oracle fusion middleware forum 비즈니스위험비용을 · 2009-05-21 · oracle fusion...
TRANSCRIPT
<Insert Picture Here>
Oracle Fusion Middleware Forum
비즈니스 위험비용을최소화하는 지능형 보안솔루션
Oracle Korea, Fusion Middleware
임기성 ( [email protected] )
© 2008 Oracle Corporation – Proprietary and Confidential 2 / 40
Agenda
1. 어플리케이션 보안의 트렌드
2. OAAM 및 OES 소개
3. 스크린 샷 데모
© 2008 Oracle Corporation – Proprietary and Confidential 3 / 40
<Insert Picture Here>
1. 어플리케이션 보안의 트렌드
2. OAAM 및 OES 소개
3. 스크린 샷 데모
© 2008 Oracle Corporation – Proprietary and Confidential 4 / 40
Questions
시스템 별로권한을 따로
관리하니까 누구무슨 짓을 할 수있는 지 도대체
모르겠어
보안 감사때마다 매번수작업으로
리포팅 하느라너무 힘들군…
요새 중국발해커가
기승이라던데…
피슁, 파밍이문제라던데
어떻게 방지할수 있을까?
내부의 산업스파이를 어떻게
막지
PC 해킹을막기는 해야할 텐데…
아! ActiveX 너무싫다. 배포, 패치, 너무 귀찮군…
보안 담당자
개인정보유출되면
끝장이야…
© 2008 Oracle Corporation – Proprietary and Confidential 5 / 40
어플리케이션 보안의 발전 추세
Application
Infrastructure
Services Model
(includes
Security Service
OS Services
Transport
Services
Hardware)
OS Services
Transport
Services
ApplicationApplication
Security
Services
Hardware Infrastructure
Application
Security
Services
Hardware
Infrastructure
Transport
Services
OS Services OS Services
Transport
Services
Security
Services
IdM products SuitesDirectory
~1990 2000 2008
Services Inherent
2015
© 2008 Oracle Corporation – Proprietary and Confidential 6 / 40
IAM Maturity Model
Level 1
Tactical
Level 2
Process-Centric
Level 3
Aligned
Web Access Management
Enterprise Directory
Password Management
Meta-Directory
Enterprise SSO
Automated Provisioning
Consolidated Reports
Virtual Directory
Enterprise Roles
Full Regulatory Compliance
Converged IT & Physical Security
Identity Federation
Risk Management
© 2008 Oracle Corporation – Proprietary and Confidential 7 / 40
1. 어플리케이션 보안의 트렌드
2. OAAM 및 OES 소개
3. 스크린 샷 데모
© 2008 Oracle Corporation – Proprietary and Confidential 8 / 40
Oracle IDM Suite 제품군 소개
디렉토리 서비스
Suite 관리
Internet Directory(OID)
Virtual Directory(OVD)
Enterprise Manager for IAM Pack
SSO/접근제어
Adaptive Access Manager(OAAM)
Access Manager(OAM)
Enterprise Single Sign On(ESSO)
Identity Federation(OIF)
Authentication Service for OS(OAS)
계정/권한 관리
Identity Manager(OIM)
Role Manager(ORM)
감사 및 통제
Oracle IAM Suite
Entitlement Server(OES)
© 2008 Oracle Corporation – Proprietary and Confidential 9 / 40
OAAM은 리스크 기반 인증 강화 솔루션으로서 사용자 PC에 설치되는 모듈 없음
• 사칭에 대비한 사용자 및 웹싸이트 간의 상호 신원 확인
• 사용자 사용 패턴, 평상시 행위, 예상되는 리스크 등에 따른 정책기반 리소스 접근제어
Oracle Adaptive Access ManagerOAAM (Oracle Adaptive Access Manager)
Where a User Is(Geo-Location with Quova)
What a User Does(Behavior Pattern + Profiling + Scoring)
What A User Has(Device Fingerprinting + OTP 연계)
What A User Knows(Pin, Password, Challenge Questions)
Adaptive Access
Manager
User
Location Device
Prevents: Phishing, Pharming, Trojans, Key logging, Proxy Attacks, Insider threats
Applic
atio
ns
Users
Merchants
Admins
© 2008 Oracle Corporation – Proprietary and Confidential 10 / 40
ActiveX 없는 해킹방지
질문패드 퀴즈패드
키패드
텍스트패드 숫자패드
슬라이드
• 아래 그림처럼 가상 인증 장치(Virtual Authentication Device)라고 하는 가상 입력장치를 제공합니다. 아래와 같은 장치는 매번 위치가 변경되며, 패스워드 입력시 죄표값이 전달되기 때문에 키로거 등의 해킹도구에 의한 비밀번호 유출의 위험이 없습니다.
