Oct 24, 2018

Апдэйт по продуктам безопасности Oracle, часть 3 - СС, Enterprise IAM (онпрем OAM & OIM), Orchestration etc

Short intro: here you can find an article, review of the changes what occurred  last years. Part 3 - Configuration & Compliance CS, Enterprise IAM (OAM & OIM), Orchestration CS, new cloud services...

И последняя из серии статей, посвященных апдэйтам по продуктам безопасности Oracle, собранным мной по семинарам, статьям, презентациям и конференции в Oracle HQ, на которой мне удалось побывать. На этот раз третья и последняя часть, посвященная Configuration & Compliance CS, Enterprise IAM (онпрем Identity Governance, Access Management), Orchestration CS, Database Security и новые сервисы.

Опять размещаю небольшой дисклэймер - мое мнение не обязательно совпадает с мнением корпорации, что элементы программы развития продукта ориентировочные и могут быть изменены компанией без предупреждения и т.д.





5. Configuration & Compliance Cloud Service (CCCS).



Обеспечение "разумной" безопасности входит в понятие Due Care (https://www.merriam-webster.com/legal/due%20care, юридический термин, не считаю правильным его переводить). За тем, чтобы компании соблюдали Due Care относительно данных, касающихся третьих сторон (PII касается субъекта, финансовая отчетность касается акционеров и налоговых органов, данные о здоровье также касаются субъекта и т.д.), следят регуляторы, которые руководствуются соответствующими законами и/или стандартами (в последнем случае соответствие стандартам прописывается в контрактах). Примеры таких законов - SOX (Sarbanes-Oxley Act - обеспечение прозрачности операций публичной компании для защиты акционеров), HIPPA (Health Insurance Portability & Accountability Act - обеспечение защиты записей пациентов в США), GDPR (General Data Protection Regulation - закон о персданных Евросоюза), PCI DSS (Payment Card Industry Data Security Standard - не закон, а стандарт, соответствовать которому необходимо по контракту с соответствующей платежной системой).

Продемонстрировать Due Care компании могут путем выполнения Due Diligence (https://www.merriam-webster.com/dictionary/due%20diligence, тоже я бы не переводил, не являясь юристом). Продемонстрировать Due Diligence означает применить лучшие практики в индустрии ("платформы кибербезопасности" - computer security frameworks). Эти практики в области безопасности (то есть обеспечение конфиденциальности, целостности и доступности данных) собраны в различных стандартах: ISO 27000 (серия стандартов, не только сам 27001, ISO - добровольная сертификация от международной организации, распространенная во многих странах), NIST SP 800-53 (от NIST - National Institute of Standards and Technology - американский институт стандартов, обязателен для американских госкомпаний и ведомств, но доступный для применения в любой стране и в отличие от ISO бесплатен), CIS CSC (Center for Internet Security Critical Security Controls). Лучшие практики описывают необходимые противомеры (Access Controls), которые нужно применять для защиты данных. Для применения этих противомер требуются люди, процессы, технологии.

Перечисленные лучшие практики индустрии, помимо внимания к конечному пользователю, для чего традиционно используются продукты SIEM, UEBA и т.д., предписывают обезопасить технологию путем соблюдения конфигурации системы, предписанной производителем или же описанным в соответствующих лучших практиках. Так, например, компания Oracle выпускает для своей СУБД STIG (Security Technical Implementation Guidelines - https://en.wikipedia.org/wiki/Security_Technical_Implementation_Guide - рекомендованный базовый уровень безопасности, "security baseline"), где перечислено, что должно быть выполнено и какие настройки произведены для обеспечения соответствия конфигурации продукта рекомендациям вендора. Подобные STIG выпускают и независимые организации, например тот же NIST и CIS.

То есть, для демонстрации Due Diligence необходимо (в том числе) обеспечивать постоянное соответствие конфигурации систем рекомендациям вендора при учете постоянно меняющегося ландшафта. Собственно, это и помогает сделать Oracle Configuration & Compliance Cloud Service, позволяя автоматизировать соответствие требованиям STIG (через заданные скрипты, REST вызовы или через SCAP - Security Control Automation Protocol), отследить дрифт конфигурации (ее отклонение от заданной).

Как и Security Monitoring and Analytics, CCCS основан на платформе Oracle Management Cloud и наследует преимущества этой платформы, например, работает с теми же самыми OMC-агентами, которые собирают логи для Log Analytics, только он собирает конфигурацию системы.

