Безопасный доступ к Oracle E-Business Suite
Динамично развивающийся бизнес требует наращивания ресурсов, как технологических, так и человеческих, при этом ценность циркулирующей внутри компании информации постоянно повышается, а значит растут и риски несанкционированного доступа (НСД) к ней, особенно если компания развивает бизнес с помощью сети удаленных филиалов и/или мобильных рабочих мест.
Необходимость существенно снизить или даже полностью исключить упомянутые риски легла в основу совместного проекта консалтинговой группы "Борлас" и компании Aladdin - разработчика и поставщика решений по строгой аутентификации.
В 2005 году в "Борлас" былреализован внутренний проект по созданию корпоративной системы управления на базе комплекса бизнес-приложений Oracle E-Business Suite (OEBS). Обладая широким функционалом (от управления финансами и производством до отношений с поставщиками и клиентами), данная система консолидирует в среде своих бизнес-приложений обширную конфиденциальную информацию о деятельности предприятия. Обеспечение авторизованного доступа к этим данным - одно из важнейших условий корректного функционирования всей информационной системы управления.
Основные задачи проекта Aladdin и «Борлас» по обеспечению защищенного доступа к ресурсам системы заключались в следующем:
- предоставление удаленным рабочим станциям безопасного доступа к корпоративным информационным ресурсам на базе Oracle E-Business Suite;
- обеспечение как внутренних, так и удалённых пользователей возможности работы по единому защищенному протоколу;
- развертывание системы строгой двухфакторной аутентификации сотрудников в сети с использованием аппаратного ключа eToken и PIN-кода;
- построение инфраструктуры для защищенного документооборота на основе ЭЦП и корпоративного Удостоверяющего центра.
До запуска проекта задачу защиты приложений Oracle от НСД специалисты "Борлас" пробовали решить эту проблему путем разбиения ЛВС на виртуальные подсети (VLAN). Ограничение числа пользователей для каждой подсети уменьшило риски внешнего проникновения, но не снизило риски внутреннего характера, т.е. риски потери, искажения и утечки информации со стороны внутренних пользователей подсистемы и администраторов системы. В результате специалисты компании пришли к необходимости ввода авторизованного доступа пользователей к данным бизнес-приложений Oracle E-Business Suite с использованием цифровых сертификатов, защищенного SSL-протокола взаимодействия пользователя и OEBS на базе специализированных аппаратно-программных продуктов Aladdin.
Для реализации проекта была сформирована рабочая группа из специалистов и экспертов обеих компаний во главе с начальником отдела систем безопасности "Борлас" Евгением Нестеровым; менеджером проекта со стороны компании Aladdin был назначен Александр Додохов.
Стандартная система безопасности Oracle E-Business Suite базируется на четырех компонентах - аутентификации, авторизации, аудите и безопасности сети.
Аутентификация осуществляется по имени пользователя и паролю. Возможности имеющиейся специальной системы настройки политики управления паролями и их качеством персоналом упорно не используются, и все недостатки, присущие парольной аутентификации, поэтому сохраняются. Короткие и простые пароли легко подбираются; длинные и сложные тяжело запомнить, и поэтому их часто записывают, что является грубым нарущением политики безопасности; слишком редкая смена пароля пользователями тоже существенно ослабляет все усилия специалистов безопасности.
Система авторизации обеспечивает управление правами и привилегиями, назначенными определенной учетной записью, а система аудита позволяет протоколировать и обрабатывать информацию о транзакциях, выполненных от имени определенного пользователя по учетной записи. Oracle E-Business Suite (OEBS) поддерживает работу всех своих компонентов своих подсистем по протоколу HTTPS, что обеспечивает защиту каналов передачи данных по сети.
Помимо своевременных обновлений, повышения качества паролей и регулярного аудита в случае доступа к приложениям через Интернет Oracle рекомендует для защиты приложений использовать пртокол HTTPS и предоставляет для этого соответствующее документированное описание.После ряда процедур (как автоматизированных, так и выполняемых вручную) все компоненты OEBS смогут работать через защищенные каналы связи. Однако, если на WEB-сервере, обрабатывающем запросы от браузера клиента и формирующем HTML-страницы, установить обязательную проверку подлинности сертификата клиента, работа на сервере Oracle Forms, обслуживающем формы Oracle E-Business Suite и поддерживающим графический интерфейс пользователя, становится невозможной. Это происходит вследствие того, что Oracle Jinitiator (встроенный в браузер компонент), используемый на уровне клиента, не поддерживает аутентификацию клиента по SSL-протоколу, поскольку не умеет извлекать сертификат клиента из хранилища браузера. Эта проблема может быть решена заменой на клиентской рабочей станции компонента Jinitiator от Oracle на подключаемый модуль Java Plug-In от Sun. Однако это требует дополнительных настроек на стороне сервера и клиента. Еще один недостаток такого решения - наличие дополнительного хранилища сертификатов и ключей, «понятных» Java-клиенту.
