Short intro: here you can find an article, review of the changes what occurred last years. Part 1 - Security strategy, Identity Cloud Service...
Давно не было здесь обновлений, но это не значит, что ничего не происходило. Наоборот, происходило очень много, и не хватало времени для статей на EASYORAIDM. Но я постараюсь наверстать упущенное. В последнее время я часто сталкиваюсь, что люди не совсем понимают текущее предложение Oracle в области безопасности, стратегию компании. Поэтому хочу с вами поделиться некоторыми наблюдениями и мыслями по итогам внутренних семинаров, конференции в Oracle HQ и прочим. Надеюсь, это как-то разъяснит ситуацию.
Тут уместно поместить небольшой дисклэймер, что мое мнение не обязательно совпадает с мнением корпорации, что элементы программы развития продукта ориентировочные и могут быть изменены компанией без предупреждения и т.д. Тем, у кого после подобного дисклэймера еще остался интерес к тем изменениям, которые происходят с продуктовой линейкой Oracle по безопасности, добро пожаловать под кат, где я набросал небольшую статью. По понятным причинам я не выложу презентаций, а также ограничу информацию по планам выхода продуктов.
Выкладываю первую часть, посвященной общей стратегии Oracle в продуктах безопасности, а также Identity Cloud Service.
1. Стратегия по продуктам безопасности.
Подход компоновать сервисы безопасности под зонтиком Identity SOC (см. тут - https://www.easyoraidm.ru/search/label/ISOC) сменяется новым “зонтиком “ Trust Fabric. В отличие от Identity SOC под Trust Fabric попадают вообще все продукты безопасности Oracle - от опций защиты СУБД Oracle до облачных сервисов. Trust Fabric начинается с защиты данных внутри ядра СУБД (Advanced Security, Label Security, Database Vault и прочее), продолжается корпоративными продуктами по управлению и контролю доступа (Identity Governance, Access Management) и выходит дальше, к облачным сервисам защиты как сервисов самого Oracle Public Cloud, так и облачных решений других производителей.
Идея стратегии Trust Fabric - эшелонированная защита (Defense in Depth) в условиях гибридного окружения (часть данных хранится локально, часть - в облачных системах) переходного периода. “Переходного” - потому что по мнению корпорации и аналитических агентств, сейчас именно период, когда крупнейшие мировые корпорации приобретают облачные решения под давлением экономических соображений (нет необходимости делать дополнительные капиталовложения в свой ЦОД) и более гибких решений для бизнеса (попробовали/отказались и прочее), но не отказываются полностью от локальных решений. Когда-то в будущем, возможно, им удастся полностью перейти на облачную архитектуру работы.
Cloud, Cloud & Cloud. Это слово звучит постоянно, все новые разработки в области безопасности выполняются с применением cloud-native технологий, API-first дизайна и аджайл подхода, когда релизы выходят постоянно, а развертывание, обновление и управление выполняется самим облачным провайдером (отсюда другие требования к документации, что тоже типично для аджайла). Понятно, что подобные продукты не ложатся на традиционные подходы к выпуску релизов и не смогут быть использованы онпрем, они просто не предназначены для этого. Какие-то enterprise-продукты закрываются вообще, какие-то будут жить (и даже выходить новые версии), но без существенной доработки функционала. Особняком стоят опции безопасности СУБД Oracle. Разговоров, что СУБД Oracle будет доступна только в облаке пока нет, у кого-то где-то там еще имеется голова на плечах.
Hybrid. В контексте смешанного (облачного и онпрем) окружения это слово на слуху уже много лет, но только в последний год появились осязаемые результаты разработки, которые помогут частично заменить существующие онпрем продукты для защиты онпрем данных. Пример - IDCS вместо Access Manager и/или Adaptive Access Manager. То есть Hybrid сегодня - это использование облачных продуктов (возможно, развернутых в ЦОД заказчика) для работы как с онпрем, так и с облачными данными.
Справедливой критике со стороны коммьюнити подверглись попытки позиционирования Oracle как “вендора по продуктам безопасности” (вау! мы конкурируем со Splunk и McAfee!), все современные сервисы безопасности Oracle в первую очередь заточены на работу с другими продуктами Oracle и будут иметь непосредственную ценность для заказчиков, у которых уже есть СУБД Oracle онпрем или в облаке, Oracle SaaS, Oracle PaaS, онпрем Oracle e-Business Suite и т.д.
