利用身份洞察设计身份监管解决方案

身份访问管理 (Identity Access Management,IAM) 不只是炒作,也不是一种新现象。访问控制应用程序已经使用了几十年,并嵌入到许多组织的基础设施中,但它们变得越来越难以管理。

客户有时会管理数十万用户,他们可能可以访问多个应用程序,这意味着可能有数十万个可能的授权。应用程序中的访问权限和权限等授权,所有这些都需要维护。这会导致质疑谁可以在什么背景/条件以及如何访问哪些信息。

体系结构

此引用体系结构利用以下服务。

  • Oracle Identity Governance (OIG)
  • Oracle Identity Role Intelligence (OIRI)
  • Oracle Access Governance (AG)
  • Oracle Access Management (OAM)
  • Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)

此架构可以在 Oracle Cloud Infrastructure (OCI)、客户数据中心或第三方云中实施。利用此架构的一些好处包括:

  • 通过消除冗余且耗时的手动流程,降低用户访问预配的运营成本。
  • 通过投资于容器和微服务等新技术,实现合理的投资回报
  • 通过部署有效的控制措施和消除人为错误,尽可能降低安全风险
  • 将访问数据整合到一个视图中,以便深入了解谁可以访问哪些区域以及组织访问的风险。通过此视图,安全责任人和经理可以全面了解用户访问模式。
  • 利用开箱即用的直观仪表盘提高工作效率和最终用户满意度。
  • 自动执行受监管合规性报告。

逻辑体系结构

下图说明了目标 IAM 引用体系结构。



身份治理 - 逻辑 -architecture.zip

遵循 Oracle 平台实施的每个组件的功能。

Oracle Identity Governance (OIG)Oracle Identity Role Intelligence (OIRI)OIG Connectors 提供了以下功能。

  • 管理

    用于管理用户身份(包括用户和特权帐户)的自助功能和委派管理功能。

  • 预配

    从中央管理点到目标系统的用户信息的向外流。跟踪所有托管资源中账户、角色和权利的所有操作(例如创建、更新和删除)。

  • 协调

    用户信息从可信系统或目标系统向内流动。用户信息通常包括对中央管理平台的账户、角色和权利的所有操作(例如创建、更新和删除)。

  • 工作流管理

    能够自动执行业务和 IT 流程,从而实现基于策略的自动预配和建模审批流程,从而管理资源访问请求。

  • 口令管理

    为密码重置和密码更改提供密码策略支持和自助管理。

  • 通知

    与平台处理的所有类型的事件相关的信息路由到最终用户和相关单位的管理,以及系统、安全性和委派管理员。

  • 连接器

    可与各种异构身份感知 IT 系统进行三层集成。这种三层功能反映了以下目标:最大限度地减少定制开发、最大程度地重复使用代码并缩短部署时间。

  • 规则引擎

    定义与用户、角色、权利、账户和组织管理相关的流程执行的评估标准。

  • 职责分离

    使用身份审计(即 IDA)定义和检测违规。IDA 的检测机制持续地监视用户对资源的实际访问权限并捕获任何违规。IDA 有两种模式:侦探和预防。

  • 授权角色和访问管理

    可以为其分配访问权限、自动预配资源或在审批和访问认证等常见任务中使用的用户的逻辑分组。

  • 风险分析

    为所有关键功能提供全面的风险管理功能,这些功能可以直接将高、中、低风险级别分配给角色、账户和权利。

  • 角色智能和挖掘 (OIRI)

    跨对等组发现权利模式,并支持基于用户属性进行角色挖掘的自上而下的方法。一种自下而上的方法,可根据应用程序和权利筛选数据,或采用自下而上的混合方法。

    将候选角色与现有角色进行比较,以避免角色爆炸。能够根据用户关联性和角色关联性微调候选角色。自动将角色发布到 OIG,以触发工作流以采用角色。能够合并来自不同来源(例如 OIG 数据库和平面文件)的数据,并在将候选角色移至生产环境之前提供假设分析。

