Oracle IDM 솔루션을통한보안강화 김진미기술컨설팅본부, 한국오라클 Page 1
목 차 Security & Identity Management Oracle Identity Management Solution Oracle Identity Manager - 기능및아키텍쳐 -Use Case Page 2 Page 2
보안의변화 1996 2006 Amateur hackers Web site defacement Viruses Infrequent attacks Organized crime IP theft Identity theft Constant threat Page 3 Page 3
보안의신조 외부인보다내부인에대한통제시급 Page 4 Page 4
산업기밀유출현황 산업기밀유출의 90% 가내부자소행 2003 년 ~ 2006 년 6 월까지적발된산업기밀유출사건총 72 건중 65 건이전 / 현직직원소행 * 국정원산업기밀보호센터 2003 년 ~ 2006 년 6 월 유출자유출유형유출동기 전직직원 38 매수 60 금전유혹 27 현직직원 27 공동연구 4 개인영리 22 용역 / 협력업체 외국인유치과학자 3 4 불법수출해킹위장합작 3 2 1 처우 / 인사불만비리연루신분불안 2 4 17 무단보관 1 출처 : 서울경제신문 8 월 2 일자 [ 창간특별기획 / 첨단기술을지켜라 ] Page 5 Page 5
어디에비용이많이소요되는가? 외부의공격으로인한손실은평균 $57,000 정도인데비해, 내부자에의한평균손실은약 $2.7 million 이었다. - Computer Security Institute 사용자한명당패스워드관리비용으로연간약 $200 에서 $300 정도가소요된다. - Gartner Page 6 Page 6
규제준수 Organizations today face a growing number of regulations that mandate the accuracy, protection and reliability of information Page 7 Page 7
전형적인 Identity 관리 Business Domain IT Domain Mainframe Employees Policy / Role Business Identity Portal Directories Policy / Role Customers Business Roles Core Apps Databases User Collaboration Policy / Role Policy / Role Operating Systems Suppliers / Partners File and Print Page 8 Page 8
비즈니스기반의 Identity 관리 Security is a byproduct of a business need Employees Mainframe Identity Hub LDAP Directory Access Mgmt Portal Customers DataHub Business Roles Enterprise Directory LDAP Directory Core Apps Desktop / Network File and Print Portal & SSO Suppliers / Partners Collaboration Page 9 Page 9
Identity Management 란? 어플리케이션과정보의액세스를보호하는것 - 인증 (Authentication): 당신은누구인가? ( 사용자 ID와패스워드 ) - 권한 (Authorization): 당신은어디에접근할수있는가? 전체라이프사이클을통하여디지털사용자관리를인식 (Identify) 하는것 - 직원채용 ( 계정생성 ) -> 진급 / 부서이동 ( 권한변경 ) -> 퇴사 ( 계정삭제 ) - 계정생성에서계정삭제에이르기까지전체라이프사이클과관련한계정관리 확장성있고가용한계정정보저장소 - 프로파일 (Roles & attributes) 을안정적이고가용성있게관리 Page 10 Page 10
Enterprise Identity Management External Internal SOA Applications Delegated Admin Identity Management Service Customers Access Management Authentication & SSO Authorization & RBAC Identity Federation Partners IT Staff Employees Identity Administration Delegated Administration Self-Registration & Self-Service User & Group Management SOA Applications Auditing and Reporting Policy and Workflow Monitoring and Management Directory Services LDAP Directory Meta-Directory Virtual Directory Identity Provisioning Agent-based Agentless Password Synchronization Applications Systems & Repositories ERP CRM OS (Unix) HR Mainframe NOS/Directories Page 11 Page 11
