Deze aanpak van toegangsmanagement, die door het bedrijf service-oriented security wordt genoemd, moet de beveiliging helpen centraliseren en vereenvoudigen. Hieronder vallen onder meer authenticatie, gebruikersadministratie en rol-management.

De beveiliging van Oracle-software heeft de afgelopen jaren een flinke deuk opgelopen. Zo vereist de Oracle database al een aantal jaar aanzienlijk meer patches dan concurrerende systemen, waaronder Microsoft SQL Server. In december 2006 zag beveiligingsbedrijf Argenissis na zware druk van Oracle af van een "week van Oracle" bugs waarin het de aandacht op de slechte beveiliging van Oracle producten wilde vestigen.

Volgens beveiligingsexperts is de beveiliging van Oracle-producten ingehaald door het internettijdperk, waarin bijvoorbeeld SQL-injectie aanvallen een veelheid aan beveiligignsgaten opleveren. Een beter gesegmenteerde beveiliging waarbij de toegang tot diensten afhangt van de rol van de gebruiker kan een groot aantal van die problemen voorkomen.

Steeds meer gebruikers

De rol-gebaseerde beveiliging moet inspelen op de trend dat steeds meer personen toegang krijgen tot systemen, zei Oracle's Thomas Kurian tijdens een presentatie op de RSA Conference. De Oracle Role Manager helpt organisaties om functies binnen het bedrijf en contacten daarbuiten te definiëren en centraal te beheren.

Event-based privileges

Oracle Role Manager moet verder een fundament leggen voor service-oriented security, door een begrijpelijk raamwerk van functies en systeemrechten te bieden. De software biedt profielen (rollen) die zijn gebaseerd op gebeurtenissen. Dit houdt in dat een bepaalde verandering automatisch effect heeft op de privileges van de gebruikers. Beheerders kunnen hiermee bovendien door simulaties testen welke gevolgen een verandering van profielen heeft.

Overdaad aan profielen

Oracle heeft op de beurs teven een bètaversie van de Oracle Fine-Grained Authorization software uitgebracht, alsmede een versie van de Application Access Controls Governor 8.0. In september 2007 kocht het bedrijf Bridgestream, een bedrijf dat zich heeft gespecialiseerd in enterprise role management software. Een noodzakelijke stap volgens Oracle: "Bedrijven kampen al lange tijd met het definiëren en beheren van gebruikersprofielen binnen hun bedrijfsstructuur. Het gevolg hiervan is dat deze bedrijven kampen met een overdaad aan profielen, verspreid over al hun systemen. Oracle Role Manager voorziet klanten van geautomatiseerde tools voor het vormen van profielen en het efficiënt beheren meervoudige hiërarchieën die aan elkaar gerelateerd zijn".

Bron: Techworld