Защита каналов передачи данных и строгая аутентификация для web-приложений Oracle
До сих пор удавалось добиться только организации защищенного канала связи между клиентом и сервером на уровне TCP/IP соединения с использованием библиотек сертифицированных российских криптопровайдеров (CSP). Аутентификация внутри приложений при этом осталась прежней – парольной (или с помощью сертификатов формата RSA).
Но в настоящее время проблема аутентификации внутри западных приложений по ГОСТовым сертификатам решена за счет совместного использования следующих решений:
- КриптоПро TLS (ООО “Крипто-Про”) предназначенный для обеспечения криптографическими средствами аутентификации отправителя (клиента) – адресата (сервера), контроля целостности и шифрования данных информационного обмена. В механизме защиты реализации протокола TLS применяются криптографические алгоритмы, выполненные в соответствии с российскими ГОСТами.
- Trusted TLS (ООО «Цифровые технологии»), позволяющий организовать защищенный канал между клиентом и сервером и обеспечить разграничение доступа к web-приложениям на основе использования цифровых ГОСТ-сертификатов. Trusted TLS может быть использован в тех ситуациях, когда для доступа требуется строгая аутентификация пользователя (вход по цифровым сертификатам), а в качестве средств защиты должны применяться сертифицированные криптографические средства. Trusted TLS поддерживает работу с СКЗИ «КриптоПро CSP» (3.0 и 3.6), сертифицированные ФСБ России.
Trusted TLS представляет доработанное программное решение mod_ssl, которое встраивается взамен стандартного модуля mod_ssl веб-сервера Apache. Данный модуль обеспечивает работу по протоколу TLS на ГОСТ-алгоритмах, используя низкоуровневые вызовы функции криптопровайдера «КриптоПро CSP». На сегодняшний день существуют версии Trusted TLS для HTTP-серверов Apache 1.3, Apache 2.0 и Apache 2.2.
Для организации SSO к Web-приложениям используется Oracle Access Manager. Этот продукт предоставляет комплексный набор сервисов по централизованному управлению аутентификацией пользователей и их доступом к различным информационным ресурсам предприятия, в том числе Web-ресурсам и приложениям. Система полностью реализует концепцию защищенного доступа к ресурсам предприятия, известную как концепцию трех А (Аутентификация (в том числе – внешняя), Авторизация, Аудит).
Oracle Access Manager передает идентификатор пользователя как приложениям Oracle, так и Web-приложениям других вендоров; идентификатор пользователя Oracle Access Manager получает от Trusted TLS.
Подробнее о взаимодействии Oracle Access Manager и Trusted TLS смотрите на странице блога разработчиков Oracle.
В итоге предлагаемое решение дает возможность построить универсальную систему, обеспечивающую
- создание защищенных соединений между клиентами и пограничными HTTP-серверами Apache (ГОСТ и не-ГОСТ)
- проверку X.509 сертификатов и аутентификацию клиентов (ГОСТ и RSA)
- безопасную передачу идентификатора пользователя, аутентентифицированного по ГОСТ и RSA сертификату на Web-сервера бизнес-приложений с организацией Web Single Sign-On, авторизация на защищаемых web-ресурсах по дополнительным факторам, аудит обращений
- Чистое лицензионное решение с использованием сертифицированной российской криптографии для пользователей Web-приложений Oracle.
Решение предназначено
- для системных интеграторов, занимающихся разработкой решений в области автоматизации (использование электронных порталов, онлайн-сервисов для клиентов, партнеров, удаленных филиалов, мобильных пользователей)
- для компаний, планирующих организовать защищенные публичные веб-ресурсы (электронные порталы, онлайн-сервисы) с защищенным доступом с использованием ГОСТовой криптографии
- для компаний, которым требуется контроль за действиями внешних пользователей при работе с корпоративными веб-приложениями.