運用身分識別洞察分析設計身分治理解決方案
身分識別存取管理 (IAM) 不僅是 hype,也不是新現象。存取控制應用系統已有數十年使用,並內嵌在許多組織的基礎架構中,但變得越來越難以管理。
客戶有時候會管理成千上萬的使用者,他們可能可以存取多個應用程式,也就是可能有數十萬個可能的授權。授權 (例如應用程式內的存取權限和權限),全部都需要維護。這會詢問誰有權存取哪些內容 / 條件下的資訊,以及如何存取。
架構
此參考架構利用下列服務。
- Oracle Identity Governance (原始)
- Oracle Identity Role Intelligence (OIRI)
- Oracle Access Governance (AG)
- Oracle Access Management (OAM)
- Oracle Cloud Infrastructure Identity and Access Management (OCI IAM)
此架構可在 Oracle Cloud Infrastructure (OCI)、客戶資料中心或第三方雲端中實作。運用此架構的部分優點包括:
- 透過消除冗餘和耗時的手動流程,降低使用者存取佈建的作業成本。
- 投資容器和微服務等新技術,實現合理的投資報酬率
- 藉由部署有效的控制並消除人為錯誤,將安全風險降到最低
- 將存取資料整合至單一檢視,以深入瞭解可存取哪些區域的人員,以及存取對組織的風險。此檢視提供安全性擁有者和管理者對使用者存取模式的整體可見性。
- 運用立即可用的直觀式儀表板,提升生產力和使用者滿意度。
- 自動執行受規範報告。
邏輯架構
下圖說明目標 IAM 參照架構。
Oracle 平台導入之每個元件的功能如下。
Oracle Identity Governance (OIG) 、Oracle Identity Role Intelligence (OIRI) 及 OIG 連線器提供下列項目。
- 管理
自助服務功能和委派管理功能以管理使用者識別,包括使用者和授權的帳戶。
- 佈建
從中央管理點到目標系統的使用者資訊向外流。追蹤所有受管理資源之帳戶、角色和權益的所有動作 (例如建立、更新及刪除)。
- 調節
信任系統或目標系統的使用者資訊向內流程。使用者資訊通常包括帳戶、角色和中央管理平台權益的所有動作 (例如建立、更新和刪除)。
- 工作流程管理
將業務和 IT 流程自動化,以啟用以原則為基礎的自動化佈建和模型化核准流程,以管理資源存取要求。
- 密碼管理
密碼重設和密碼變更的密碼制定原則支援和自助服務管理。
- 通知
與平台處理的所有事件類型相關的資訊發送給一般使用者、相關單位的管理,以及系統、安全性和委派管理員。
- 連線器
各種異質身分識別感知 IT 系統的三層整合功能。這項三層功能反映了將自訂開發最小化、最大化程式碼重複使用,以及縮短部署時間的目標。
- 規則引擎
定義與使用者、角色、權益、帳戶及組織管理相關之處理執行的評估準則。
- 劃分職責
使用身分識別稽核 (IDA) 來定義和偵測違規。IDA 的偵測機制會監督使用者對資源的實際存取,以及持續擷取任何違規。IDA 有兩種模式:偵測和預防。
- 委派的角色和存取管理
您可以指派存取權、自動佈建資源,或在一般工作 (例如核准和存取認證) 中使用的使用者邏輯群組。
- 風險分析
為所有關鍵功能提供全面的風險管理功能,可直接為角色、帳戶和權益指定高風險、中低風險等級。
- 角色情報與採礦 (OIRI)
跨對等群組尋找權益模式,並支援以使用者屬性為基礎進行角色探勘的由上而下方法。由下而上的方法,可根據應用程式和權益篩選資料,或混合由上而下由下而上的方式。
比較應徵者角色與現有角色以避免角色展開。能夠根據使用者相關性與角色相關性來微調應徵者角色。自動將角色發布至 OIG,以觸發採用角色的工作流程。能夠合併不同來源 (例如 OIG 資料庫和純文字檔) 的資料,並且在將候選角色移至生產環境之前提供假設分析。
Access Governance (AG) 與 AG 代理程式提供下列項目。
- 使用直觀的使用者體驗執行認證活動,以協助確保適當且及時地存取複查。智慧工作流程會引導使用者並提出直接建議,協助更快達成法規遵循和法規目標。
- 以機器學習為基礎的洞察力風險評分和進階分析,並提供規範建議,可提升風險意識、減少手動認證工作,以及將存取控制 / 佈建自動化。