Access Governance (AG) and AG agent 提供以下内容。

  • 通过直观的用户体验执行认证活动,以帮助确保适当和及时的访问审查。智能工作流可引导用户,并提供简单建议,帮助更快地实现合规性和监管目标。
  • 基于机器学习的洞察风险评分和高级分析以及规范性建议,可提高风险意识、减少手动认证工作并自动执行访问控制/供应。
  • 将组访问数据合并到一个视图中,以详细说明谁有权访问组织内容以及该访问的风险。
  • 通过身份数据编排直接从 Oracle Identity Governance 提取权利数据并触发补救。

Oracle Access Manager(即 OAM)和 OAM WebGate 提供以下内容。

  • 涉及实时访问策略决策和实施的授权(基于解决方案接口的身份、属性、角色、规则和权利)。
  • 使用针对解决方案接口的已声明身份的 Active Directory/Azure Active Directory 用户存储库的实时验证进行验证。
  • 联合一次登入,由身份提供者与 OCI IAM 共同担任解决方案接口服务提供商的角色。
OCI IAM 提供以下功能。
  • OAM 与 OAM 联合 SSO,即 OAM 用作身份提供者的服务提供商。

目标应用程序

要实施的集成目标应用程序包括以下部分:

  • 身份调节:Peoplesoft、SAP HRMS、Oracle e-Business Suite HRMS
  • 预配和目标调节:SAP、Siebel、Salesforce、ServiceNow、Oracle e-Business Suite、Microsoft Office 365、Azure Active Directory、Amazon Web Services。

物理拓扑

下图展示了包含多个可用性域的 Oracle Cloud Infrastructure 区域中 Kubernetes 集群的参考架构。建议在同一区域中制定灾难恢复策略,以利用多个可用性域(数据中心),同时尽可能减少延迟和性能下降。建议的拓扑使用三个可用性域中的两个,因为建议所有云池都应在同一可用性域中的 worker 节点上运行。下面提供了有关灾难恢复战略的更多详细信息。



身份管理 -topology.zip

该体系结构具有以下组件:

  • 虚拟云网络 (VCN) 和子网

    VCN 是一个可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统的数据中心网络一样,VCN 允许您控制您的网络环境。VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 划分为子网,子网可以限定为区域或可用性域。每个子网都包含一系列不与 VCN 中的其他子网重叠的连续地址。可以在创建后更改子网的大小。子网可以是公共子网,也可以是专用子网。

  • 区域

    Oracle Cloud Infrastructure 区域是包含一个或多个数据中心(称为可用性域)的本地化地理区域。地区独立于其他地区,远距离可以把它们分开(跨越国家甚至大陆)。

  • Internet 网关

    通过互联网网关,可以在 VCN 中的公共子网与公共互联网之间进行流量传输。

  • Web 应用程序防火墙 (WAF)

    Oracle Cloud Infrastructure Web Application Firewall (WAF) 是一项符合支付卡行业 (PCI) 标准、基于区域和边缘的实施服务,它连接到实施点,例如负载平衡器或 Web 应用程序域名。WAF 可保护应用免受恶意和不需要的互联网流量攻击。WAF 可以保护任何面向互联网的端点,并在客户应用之间实施一致的规则。

  • 动态路由网关 (DRG)

    DRG 是虚拟路由器,用于为同一区域中的 VCN 之间、VCN 与区域外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或另一个云提供商中的网络)之间的专用网络流量提供路径。

  • 服务网关

    通过服务网关,您可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,不会通过互联网传输。

  • 网络地址转换 (NAT) 网关

    通过 NAT 网关,VCN 中的专用资源可以访问 Internet 上的主机,而不会向传入的 Internet 连接公开这些资源。

  • 子网
    此架构中的 VCN 由 10 个子网配对生产和灾难恢复环境组成。所有子网都特定于可用性域,这意味着它们在一个数据中心内受到限制,可以最大限度地减少延迟和性能下降。部署在同一 VCN 和区域的灾难恢复功能还可防止可用性域故障。
    • 两个公共子网用于 Web 层。
    • 专用负载平衡器有两个专用子网。
    • 两个专用子网用于包含管理 Kubernetes 集群和 Kubernetes 集群节点所需的工具的管理主机。
    • Kubernetes 集群 API 端点有两个专用子网。
    • 两个专用子网用于访问 Autonomous Database 专用端点,以仅允许来自指定专用网络 (VCN) 的连接。
  • 负载平衡器节点
    • 一个区域性公共负载平衡器节点可以跨生产和灾难恢复环境中拦截并分配流量到运行解决方案 Web 层计算实例。
    • 每个环境有一个特定于可用性域的专用负载平衡器节点,用于拦截流量并将其分配给运行容器化应用中间层的 Kubernetes 节点。
  • Kubernetes Worker 节点