Identity Management 기대효과 저렴한관리비용 SSO, 패스워드변경, 관리권한이양, user self service, 자동화된 provisioning Help 데스크콜감소로연간인당 $420 비용절감 Provisioning* 을통한연간직원당 $1250 ROI 개선된보안 Access control, user provisioning 강화된규정준수및프라이버시 SoX, 개인정보보호강화, 통합감사 * - Burton Group Report August 2004 Page 12 Page 12
목 차 Security & Identity Management Oracle Identity Management Solution Oracle Identity Manager - 기능및아키텍쳐 -Use Case Page 13 Page 13
Oracle Identity Management Leading Portals & Applications Oracle Access Manager Oracle Enterprise Single Sign-On Oracle Identity Federation Oracle Identity Manager Oracle Web Services Manager Oracle Virtual Directory Oracle Internet Directory Leading Directories, OS, DBs, J2EE Page 14 Page 14
Oracle Access Manager 기능 정책관리 멀티 - 레벨, 멀티 - 팩터인증관리 셀프서비스패스워드관리 위임관리 워크플로우엔진 웹서비스인터페이스 장점 이종환경간의중앙집중화되고일관성있는보안성 관리비용절감 개선된사용자편의성 규정준수 Authentication Authorization Identity Admin Page 15 Page 15
Oracle Enterprise Single Sign-On 기능 - 네트워크및시스템에접근시에사용자인증 - 각각의어플리케이션에대한접근시인증을별도로수행 - 사용자가접근하고자하는모든것에대한인증담당 Oracle esso 장점 - Windows 데스크톱및모든어플리케이션에대한패스워드를관리 - 사용자편의성을증대하며보안강화 - 규정준수 - 모든어플리케이션에대한인증강화 Page 16 Page 16
Oracle Identity Federation 기능 SSO 와연계하여비즈니스파트너간의계정공유 멀티프로토콜게이트웨이 SAML, Liberty, WS-Federation 서비스제공자 (Hub) / 계정제공자패키지 (Spoke) 로이용 유연한배치구성기능제공 Standalone 웹접근관리솔루션으로도제공가능 커스텀애플리케이션을위한 Protocol SDK 제공 장점 비즈니스파트너와의안전한통합보장 관리비용절감 개선된사용자편의성 Page 17 Page 17
Oracle Virtual Directory 기능 가상화, 프록시, 조인, 라우팅기능 최신자바와웹서비스기술수용 강력한확장성 대규모멀티사이트관리 직접적인데이터의접근 Local Store LDAP WEB SERVICES WEB GATEWAY VDE DIRECTORY ENGINE JOIN VIEW Custom LDAP DB NT Virtual Directory Product Architecture 장점 실시간디렉토리통합 애플리케이션배치의가속화 개발공수의절감 Page 18 Page 18
Oracle Internet Directory 기능 Oracle 데이터베이스를저장소로가지면서 LDAP 서버의모든기능을수용 확장성및 HA 기능 오라클플랫폼들과의강한통합성 VSLDAP 인증및 EAL4 호환 장점 Oracle 그리드컴퓨팅의지원으로운영비용절감 오라클제품들과의매끄러운통합 Page 19 Page 19
목 차 Security & Identity Management Oracle Identity Management Solution Oracle Identity Manager - 기능및아키텍쳐 -Use Case Page 20 Page 20
기능및아키텍쳐 Page 21 Page 21
Oracle Identity Manager 이란? Oracle Identity Manager 의역할? 계정관리자동화 사용자계정및권한 lifecycle 관리 보안강화 사용자 사용자 Profile 리소스 Oracle Identity Manager 는계정과권한관리에최적화된 provisioning solution 이다. Page 22 Page 22
Oracle Identity Manager 기능모델 Page 23 Page 23
주요특징 : Policies / RBAC 사용자의리소스접근에대한정책관리 롤 / 속성기반의정책엔진 각리소스에대한세밀한권한제어 자동화된계정provision/de-provision정책 Access Policy configuration Roles and Rules configuration Page 24 Page 24
주요특징 : Workflow 승인과공급 workflow 지원. 고도의확장성과유연성을갖춘아키텍쳐 - multiple workflows를통한 reusable Global task library지원 - customization과자동화를위한 Adapter framework 지원 - 수동과자동공급태스크혼합지원. 태스크의상태, 데이터의가용성정보제공 Page 25 Page 25
