться по максимуму от дополнительных нагрузок, которые вносят любые виртуальные машины, проектировали Exadata так, чтобы возможные вопросы зонирования решались инструментами СУБД Oracle или Exadata Storage Server Software. Задача аппаратного или жесткого программного зонирования Exadata X2-2 чаще всего просто не стоит; даже в минимальной конфигурации четвертинка имеет полное дублирование всех компонентов и является промышленным решением высокой готовности. Любое частичное лицензирование лишит Exadata этого преимущества; в общем, можно сказать, что тема деления Exadata на зоны для более выгодного лицензирования ПО малоактуальна...


    В заключение – контакты наших специалистов и партнеров, которые смогут предложить вам оптимальные условия для тестирования и приобретения инженерных систем Exa-стека Oracle: Алексей Лапиров (Exa-стек), Андрей Пивоваров (Exadata), Сергей Суетин (Exalogic), Семен Попов (Exalytics); FORS (Exadata+Exalogic), Jet Infosystems (Exadata), RDTEX (Exadata).


    ДОПОЛНЕНИЕ ОТ 4 СЕНТЯБРЯ 2012 Г.

    Решил добавить пару ссылок на ресурсы по новому ПО для Exalogic, включающему оптимизированную версию Oracle VM... Итак, пресс-релиз на русском читаем здесь, а технологическую статью на английском - здесь. Там, в частности, описана суть новой технологии PVHVM (paravirtualized drivers on a hardware virtual machine), которая "lets the guest OS talk directly to the host adapter in the physical server through user-space memory", тем самым минимизируя "накладные расходы" от виртуализации...

    Ну, а возвращаясь к основной теме статьи, новая Oracle VM 3.x для Exalogic позволяет заказчикам оптимизировать расходы на FMW и приложения Oracle через уменьшение шага лицензирования по процессорам.

    среда, 28 марта 2012 г.

    Новости партнеров С ИСПРАВЛЕНИЕМ


    Нашего полку специализированных партнеров (в котором пока состояла только компания СИТРОНИКС Информационные Технологии) прибыло! С удовольствием поздравляю компанию РДТЕХ с успешным завершением формальностей и получением статуса специализированного партнера по направлению Oracle Identity Administration and Analytics! Соответствующий пресс-релиз опубликован на сайте компании 14 марта.

    Процитирую из него пару ласкающих слух предложений: "На сегодняшний день компания РДТЕХ, Платиновый Партнёр Oracle, обладает 12-ю специализациями в рамках программы Oracle PartnerNetwork. Специализация Oracle Identity Administration and Analytics стала второй после Oracle Database Security Options, подтверждающей компетенции сотрудников РДТЕХ в области обеспечения информационной безопасности."

    Действительно, посмотрите, какие разнообразные технологии использовали наши партнеры в ВТБ - всем бы такой разносторонности! Ну, что же - молодцы! Желаем РДТЕХу много новых успешных проектов!

    Кстати, об окончании одного из IdM-проектов только что отчиталась компания "Инфосистемы Джет"... Совместный пресс-релиз партнера и ОТП Банка (Украина) размещен на сайте Oracle. Приятно, что Jet Infosystems уделяет большое внимание публичному освещению своей деятельности; например в августе они опубликовали пресс-релиз об окончании проекта по автоматизации управления правами доступа в группе компаний ТНК-BP с помощью наших IdM-технологий.

    "До кучи" привожу ссылку еще на один пропущенный мною ранее отчет о внедрении системы управления идентификационными данными пользователей в компании "Вимм-Билль-Данн" усилиями специалистов R-Style. Это - довольно подробное интервью CIO Вимм-Билль-Данна Сергея Короткова, и, я думаю, многим будет интересен взгляд на IdM-проект со стороны заказчика.

