Identity Cloud Services - Die nächste Generation von Identity Services

    Dieser Artikel befasst sich mit Oracle Identity Cloud Services, einer neuen Generation von Identitätsdiensten, die sowohl mit cloudbasierten Geschäftsanwendungen als auch als Teil von Systemen funktionieren, die in der IT-Infrastruktur eines Unternehmens bereitgestellt werden. Es scheint, dass Identity Management (IdM) nichts Ungewöhnliches ist. Es handelt sich um eine Standard-Unternehmenstechnologie, mit der die sekundären Geschäftsprozesse des Unternehmens automatisiert, die mit der Informationssicherheit verbundenen Risiken minimiert, die Arbeitskosten von Administratoren und Helpdesk gesenkt und die Zufriedenheit gesteigert werden können Endbenutzer natürlich. Aber die Welt verändert sich und Cloud-Lösungen für Geschäftsanwendungen erfordern die Entwicklung von IdM-Diensten.





    Sicherheit hat für Oracle höchste Priorität in der Cloud. Ziel von Oracle ist es, die sichersten und zuverlässigsten Dienste für öffentliche Cloud-Infrastrukturen und -Plattformen für kommerzielle und staatliche Organisationen zu schaffen. Die Mission von Oracle besteht darin, sichere Infrastruktur- und Plattformservices in einer öffentlichen Cloud aufzubauen, in der Oracle-Kunden zuverlässige und verwaltbare Sicherheit erhalten, um sicher Workloads zu vervollständigen und vertrauenswürdige, skalierbare Cloud-Lösungen zu erstellen.

    Um Larry Ellison zu zitieren. Kürzlich sagte er: "In fünf Jahren wird die Sicherheit vor dem Haupthindernis der Hauptgrund für den Übergang zur Cloud sein." Mit anderen Worten, wenn es in Ihrem Unternehmen nicht um Informationssicherheit geht, ist es unwahrscheinlich, dass Sie Ihre Anwendungen so schützen können, wie es ein Cloud-Lösungsanbieter für Sie tun kann. Oracle ist seit langem auf dem Gebiet der Informationssicherheit tätig. Zusätzlich zu seinen eigenen Lösungen kann Oracle zahlreiche Lösungen von Drittanbietern einsetzen, um die Sicherheit Ihrer Daten zu gewährleisten und gleichzeitig die Einhaltung internationaler Standards im Bereich der Informationssicherheit zu gewährleisten.

    In Anbetracht dessen, worüber wir heute schreiben möchten, handelt es sich keineswegs um ein elegantes Paradoxon - dies ist die nahe Zukunft des Cloud-Computing unter Berücksichtigung der aktuellen Trends. Oracle Identity Cloud Services funktionieren genauso - sowohl mit Cloud-basierten Geschäftsanwendungen als auch als Teil von Systemen, die in der IT-Infrastruktur des Unternehmens bereitgestellt werden (Abbildung 1). IdM für Oracle Cloud schützt die Cloud-Technologien selbst, aber der zweite Block, in der Abbildung „Oracle IDCS“ genannt, ist für uns besonders interessant - es ist der Schutz als Cloud-Dienst für andere Anwendungen.

    IdM in der Oracle Cloud


    Beginnen wir damit, wie die Oracle-Cloud selbst geschützt ist, dh etwa 80.000 virtuelle Maschinen und 19 Rechenzentren auf der ganzen Welt. 30 Milliarden Transaktionen werden täglich über Oracle Cloud abgewickelt. Oracle ist der zweite SaaS-Anbieter weltweit. Oracle akquiriert regelmäßig Cloud-Service-Anbieter und stellt ständig Spezialisten auf diesem Gebiet ein - Hunderte von Spezialisten pro Jahr.


    In Abbildung 2 sind die Standorte von Oracle-Rechenzentren dargestellt. Die Rechenzentren, die vor Ende 2016 in Betrieb sein werden, sind grün markiert. Oracle-Rechenzentren bieten einen hohen Verfügbarkeitsgrad - 99,999%, alle haben die ISO-Zertifizierung bestanden.

