1. Progetta una soluzione di identity governance sfruttando gli insight sulle identità
  2. Progetta una soluzione di identity governance sfruttando gli insight sulle identità

Progetta una soluzione di identity governance sfruttando gli insight sulle identità

IAM (Identity Access Management) non è solo hype, né è un fenomeno nuovo. Le applicazioni di controllo degli accessi sono in uso da diversi decenni e sono integrate nell'infrastruttura di molte organizzazioni, ma stanno diventando sempre più difficili da gestire.

I clienti a volte gestiscono centinaia di migliaia di utenti, che possono avere accesso a più applicazioni, il che significa che ci sono potenzialmente centinaia di migliaia di possibili autorizzazioni. Autorizzazioni quali i diritti di accesso e le autorizzazioni all'interno di un'applicazione, tutte da gestire. Ciò porta a interrogarsi su chi ha accesso a quali informazioni in quale contesto/condizioni e come.

Architettura

Questa architettura di riferimento si basa sui seguenti servizi.

  • Oracle Identity Governance (OIG)
  • Oracle Identity Role Intelligence (OIRI)
  • Oracle Access Governance (AG)
  • Oracle Access Management (OAM)
  • Oracle Cloud Infrastructure Identity and Access Management (IAM OCI)

Questa architettura può essere implementata in Oracle Cloud Infrastructure (OCI), data center dei clienti o cloud di terze parti. Alcuni dei vantaggi di sfruttare questa architettura includono:

  • Riduce i costi operativi per il provisioning dell'accesso utente eliminando i processi manuali ridondanti e dispendiosi in termini di tempo.
  • Ottieni un ragionevole ritorno sugli investimenti investendo in nuove tecnologie come container e microservizi
  • Riduce al minimo i rischi per la sicurezza implementando controlli efficaci ed eliminando l'errore umano
  • Consolida i dati di accesso in un'unica vista per fornire informazioni dettagliate su chi ha accesso a quali aree e su quanto sia rischioso l'accesso all'organizzazione. Questa vista fornisce ai proprietari e ai manager della sicurezza la visibilità totale sui pattern di accesso utente.
  • Aumenta la produttività e la soddisfazione degli utenti finali sfruttando un dashboard intuitivo pronto all'uso.
  • Automatizza il reporting sulla conformità regolamentato.

Architettura logica

Il diagramma riportato di seguito illustra l'architettura di riferimento IAM di destinazione.


Descrizione di identity-governance-logical-architecture.png
Descrizione dell'immagine identity-governance-logical-architecture.png

governance-identità-logica-architecture.zip

Di seguito sono riportate le funzionalità di ciascun componente implementato dalla piattaforma Oracle.

Oracle Identity Governance (OIG), Oracle Identity Role Intelligence (OIRI) e connettori OIG forniscono quanto segue.

  • Amministrazione

    Funzioni self-service e delega di funzioni amministrative per la gestione dell'identità dell'utente, inclusi gli account utente e con privilegi.

  • Provisioning

    Flusso verso l'esterno di informazioni utente da un punto di amministrazione centrale a un sistema di destinazione. Monitora tutte le azioni (come la creazione, gli aggiornamenti e l'eliminazione) di account, ruoli e abilitazioni in tutte le risorse gestite.

  • Riconciliazione

    Il flusso verso l'interno di informazioni utente da un sistema affidabile o di destinazione. Le informazioni utente in genere includono tutte le azioni (come la creazione, gli aggiornamenti e l'eliminazione) di account, ruoli e abilitazioni alla piattaforma di amministrazione centrale.

  • Gestione flusso di lavoro

    La possibilità di automatizzare i processi aziendali e IT per consentire il provisioning e la modellazione automatizzati basati su criteri dei processi di approvazione per la gestione delle richieste di accesso alle risorse.

  • Gestione password

    Supporto dei criteri delle password e amministrazione self-service per le reimpostazioni delle password e le modifiche delle password.

  • Notifiche

    Instradamento delle informazioni relative a tutti i tipi di eventi gestiti dalla piattaforma verso l'utente finale e alla gestione delle unità pertinenti, nonché agli amministratori di sistema, di sicurezza e delegati.

  • Connettori

    Funzionalità di integrazione a tre livelli per vari sistemi IT eterogenei basati sull'identità. Questa funzionalità a tre livelli riflette l'obiettivo di ridurre al minimo lo sviluppo personalizzato, massimizzare il riutilizzo del codice e ridurre i tempi di implementazione.

  • Rules Engine

    Definisce i criteri di valutazione per l'esecuzione di processi relativi a utenti, ruoli, abilitazioni, account e gestione dell'organizzazione.

  • Segregazione dei compiti

    Uso dell'audit delle identità (IDA esistente) per definire e rilevare le violazioni. Il meccanismo di rilevamento di IDA controlla l'accesso effettivo degli utenti alle risorse e acquisisce qualsiasi violazione su base continua. IDA ha due modalità: detective e preventive.

  • Ruolo delegato e gestione dell'accesso

    Raggruppamento logico di utenti ai quali è possibile assegnare diritti di accesso, eseguire il provisioning automatico delle risorse o utilizzarle in task comuni quali l'approvazione e la certificazione dell'accesso.

  • Analisi rischi

    Funzionalità complete di gestione del rischio per tutte le funzionalità critiche che possono assegnare direttamente livelli ad alto, medio e basso rischio a ruoli, account e spettanze.

  • Role Intelligence and Mining (OIRI)

    Individuazione dei pattern di abilitazione tra gruppi peer, con supporto per un approccio top-down per il mining dei ruoli in base agli attributi utente. Un approccio bottom-up che filtra i dati in base ad applicazioni e autorizzazioni o un approccio ibrido top-down bottom-up.

    Confronto dei ruoli dei candidati con un ruolo esistente per evitare l'esplosione dei ruoli. Possibilità di ottimizzare i ruoli dei candidati in base all'affinità degli utenti e all'affinità dei ruoli. Pubblicazione automatica dei ruoli in OIG per attivare un flusso di lavoro per l'adozione dei ruoli. Possibilità di unire i dati da origini diverse, ad esempio database OIG e file sequenziali, e fornire analisi What-If prima di spostare i ruoli dei candidati in produzione.

Access Governance (AG) e agente AG forniscono quanto segue.

  • Esecuzione di campagne di certificazione con un'esperienza utente intuitiva, per garantire revisioni degli accessi appropriate e tempestive. Il flusso di lavoro intelligente guida gli utenti e fornisce suggerimenti semplici per raggiungere più rapidamente gli obiettivi di conformità e normativi.
  • Punteggio dei rischi degli insight basati sul Machine Learning e analytics avanzati con consigli prescrittivi per migliorare la consapevolezza dei rischi, ridurre gli sforzi manuali di certificazione e automatizzare il controllo/il provisioning degli accessi.
  • Consolidamento dei dati di accesso ai gruppi in un'unica vista che descrive in dettaglio chi ha accesso a cosa e quanto è rischioso l'accesso all'organizzazione.
  • Orchestrazione dei dati di identità per estrarre i dati di abilitazione direttamente da Oracle Identity Governance e attivare la risoluzione.

Oracle Access Manager (di cui OAM) e OAM WebGate forniscono quanto segue.

  • Autorizzazione che coinvolge decisioni e applicazione dei criteri di accesso in tempo reale (in base a identità, attributi, ruoli, regole e abilitazioni per le interfacce della soluzione).
  • Autenticazione mediante verifica in tempo reale sui repository utente di Active Directory/Azure Active Directory delle identità dichiarate per le interfacce della soluzione.
  • Single Sign-On federato, nel ruolo di provider di identità con IAM OCI nel ruolo di provider di servizi per le interfacce della soluzione.
IAM OCI fornisce quanto segue.
  • SSO federato con OAM, come provider di servizi con OAM che funge da provider di identità.

Applicazioni di destinazione

Le applicazioni target di integrazione da implementare includono alcune delle seguenti.

  • Identity Reconciliation: Peoplesoft, HRMS di SAP, HRMS di Oracle e-Business Suite
  • Provisioning e riconciliazione target: SAP, Siebel, Salesforce, ServiceNow, Oracle e-Business Suite, Microsoft Office 365, Azure Active Directory, Amazon Web Services.

Topologia fisica

Il diagramma riportato di seguito illustra l'architettura di riferimento di un cluster Kubernetes in un'area Oracle Cloud Infrastructure che contiene più domini di disponibilità. Si consiglia una strategia di disaster recovery all'interno della stessa area per sfruttare più domini di disponibilità (data center) riducendo al minimo la latenza e il degrado delle prestazioni. La topologia proposta utilizza due domini di disponibilità su tre, poiché si consiglia di eseguire tutti i pod sui nodi di lavoro nello stesso dominio di disponibilità. Di seguito sono riportati ulteriori dettagli sulla strategia di disaster recovery.


Descrizione di identity-governance-topology.png
Descrizione dell'immagine identity-governance-topology.png

governance-identità-topology.zip

L'architettura presenta i seguenti componenti:

  • Rete cloud virtuale (VCN) e subnet

    Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Come le tradizionali reti di data center, le reti VCN consentono di controllare l'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • Area

    Un'area geografica Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (tra paesi o addirittura continenti).

  • Gateway Internet

    Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

  • Web Application Firewall (WAF)

    Oracle Cloud Infrastructure Web Application Firewall (WAF) è un servizio di applicazione edge, basato su regionale e conforme al settore delle carte di pagamento (PCI) collegato a un punto di applicazione, come un load balancer o un nome di dominio dell'applicazione Web. WAF protegge le applicazioni dal traffico Internet dannoso e indesiderato. WAF è in grado di proteggere qualsiasi endpoint che si interfaccia con Internet, offrendo un'applicazione coerente delle regole in tutte le applicazioni di un cliente.

  • Gateway di instradamento dinamico (DRG)

    Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra le reti VCN nella stessa area, tra una rete VCN e una rete esterna all'area, ad esempio una rete VCN in un'altra area Oracle Cloud Infrastructure, una rete on premise o una rete in un altro provider cloud.

  • Gateway del servizio

    Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, come Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viene instradato sul fabric di rete Oracle e non attraversa Internet.

  • Gateway NAT (Network Address Translation)

    Un gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

  • Subnet
    La VCN in questa architettura è costituita da 10 subnet che abbinano ambienti di produzione e disaster recovery. Tutte le subnet sono specifiche del dominio di disponibilità, il che significa che sono limitate all'interno di un data center per ridurre al minimo la latenza e il deterioramento delle prestazioni. Il disaster recovery distribuito nella stessa VCN e nella stessa area protegge anche da errori del dominio di disponibilità.
    • Due subnet pubbliche fanno riferimento al livello Web.
    • Due subnet private per il load balancer privato.
    • Due subnet private sono destinate agli host di amministrazione che contengono gli strumenti necessari per gestire il cluster Kubernetes e i nodi del cluster Kubernetes.
    • Due subnet private sono per gli endpoint API del cluster Kubernetes.
    • Due subnet private sono destinate all'accesso all'endpoint privato di Autonomous Database per consentire solo le connessioni dalla rete privata (VCN) specificata.
  • Nodi load balancer
    • Un nodo load balancer pubblico regionale intercetta e distribuisce il traffico alle istanze di computazione che eseguono il livello Web della soluzione negli ambienti di produzione e recupero da errori irreversibili.
    • Un nodo del load balancer privato specifico del dominio di disponibilità, per ambiente, intercetta e distribuisce il traffico ai nodi Kubernetes che eseguono il livello intermedio delle applicazioni containerizzate.
  • Nodi di lavoro Kubernetes

    I nodi di lavoro Kubernetes sono le istanze di computazione in cui vengono distribuite le applicazioni containerizzate. Tutti i nodi di lavoro in questa architettura di riferimento si trovano in un pool a nodo singolo e sono collegati a una subnet privata. Se necessario, è possibile creare più pool di nodi.

    I nodi di lavoro in questa architettura di riferimento non sono accessibili direttamente dalla rete Internet pubblica. Gli utenti delle applicazioni containerizzate possono accedervi tramite il load balancer. Gli amministratori possono accedere ai nodi di lavoro tramite il servizio bastion. I nodi principali Kubernetes vengono eseguiti nella tenancy Oracle e non vengono visualizzati.