    ИСПРАВЛЕНИЕ

    Ближе к вечеру я был уличен в недостаточной компетенции по вопросу специализации партнеров... Оказывается, компания R-Style совсем недавно втихаря прошла все процедуры и тоже получила статус специализированного партнера по направлению Oracle Identity Administration and Analytics! Мой позор был заклеймен сканом сертификата от 15 февраля за подписью Главы Представительства Oracle СНГ, любезно присланного мне представителями R-Style, а также ссылкой на наш сайт, где этот факт уже отражен в списке специализаций...

    Ну что ж, здорово; нашего полку сильно прибыло! Приношу извинения и оперативно вношу исправления :-) Жду ссылку на ожидаемый пресс-релиз. Успехов всем!

    ДОКАВЛЕНИЕ ОТ 5 АПРЕЛЯ

    На сайте партнера опубликован ранее анонсированный пресс-релиз "Компания R-Style получила специализацию по направлению Oracle Identity Administration and Analytics"... Спасибо читателям за внимание к моим сообщениям!

    среда, 21 марта 2012 г.

    Семинар "Информационная безопасность баз данных"


    20 марта 2012 г. в нашем офисе состоялся семинар по решениям Oracle для защиты баз данных. Семинар прошел в сотрудничестве с компанией Positive Technologies, технологическим партнером Oracle. На семинаре специалисты Positive Technologies продемонстрировали типовые приемы злоумышленников для получения доступа к данным, а представители Oracle рассказали о приниципах защиты и показали работу продуктов Oracle, которые реализуют эти принципы.

    Доступны пара презентаций с мероприятия и двухстраничная листовка "Решения Oracle для защиты информации"

    MAXPATROL - Система контроля защищенности и соответствия стандартам
    Константин Гурзов, Руководитель отдела поддержки продаж, Positive Technologies

    Информационная безопасность баз данных
    Сергей Базылько, к.ф.-м.н., Менеджер по продажам продуктов информационной безопасности, Oracle
    Николай Данюков, к.т.н., ведущий консультант, Oracle
    Алексей Юдин, руководитель отдела безопасности баз данных и бизнес-приложений Исследовательского центра Positive Technologies

    понедельник, 19 марта 2012 г.

    Cервера на базе SPARC T4 и лицензирование ПО Oracle по процессорам


    В последнее время часто приходится отвечать на вопрос, почему при конструировании высокопроизводительных систем, на которых будет работать ПО Oracle, мы предлагаем более дорогие сервера на базе SPARC T4... Почему, скажем, не наши же x86 машины? Ведь СУБД и сервера приложений Oracle портированы на кучу платформ... Почему мы предлагаем именно Solaris и именно на SPARC T4?

    Ответ до неприличия прост - потому что отношение производительности к стоимости получающейся инженерной системы получается при этом наилучшим. Рецепт этого решения подготовлен разработчиками Sun Microsystems / Oracle и маркетологами; первые подготовили отличные HW & SW, вторые - установили выгодные правила лицензирования.

    Для начала посмотрим на производительность; интересно, как SPARC T4 смотрится на фоне конкурентов... Предлагаю пройти на страницу TPC Benchmark™H (TPC-H) и открыть результаты производительности трехтеррабайтной некластеризованной системы.


    Итак, что мы видим? Четырехпроцессорный Oracle SPARC T4-4 с 32 ядрами демонстрирует 205792 "попугаев" с Oracle DB 11gR2. Затем идут сервера IBM на Power7 и Power6 (соответственно 8/32-192001 и 16/64-156537) с Sybase IQ, между которыми вклинивается сервер HP ProLiant DL980 G7 Intel Xeon (8/64-162601) с MS SQL Server 2008 R2 EE. Т.е. SPARC T4-4 оказывается на четверть более производительным, чем ProLiant DL980 и обходит раскрученные сервера IBM на Power!

    В тесте террабайтной системы решение на процессорах Intel от HP смотрится получше, но в том сравнении мы не использовали преимущества Oracle Solaris 11. В любом случае - сервера на SPARC'ах показывают очень достойные результаты по производительности! А чтобы получить более жизненные цифры по стоимости транзакции, надо привести всех к общему знаменателю, пролицензировав на всех системах один и тот же набор ПО...