2. Identity Cloud Service (IDCS)
IDCS сильно изменился за последний год, если еще год назад это было мало чем больше, чем SSO для облачных приложений, выполняющий SAML assertion и ведущий облачный каталог пользователей и приложений, то теперь продукт значительно сложнее, Как вы знаете, появились возможности провижионинга (управления доступом) к облачным приложениям, некоторые распространенные облачные сервисы стали поддерживаться из коробки. Были продемонстрированы несколько сценариев использования IDCS, который, как и многие другие сервисы, становится заточенным на конкретные юз-кейзы (vs “generic” подход Enterprise IAM, когда заказчику предоставляется гибкий, но сложный инструмент для самостоятельной настройки интеграции).
Итак, сценарии. Большинство из них достаточно простые, но при этом востребованы на рынке.
- Встроенная интеграция с MS Azure AD и Office 365. Пользователи создавались в Azure AD, там им назначались группы, выполнялась доверенная реконсиляция и появлялся пользователь с аналогичной группой в IDCS. И наоборот, пользователь создавался в IDCS, ему назначался доступ в приложение Office 365, назначались права доступа и лицензии от Office 365, после чего через коннектор пользователь создавался в сервисе с соответствующими правами и лицензиями.
- Встроенная интеграция с Oracle Fusion Apps. Пользователь создается в IDCS, пользователю назначается приложение Oracle FA ERP, назначаются там роли и пользователь через встроенный коннектор создается в приложении.
- Встроенная доверенная реконсиляция с Oracle FA ERP и HCM. Пользователь создается в FA ERP (или принимается на работу в HCM) и с использованием встроенного коннектора создается в IDCS.
Обратите внимание, что в отличие от Enterprise-решения Identity Governance в IDCS используется упрощенная схема, по которой коннекторы (ровно как и формы для задания атрибутов) заданы жестко. Однако, планируется вскоре создать Identity Connector Bridge, который позволит подключать существующие ICF коннекторы для поддержки режима Hybrid IDM. В этом случае IDCS сможет управлять из облака Oracle (ну или с площадки у заказчика в случае Cloud @ Customer решения) управлять доступом в онпрем системы заказчика.
Надо понимать, что облачные системы имеют как свои достоинства (очень простая для конечного пользователя), так и недостатки (слишком простая для реализации сложных бизнес процессов), и IDCS на сегодняшний момент полноценной заменой для Identity Governance станет только в простых случаях. Для сложных случаев (коих по моему опыту большинство) позиционируется IDCS + OIG, по крайней мере пока не появятся механизмы расширения платформы. Впрочем, для заказчиков, которые смогут довольствоваться ограниченным функционалом ради простоты настройки, быстрого внедрения и дешевого совокупного владения, IDCS может оказаться подходящим вариантом.
- Hybrid IDM. В традиционной схеме Enterprise IAM с наличием вебгейтов и онпрем OAM, вебгейты перенастраиваются и указывают на инстанс IDCS вместо OAM. IDCS в этом случае выступает как OpenID Connect сервер. Подробнее про настройку OIDC в документации тут - https://docs.oracle.com/en/middleware/idm/access-manager/12.2.1.3/aiaag/integrating-webgate-oidc-server.html#GUID-60FD7688-25AA-4407-99EC-755792A823FC
- Многофакторная аутентификация / Hybrid IDM. В IDCS теперь также имеется многофакторная аутентификация и адаптивный модуль для анализов рисков аутентификации, которая позволяет вычеркнуть устаревший Oracle Adaptive Access Manager из уравнения, работает в гибридном режиме. Но потребуется специальный плагин к OAM, который обещают скоро опубликовать, также поддерживается Oracle Mobile Authenticator. Подробнее в документации тут - https://docs.oracle.com/en/cloud/paas/identity-cloud/uaids/understanding-adaptive-security.html
- Замена Identity Federation на IDCS. Еще один гибридный сценарий, релиза 12с у OIF не будет. IDCS может выступать как Service Provider, так и Identity Provider. Для безопасного доступа к онпрем приложениям существует шлюз Oracle IDCS App gate.
- SSO / IDM / ролевое управление / защита API для Oracle PaaS сервисов. Как вы знаете, изначально при создании PaaS сервисов, у Oracle использовались другие механизмы управления доступом, IDCS был выпущен позднее. Сейчас идет полным ходом интеграция IDCS с PaaS сервисами, в частности, можно будет использовать пользователей и роли IDCS в Visual Builder Cloud Service (что-то типа облачного APEX), аутентификацию пользователей (включая доменную) в Database Cloud Service (DBCS), маппинг Enterprise-ролей IDCS с глобальными ролями в DBCS (появилась утилита idcs-eusm, кто работал с Enterprise User Security СУБД Oracle, тот поймет, о чем я), проброс проверки пароля на соответствие парольной политике в домен AD при логине в DBCS. Новые сценарии интеграции с Oracle CASB Cloud Service (мониторинг приложений IDCS через сервис CASB и прочее).