  • Endpoint API Kubernetes

    L'endpoint API Kubernetes, nel pannello di controllo del cluster ospitato in una subnet dedicata, consente agli utenti finali di eseguire query e manipolare le risorse Kubernetes (ad esempio pod, spazi di nomi, mappe di configurazione ed eventi).

  • Pod/servizi - Rete overlay

    Il modello di networking Kubernetes presuppone che i pod abbiano indirizzi IP univoci e instradabili all'interno di un cluster. Nel modello di rete Kubernetes, i pod utilizzano tali indirizzi IP per comunicare tra loro. Con i nodi del piano di controllo del cluster con pod su altri cluster, con altri servizi (come i servizi di storage) e con Internet.

  • Autonomous Database con endpoint privato

    Offre una maggiore sicurezza impostando una proprietà del database per applicare che tutte le connessioni in uscita a un host di destinazione siano soggette e limitate dalle regole di uscita dell'endpoint privato. Le regole di uscita vengono definite nella lista di sicurezza VCN o nel gruppo di sicurezza di rete (NSG) associato all'endpoint privato dell'istanza di Autonomous Database.

  • Servizio bastion

    Oracle Cloud Infrastructure (OCI) Bastion offre un accesso sicuro e limitato nel tempo a risorse che non hanno endpoint pubblici e che richiedono severi controlli di accesso alle risorse, come bare metal e virtual machine, Oracle MySQL Database Service, Autonomous Transaction Processing (ATP), Oracle Cloud Infrastructure Kubernetes Engine (OKE) e qualsiasi altra risorsa che consente l'accesso SSH (Secure Shell Protocol). Con il servizio OCI Bastion, puoi abilitare l'accesso agli host privati senza distribuire e gestire un jump host. Inoltre, è possibile migliorare le impostazioni di sicurezza con autorizzazioni basate sull'identità e una sessione SSH centralizzata, controllata e con limiti di tempo. OCI Bastion elimina la necessità di un IP pubblico per l'accesso bastion, eliminando la seccatura e la potenziale superficie di attacco quando si fornisce l'accesso remoto.

  • Replica memorizzazione persistente

    Rsync su NFS fornisce un metodo di replica dello storage persistente che replica la configurazione del dominio con interventi di manutenzione e configurazione minimi.

  • Autonomous Data Guard (replica di Data Guard)

    Quando si abilita Autonomous Data Guard con un database di standby nell'area corrente, Autonomous Database monitora il database primario e, se il database primario diventa inattivo, l'istanza di standby assume automaticamente il ruolo dell'istanza primaria. Con Autonomous Data Guard abilitato con un database di standby locale, Autonomous Database fornisce uno stesso database di standby che consente quanto riportato di seguito, a seconda dello stato del database primario.

    Se il database primario diventa inattivo, Autonomous Data Guard converte il database di standby nel database primario con un'interruzione minima. Al termine del failover, Autonomous Data Guard crea automaticamente un nuovo database di standby.

    È possibile eseguire un'operazione di switchover in cui il database primario diventa il database in standby e il database in standby diventa il database primario.

Considerazioni

Quando si progetta la soluzione di identity governance, tenere presente quanto riportato di seguito.

Disaster recovery

La soluzione di disaster recovery su OCI è un modello attivo-passivo.

Esiste un sistema primario costituito da un dominio Oracle WebLogic (WLS), Oracle Identity and Access Management (OIG e OAM) su Oracle Cloud Infrastructure Kubernetes Engine, un load balancer, un Oracle Autonomous Transaction Processing (ATP) e due server HTTP (OHS) Oracle in un unico dominio di disponibilità (AD).

Il sistema secondario è costituito dagli stessi componenti dell'architettura, ma in un dominio di disponibilità diverso. Il dominio di disponibilità, il data center e i siti si trovano fisicamente abbastanza lontano dal dominio di disponibilità primario per proteggere i componenti in caso di calamità.

Visualizza altro

Ulteriori informazioni sulla progettazione di una soluzione di identity governance.

Esamina queste risorse aggiuntive:

conferme

Autore: Katerina Kalimeri

Contributori: Andreas Theodoridis, Ioannis Episkopakis, Kostantinos Pateras

Log delle modifiche

Questo log elenca le modifiche significative: