Доступ к Web-приложениям Oracle возможен по российским ГОСТ-сертификатам

Публикация: 23 Ноябрь 2009 - 00:00, редакция: 22.06.2010 14:45

Компания "Цифровые технологии" приняла участие в деловом инновационном форуме Oracle Day, который состоялся 12 апреля 2009 года в Москве. Основная задача форума - помочь предприятиям оптимизировать расходы в области ИТ с учетом возможностей Oracle, требований рынка, последних мировых инноваций и успешной российской практики.

В рамках секции "Безопасность информации" были освящены решения по организации защиты данных и выполнению Российских законодательных требований в этой области. В своем докладе ведущий архитектор Oracle СНГ Андрей Гусаков отметил: "Для российских пользователей Web-приложений, построенных с использованием западных технологий (таких, как Oracle e-Business Suite и WebCenter, IBM WebSphere и Microsoft SharePoint Portal и др.) одним из важных вопросов, требующего практического решения, является поддержка отечественной ГОСТовой криптографии. До сих пор удавалось добиться только организации защищенного канала связи между клиентом и сервером на уровне TCP/IP соединения с использованием библиотек сертифицированных российских криптопровайдеров (CSP). Аутентификация внутри приложений при этом осталась прежней - парольной (или с помощью сертификатов формата RSA).". Но в настоящее время проблема аутентификации внутри западных приложений по ГОСТовым сертификатам решена за счет совместного использования следующих решений:

  • КриптоПро TLS (ООО "КРИПТО-ПРО") предназначенный для обеспечения криптографическими средствами аутентификации отправителя (клиента) - адресата (сервера), контроля целостности и шифрования данных информационного обмена. В механизме защиты реализации протокола TLS применяются криптографические алгоритмы, выполненные в соответствии с российскими ГОСТами.
  • Trusted TLS (ООО "Цифровые технологии"), позволяющий организовать защищенный канал между клиентом и сервером и обеспечить разграничение доступа к web-приложениям на основе использования цифровых ГОСТ-сертификатов. Trusted TLS может быть использован в тех ситуациях, когда для доступа требуется строгая аутентификация пользователя (вход по цифровым сертификатам), а в качестве средств защиты должны применяться сертифицированные криптографические средства. Trusted TLS поддерживает работу с СКЗИ "КриптоПро CSP" (3.0 и 3.6), сертифицированные ФСБ России.

Trusted TLS представляет доработанное программное решение mod_ssl, которое встраивается взамен стандартного модуля mod_ssl веб-сервера Apache. Данный модуль обеспечивает работу по протоколу TLS на ГОСТ-алгоритмах, используя низкоуровневые вызовы функции криптопровайдера "КриптоПро CSP". На сегодняшний день существуют версии Trusted TLS для HTTP-серверов Apache 1.3, Apache 2.0 и Apache 2.2.

  • Для организации SSO к Web-приложениям используется Oracle Access Manager. Этот продукт предоставляет комплексный набор сервисов по централизованному управлению аутентификацией пользователей и их доступом к различным информационным ресурсам предприятия, в том числе Web-ресурсам и приложениям. Система полностью реализует концепцию защищенного доступа к ресурсам предприятия, известную как концепцию трех А (Аутентификация (в том числе - внешняя), Авторизация, Аудит).

Oracle Access Manager передает идентификатор пользователя как приложениям Oracle, так и Web-приложениям других вендоров; идентификатор пользователя Oracle Access Manager получает от Trusted TLS. Подробнее о взаимодействии Oracle Access Manager и Trusted TLS смотрите на странице: http://security-orcl.blogspot.com/2009/11/sso-web.html

В итоге предлагаемое решение дает возможность построить универсальную систему, обеспечивающую:

  • создание защищенных соединений между клиентами и пограничными HTTP-серверами Apache (ГОСТ и не-ГОСТ)
  • проверку X.509 сертификатов и аутентификацию клиентов (ГОСТ и RSA)
  • безопасную передачу идентификатора пользователя, аутентентифицированного по ГОСТ и RSA сертификату на Web-сервера бизнес-приложений с организацией Web Single Sign-On, авторизация на защищаемых web-ресурсах по дополнительным факторам, аудит обращений

Решение предназначено:

  • для системных интеграторов, занимающихся разработкой решений в области автоматизации (использование электронных порталов, онлайн-сервисов для клиентов, партнеров, удаленных филиалов, мобильных пользователей);
  • для компаний, планирующих организовать защищенные публичные веб-ресурсы (электронные порталы, онлайн-сервисы) с защищенным доступом с использованием ГОСТовой криптографии;
  • для компаний, которым требуется контроль за действиями внешних пользователей при работе с корпоративными веб-приложениями.