- 將群組存取資料合併成一個檢視,詳細說明可存取組織的內容,以及存取的風險。
- 可直接從 Oracle Identity Governance 提取權益資料的身分識別資料協調流程,並觸發修正。
Oracle Access Manager (thereof OAM) 與 OAM WebGate 提供下列項目。
- 涉及即時存取原則決策與強制實行的授權 (根據解決方案介面的識別、屬性、角色、規則及權益)。
- 使用針對解決方案介面之宣告識別的 Active Directory/Azure Active Directory 使用者儲存區域的即時驗證進行認證。
- 同盟單一登入 (Federated Single Sign On) 是身分識別提供者與 OCI IAM 在解決方案介面服務提供者的角色中扮演的角色。
- 與 OAM 同盟 SSO,作為服務提供者,且作為身分識別提供者的 OAM。
目標應用程式
要導入的整合目標應用程式包含以下部分:
- Identity Reconciliation :Peoplesoft、SAP HRMS、Oracle e-Business Suite HRMS
- 佈建與目標調節:SAP、Siebel、Salesforce、ServiceNow、Oracle e-Business Suite、Microsoft Office 365、Azure Active Directory、Amazon Web Services。
實體拓樸
下圖說明 Oracle Cloud Infrastructure 區域中包含多個可用性網域的 Kubernetes 叢集參考架構。建議使用相同區域內的災害復原策略,以利用多個可用性網域 (資料中心),同時將延遲和效能降低降到最低。建議的拓樸會使用三個可用性網域中的兩個可用性網域,因為建議所有 Pod 應在相同可用性網域的職工節點上執行。以下是災害復原策略的詳細資訊。
架構具有下列元件:
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路,此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 地區
Oracle Cloud Infrastructure 區域是一個本地化地理區域,其中包含一或多個稱為可用性網域的資料中心。區域獨立於其他區域,而廣大的距離可以將其分開 (跨國家或大陸)。
- 網際網路閘道
網際網路網關允許 VCN 中公共子網路與公共網際網路之間的流量。
- Web 應用程式防火牆 (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF) 是符合支付卡產業 (PCI) 規範、以區域為基礎和邊緣強制執行服務,可附加至強制點,例如負載平衡器或 Web 應用程式網域名稱。WAF 可保護應用程式免於惡意和非必要網際網路流量的危害。WAF 可以保護任何連結網際網路的端點,為客戶的所有應用系統強制實施一致的規則。
- 動態路由閘道 (DRG)
DRG 是一個虛擬路由器,提供相同區域中 VCN 之間、VCN 與區域外網路 (例如其他 Oracle Cloud Infrastructure 區域中的 VCN、內部部署網路或其他雲端提供者中的網路) 之間的專用網路流量路徑。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,不會周遊網際網路。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而無須向內送網際網路連線公開這些資源。
- 子網路此架構中的 VCN 包含 10 個子網路配對生產環境和災害復原環境。所有子網路都是特定可用性網域,這表示它們在一個資料中心內受到限制,以便將延遲和效能降低降到最低。在相同 VCN 和區域中部署的災害復原也會防止可用性網域失敗。
- Web 層有兩個公用子網路。
- 此專用負載平衡器有兩個專用子網路。
- 兩個專用子網路適用於管理主機,其中包含管理 Kubernetes 叢集和 Kubernetes 叢集節點所需的工具。
- Kubernetes 叢集 API 端點有兩個專用子網路。
- Autonomous Database 專用端點存取兩個專用子網路,只允許來自指定專用網路 (VCN) 的連線。