- Новая интеграция с SaaS. К IDCS подключены Fusion Apps / Netsuite, Eloqua, Right Now, Field Service Cloud, SRM Cloud, CPQ, Compendium. Новые интеграции на подходе. Те, кто разбирался, как работает Oracle Cloud, те понимают, что PaaS и SaaS используют разные платформы для управления доступом. Поэтому для их интеграции под управление IDCS были созданы механизмы синхронизации данных этих платформ. В результате имеем SSO между PaaS и SaaS, API вызовы с OAuth аутентификацией, унифицированное управление пользователями через IDCS и автоматизированное предоставление доступа на основе оценки атрибутов и автоматического включения в группы.
- Интеграция с Oracle IaaS. Встроенная интеграция с Oracle IaaS (Compute OCI).
- IDCS Stripes. Заказчикам хочется иметь единый облачный аккаунт в Oracle, но при этом разделять различные среды (например, продуктив, среды разработки и тестирования) с изоляцией пользователей, делегированным администрированием и всем прочим. Встречайте IDCS Stripes. Вскоре этот сервис позволит организовать разделение сред в Oracle SaaS и PaaS.
Как вы видите, была проделана глобальная работа, и планируется еще больше. Из крупного - планируется поддержка ICF коннекторов, а также простого Workflow согласования предоставления доступа. Сложные Workflow будут в отдельном сервисе - Identity Governance Cloud Service, который, как ожидается, будет анонсирован в ближайшее время. Концентрация усилий Development происходит в глубокой интеграции со своими продуктами (IaaS, SaaS, PaaS, onprem, Enterprise IAM и т.д.), что кажется логичным.
Фидбэк со стороны коммьюнити последовал следующий. Хорошо то, что продукт становится полнофункциональным, мы догоняем ранее стартовавших IDaaS вендоров, отмечено качество и количество учебных материалов, “Tutorials” (https://docs.oracle.com/en/cloud/paas/identity-cloud/tutorials.html). Из недостатков - сложное логическое разделение с Identity Governance Cloud Service (где должно выполняться Workflow согласования доступа? слишком много точек для интеграции), ну и рынок требует поддержки известных технологий (RADIUS, Kerberos и т.д.).
Продолжение следует.
Давно не было здесь обновлений, но это не значит, что ничего не происходило. Наоборот, происходило очень много, и не хватало времени для статей на EASYORAIDM. Но я постараюсь наверстать упущенное. В последнее время я часто сталкиваюсь, что люди не совсем понимают текущее предложение Oracle в области безопасности, стратегию компании. Поэтому хочу с вами поделиться некоторыми наблюдениями и мыслями по итогам внутренних семинаров, конференции в Oracle HQ и прочим. Надеюсь, это как-то разъяснит ситуацию.
Тут уместно поместить небольшой дисклэймер, что мое мнение не обязательно совпадает с мнением корпорации, что элементы программы развития продукта ориентировочные и могут быть изменены компанией без предупреждения и т.д. Тем, у кого после подобного дисклэймера еще остался интерес к тем изменениям, которые происходят с продуктовой линейкой Oracle по безопасности, добро пожаловать под кат, где я набросал небольшую статью. По понятным причинам я не выложу презентаций, а также ограничу информацию по планам выхода продуктов.
Выкладываю первую часть, посвященной общей стратегии Oracle в продуктах безопасности, а также Identity Cloud Service.
1. Стратегия по продуктам безопасности.
Подход компоновать сервисы безопасности под зонтиком Identity SOC (см. тут - https://www.easyoraidm.ru/search/label/ISOC) сменяется новым “зонтиком “ Trust Fabric. В отличие от Identity SOC под Trust Fabric попадают вообще все продукты безопасности Oracle - от опций защиты СУБД Oracle до облачных сервисов. Trust Fabric начинается с защиты данных внутри ядра СУБД (Advanced Security, Label Security, Database Vault и прочее), продолжается корпоративными продуктами по управлению и контролю доступа (Identity Governance, Access Management) и выходит дальше, к облачным сервисам защиты как сервисов самого Oracle Public Cloud, так и облачных решений других производителей.
Идея стратегии Trust Fabric - эшелонированная защита (Defense in Depth) в условиях гибридного окружения (часть данных хранится локально, часть - в облачных системах) переходного периода. “Переходного” - потому что по мнению корпорации и аналитических агентств, сейчас именно период, когда крупнейшие мировые корпорации приобретают облачные решения под давлением экономических соображений (нет необходимости делать дополнительные капиталовложения в свой ЦОД) и более гибких решений для бизнеса (попробовали/отказались и прочее), но не отказываются полностью от локальных решений. Когда-то в будущем, возможно, им удастся полностью перейти на облачную архитектуру работы.
Cloud, Cloud & Cloud. Это слово звучит постоянно, все новые разработки в области безопасности выполняются с применением cloud-native технологий, API-first дизайна и аджайл подхода, когда релизы выходят постоянно, а развертывание, обновление и управление выполняется самим облачным провайдером (отсюда другие требования к документации, что тоже типично для аджайла). Понятно, что подобные продукты не ложатся на традиционные подходы к выпуску релизов и не смогут быть использованы онпрем, они просто не предназначены для этого. Какие-то enterprise-продукты закрываются вообще, какие-то будут жить (и даже выходить новые версии), но без существенной доработки функционала. Особняком стоят опции безопасности СУБД Oracle. Разговоров, что СУБД Oracle будет доступна только в облаке пока нет, у кого-то где-то там еще имеется голова на плечах.
Hybrid. В контексте смешанного (облачного и онпрем) окружения это слово на слуху уже много лет, но только в последний год появились осязаемые результаты разработки, которые помогут частично заменить существующие онпрем продукты для защиты онпрем данных. Пример - IDCS вместо Access Manager и/или Adaptive Access Manager. То есть Hybrid сегодня - это использование облачных продуктов (возможно, развернутых в ЦОД заказчика) для работы как с онпрем, так и с облачными данными.
Справедливой критике со стороны коммьюнити подверглись попытки позиционирования Oracle как “вендора по продуктам безопасности” (вау! мы конкурируем со Splunk и McAfee!), все современные сервисы безопасности Oracle в первую очередь заточены на работу с другими продуктами Oracle и будут иметь непосредственную ценность для заказчиков, у которых уже есть СУБД Oracle онпрем или в облаке, Oracle SaaS, Oracle PaaS, онпрем Oracle e-Business Suite и т.д.
2. Identity Cloud Service (IDCS)
IDCS сильно изменился за последний год, если еще год назад это было мало чем больше, чем SSO для облачных приложений, выполняющий SAML assertion и ведущий облачный каталог пользователей и приложений, то теперь продукт значительно сложнее, Как вы знаете, появились возможности провижионинга (управления доступом) к облачным приложениям, некоторые распространенные облачные сервисы стали поддерживаться из коробки. Были продемонстрированы несколько сценариев использования IDCS, который, как и многие другие сервисы, становится заточенным на конкретные юз-кейзы (vs “generic” подход Enterprise IAM, когда заказчику предоставляется гибкий, но сложный инструмент для самостоятельной настройки интеграции).
Итак, сценарии. Большинство из них достаточно простые, но при этом востребованы на рынке.
- Встроенная интеграция с MS Azure AD и Office 365. Пользователи создавались в Azure AD, там им назначались группы, выполнялась доверенная реконсиляция и появлялся пользователь с аналогичной группой в IDCS. И наоборот, пользователь создавался в IDCS, ему назначался доступ в приложение Office 365, назначались права доступа и лицензии от Office 365, после чего через коннектор пользователь создавался в сервисе с соответствующими правами и лицензиями.
- Встроенная интеграция с Oracle Fusion Apps. Пользователь создается в IDCS, пользователю назначается приложение Oracle FA ERP, назначаются там роли и пользователь через встроенный коннектор создается в приложении.
- Встроенная доверенная реконсиляция с Oracle FA ERP и HCM. Пользователь создается в FA ERP (или принимается на работу в HCM) и с использованием встроенного коннектора создается в IDCS.
Обратите внимание, что в отличие от Enterprise-решения Identity Governance в IDCS используется упрощенная схема, по которой коннекторы (ровно как и формы для задания атрибутов) заданы жестко. Однако, планируется вскоре создать Identity Connector Bridge, который позволит подключать существующие ICF коннекторы для поддержки режима Hybrid IDM. В этом случае IDCS сможет управлять из облака Oracle (ну или с площадки у заказчика в случае Cloud @ Customer решения) управлять доступом в онпрем системы заказчика.
Надо понимать, что облачные системы имеют как свои достоинства (очень простая для конечного пользователя), так и недостатки (слишком простая для реализации сложных бизнес процессов), и IDCS на сегодняшний момент полноценной заменой для Identity Governance станет только в простых случаях. Для сложных случаев (коих по моему опыту большинство) позиционируется IDCS + OIG, по крайней мере пока не появятся механизмы расширения платформы. Впрочем, для заказчиков, которые смогут довольствоваться ограниченным функционалом ради простоты настройки, быстрого внедрения и дешевого совокупного владения, IDCS может оказаться подходящим вариантом.