    Abbildung 3 zeigt die Leistungsfähigkeit von Oracle-Rechenzentren. Das Unternehmen hat als Cloud-Anbieter erhebliche Investitionen getätigt und verfolgt einen ernsthaften Ansatz. Oracle Exadata dient zum Speichern von Daten in Oracle-Rechenzentren, die Big Data Appliance zum Arbeiten mit Big Data und die ZFS Storage Appliance zum Speichern von Daten. Außerdem werden SPARC-Server mit einem M7-Prozessor verwendet, mit denen Sie zwischen Speicherbereichen unterscheiden können.

    Oracle bietet Sicherheitsmechanismen, mit denen Sie steuern können, wer und unter welchen Bedingungen auf Daten zugreifen kann - die Kontrolle ist äußerst streng. Neben physischer Sicherheit, logischem Schutz, Festplattenverschlüsselung, Antivirus und Antispam werden auch alle Arten von Netzwerkschutzstufen verwendet. Um den Zugriff und die Zugriffssteuerung zu gewährleisten, werden Oracle IDM-Produkte (genauer gesagt Identity & Access Management) verwendet, mit denen Sie beispielsweise Konten erstellen, Berechtigungen zuweisen, Berechtigungen erteilen, Audits durchführen und die Redundanz von Berechtigungen bei der Gewährung des Zugriffs regelmäßig überprüfen können (so genannte Zertifizierung) zugang). Die Zwei-Faktor-Authentifizierung wird für den Zugriff auf Anwendungen verwendet.

    Von Zeit zu Zeit führt Oracle Schwachstellenanalysen und Penetrationstests durch, und Oracle führt täglich Überprüfungen durch - fast 2 Millionen IP-Adressen werden wöchentlich überprüft, 518 Überprüfungen werden wöchentlich durchgeführt. Um Sicherheitsereignisse automatisch zu korrelieren und Bedrohungen anhand von Korrelationen zu identifizieren, werden die Sicherheitsinformations- und Ereignisverwaltungssysteme oder SIEM (McAfee-Produkte) verwendet. Einzelne Quellen (Server, Router usw.) senden Protokolle an Collectors. Anschließend werden Protokolle zur Normalisierung und Aggregation an Enterprise Security Manager (ESM) und zur Langzeitspeicherung an Enterprise Log Manager (ELM) gesendet. McAfee Global Threat Intelligence-Daten werden mit ESM gemeinsam genutzt.

    Zum Schutz des Cloud-Computing verwendet Oracle die besten Sicherheitsdienste: Sicherer Zugriff auf das Netzwerk über ein VPN, Verhinderung von Datenverlust mit Bastion Hosts usw. Das Oracle Cloud-Netzwerk bietet zuverlässigen Schutz vor herkömmlichen Sicherheitsproblemen wie Abhörangriffen, IP-Spoofing und Port-Scan. Netzwerkschutzgeräte sind weit verbreitet, einschließlich Geräten zur Überwachung und Verwaltung der Netzwerkkommunikation an externen und internen Netzwerkgrenzen.

    Die Verschlüsselung wird häufig für den Zugriff auf Oracle Cloud-Netzwerkdienste verwendet. Kunden erhalten Zugang zu Diensten über verschlüsselte Protokolle, die Verbindung wird mit starker Verschlüsselung hergestellt. Darüber hinaus stellt Oracle Cloud sicher, dass Anwendungen den internationalen gesetzlichen Anforderungen entsprechen, einschließlich der PCI-DSS-Anforderungen, die insbesondere von russischen Kunden verlangt werden. Im Allgemeinen ist dies eine leistungsfähige mehrschichtige Verteidigung auf allen Ebenen: von der Prozessorebene über die physische Ebene bis zur Anwendungsschicht.

    IdM als Dienstleistung


    Die Lösung, die in Kürze unter dem Namen Identity Cloud Services (IDCS) erhältlich sein wird, ermöglicht Oracle-Kunden, sowohl gehostete als auch cloudbasierte Anwendungen mit cloudbasierten Sicherheitsprodukten zu schützen. Identity Cloud Services dienen der Verwaltung von Kennungen und dem Zugriff auf alle Arten von Oracle Cloud Services. Ein Schlüsselmerkmal von IDCS sind gemeinsame Kennungen für Benutzer, Dienste und Anwendungen.