- 負載平衡程式節點
- 一個區域公用負載平衡器節點會攔截流量,並將流量分配給在生產環境和災害復原環境中執行解決方案 Web 層的運算執行處理。
- 每個環境一個可用性網域特定的專用負載平衡器節點會攔截流量,然後將流量分配給執行容器化應用程式中間層的 Kubernetes 節點。
- Kubernetes 工作節點
Kubernetes 工作節點是部署容器化應用程式的運算執行處理。此參照架構中的所有工作節點都位於單一節點集區中,並連附至專用子網路。如有需要,可以建立多個節點集區。
無法直接從公用網際網路存取此參照架構中的工作節點。容器化應用程式的使用者可以透過負載平衡器進行存取。管理員可以透過堡壘主機服務存取工作節點。Kubernetes 主要節點會在 Oracle 租用戶中執行,且不會顯示。
- Kubernetes API 端點
Kubernetes API 端點位於專用子網路中代管的叢集控制面板上,可讓一般使用者查詢和操控 Kubernetes 資源 (例如 Pod、命名空間、組態對應及事件)。
- Pod/ 服務重疊網路
Kubernetes 網路模型假設 Pod 在叢集中具有唯一且可路由的 IP 位址。在 Kubernetes 網路模型中,Pod 會使用這些 IP 位址相互通訊。使用叢集的控制層節點與其他叢集上的 Pod、其他服務 (例如儲存服務) 以及網際網路。
- 具有專用端點的 Autonomous Database
設定資料庫特性以強制目標主機的所有外送連線都受到專用端點的輸出規則限制,以提供增強的安全性。傳出規則定義在 VCN 安全清單中,或在與 Autonomous Database 執行處理專用端點關聯的網路安全群組 (NSG) 中。
- 堡壘主機服務
Oracle Cloud Infrastructure (OCI) 堡壘主機可針對沒有公用端點且需要嚴格資源存取控制的資源,例如裸機和虛擬機器、Oracle MySQL Database Service 、Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE),以及允許 Secure Shell 通訊協定 (SSH) 存取的任何其他資源,提供有限且具時限的安全存取。有了 OCI 堡壘主機服務,您便可以存取專用主機,無須部署和維護跳躍主機。此外,您還可以透過識別權限以及集中式、稽核及時間導向 SSH 階段作業來改善安全態勢。OCI 堡壘主機可免除對堡壘主機存取的公用 IP 需求,在提供遠端存取時消除麻煩和潛在攻擊面。
- 永久儲存體複寫
NFS 上的 Rsync 提供一種永久儲存複製方法,以最少的維護和組態複製網域組態。
- Autonomous Data Guard (資料保全複寫)
當您對目前區域中的待命資料庫啟用自治式資料保全時,Autonomous Database 會監控主要資料庫,如果主要資料庫停止運作,待命執行處理會自動擔任主要執行處理的角色。在啟用自治式資料保全的本機待命資料庫的情況下,Autonomous Database 會提供相同的待命資料庫,視主要資料庫的狀態而定,允許下列項目。
如果您的主要資料庫停止運作,Autonomous Data Guard 會在最短的中斷下,將待命資料庫轉換成主要資料庫。完成容錯移轉之後,自治式資料保全會為您建立新的待命資料庫。
您可以執行切換作業,其中主要資料庫會變成待命資料庫,而待命資料庫會變成主要資料庫。
注意事項
設計識別治理解決方案時,請考慮下列事項。
災害復原
OCI 上的災難復原解決方案是主動 - 被動模型。
一個主要系統由 Oracle Cloud Infrastructure Kubernetes Engine 上的 Oracle WebLogic 網域 (WLS)、Oracle Identity and Access Management (OIG & OAM)、一個負載平衡器、一個 Oracle Autonomous Transaction Processing (ATP) 以及兩個 Oracle HTTP 伺服器 (OHS) 組成,位於一個可用性網域 (AD)。
次要系統由相同的架構元件組成,但在不同的可用性網域中。可用性網域、資料中心和網站與主要可用性網域遠遠足,可在發生災害時保護元件。