oracle idm 솔루션을통한보안강화 - dbguide.net · 2007-02-09 · security & identity...
TRANSCRIPT
Page 1
김진미기술 컨설팅 본부,
한국오라클㈜
Oracle IDM 솔루션을 통한 보안 강화
Page 2
Page 2
목 차
Security & Identity Management
Oracle Identity Management Solution
Oracle Identity Manager- 기능 및 아키텍쳐
- Use Case
Page 3
Page 3
보안의 변화
1996
• Amateur hackers
• Web site defacement
• Viruses
• Infrequent attacks
2006
• Organized crime
• IP theft
• Identity theft
• Constant threat
Page 4
Page 4
외부인외부인 보다보다내부인에내부인에 대한대한 통제통제 시급시급
보안의 신조
Page 5
Page 5
산업기밀 유출의 90%가 내부자 소행2003년 ~ 2006년 6월까지 적발된 산업기밀 유출사건 총 72건 중65건이 전/현직 직원 소행
전직직원
현직직원
용역/협력업체
외국인유치과학자
매수
공동연구
불법수출
해킹
위장합작
무단보관
금전유혹
개인영리
처우/인사불만
비리연루
신분불안
38
27
4
3
60
4
3
2
1
1
27
22
17
4
2
유출자 유출유형 유출동기
* 국정원 산업기밀보호센터2003년 ~ 2006년 6월
출처 : 서울경제신문 8월 2일자[창간특별기획/첨단기술을 지켜라]
산업 기밀 유출 현황
Page 6
Page 6
어디에 비용이 많이 소요되는가?
- Computer Security Institute
“외부의 공격으로 인한 손실은 평균 $57,000 정도 인데
비해, 내부자에 의한 평균 손실은 약 $2.7 million 이었다.”
사용자 한 명당 패스워드 관리 비용으로연간 약 $200 에서 $300 정도가 소요된다.
- Gartner
Page 7
Page 7
규제 준수
Organizations today face a growing number of regulations that mandate the accuracy, protection and reliability of information
Page 8
Page 8
전형적인 Identity 관리
Business DomainBusiness Domain
Policy / Role
Policy / Role
Policy / Role
Policy / Role
Core Apps
Portal
File andPrint
Collaboration
Mainframe
User
IT DomainIT Domain
Directories
Databases
OperatingSystems
Business Identity
BusinessRoles
Employees
Customers
Suppliers / Partners
Page 9
Page 9
Core Apps
Portal
File andPrint
Collaboration
Mainframe
Access Mgmt
LDAP Directory
LDAP Directory
Desktop / Network Portal& SSO
Identity Hub
BusinessRoles
Employees
Customers
Suppliers / Partners
EnterpriseDirectoryDataHub
““Security is a byproduct ofSecurity is a byproduct ofa business needa business need””
비즈니스 기반의 Identity 관리
Page 10
Page 10
Identity Management란?
• 어플리케이션과 정보의 액세스를 보호 하는 것
- 인증 (Authentication): 당신은 누구인가? (사용자 ID와 패스워드)
- 권한(Authorization): 당신은 어디에 접근할 수 있는가?
• 전체 라이프사이클을 통하여 디지털 사용자 관리를 인식(Identify) 하는 것
- 직원채용 (계정 생성) -> 진급/부서이동(권한 변경) -> 퇴사(계정 삭제)
- 계정 생성에서 계정 삭제에 이르기까지 전체 라이프사이클과 관련한 계정관리
• 확장성 있고 가용한 계정 정보 저장소
- 프로파일(Roles & attributes)을 안정적이고 가용성 있게 관리
Page 11
Page 11
Enterprise Identity Management
NOS/DirectoriesOS (Unix)
Systems & RepositoriesApplications
ERP CRM HR Mainframe
Auditingand
ReportingPolicy and Workflow
EmployeesIT Staff SOA Applications
Partners
External
Delegated Admin
SOA Applications
Customers
Internal
Identity Management Service
Access Management•Authentication & SSO•Authorization & RBAC• Identity Federation
Identity Administration•Delegated Administration•Self-Registration & Self-Service•User & Group Management
Directory Services•LDAP Directory•Meta-Directory•Virtual Directory
Identity Provisioning•Agent-based•Agentless•Password Synchronization
Monitoringand
Management
Page 12
Page 12
Identity Management 기대효과
• 저렴한 관리 비용– SSO, 패스워드 변경, 관리 권한이양,
user self service, 자동화된 provisioning
– Help 데스크 콜 감소로 연간 인당 $420 비용 절감
– Provisioning*을 통한 연간 직원당 $1250 ROI
• 개선된 보안– Access control, user provisioning
• 강화된 규정준수 및 프라이버시– SoX, 개인 정보 보호 강화, 통합 감사
* * -- Burton Group Report August 2004Burton Group Report August 2004
Page 13
Page 13
목 차
Security & Identity Management
Oracle Identity Management Solution
Oracle Identity Manager- 기능 및 아키텍쳐
- Use Case
Page 14
Page 14
Oracle Identity Management
Leading Portals & Applications
Leading Directories, OS, DBs, J2EE
Oracle Identity Federation
Oracle Access Manager
Oracle Identity Manager
Oracle Web Services Manager
Oracle Virtual Directory
Oracle Internet Directory
Oracle Enterprise Single Sign-On
Page 15
Page 15
Oracle Access Manager
• 기능– 정책 관리
– 멀티-레벨, 멀티-팩터 인증 관리
– 셀프 서비스 패스워드 관리
– 위임 관리
– 워크플로우 엔진
– 웹 서비스 인터페이스
• 장점– 이종 환경 간의 중앙 집중화되고
일관성 있는 보안성
– 관리 비용 절감
– 개선된 사용자 편의성
– 규정 준수
Authentication
Authorization
Identity Admin
Page 16
Page 16
Oracle eSSO
• 기능
- 네트워크 및 시스템에 접근 시에 사용자
인증
- 각각의 어플리케이션에 대한 접근 시
인증을 별도로 수행
- 사용자가 접근하고자 하는 모든 것에 대한
인증 담당
• 장점
- Windows 데스크톱 및 모든 어플리케이션에
대한 패스워드를 관리
- 사용자 편의성을 증대하며 보안 강화
- 규정 준수
- 모든 어플리케이션에 대한 인증 강화
Oracle Enterprise Single Sign-On
Page 17
Page 17
Oracle Identity Federation
• 기능
– SSO 와 연계하여 비즈니스 파트너간의 계정공유
멀티 프로토콜 게이트웨이– SAML, Liberty, WS-Federation
서비스 제공자(Hub) / 계정 제공자 패키지(Spoke)로 이용
– 유연한 배치 구성 기능 제공
Standalone 웹 접근 관리 솔루션으로도 제공 가능
커스텀 애플리케이션을 위한 Protocol SDK 제공
• 장점
– 비즈니스 파트너와의 안전한 통합 보장
– 관리 비용 절감
– 개선된 사용자 편의성
Page 18
Page 18
Oracle Virtual Directory
• 기능– 가상화,프록시,조인,라우팅 기능
– 최신 자바와 웹서비스 기술 수용
– 강력한 확장성
– 대규모 멀티 사이트 관리
– 직접적인 데이터의 접근
• 장점– 실시간 디렉토리 통합
– 애플리케이션 배치의 가속화
– 개발 공수의 절감
LDAP
VDE DIRECTORY ENGINE
WEB GATEWAYWEB SERVICES WEB GATEWAY
JOIN VIEW
LocalStore LDAP DB NT Custom
Virtual Directory Product Architecture
Page 19
Page 19
Oracle Internet Directory
• 기능
– Oracle 데이터베이스를 저장소로 가지면서 LDAP 서버의 모든 기능을 수용
– 확장성 및 HA 기능
– 오라클 플랫폼들과의 강한 통합성
– VSLDAP 인증 및 EAL4 호환
• 장점
– Oracle 그리드 컴퓨팅의 지원으로 운영비용 절감
– 오라클 제품들과의 매끄러운 통합
Page 20
Page 20
목 차
Security & Identity Management
Oracle Identity Management Solution
Oracle Identity Manager- 기능 및 아키텍쳐
- Use Case
Page 21
Page 21
기능 및 아키텍쳐
Page 22
Page 22
Oracle Identity Manager의 역할?
• 계정관리 자동화
• 사용자 계정 및 권한 lifecycle 관리
• 보안 강화
Oracle Identity Manager는 계정과 권한 관리에최적화된 provisioning solution이다.
Oracle Identity Manager 이란?
리소스
사용자
Profile사용자
Page 23
Page 23
Oracle Identity Manager 기능 모델
Page 24
Page 24
• 사용자의 리소스 접근에 대한 정책관리
• 롤/ 속성 기반의 정책 엔진
• 각 리소스에 대한 세밀한 권한 제어
• 자동화된 계정 provision/de-provision정책
주요 특징 : Policies / RBAC
Roles and Rules configuration
Access Policy configuration
Page 25
Page 25
• 승인과 공급 workflow지원.
• 고도의 확장성과 유연성을 갖춘 아키텍쳐
- multiple workflows를 통한 reusable Global task library지원
- customization과 자동화를 위한 Adapter framework 지원
- 수동과 자동 공급 태스크 혼합 지원.