Сертификаты и ключи, установленные в браузере (т.е. в локальном хранилище сертификатов Microsoft), порождают как минимум две проблемы. Во-первых, они не могут считаться в достаточной мере защищенными, поскольку эта информация доступна для записи пользователя компьютера, на котором установлен браузер, и для администратора системы, следовательно, ею могут воспользоваться несанкционированно. Во-вторых, остается проблема удаленного доступа с произвольного компьютера ,поскольку учетной записюь могут воспользоваться через Интернет с удаленного компьютера.
Вариант с хранением ключевой информации на незащищенных носителях (дискеты, flash-память и т.п.) неприемлем как с точки зрения безопасности, так и по соображениям надежности и удобства использования: удаленному пользователю, например, нужно установить ключевой контейнер с носителя на компьютер, а по завершении сеанса не забыть его удалить. Разумным выходом является хранение ключей и сертификатов на отчуждаемом защищенном носителе – USB-ключе или смарт-карте eToken. именно eToken стал одним из главных элементов проекта Aladdin - "Борлас".
eToken – это программно-аппаратный продукт компании Aladdin, предназначенный для строгой двухфакторной аутентификации пользователей при их подключении к защищенным информационным ресурсам, безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, а также для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509.
Широкие возможности электронного ключа eToken PRO позволяют использовать его в системах, построенных на базе PKI (Entrust, Microsoft CA, RSA Keon, Удостоверяющих Центров и др.), в качестве носителя ключевой информации в системах с юридически значимым документооборотом , для защиты электронной почты, защиты Web-серверов и приложений электронной коммерции, для организации защищённых каналов передачи данных с использованием Интернет (VPN, протоколы IPSec и SSL). Благодаря цифровому сертификату X 509, хранящемуся в защищенной памяти eToken, реализуется авторизованный и контролируемый доступ к базе данных. Во-первых, пользователь просто не может получить доступ к данным, не обладая соответствующим сертификатом, записанным в защищенную память eToken. Во-вторых, все действия пользователя фиксируются, что позволяет не только находить виновного в случае инцидента, но и осуществлять профилактику нарушений: пользователь, неоднократно пытавшийся получить доступ к данным, на который у него нет прав, попадает в категорию "нелояльных" пользователей, и на него могут быть наложены административные санкции.
Вариант перехода на аутентификацию по цифровым сертификатам предполагает использование клонированных служб уровня приложений, работающих с той же базой данных, что и исходные службы, - Web- и forms-серверами и др. Но в отличие от исходных служб клонированные изначально настроены на использование HTTPS-протокола и обязательную двустороннюю аутентификацию с клиентом. Клон уровня приложений располагается в защищенном сегменте сети и доступен как для пользователей глобальной сети (например, через прокси-сервер), так и для пользователей локальной сети. Такая схема имеет следующие преимущества:
- возможность постепенного перевода пользователей с прежней системы аутентификации на новую;
- безопасное хранение ключевой информации;
- возможность безопасной работы в глобальной сети;
- возможность проверки подлинности клиентов, снижение рисков атак, например, путем подбора пароля.
На начальной стадии выполнения проекта в компании "Борлас" были развернуты OID - Oracle Internet Directory, представляющие собой LDAP хранилище Oracle, и корпоративный удостоверяющий центр (УЦ) на базе Microsoft CA, который, помимо, например, генерации цифровых сертификатов обеспечивает организацию юридически значимого документооборота с применением ЭЦП в качестве аналога собственноручной подписи.
Компания Aladdin, используя встроенные в СУБД Oracle средства защиты информации, на базе eToken разработала ПО для клиентских станций "Защищённый клиент для Oracle".