    Возвращаемся к теме блога :-) Допустим, заказчик хочет реализовать высокопроизводительную систему разделения доступа на базе Oracle Access Management Suite. WebLogic, Identity Manager, BI Publisher и несколько других компонентов он получает в рамках ограниченных лицензий; но, как минимум, заказчику потребуется СУБД Oracle в качестве хранилища OIM и политик. Опционально может понадобиться LDAP-каталог; добавим Oracle Directory Services, хотя среди сертифицированных решений числятся еще и Microsoft Active Directory 2003/2008 или Novell eDirectory 8.8.

    Займемся подсчетом рекомендованной стоимости ПО по публичному прайс-листу. Выбранные решения лицензируются по процессорам (Access Management Suite Plus стоит $180000, Directory Services Plus - $50000, Oracle Database Standard Edition - $17500), определение которых можно найти в конце документа. Там мы встретим понятие Oracle Processor Core Factor; это - один из инструментов маркетологов, значение которого для разных процессоров можно посмотреть в таблице на страничке OLSA.

    Наиболее затратно лицензировать ПО Oracle на современных RISC-серверах IBM, к процессорам которых применяется core factor "1.0" (no comments)... Вначале кажется, что SPARC T4 и современные Intel Xeon процессоры находятся в равной позиции, поскольку и там, и там работает один и тот же core factor "0.5"; но это верно лишь для ситуации, когда мы хотим под одну лицензию задействовать все ядра процессора(ов). Однако чаще всего на мощных серверах одновременно выполняются несколько разных задач, и тут в действие вступает второй инструмент маркетологов - правила зонирования (сегментирования/секционирования)!

    Сравним, как они действуют в отношении восьмиядерных процессоров SPARC T4 и Intel Xeon X7560 (аналогично - для процессоров Intel Xeon Series 56XX, 65XX, 75XX, Series E7-28XX, E7-48XX, E7-88XX). Открываем файл «Partitioning» и видим, что в отношении SPARC T4 можно применять высокоэффективную технологию Solaris Containers, а в отношении x86-серверов - только жесткое зонирование на уровне настроек Oracle VM Server. Т.е., для того, чтобы на x86-сервере выделить по одной процессорной лицензии для каждого выбранного выше продукта, надо установить Oracle VM Server (гипервизор на базе Xen) и сконфигурировать в нем 3 или 4 домена под гостевые системы. В настройках надо указать, что каждый использует только 2 ядра, а затем - проинсталлировать в эти домены гостевые операционки и только потом - программные решения!


    Я думаю, любому мало-мальски грамотному техническому специалисту будет ясно, насколько неэффективно при этом будут расходоваться аппаратные ресурсы... Сравните это с вариантом, использующим 4 двухядерных контейнера Solaris; в три мы устанавливаем продукты, требующие лицензирования, в четвертый - OIM и получаем оптимально загруженную систему! Никаких лишних гостевых OS! Добавьте к этому обязательную сертификацию всего решения вендором, единую поддержку, и аргументы покажутся вам еще более весомыми. Удачного вам выбора!

    пятница, 16 марта 2012 г.

    Обучение Oracle Identity Manager 11gPS1 в рамках Oracle Partner Academy

    Между зимними праздниками и летними отпусками у желающих есть возможность поучиться у нашего гуру Олега Файницкого. Заканчивается набор группы на апрель; не затягивайте с регистрацией! Подробная информация - на http://www.easyoraidm.ru/2012/03/oracle-identity-manager-11gps1-oracle.html

    воскресенье, 11 марта 2012 г.

    Технические материалы


    Наш коллега из ISV Migration Center Дмитрий Нефедкин, с которым вы, возможно, сталкивались на курсах, подготовил видеопрезентации примеров интеграции средств безопасности тестового приложения и корпоративного каталога. Это - продолжение темы, начатой в сообщении "Пример настройки Oracle ADF Security".
    Надеюсь, простой английский язык нашу аудиторию не смущает :-)

    На OTN выложили скрипт для Oracle Identity and Access Management 11gR1 Compact Installer (11.1.1.5.2) под Oracle Enterprise Linux 5. Достаточно скачать указанные в сопроводительной инструкции дистрибутивы - и менее чем через час вы получаете полностью рабочую IdM-систему.

    Обновилась таблица "System Requirements and Supported Platforms for Oracle Identity and Access Management 11gR1". Новый функционал касается OAM Webgates and ASDK:
    "Added support for X64 Windows server 2008 SP1+ and X64 Windows server 2008R2 on the following WebServer configurations:
    - Microsoft Office SharePoint Portal Server 2010
    - Microsoft Outlook Web Access 2010
    - Microsoft Forefront Threat Management Gateway (TMG) 2010"
    Дистрибутивы размещены на странице скачивания IdM 10g. Название конкретного диска можно определить по Release Notes.

    Разработчики Oracle Internet Directory провели очередной тест производительности и опубликовали "OID 11g Benchmark with 10 Million Users and 1.7 Million ops_sec on Exalogic X2-2". В статье рассказывается о технологии масштабирования за счет использования новой технологии - общего кэша данных для нескольких экземпляров OID 11.1.1.6+ на одном мега-сервере.

    пятница, 24 февраля 2012 г.

    Новости с сайта поддержки

    Вышло много обновлений и заплаток почти по всем нашим продуктам
    • Патчи с 126748-06 по 126753-06 адресованы пользователям распространенного Sun Java(TM) System Directory Server Enterprise Edition 6.3
    • Патчи 13399365 для Oracle Identity Manager, 13115859 для Oracle Access Manager и 12800748 для Oracle Enterprise Single Sign-On Suite обновляют их до версии 11.1.1.5.2 (11gPS1 BP02)
    • Патч 13704988 для Oracle Identity Analytics фиксирует несколько проблем для версии 11.1.1.5.1
    Параллельно обновилась документация на FMW 11gPS1, о чем можно узнать по фиду http://www.oracle.com/pls/as111150/new_html (работает, например, в Mozilla Firefox)

    А теперь главная новость - стало доступно ПО Oracle Fusion Middleware 11.1.1.6! Слегка расстроила затянутость процесса (с начала скрытного выкладывания обновлений прошло почти два месяца), зато сейчас выложены сразу всe пакеты:
    • Oracle WebLogic Server 11g R1 (10.3.6)
    • Oracle SOA Suite 11g R1 (11.1.1.6.0)
    • Oracle Business Process Management 11g R1 (11.1.1.6.0)
    • Oracle Complex Event Processing 11g R1 (11.1.1.6.0)
    • Oracle Service Bus 11g R1 (11.1.1.6.0)
    • Oracle Enterprise Repository 11g R1 (11.1.1.6.0)
    • Oracle Service Registry 11g R1 (11.1.1.6)
    • Oracle Application Integration Architecture Foundation Pack 11g R1 (11.1.1.6.0)
    • Oracle Data Integrator 11g R1 (11.1.1.6.0)
    • Oracle WebCenter Portal 11g R1 (11.1.1.6.0) (ранее - Oracle WebCenter Suite)
    • Oracle WebCenter Content 11g R1 (11.1.1.6.0) (ранее - Oracle Enterprise Content Management)
    • Oracle Identity Management 11g R1 (11.1.1.6.0)
    • Oracle Forms, Reports, Portal & Discoverer 11g R1 (11.1.1.6.0)
    • Oracle Traffic Director 11g R1 (11.1.1.6)
    • Oracle Repository Creation Utility 11g R1 (11.1.1.6.0)
    • Oracle JDeveloper & Application Development Framework 11g R1 (11.1.1.6.0)