• 태스크의 상태, 데이터의 가용성 정보 제공
주요 특징: Workflow
Page 26
Page 26
• Deployment Manager- 개발, 스테이징, 운영 환경 이관 지원
- 개발작업 통합 및 분산 지원
- 전체 또는 부분 임포트/익스포트XML package사용
- versioning 과 archiving지원
- 그래픽 위져드 제공
• Diagnostic Dashboard
- 설치 전후 환경에 대한 테스트. 연결, 네트웍, 환경설정
• GUI installer (InstallShield)
주요 특징: 구축 툴
Page 27
Page 27
• Agent-less architecture
• 표준 기반의 connectors
- 다양한 OOTB(out of the box) connectors
- 표준 기술 기반의 connectors (e.g. flat file, LDAP, JDBC, Web Services)
• Adapter Factory™- 컨넥터 유지 및 개발 GUI 툴
- 코드 자동 생성
• Business application connectors
- SAP
- Oracle eBusiness
- PeopleSoft
- Siebel
주요 특징: 통합 기술
Page 28
Page 28
Web Access Control
Security ManagementOperating Systems
Help Desk
Enterprise MessagingEnterprise Applications
Directory ServersDatabase Servers
*
* Available in Connector Pack 9.0 (late-April release)
*
*
RACF*ACF2
TopSecret
*
주요특징: 지원 Connectors
Page 29
Page 29
주요 특징: 사용이 용이한 UI
• 구성 작업을 위한 디자인 콘솔 제공
• End-User를 위한 커스터마이즈 가능한 웹 UI 제공
Page 30
Page 30
주요 특징: 리포팅 및 감사
• 기존 상용 리포팅 도구와 연계 가능 (Ex. Crystal Report등)
• 운영 상황 과 이력에 대한 리포팅 기능 제공
사용자가 lifecycle동안의 프로파일의 변경내역User Profile History
관리되는 리소스에 권한을 가졌던 사용자 리스트Resource Access List History
사용자가 lifecycle동안에 가진 리소스에 대한 권한
User Access History(Who Had What)
Historical
리소스에 권한을 가지고 있는 사용자 리스트Resource Access List
사용자에 대한 현재의 리소스 할당 상태Who Has What (Users' Entitlements)
Operational
설명Report 이름
Page 31
Page 31
Oracle Identity Manager 아키텍처
• 기능 컴포넌트 위주의 아키텍처
Page 32
Page 32
Oracle Identity Manager 아키텍처
• J2EE 표준 기반 / 확장성 있는 3-tier 아키텍처
Page 33
Page 33
Oracle Identity Manager 아키텍처
• 고 가용성 아키텍처
Page 34
Page 34
To-Be 이미지
• EAM과 연계되는 통합 계정 관리
Page 35
Page 35
Use Case
Page 36
Page 36
인사시스템
(HR DB)
정규직
관리자에의한 등록
중재(Reconciliation)엔진
AccessPolicy
Unix/LinuxServer
승인
워크플로우사용자그룹
계약직
Identity저장소
요청 엔진 WindowsServer
HR DB커넥터
계정의 생성 및 등록 (입사)
Oracle Identity Manager
Page 37
Page 37
퇴사 프로비저닝워크플로우
인사시스템
(HR DB)
중재(Reconciliation)Engine
커넥터 Identity저장소
RevokedApplications
Oracle Identity Manager
계정의 삭제 (퇴사 및 발령)
AccessPolicy
Page 38
Page 38
정규직
자가요청
계약직
요청엔진
승인워크플로우
승인
프로비저닝워크플로우
어플리케이션프로비저닝
OracleIdentity Manager
자가 계정 신청
Page 39
Page 39
장규직
자가요청
계약직
요청엔진
프로비저닝워크플로우
패스워드초기화
OracleIdentity Manager
패스워드 초기화
Page 40
Page 40
Unix계정추가
중재(Reconciliation)엔진
Accept /Reject
Reject:Unix에서계정 삭제
워크플로우
Accept: Identify저장소
정보 변경
OracleIdentity Manager
커넥터
임의 계정 생성시 처리
관리자공지
Page 41
Page 41
Delegate
감사관은 데이터 확인, 조치 수행
태스크 주기 정의 - 예) 주단위
정해진 시간에 데이터 스냅샷 생성
감사관의 조치에 따른 워크플로우
감사관에게 감사 요청 공지
RejectCertify
Decline
예외 처리 워크플로우
각 데이터에 대해세밀한 조치 수행
위임 감사관에게 공지
감사 절차
프로세스 소유자에게감사 거부 공지
Page 42
Page 42
요 약
Security & Identity Management
Oracle Identity Management Solution
Oracle Identity Manager- 기능 및 아키텍쳐
- Use Case
Oracle Identity Management는계정에 대한 통합관리를 통해내부 보안 강화, 규제 준수,
관리 비용 절감을가능하게 하는 솔루션입니다.