Механизм двухфакторной аутентификации при доступе к СУБД позволяет на порядок повысить уровень информационной безопасности, проводить постоянный аудит всех действий в системе, а также полностью исключить перехват идентификационной информации пользователя потенциальным злоумышленником. Защита данных на рабочих станциях пользователей реализована с использованием продукта Secret Disk NG компании Aladdin. Он обеспечивает защиту конфиденциальной информации, хранящейся и обрабатываемой на персональных компьютерах под управлением ОС Microsoft Windows 2000 Professional или Windows XP.
Одно из достижений совместного проекта специалисты "Борлас" и Aladdin заключается в организации удаленного доступа к бизнес-приложениям Oracle E-Business Suite с помощью защищенного SSL-протокола, обеспечивающего надёжную защиту передаваемой информации. Соединение осуществляется в два этапа. Сначала в ходе двусторонней аутентификации сервера и пользователя, происходит установление SSL-сессии, в результате которой подтверждается подлинность обеих сторон. На втором этапе обеспечивается защита обмена данными посредством шифрования канала, в результате чего передаваемая информация в соответсвии с российским законодательством приобретает такие свойства, как конфиденциальность и целостность.
Таблица. Угрозы и реализованные в ходе проекта методы противодействия им
|
| |||||
| Угроза | Метод противодействия | Описание | |||
|
| |||||
| Кража или использование чужой учетной записи (из-за отсутствия защиты учетной записи) | Аутентификация по цифровому сертификату | Использование механизма SSL аутентификации | |||
|
| |||||
| Применение паролей, установленных по умолчанию (если они не были переустановлены пользователем) | Аутентификация по цифровому сертификату | Отказ от паролей, переход на SSL аутентификацию с использованием сертификатов | |||
|
|
| ||||
| Кража или перехват пароля | |||||
|
|
| ||||
| Подбор пароля | |||||
|
| |||||
| Взлом пароля ключевого контейнера Кража или копирование ключевого контейнера или его резервной копии | Закрытый ключ хранится как не экспортируемый в защищенной памяти смарт-карты или USB-ключа eToken | Внедрение смарт-карт технологий для безопасного хранения закрытых ключей | |||
|
| |||||
| Перехват закрытого ключа | Аппаратная реализация криптографических операций в смарт-карте или USB-ключе eToken PRO | Использование смарт-карт технологий для аппаратного выполнения криптографических операций (SSL) в процессоре карты без "выхода" закрытых ключей наружу | |||
|
| |||||
| Кража eToken | Доступ к защищенной памяти eToken, в которой хранятся закрытые ключи, защищен PIN-кодом | В eToken реализован контроль длины и качества задаваемого пользователем PIN-кода и запрет использования "слабых" комбинаций? который может задаваться в групповых политиках. При форматировании eToken PRO имеется возможность задания количества неправильно введенных подряд PIN-кодов пользователя и/или администратора, после чего eToken блокируется | |||
|
| |||||
| Подбор PIN-кода eToken | Задание уровня сложности вводимых пользователями PIN-кодов и блокирование eToken после n подряд введенных неправильных значений | ||||
|
| |||||
| Дублирование eToken | Доступ к защищенной памяти eToken, в которой хранятся закрытые ключи, защищен PIN-кодом. Закрытые ключи не могут быть экспортированы из eToken PRO | Закрытые ключи, сгенерированные eToken или импортированные в него, хранятся в закрытой памяти смарт-карты и не могут быть из нее извлечены (это подтверждается международными сертификатами безопасности ITSEC Level E4, FIPS 140-1 – Level 2, 3 | |||
|
| |||||
| Перехват трафика между ключом eToken и компьютером | Защищенный обмен данными | Предусмотрена возможность шифрования трафика с использованием Secure Messaging по алгоритму 3DES (CBC) | |||
|
| |||||
| Перехват передаваемых по сети данных | Шифрование сетевого трафика | Использование SSL протокола для шифрования передаваемых по сети данных с помощью встроенных в Oracle алгоритмов симметричного шифрования | |||
|
| |||||
В заключение отметим, что в результате внедрения данного проекта консалтинговая группа "Борлас" с помощью своего партнера, компани Aladdin, не только снизила или даже вовсе исключила риск целого ряда угроз своей информационной безопасности, но и фактически разработала и опробовала на себе решение, которое в дальнейшем может предлагать своим клиентам, внедряющим Oracle E-Business Suite.