    Приятно, что patch set 5 для Oracle Identity Management 11g (11.1.1.6.0) за номером 13516867 - это полноценный дистрибутив; так что теперь при разворачивании Internet Directory, Virtual Directory и Identity Federation не нужно устанавливать базовый пакет, а потом его обновлять до последней версии... Для IdM 11.1.1.6 все проходит за один шаг :-) Двухдисковые пакеты ПО под большинство платформ, кстати, уже лежат на OTN.
    Перед установкой смотрим матрицу сертификации (надо выбрать "System Requirements and Supported Platforms for Oracle Fusion Middleware 11gR1") и читаем документацию.

    Итак, что же интересного удалось там обнаружить?
    New Features Introduced with Oracle Internet Directory 11.1.1.6
    What's New in Oracle Directory Integration Platform 11.1.1.6?
    New features included in Oracle Virtual Directory 11.1.1.6
    New and Changed Features in Oracle Identity Federation 11.1.1.6
    Oracle Web Services Manager 11.1.1.6 new features and enhancements
    Основные тренды - упрощение настройки (например, EUS в Virtual Directory); усиливающаяся интеграция Unified Directory со всеми другими продуктами, Identity Federation - с Access Manager; много нововведений в Web Services Manager, включая аппаратное шифрование на SPARC T4 (получается развитие темы, начатой в декабре)

    Обратите внимание, пакет Oracle Identity and Access Management не обновился и имеет текущую версию 11.1.1.5.x; есть предположение, что его ждет радикальный апдейт сразу до 11gPS2 (11.1.2.1)

    четверг, 16 февраля 2012 г.

    Пример настройки Oracle ADF Security

    В январском выпуске Oracle Magazine руководитель направления Oracle JDeveloper и Application Development Framework Франк Нимфиус опубликовал статью с громким названием "Security for Everyone". Рассматривается пример организации разграничения доступа к тестовому приложению с использованием только базовых средств безопасности FMW - Oracle Platform Security Services. Oracle ADF Security, базирующаяся на OPSS, значительно упрощает разработку системы защиты небольших приложений, абстрагируясь от сложностей JAAS-авторизации и Java EE аутентификации, а также облегчает перенос приложений из тестовой среды в продуктивную и их развертывание. Таким образом, название статьи "Безопасность для всех" можно трактовать как "Безопасность даже для тех, кто не смог приобрести специализированные решения Oracle Identity & Access Management". :-) Это, конечно, шутка; главное, что у заказчиков есть выбор средств реализации безопасности приложений в зависимости от масштаба разработки и решаемых задач... При этом архитектура приложения не слишком меняется - оно использует вызовы внешних сервисов безопасности на либо основе Java, либо на основе решений Oracle IdM.

    среда, 1 февраля 2012 г.

    Обновление ценника на пару наших продуктов

    Услышав наконец критику по поводу странного лицензирования своих каталогов, корпорация Oracle на прошлой неделе внесла изменения в публичный технологический прайс-лист. Теперь вместо малоприменимых $800 за лицензию Named User Plus рядом с Directory Services Plus красуются более разумные $12 за сотрудника и $4 за клиента/партнера. Имеются ограничения по минимальному количеству лицензий, но для небольших организаций (не корпораций) общая стоимость все равно получается интересней, чем при лицензировании по процессорам (и тем более - чем по отмененным Named User Plus).
    Не забываем, что в соответствии с "best practices" каталоги, задействованные для аутентификации/авторизации, требовали установки в отказоустойчивом режиме, а Oracle Unified Directory разработана с целью обеспечения высоких показателей производительности при горизонтальном (эластичном) масштабировании... И то, и другое требовало от заказчиков "болезненного" подсчета ядер и процессоров, что иногда (с целью экономии) приводило к неправильным архитектурным решениям. В случае расчета по "Employee/Non-Employee" с этим проблем не будет.