    Für die Benutzerverwaltung, dh zum Erstellen von Benutzern, zum Empfangen von Daten, zum Organisieren von Suchanfragen zwischen Benutzern und zum Erstellen einer Benutzerliste, wird der SCIM-Standard verwendet. Die folgenden Standards werden auch für die Integration von Cloud- und lokalen Anwendungen verwendet: SAML-Verbundstandards - Verbund-SSO, mit dem Profilattribute übertragen werden können, OIDC-Authentifizierung für OAuth und der OAuth-Standard selbst, mit dem delegierte Autorisierung von Dienst zu Dienst und die Übertragung von Kennungen bereitgestellt werden.



    Abbildung 4 spiegelt die geplante Funktionalität von Oracle Identity Cloud Services wider. Es gibt zwei Arten von Lösungen: eine Unternehmenslösung mit einer Reihe von Anwendungen, für die einmalige Sicherheit bereitgestellt wird, mit IdM usw., und eine Cloud-Infrastruktur. Diese beiden Umgebungen müssen so verbunden sein, dass dies nicht der Fall ist Sie mussten sofort in die Cloud migrieren und konnten die Technologie sowohl von einer Unternehmenslösung als auch von der Cloud aus nutzen, um das Beste aus beiden Welten herauszuholen.

    Wenn ein Benutzer ein Identity Cloud Services-Administratorkonto erhält, muss er eine Reihe von Anwendungen auswählen, diese Anwendungen an Benutzer binden, die Liste der Benutzer mit dem lokalen Repository synchronisieren, die Liste der Rollen organisieren, die in Anwendungen verwendet werden, Benutzergruppen erstellen, die auf die Anwendungen zugreifen. tatsächlich alles tun, was IdM jetzt tut.

    Es ist ein solcher Workflow, der in IDCS implementiert wird. In Bezug auf die Anwendungsverwaltung bietet IDCS die folgenden Funktionen: Auswählen aus einer Liste vorregistrierter Anwendungen oder Registrieren neuer Anwendungen (OAuth oder SAML), Eingeben eines Administratorkontos in die Anwendung, Verknüpfen von Domänenbenutzergruppen mit der Anwendung, Registrieren, Generieren von Kennungen und Schlüsseln, Beschreiben und Hinzufügen von Ressourcen, Verwalten Sie Autorisierungsmethoden in der OAuth-Spezifikation, verbinden Sie ein SP-Profil und gewähren Sie Benutzern und Benutzergruppen Zugriff auf die Anwendung.

    Als nächstes wird mit Benutzern gearbeitet. Sie können den Benutzer aktivieren, deaktivieren, den Benutzer zwingen, das Kennwort am Eingang zurückzusetzen, bestimmte Richtlinien zum Ändern des Kennworts an den Benutzer zu binden usw. Wenn sich ein Benutzer bei seinem eigenen System anmeldet, werden ihm Self-Service-Funktionen bereitgestellt: Liste der verfügbaren Anwendungen, Konto für Anwendungen registrieren, eigene ändern Attribute - damit es den Administrator nicht vergeblich stört.

    Schließlich zu den internen Funktionen der Dienstinstanz. Der Benutzer kann Benachrichtigungen für Endbenutzer und Administratoren konfigurieren, Authentifizierungsanbieter registrieren, Verbund-SSO aktivieren, IdP auswählen, vertrauenswürdige Partner (OAuth und SAML) registrieren, die Kennwortrichtlinie ändern, die Einstellungen für die Verbindung zum LDAP-Unternehmensverzeichnis beschreiben, um Konten zu synchronisieren und Benutzern Administratorrechte zu erteilen , ändern Sie das Erscheinungsbild der grafischen Benutzeroberfläche, aktivieren Sie den Diagnosemodus und arbeiten Sie mit der Netzwerksicherheit (d. h. mit einer Liste der Adressen, die verwendet werden können) Lernen Sie den Zugriff auf das System usw.) und konfigurieren Sie SSO.

    Mit Aufgabenverwaltungstools können Sie Aufgaben aus einer vordefinierten Liste auswählen.

    Als Ressourcen für das Studium von IdM und IDCS empfehlen wir (IDCS-Artikel erscheinen als offizielle Ankündigungen):

    Jetzt auch beliebt: