Oracle centralizuje i łata

Firma zapowiada centralizację procesów związanych z bezpieczeństwem w ramach architektury SOS. Publikuje też kolejny ważny zestaw poprawek.

Firma zapowiada centralizację procesów związanych z bezpieczeństwem w ramach architektury SOS. Publikuje też kolejny ważny zestaw poprawek.

Oracle zaprezentował nową koncepcję systemu do zapewniania bezpieczeństwa użytkownikom jego aplikacji określaną jako SOS (Service Oriented Security), a niezależnie, w kilka dni później udostępnił kolejny, kwartalny zestaw 41 poprawek eliminujących luki związane z bezpieczeństwem głównych aplikacji tej firmy.

Bezpieczny SOS

Aplikacje, do których Oracle opublikował poprawkiOracle zapowiada wyłączenie funkcji bezpieczeństwa zintegrowanych z jego aplikacjami i włączenie ich do struktury Service Oriented Security. Jest to zestaw usług opartych na standardowych funkcjach i protokołach, które będą mogły obsługiwać wszystkie aplikacje tej firmy. Ma to zapewnić uproszczenie i scentralizowanie krytycznych procesów ochronnych, takich jak uwierzytelnianie, autoryzacja, zarządzanie użytkownikami, zarządzanie rolami, zarządzanie tożsamością i zarządzanie uprawnieniami, a także audyty i kontrole.

Architektura SOS ma się składać z czterech podstawowych, standardowych procesów w systemach IT: projektowanie, wdrażanie, administrowanie i zarządzanie. Jak twierdzą przedstawiciele firmy, kluczowe elementy SOS już zostały opracowane. W procesie projektowania aplikacji ma być wykorzystywany IGF (Identity Governance Framework) opracowany przy współpracy różnych firm i organizacji Liberty Alliance. Ma to być standard open source ułatwiający programistom tworzenie aplikacji usługowych, które mogą wykorzystywać dane identyfikacyjne przechowywane w zgodnym z nim systemie IT.

Oracle Role Manager jest pierwszą wersją oprogramowania, które zostało przejęte wraz z Bridgestream jesienią 2007 r. Pakiet ten ma umożliwić definiowanie, wdrażanie i zarządzanie relacjami organizacyjnymi, rolami i powiązanymi z nimi uprawnieniami w ramach struktury bezpieczeństwa zdefiniowanej w przedsiębiorstwie oraz z uwzględnieniem zgodności z obowiązującymi przepisami. Jest to oprogramowanie oparte na architekturze usługowej, które umożliwia centralne definiowanie i zarządzanie repozytorium zawierającym informacje o rolach i relacjach biznesowych użytkowników, i które może zostać wykorzystane przez aplikacje biznesowe do kontrolowania i zarządzania dostępem do danych.

Zarządzanie w ramach architektury SOS ma być obsługiwane przez Oracle Fine Grained Authorization (aktualnie w wersji beta, wersja publiczna jeszcze w tym roku). Oprogramowanie to ma umożliwiać zarządzanie prawami dostępu w środowiskach heterogenicznych aplikacji biznesowych. Z kolei Oracle Application Access Controls Governer 8.0 to oparty na architekturze usługowej pakiet do monitorowania, analizy i wymuszania zasad dostępu do aplikacji biznesowych.

Wiosenny wysyp poprawek

Wśród 41 poprawek łatających luki w bezpieczeństwie baz danych Oracle i innych aplikacji, aż 15 ma zapobiec istniejącym dotąd możliwościom uzyskania zdalnego dostępu do danych, bez konieczności autoryzacji. Kolejne 17 jest przeznaczonych dla baz danych, a dwie z nich umożliwiają uzyskanie zdalnego, nieuprawnionego dostępu. Oznacza to, że użytkownicy baz Oracle, którzy nie zainstalują tych poprawek ryzykują, że zapisane w nich informacje mogą być względnie łatwym łupem hakerów. Pozostałe to łaty dla Oracle Application Server, Collaboration Suite, E-Business Suite oraz aplikacji Oracle PeopleSoft i Siebel.

Można zauważyć, że kwietniowy zestaw poprawek jest większy w porównaniu do styczniowego, który zawierał 26 łat, ale też mniejszy od opublikowanego w październiku 2007 r. - 51. Wszystko wskazuje więc na to, że kolejne luki będą wykrywane i łatane w podobnym tempie. Biorąc pod uwagę liczbę modułów i objętość kodu opracowanego przez Oracle wydaje się, że liczbą luk będą rządzić prawa statystyki.