    Так что можно оживить все старые проекты, отложенные по причине дороговизны каталогов от Oracle :-) Наиболее востребованы те, тоторые используют уникальные технологии Oracle - интеграцию с СУБД через Enterprise User Security (например для обеспечения SSO) и связанные с виртуальным преобразованием идентификационных данных.

    Заодно в прайс-листе добавили метрики лицензирования для решений, обеспечивающих внешнюю авторизацию с помощью политик оценки контекстных атрибутов - Entitlements Server и его Security Modules. Тут появилась возможность производить расчет по метрике "Named User Plus"... Соответственно, интерес могут проявить разработчики решений под небольшие группы клиентов (например, для аналитиков, юридических лиц и т.п.), где требуется гранулярное управление доступом с учетом внешних факторов (IP, метод аутентификации, время, сектор, номера счетов, размеры лимитов и т.п.).
    IMHO - движение в правильном (SMB) направлении.

    ДОБАВЛЕНИЕ ОТ 14 февраля 2012 г.
    Тем, кого заинтересовала тема сервера безопасности, обеспечивающего контекстную авторизацию запросов клиетнов и сервисов, наверное, будет полезно ознакомиться с переведенной три года назад брошюрой Введение в Oracle Entitlements Server. Несмотря на то, что она относится к версии 10.1.4.3, современный релиз OES 11.1.1.5 унаследовал идеологию продукта на новом технологическом уровне и, соответственно, архитекторы могут учитывать описанные в брошюре возможности при планировании следующего поколения разрабатываемых приложений.

    пятница, 13 января 2012 г.

    Новая аналитика от Gartner и Forrester

    Gartner в очередной раз нас порадовал высокими оценками в обзоре "Magic Quadrant for User Administration/Provisioning" от 22 декабря 2011 г.
    Как говорится, комментарии излишни - мы впереди планеты всей! К преимуществам решения Oracle традиционно отнесены прединтегрированность специализированных компонентов, единый подход к их разработке, широкая партнерская база, а к недостаткам - слабая интеграция с SIEM-решениями и завышенная стоимость лицензий.

    Второе исследование, январское от Forrester Consulting, с длинным названием "Formulate A Database Security Strategy To Ensure Investments Will Actually Prevent Data Breaches And Satisfy Regulatory Requirements" посвящено стратегии инвестирования в защиту СУБД. На мой взгляд, авторы честно отрабатывают спонсорские деньги, аккуратно раскладывая все "по полочкам" - проводят опрос, перечисляют требования, классифицируют три направления обеспечения безопасности СУБД и формулируют ключевые рекомендации.
    В общем, фразы "Prevention should be a top priority", "Focus on an enterprisewide database security strategy" и "Single vendor solutions offer stronger security and can lower cost" звучат вполне убедительно. :-)

    четверг, 12 января 2012 г.

    Обновление Oracle Audit Vault


    В конце декабря вышло обновление Audit Vault до версии 10.3, последняя версия была 10.2.3.2.
    поэтому изменениий не очень много и основное это перевод репозиторя AV Server на базу данных 11.2.0.3.
    Добавилась поддержка новых версий Sybase ASE 15.5 и 15.7, DB2 9.7 на платформах  Linux, UNIX, и Microsoft Windows.
    Изменился инсталлятор, он стал в общем стиле Oracle.
    Теперь Audit Vault можно установить на Exadata и Oracle Database Appliance.

    Из менее значительных изменений:
    Для административной консоли изменились протокол и порт по умолчанию https://host:1158/av
    Для Microsoft SQL Server используется новая версия JDBC Driver version 3.0
    Убрали команды конфигурации secure_agent и secure_av

    Новая версия пока доступна на платформе Linux x64  Документация
    Обещают в ближайшее время выпустить релизы под AIX, HP-UX Itanium, Solaris SPARC
    Так же ожидается выпуск Enterprise Manager 12c Plug-In для управления Audit Vault из EM.