주요특징 : 구축툴 Deployment Manager - 개발, 스테이징, 운영환경이관지원 - 개발작업통합및분산지원 - 전체또는부분임포트 / 익스포트 XML package 사용 -versioning 과 archiving 지원 - 그래픽위져드제공 Diagnostic Dashboard - 설치전후환경에대한테스트. 연결, 네트웍, 환경설정 GUI installer (InstallShield) Page 26 Page 26
주요특징 : 통합기술 Agent-less architecture 표준기반의 connectors - 다양한 OOTB(out of the box) connectors - 표준기술기반의 connectors (e.g. flat file, LDAP, JDBC, Web Services) Adapter Factory - 컨넥터유지및개발 GUI 툴 - 코드자동생성 Business application connectors -SAP - Oracle ebusiness - PeopleSoft -Siebel Page 27 Page 27
주요특징 : 지원 Connectors Database Servers Directory Servers Enterprise Applications * Enterprise Messaging * Operating Systems Security Management * RACF * ACF2 TopSecret Help Desk * Web Access Control Page 28 * Available in Connector Pack 9.0 (late-april release) Page 28
주요특징 : 사용이용이한 UI 구성작업을위한디자인콘솔제공 End-User를위한커스터마이즈가능한웹 UI 제공 Page 29 Page 29
주요특징 : 리포팅및감사 기존상용리포팅도구와연계가능 (Ex. Crystal Report등 ) 운영상황과이력에대한리포팅기능제공 Report 이름 설명 Operational Who Has What (Users' Entitlements) Resource Access List 사용자에대한현재의리소스할당상태 리소스에권한을가지고있는사용자리스트 Historical User Access History(Who Had What) Resource Access List History User Profile History 사용자가 lifecycle 동안에가진리소스에대한권한 관리되는리소스에권한을가졌던사용자리스트 사용자가 lifecycle 동안의프로파일의변경내역 Page 30 Page 30
Oracle Identity Manager 아키텍처 기능컴포넌트위주의아키텍처 Page 31 Page 31
Oracle Identity Manager 아키텍처 J2EE 표준기반 / 확장성있는 3-tier 아키텍처 Page 32 Page 32
Oracle Identity Manager 아키텍처 고가용성아키텍처 Page 33 Page 33
To-Be 이미지 EAM 과연계되는통합계정관리 Page 34 Page 34
Use Case Page 35 Page 35
계정의생성및등록 ( 입사 ) Oracle Identity Manager 정규직 인사시스템 (HR DB) HR DB 커넥터 중재 (Reconciliation) 엔진 Unix/Linux Server Identity 저장소 사용자그룹 Access Policy 워크플로우 계약직 관리자에의한등록 요청엔진 승인 Windows Server Page 36 Page 36
계정의삭제 ( 퇴사및발령 ) Oracle Identity Manager 퇴사 인사시스템 (HR DB) 커넥터 중재 (Reconciliation) Engine Identity 저장소 Access Policy 프로비저닝워크플로우 Revoked Applications Page 37 Page 37
자가계정신청 Oracle Identity Manager 정규직 승인 자가요청 요청엔진 승인워크플로우 프로비저닝워크플로우 어플리케이션프로비저닝 계약직 Page 38 Page 38
패스워드초기화 장규직 Oracle Identity Manager 자가요청 요청엔진 프로비저닝워크플로우 패스워드초기화 계약직 Page 39 Page 39
임의계정생성시처리 계정추가 Unix 커넥터 중재 (Reconciliation) 엔진 Oracle Identity Manager Reject: Unix 에서계정삭제 관리자공지 Accept / Reject 워크플로우 Accept: Identify 저장소정보변경 Page 40 Page 40
감사절차 태스크주기정의 - 예 ) 주단위 정해진시간에데이터스냅샷생성 감사관에게감사요청공지 위임감사관에게공지 감사관은데이터확인, 조치수행 각데이터에대해세밀한조치수행 Delegate Reject Certify Decline 프로세스소유자에게감사거부공지 감사관의조치에따른워크플로우 예외처리워크플로우 Page 41 Page 41
요약 Security & Identity Management Oracle Identity Management Solution Oracle Identity Manager - 기능및아키텍쳐 -Use Case Oracle Identity Management 는계정에대한통합관리를통해내부보안강화, 규제준수, 관리비용절감을가능하게하는솔루션입니다. Page 42 Page 42