Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
<Insert Picture Here>
대학을위한계정관리측면에서의보안
김진미Sales Consultant, Oracle Korea
목 차
•보안시장의흐름
•대학사례및통합계정관리 Use Case
• Oracle Identity Manager 기능및아키텍쳐
전산/보안담당자께드리는질문몇가지
1. 각각의시스템에졸업생혹은퇴직직원의계정이남아있는것이얼마나되는지알고계십니까?
2. 각각의시스템에학생/교직원들을위한새로운계정을만들기위해어떤작업을수행하십니까? 소요시간은?
3. 누가언제어떤시스템에어떤권한을가지고있었는지금방확인할수있습니까?
4. 각시스템에대한패스워드초기화요청을처리하기위한작업에드는비용/시간은?
Security Critical To Business Continuity
1996
• Amateur hackers
• Web site defacement
• Viruses
• Infrequent attacks
2006
• Organized crime
• IP theft
• Identity theft
• Constant threat
보안의신조: Protection From Inside
Roles & PrivilegesRoles & Privileges
Controlled AccessControlled Access 외부인외부인보다보다내부인에내부인에대한대한통제통제시급시급
어디에비용이많이소요되는가?The Hidden Costs of Security & Identity
- Computer Security Institute
“외부의공격으로인한손실은평균 $57,000 정도인데비해, 내부자에의한평균손실은
약 $2.7 million 이었다.”
사용자한명당패스워드관리비용으로연간약 $200 에서 $300 정도가소요된다.
- Gartner
통합계정관리Use Case
계정관리현황및문제점
현 황현 황
• 계정/권한 관리 비용 반복 발생
- 신규 시스템 개발 시
- 시스템 운영 시
• 계정/권한 관리 비용 반복 발생
- 신규 시스템 개발 시
- 시스템 운영 시
• 실제 사용하지 않는 계정 비용 발생• 실제 사용하지 않는 계정 비용 발생
• 사용자가 소유한 권한 확인 및 신규
권한 신청의 어려움
• 사용자가 소유한 권한 확인 및 신규
권한 신청의 어려움
• 접근 권한에 대한 모니터링/
리포팅 어려움
• 접근 권한에 대한 모니터링/
리포팅 어려움
문제점 분석문제점 분석
• 계정/권한 관리의 표준화 부재
•접근 권한 신청/승인/처리
프로세스의 자동화 부재
• 계정/권한 관리의 표준화 부재
•접근 권한 신청/승인/처리
프로세스의 자동화 부재
• 계정 발급 기준 및 관리 부재• 계정 발급 기준 및 관리 부재
•계정/권한관리를위한단일접점부재
•계정/권한관리를위한단일접점부재
• 접근 관리에 대한 Audit/Reporting
기능 부재
• 접근 관리에 대한 Audit/Reporting
기능 부재
개선 과제개선 과제
• 사용자 정보 Flow 통합• 사용자 정보 Flow 통합
• 권한부여 자동화/표준화• 권한부여 자동화/표준화
• Self Service 제공• Self Service 제공
• 사용자 정보 자동 분배• 사용자 정보 자동 분배
• 승인 체계 및 절차 표준화• 승인 체계 및 절차 표준화
• 계정/권한 관리 감사/보고• 계정/권한 관리 감사/보고
계정관리구축을통한기대효과
리스크
감소
규정준수
운영
비용
절감
보안성
향상
학교정책및규정준수
학교자원접근에대한통제기능향상
가시성증대와자동화로
관리비용절감
자동화된리소스제공중앙권한제어
대학사례 –계정데이터의통합및동기화
인적 Master DB
그룹웨어DB
통합행정DB 웹메일
Account 관리(관리자)
도서관DB
통합 행정 관리(관리자)
My 페이지(사용자)
동기화 API (Trigger + Stored Procedure)
사용자 정보 사용자 정보 + ID/PW ID/PW
사용자
정보
인적 정보 + ID/PW
AP
P
인적마스터D
B기간시스템
LDAP
계정파일
시스템
기대 효과• 수작업으로 처리됐던 데이터의
동기화를 자동화
• 동기화 주기를 최소화
• LDAP에 구축된 데이타는
전교적인 디렉토리 서비스를
위한 기초 정보로 활용
문제점• DB 트리거 및 PL/SQL로 구현된
로직
• 정책 변경 시 적용이 어려움
• 계정의 시스템의 사용현황 파악
어려움
•인적및인증데이터통합
To-Be 이미지
““학내학내비즈니스비즈니스및및정책정책반영된반영된IT IT 환경의환경의구축구축 ““
Oracle, SAPCore Apps
Portal
CustomApps
Groupware
O/S
Access Mgmt
Sun LDAP
Oracle LDAP
Desktop / Network Portal& EAM
Identity Hub
비즈니스롤
직원
교수
학생
학사/행정시스템
워크플로우
접근정책
학사/행정시스템
(HR DB)
학생교직원
관리자에의한등록
중재(Reconciliation)엔진
AccessPolicy
Unix/LinuxServer
승인
워크플로우사용자그룹
계약직
Identity저장소
요청엔진 WindowsServer
HR DB커넥터
계정의생성
Oracle Identity Manager
졸업퇴직
프로비저닝워크플로우
학사/행정 중재(Reconciliation)Engine
커넥터 Identity저장소
RevokedApplications
Oracle Identity Manager
졸업/퇴직시의계정의삭제
AccessPolicy
학생
자가요청
교직원
요청엔진
승인워크플로우
승인
프로비저닝워크플로우
어플리케이션프로비저닝
OracleIdentity Manager
계정생성신청및승인
학생
자가요청
교직원
요청엔진
프로비저닝워크플로우
패스워드초기화
OracleIdentity Manager
패스워드초기화
Unix계정추가
중재(Reconciliation)엔진
Accept /Reject
Reject:Unix에서계정삭제
워크플로우
Accept: Identify저장소정보변경
OracleIdentity Manager
커넥터
임의계정생성발견및처리
관리자공지
OracleIdentity Manager
Oracle Fusion Security
Access ManagementSingle Sign On eSSO Federation
Identity Administration & Provisioning
Directory ServicesLDAP Virtual Directory Meta Directory
EncryptionAt Rest In Motion Backup
DataClassification
RestrictedAccess
ApplicationsE-Business Suite, PeopleSoft, Siebel,
SAP, Custom, Legacy
Com
pliance Managem
ent
AccessControl
DataPrivacy
Oracle Identity Manager의역할?
• 계정관리자동화
• 사용자계정및권한 lifecycle 관리
• 보안강화
Oracle Identity Manager는계정과권한관리에최적화된 provisioning solution이다.
Oracle Identity Manager 이란?
학내리소스
사용자
Profile사용자
Oracle Identity Manager 기능모델
• 사용자의리소스접근에대한정책관리
• 롤/ 속성기반의정책엔진
• 각리소스에대한세밀한권한제어
• 자동화된계정 provision/de-provision정책
주요특징 : Policies / RBAC
Roles and Rules configuration
Access Policy configuration
• 승인과공급 workflow지원.
• 비즈니스기반승인 workflow• Example: business approval, license verification
• IT 기반의공급 workflow• Example: resource selection, manual tasks, sequential
account provisioning
• 고도의확장성과유연성을갖춘아키텍쳐• Global task library지원• Adapter framework 지원• 수동과자동공급태스크혼합지원.
• 태스크의상태, 데이터의가용성정보제공
주요특징: Workflow
• Deployment Manager• 개발, 스테이징, 운영환경이관지원• 개발작업통합및분산지원
• 전체또는부분임포트/익스포트-XML package사용
• versioning 과 archiving지원• 그래픽위져드제공
• Diagnostic Dashboard• 설치전후환경에대한테스트.
-연결, 네트웍, 환경설정
• GUI installer (InstallShield)
주요특징: 구축툴
• Agent-less architecture• 표준기반의 connectors
• 다양한 OOTB(out of the box) connectors• 표준기술기반의 connectors (e.g. flat file, LDAP, JDBC,
Web Services…)
• Adapter Factory™• 컨넥터유지및개발 GUI 툴• 코드자동생성
• Business application connectors• SAP• Oracle eBusiness• PeopleSoft• Siebel
주요특징: 통합기술
Web Access Control
Security ManagementOperating Systems
Help Desk
Enterprise MessagingEnterprise Applications
Directory ServersDatabase Servers
*
* Available in Connector Pack 9.0 (late-April release)
*
*
RACF*ACF2
TopSecret
*
주요특징: 지원 Connectors
주요특징: 사용이용이한 UI
• 구성작업을위한디자인콘솔제공• End-User를위한커스터마이즈가능한웹 UI 제공
주요특징:리포팅및감사• 리포팅및감사기능을통해규정준수를저렴한비용으로가능하게함
-기존상용리포팅도구와연계가능 (Ex. Crystal Report등)-현재운영상황리포팅및이력리포팅의분리가능-규정준수를위한리포트로입증됨
사용자라 lifecycle동안의 프로파일의 변경내역User Profile History
관리되는 리소스에 권한을 가졌던 사용자 리스트Resource Access List History
사용자가 lifecycle동안에 가진 리소스에 대한 권한User Access History (Who Had What)
Historical
리소스에 권한을 가지고 있는 사용자 리스트Resource Access List
사용자에 대한 현재의 리소스 할당 상태Who Has What (Users' Entitlements)
Operational
설명Report 이름
Oracle Identity Manager 아키텍처• J2EE 표준기반 / 확장성있는 3-tier 아키텍처
Oracle Identity Manager 아키텍처• 기능컴포넌트위주의아키텍처
Oracle Identity Manager 아키텍처• 고가용성아키텍처
To-Be 이미지• EAM과연계되는통합계정관리
요약
•보안시장의흐름
•통합계정관리 Use Case
• Oracle Identity Manager 기능및아키텍쳐