Oracle Adaptive Access Manager
다양한 가상 인증장치 Random 위치 변경
Session A
Session B
© 2008 Oracle Corporation – Proprietary and Confidential 11 / 40
App Server
Oracle Entitlement ServerOES (Oracle Entitlement Server)
Standalone SSM Embedded SSMSSM
ATN ATZ RM AD CM
정책 저장소
Policy 정의 및 관리
BrowserAdmin Server
SSMATN ATZ RM AD CM
Client
SSMATN ATZ RM AD CM
Policy 배포 Policy 배포
정책 / 속성 / 결정 캐슁 됨
OES는 Fine-Grained Authorization을 지원하는 솔루션.
• In-house로 개발되는 시스템들에 대한 표준화된 접근제어 프레임웍 제공
• 업무시스템에 표준화된 권한제어 로직을 Embed 시킴으로써 성능에 대한 이슈 없이 중앙 통제 인프
라 제공
• 전사 사용자에 대한 상세 수준의 실시간 Entitlement 통제 수행 및 현황정보 리포팅
© 2008 Oracle Corporation – Proprietary and Confidential 12 / 40
Oracle Entitlement ServerEnd to End Fine grained Authorization
• OES는 DB부터 Middleware, Presentation Layer에 이르는 전체 과정을 일관된 정책하
에 접근제어를 할 수 있습니다.
•Authorized User
•Un-authorized User
Authorization
Policy
Presentation
Layer
Middleware
Layer
DBMS
Layer
© 2008 Oracle Corporation – Proprietary and Confidential 13 / 40
1. 어플리케이션 보안의 트렌드
2. OAAM 및 OES 소개
3. 스크린 샷 데모
© 2008 Oracle Corporation – Proprietary and Confidential 14 / 40
Demo Scenario
• Scenario #1 – OAAM 관리화면 소개
• Scenario #2 – OAAM 사용자 등록
• Scenario #3- 위치 및 그룹 기반 접근제어
• Scenario #6 – OAAM 과 연계된 Fine-Grained Authorization
• Scenario #5- 개인정보 보호
• Scenario #4- UI 상의 Fine-Grained Authorization
OAAM
OES
+
OAAM
© 2008 Oracle Corporation – Proprietary and Confidential 15 / 40
Scenario #1 OAAM 관리화면 소개(OAAM관리자 로그인)
© 2008 Oracle Corporation – Proprietary and Confidential 16 / 40
Scenario #1 OAAM 관리화면 소개(이벤트 상세 내역 조회)
© 2008 Oracle Corporation – Proprietary and Confidential 17 / 40
Scenario #1 OAAM 관리화면 소개(모니터링 모델 설정)
© 2008 Oracle Corporation – Proprietary and Confidential 18 / 40
Scenario #2 OAAM 사용자 로그인 데모(OAAM 사용자 Security Profile 등록)
© 2008 Oracle Corporation – Proprietary and Confidential 19 / 40
Scenario #2 OAAM 사용자 로그인 데모(사용자 로그인)
오입력 4번
정확한 ID 입력
배경 이미지 확인
본인등록 문구 확인
© 2008 Oracle Corporation – Proprietary and Confidential 20 / 40
Scenario #2 OAAM 사용자 로그인 데모(‘Max Failed Challenges’ Rule 탐지여부 확인)
© 2008 Oracle Corporation – Proprietary and Confidential 21 / 40
Scenario #2 OAAM 사용자 등록(키로거 유출여부 확인 – 키보드 사용)
키로거 프로그램 기동
© 2008 Oracle Corporation – Proprietary and Confidential 22 / 40
Scenario #2 OAAM 사용자 등록(키로거 유출여부 확인 – Security Device 사용)
© 2008 Oracle Corporation – Proprietary and Confidential 23 / 40
Scenario #3 위치 및 그룹 기반 접근제어(User Group 및 Location에 의한 접근제어 개요)
•‘Nikki Burns’
•Black list country•Demo-Intl Group
•‘Gary Berry’
•Black list Country
Blocking
시스템
OAAM Real-time
Security Model
© 2008 Oracle Corporation – Proprietary and Confidential 24 / 40