За последний год была проведена значительная работа - поддержка STIG & Basic Security для Oracle Database 12c, Basic Security для Oracle Database 18c, поддержка STIG для Oracle Linux 6 и 7, применение лучших практик в конфигурации E-Business Suite, а также улучшение производительности и UI. Кроме того, в продукте поддерживается AWS IaaS (EC2 Instances, VPCs, Route Tables, Elastic IP Addresses, VPN Gateways, Subnets, Security Groups, Internet Gateways, Customer Gateways, Cloud Trail, VPN Connections, Elastic Block Store).

В октябре 2018 года Configuration and Compliance Cloud Service (версия 18.4.1) был сертифицирован организацией Center of Internet Security (CIS) по CIS Benchmark for Oracle Database 12c v2.0.0, Level 1 RDBMS Traditional Profile. То есть CCCS может производить данную оценку и это официально признается CIS (https://www.cisecurity.org/partner/oracle/). Обратите внимание, что кроме CCCS в CIS сертифицировало всего 7 других продуктов. В планах - дальнейшая сертификация в CIS, новые правила и применение технологий машинного обучения для выявления дрифта конфигурации.


Однако, несмотря на гетерогенное позиционирование продукта (поддержка AWS например), очевидно, что вся эта история в первую очередь применима к Oracle on Oracle. То есть в первую очередь для применения вендорских стандартов для СУБД Oracle, для Oracle Linux, для Oracle e-Business Suite и Oracle Cloud. Гибридное устройство продукта (анализ конфигурации онпрем систем в облаке без передачи информации, содержащей ПДн) позволяет надеяться на скорую адаптацию этого продукта, использование которого может оказаться проще и дешевле, чем того же Enterprise Manager Cloud Control, и к тому же приносит новый функционал выявления дрифта конфигурации, недоступный в онпрем варианте.


6. Enterprise Identity & Access management (онпрем продукты - OAM / OIM).

Под Enterprise Identity & Access Management продуктами имеются в виду традиционные и известные вам продукты Identity Governance Suite (OIG) и Access Management Suite (OAM), которые до сих пор занимают высокие места в аналитических отчетах и востребованы на рынке. А Identity Governance (ex-Oracle Identity Manager) так и вовсе по исследованию Джет Инфосистемс в России по количеству внедрений в два раза превосходит своего ближайшего конкурента (https://www.easyoraidm.ru/2017/08/security-lab-idm.html).



Как вы знаете, не всем продуктам онпрем линейки безопасности Oracle повезло одинаково. Не будет новых релизов у Oracle Adaptive Access Manager, Oracle Enterprise Single Sign-On, Oracle Entitlements Server, Oracle Privileged Accounts Manager, Oracle Identity Analytics (о чем есть соответствующие Statement Of Direction на My Oracle Support). Существующие продукты будут, впрочем, продолжать поддерживаться. Больше Oracle Access Management (в первую очередь Oracle Access Manager) и Identity Governance (Oracle Identity Manager), для которых уже вышла в тестирование новая версия 19с.

При всей привлекательности и простоте использования облачных продуктов, не все заказчики пока к этому готовы и облачные продукты не позволяют той глубины кастомизации, которая возможна в онпрем продуктов. Так что даже в гибридном варианте Identity Cloud Service + Identity Governance Cloud Service смогут заменить онпрем продукты в первую очередь для тех компаний, которые готовы пожертвовать сложностью своих бизнес процессов в пользу простоты использования.

Думаю, заменить Access Manager на IDCS в итоге будет проще, чем Identity Manager, однако IDCS уже имеет массу встроенной интеграции с облачными приложениями. Поэтому будущее пока что представляется как OIG для онпрем приложений, IDCS для облачных и коннектор OIG к IDCS, позволяющий включить управление доступом к облачным приложениям через IDCS в бизнес процессы, выполняемые на OIG/SOA.

Хотя продемонстрированные гибридные варианты использования (OAM Webgate + IDCS, IDCS IdP/SP, OAM MFA плагин + IDCS) вполне жизнеспособны в относительно простых конфигурациях.