- Hybrid IDM. В традиционной схеме Enterprise IAM с наличием вебгейтов и онпрем OAM, вебгейты перенастраиваются и указывают на инстанс IDCS вместо OAM. IDCS в этом случае выступает как OpenID Connect сервер. Подробнее про настройку OIDC в документации тут - https://docs.oracle.com/en/middleware/idm/access-manager/12.2.1.3/aiaag/integrating-webgate-oidc-server.html#GUID-60FD7688-25AA-4407-99EC-755792A823FC
- Многофакторная аутентификация / Hybrid IDM. В IDCS теперь также имеется многофакторная аутентификация и адаптивный модуль для анализов рисков аутентификации, которая позволяет вычеркнуть устаревший Oracle Adaptive Access Manager из уравнения, работает в гибридном режиме. Но потребуется специальный плагин к OAM, который обещают скоро опубликовать, также поддерживается Oracle Mobile Authenticator. Подробнее в документации тут - https://docs.oracle.com/en/cloud/paas/identity-cloud/uaids/understanding-adaptive-security.html
- Замена Identity Federation на IDCS. Еще один гибридный сценарий, релиза 12с у OIF не будет. IDCS может выступать как Service Provider, так и Identity Provider. Для безопасного доступа к онпрем приложениям существует шлюз Oracle IDCS App gate.
- SSO / IDM / ролевое управление / защита API для Oracle PaaS сервисов. Как вы знаете, изначально при создании PaaS сервисов, у Oracle использовались другие механизмы управления доступом, IDCS был выпущен позднее. Сейчас идет полным ходом интеграция IDCS с PaaS сервисами, в частности, можно будет использовать пользователей и роли IDCS в Visual Builder Cloud Service (что-то типа облачного APEX), аутентификацию пользователей (включая доменную) в Database Cloud Service (DBCS), маппинг Enterprise-ролей IDCS с глобальными ролями в DBCS (появилась утилита idcs-eusm, кто работал с Enterprise User Security СУБД Oracle, тот поймет, о чем я), проброс проверки пароля на соответствие парольной политике в домен AD при логине в DBCS. Новые сценарии интеграции с Oracle CASB Cloud Service (мониторинг приложений IDCS через сервис CASB и прочее).
- Новая интеграция с SaaS. К IDCS подключены Fusion Apps / Netsuite, Eloqua, Right Now, Field Service Cloud, SRM Cloud, CPQ, Compendium. Новые интеграции на подходе. Те, кто разбирался, как работает Oracle Cloud, те понимают, что PaaS и SaaS используют разные платформы для управления доступом. Поэтому для их интеграции под управление IDCS были созданы механизмы синхронизации данных этих платформ. В результате имеем SSO между PaaS и SaaS, API вызовы с OAuth аутентификацией, унифицированное управление пользователями через IDCS и автоматизированное предоставление доступа на основе оценки атрибутов и автоматического включения в группы.
- Интеграция с Oracle IaaS. Встроенная интеграция с Oracle IaaS (Compute OCI).
- IDCS Stripes. Заказчикам хочется иметь единый облачный аккаунт в Oracle, но при этом разделять различные среды (например, продуктив, среды разработки и тестирования) с изоляцией пользователей, делегированным администрированием и всем прочим. Встречайте IDCS Stripes. Вскоре этот сервис позволит организовать разделение сред в Oracle SaaS и PaaS.
Как вы видите, была проделана глобальная работа, и планируется еще больше. Из крупного - планируется поддержка ICF коннекторов, а также простого Workflow согласования предоставления доступа. Сложные Workflow будут в отдельном сервисе - Identity Governance Cloud Service, который, как ожидается, будет анонсирован в ближайшее время. Концентрация усилий Development происходит в глубокой интеграции со своими продуктами (IaaS, SaaS, PaaS, onprem, Enterprise IAM и т.д.), что кажется логичным.
Фидбэк со стороны коммьюнити последовал следующий. Хорошо то, что продукт становится полнофункциональным, мы догоняем ранее стартовавших IDaaS вендоров, отмечено качество и количество учебных материалов, “Tutorials” (https://docs.oracle.com/en/cloud/paas/identity-cloud/tutorials.html). Из недостатков - сложное логическое разделение с Identity Governance Cloud Service (где должно выполняться Workflow согласования доступа? слишком много точек для интеграции), ну и рынок требует поддержки известных технологий (RADIUS, Kerberos и т.д.).
Продолжение следует.
No comments:
Post a Comment