Scenario #3 위치 및 그룹 기반 접근제어(Exclude group 설정 확인)
© 2008 Oracle Corporation – Proprietary and Confidential 25 / 40
Scenario #3 위치 및 그룹 기반 접근제어(black List country model설정)
© 2008 Oracle Corporation – Proprietary and Confidential 26 / 40
Scenario #3 위치 및 그룹 기반 접근제어(BL country List 사용자로 로그인)
© 2008 Oracle Corporation – Proprietary and Confidential 27 / 40
Scenario #3 위치 및 그룹 기반 접근제어(Excluded Group 사용자로 로그인)
© 2008 Oracle Corporation – Proprietary and Confidential 28 / 40
Scenario #3 위치 및 그룹 기반 접근제어(BL Country 사용자 로그 내역확인)
© 2008 Oracle Corporation – Proprietary and Confidential 29 / 40
Scenario #4 UI 상의 Fine-Grained Authorization (UI 접근제어 개요)
MyBank
•‘Alex Nash’•MyBankCustomer Role•PrimaryAccountHolder Role
•‘Al.Fen’
•MyBankCustomer Role
Can Transfer
Transfer 버튼 활성화
Can Not Transfer
© 2008 Oracle Corporation – Proprietary and Confidential 30 / 40
Scenario #4 UI 상의 Fine-Grained Authorization (송금 정책 설정 및 제어)
© 2008 Oracle Corporation – Proprietary and Confidential 31 / 40
Scenario #5 개인정보 보호(Data Privacy Authorization 개요)
MyBank
•‘barth.cook’
•MyBankCustomer Role
•‘bubba.lee’
•MyBankEmployee Role
Can See the Private Data
: SSN, FICO#, Tel#
Can NOT See the Private Data
: SSN, FICO#, Tel#
© 2008 Oracle Corporation – Proprietary and Confidential 32 / 40
Scenario #5 개인정보 보호(Data Privacy 정책 설정 및 제어)
© 2008 Oracle Corporation – Proprietary and Confidential 33 / 40
Scenario #6 OAAM과 연계된 Fine-grained Authorization(OAAM과 연계된 접근제어 개요)
MyBank
•‘alex.nash’•MyBankCustomer Role
OAAM Real-time
Security Model
모니터링 Rule
1. IP White List
2. Check Amount > $10000
IF (1 and 2) THEN 50 risk score
IF (~1 and 2) THEN 100 risk score
ELSE 0 risk score
White List IP & $15,000 송금
No White List IP & $15,000 송금
Risk Score <= 50, 송금 허용
Risk Score <= 50, 송금 허용No White List IP & $50 송금
Risk Score > 50, 송금 제한
OES Real-time
Fine-Grained Authorization
50
100
0
© 2008 Oracle Corporation – Proprietary and Confidential 34 / 40
Scenario #6 OAAM과 연계된 Fine-grained Authorization(송금 제한 규칙 설정)
© 2008 Oracle Corporation – Proprietary and Confidential 35 / 40
Scenario #6 OAAM과 연계된 Fine-grained Authorization(IP White List & 송금액수 규칙 설정)
© 2008 Oracle Corporation – Proprietary and Confidential 36 / 40
Scenario #6 OAAM과 연계된 Fine-grained Authorization(IP White List에서 15000$ 송금)
© 2008 Oracle Corporation – Proprietary and Confidential 37 / 40
Scenario #6 OAAM과 연계된 Fine-grained Authorization(IP White List 제외 & 15000$ 송금)
© 2008 Oracle Corporation – Proprietary and Confidential 38 / 40
Scenario #6 OAAM과 연계된 Fine-grained Authorization(50$만 송금)