    Kubernetes worker 节点是部署容器化应用程序的计算实例。此引用体系结构中的所有 worker 节点都位于单个节点池中,并连接到专用子网。如果需要,可以创建多个节点池。

    此引用体系结构中的 worker 节点无法直接从公共 Internet 访问。容器化应用的用户可以通过负载平衡器访问它们。管理员可以通过堡垒服务访问 worker 节点。Kubernetes 主节点在 Oracle 租户中运行,不会显示。

  • Kubernetes API 端点

    Kubernetes API 端点位于托管在专用子网中的集群控制面板上,允许最终用户查询和处理 Kubernetes 资源(例如云池、名称空间、配置映射和事件)。

  • 云池/服务叠加网络

    Kubernetes 网络模型假设 pod 在集群中具有唯一且可路由的 IP 地址。在 Kubernetes 网络模型中,pod 使用这些 IP 地址相互通信。使用集群的控制层节点,与其他集群上的云池、其他服务(例如存储服务)以及 Internet。

  • 具有专用端点的 Autonomous Database

    通过设置数据库属性来增强安全性,以强制目标主机的所有传出连接都受专用端点的出站规则约束并受到其限制。出站规则在 VCN 安全列表中或与 Autonomous Database 实例专用端点关联的网络安全组 (NSG) 中定义。

  • 堡垒服务

    Oracle Cloud Infrastructure (OCI) 堡垒对没有公共端点且需要严格资源访问控制的资源(例如裸金属和虚拟机、Oracle MySQL Database Service自治事务处理 (Autonomous Transaction Processing,ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE ) 以及允许安全 Shell 协议 (Secure Shell Protocol,SSH) 访问的任何其他资源,提供受限且受时间限制的安全访问。通过 OCI Bastion 服务,您可以启用对专用主机的访问,而无需部署和维护跳转主机。此外,您还可以利用基于身份的权限以及集中、经过审计和有时限的 SSH 会话来改善安全状况。OCI Bastion 消除了对堡垒访问的公共 IP 的需求,消除了提供远程访问的麻烦和潜在攻击面。

  • 持久性存储复制

    NFS 上的 Rsync 提供了一种持久性存储复制方法,它以最少的维护和配置来复制域配置。

  • Autonomous Data Guard(Data Guard 复制)

    在当前区域中为 Autonomous Data Guard 启用备用数据库时,Autonomous Database 会监视主数据库,如果主数据库关闭,备用实例将自动承担主实例的角色。通过在本地备用数据库上启用 Autonomous Data Guard,Autonomous Database 可以提供相同的备用数据库,具体取决于主数据库的状态。

    如果主数据库关闭,则 Autonomous Data Guard 会以最少的中断将备用数据库转换为主数据库。故障转移完成后,Autonomous Data Guard 会为您创建新的备用数据库。

    可以执行切换操作,在该操作中,主数据库将成为备用数据库,备用数据库将成为主数据库。

注意事项

设计身份治理解决方案时,请考虑以下事项。

灾难恢复

OCI 上的灾难恢复解决方案是一种主动 - 被动模型。

主系统包括 Oracle Cloud Infrastructure Kubernetes Engine 上的 Oracle WebLogic 域 (WLS)、Oracle Identity and Access Management (OIG & OAM)、负载平衡器、Oracle Autonomous Transaction Processing (ATP) 以及一个可用性域 (AD) 中的两个 Oracle HTTP 服务器 (OHS)。

辅助系统由相同的体系结构组件组成,但位于不同的可用性域中。可用性域、数据中心和站点的物理位置距离主可用性域足够远,可以在发生灾难时保护组件。

浏览更多

了解有关设计身份治理解决方案的更多信息。

查看以下附加资源:

确认

作者:Katerina Kalimeri

贡献者:Andreas Theodoridis、Ioannis Episkopakis、Kostantinos Pateras

更改日志

此日志列出了重大更改: