检验OBIEE安全性:亚美安全性

作为Integrigy关于OBIEE安全的博客系列的第一篇文章,首先了解亚美是有意义的。作为融合中间件11g产品,OBIEE 11g使用Oracle 亚美来提供集中的通用服务,包括通用安全模型。 亚美本身是可扩展的,可用于企业的Java平台企业版(Java EE)应用程序服务器。 亚美 Server基础结构基于面向服务的体系结构(SOA),这使其成为许多不同类型的应用程序的基础。 Oracle Corporation将亚美 Server安全体系结构描述为“提供了全面,灵活的安全体系结构,旨在解决使应用程序在Web上可用的安全挑战。”

我们将于3月19日举行的网络研讨会将审核OBIEE安全性,如果您有兴趣,请通过以下链接进行注册。

在考虑亚美安全性时,应牢记以下几点:

网络

在安装亚美之前,请专家检查网络服务,以确保恶意攻击者无法访问操作系统或系统级命令。如果要在Internet上公开OBIEE功能,请使用DMZ。还可以使用SSL保护客户端通信,并将所有Fusion Middleware Application配置为使用SSL。 OHS Web服务通常在防火墙上使用4443(而不是7777),而在内部将9704用于OBIEE报告服务。

许多OBIEE实施都利用了防火墙外部的移动访问(例如iPad或平板电脑)。 OBIEE移动界面在亚美中使用相同的身份验证。不需要其他身份验证配置。

操作系统帐户

亚美应该由专门为支持亚美而创建的单个操作用户安装和启动。如果可能,请避免为此用户选择明显的名称。请勿使用演示或示例用户帐户和密码。

作为安全性最佳实践,不得以特权用户或root用户身份运行亚美。对于UNIX安装,这需要采取其他步骤,因为对于UNIX,只有在特权用户帐户(通常是root)下运行的进程才能绑定到低于1024的端口。 由于亚美作为应用程序服务器是一个长期运行的过程,需要在较低的端口(例如80或443)上进行通信,因此有两个常用选项:

  • 在特权用户帐户下启动亚美,绑定到特权端口,然后将其用户ID更改为非特权帐户
  • 使用非特权帐户启动亚美并将防火墙配置为使用网络地址转换(NAT)软件将受保护的端口映射到不受保护的端口

文件权限

仅在可以防止未经授权访问受保护资源的主机上安装亚美。例如,在Windows计算机上,仅使用NTFS。必须谨慎地将访问亚美配置文件的权限限制在亚美管理员(最好仅在需要时)上。任何其他操作系统用户都不应具有对亚美 Server产品文件或域文件的读取,写入或执行访问权限。

以下目录的文件权限对于保护亚美至关重要。这些目录应受到适当的限制:

  • 中间件主目录
  • 亚美 Server产品安装目录
  • 亚美域目录
  • 持久存储

如有疑问,请通过以下方式与我们联系 [email protected]

 -Michael Miller,CISSP-ISSMP

请注意:

  • 报名参加3月19日 网络研讨会: OBIEE安全检查
  • 协作2014年会议OAUG –#14366 OBIEE安全性已检查,4月11日,星期五,下午12:15

 Share 日 is post

订阅RSS

将我们添加到您最喜欢的新闻阅读器中。

在Twitter上关注

获取最新更新。