Релиз 12с показал направление развития продукта - упрощение подключения новых приложений, упрощение интеграции, упрощение развертывания, точечные улучшения без принципиального изменения продукта (основные принципы и UI остались прежними). В мире из порядка 950 заказчиков, использующих OIG, 160 уже используют OIG 12c (12.1.2.3).

Релиз 19с обещает дальнейшее упрощение подключения приложений, дальнейшее развитие внешнего REST API (в идеале все, что доступно через OIM Java API, должно быть доступно через REST API), многочисленные мелкие улучшения в процессах сертификации доступа, улучшения в экспорте/импорте, включая UDF поля ролей и SOD правила, автоматизированное выявление (discovery) схемы для DBAT и текстового файла. Ну и дальнейшая интеграция с IDCS и вся эта гибридная история, которая, несмотря на мнения аналитиков о скорой победе облаков, возможно, останется надолго.

И от онпрем продуктов OAM и OIG так просто не избавиться, слишком большое количество заказчиков их используют. Так что нас ждут новые версии. Которые, впрочем, не принесут с собой революционных изменений, что и хорошо и плохо одновременно.


7. Database Security

Очевидно, что онпрем безопасность СУБД Oracle живет и здравствует, и будет жить, пока живы заказчики, которые используют СУБД Oracle и которым необходимо управлять рисками, связанными с нарушением конфиденциальности, целостности или доступности этих данных. Те же сервисы безопасности доступны и внутри Database Cloud Service (DBCS) в определенных типах подписок.

Несмотря на это скоро будут анонсированы специализированные облачные сервисы, которые позволят применить наложенные средства защиты к онпрем СУБД Oracle и, возможно, станут интересны тем, у кого СУБД Oracle Standard Edition (или SE2) и кому для покупки опция СУБД сначала придется сделать апгрэйд лицензий до Enterprise Edition. В-общем, ждите анонсов.


8. Orchestration Cloud Service (OCS).

OCS, как следует из названия, занимается составлением и выполнением Workflow - автоматизированной последовательности действий, и задействован во многих сервисах Oracle Management Cloud. С точки зрения сервисов безопасности OCS может автоматически исправлять расхождения с рекомендуемой конфигурацией, обнаруженное CCCS, а также запускать Workflow по факту создания инцидента в SMACS, пока что, правда, это Workflow нужно будет писать самостоятельно.

Workflow описываются в JSON формате и требуют пока что ручного кодирования, но вскоре выходит UI редактор. Общее пожелание - наличие заготовок для разных случаев жизни (типа Playbook у Splunk), что обещают сделать за счет создания “рынка”, маркетплэйса для этих скриптов.

Пока что OCS видится как вспомогательный сервис для других сервисов OMC, позволяющий выполнить простую автоматизацию ответов на выявленные инциденты.


9. Новые сервисы.

Скоро будут анонсированы новые облачные сервисы - Key Management Cloud Service (аналог Key Vault в облаке), сервис для хранения и управления ключами (включая ключи, используемые для шифрования данных в Advanced Security Option СУБД Oracle), а также Identity Governance Cloud Service (IGCS).

IGCS будет отвечать за сложные процессы согласования предоставления доступа (интеграция с IDCS для самого выполнения когда предоставления доступа), сертификация доступа, выявление и предотвращение появления SOD конфликтов, управление привилегированным доступом, управление ролями (включая Role Mining), и все прочее, за что сейчас отвечает онпрем продукт Oracle Identity Governance. Разумеется, не все сразу, обещают начать с сертификации доступа, это самый востребованный функционал. Правда, это на западе он востребованный, у нас пока не столь много регулирований, требующих периодического пересмотра прав доступа.

Станет ли IDCS + IGCS полноценной заменой OIG? Я думаю, что в ближайшем времени нет, см. мои комментарии к соответствующим продуктам. Точнее, это будет возможно для реализации простых процессов без сильной кастомизации, а сложным реализациям скорее всего нас приготовлена длинная гибридная история OAM + OIG + IDCS + IGCS.

И не совсем понятно, где граница полномочий IDCS и IGCS в функционале управления доступом. Исторически все выполнялось в одном продукте (OIG), теперь часть, отвечающая за провижионинг уйдет в IDCS, там же можно будет делать простое согласование доступа, сложное будет в IGCS. В-общем, этот момент пока неясен и ждем появления сервиса.

Вот и все по апдэйту по текущему состоянию продуктов линейки безопасности Oracle.

No comments:

Post a Comment