0
La sécurisation des Web ServicesLivre Blanc
Le parefeu XML sécuriseles échanges entre applicationsLivre BlancL’entreprise gagne à soigner l’interopérabilité de ses ap...
Page 4Savez-vous qui exploite réellement vos WebServices ? Lorsque la direction informatique donnele feu vert pour déploye...
Page 5Le portefeuille applicatif de l’entreprise évolue vers ununivers de services hétérogènes. Il se compose d’unnombre c...
Page 6Le parefeu XML renforce les ressources applicativeset les interactions entre applications. De son côté, leparefeu ré...
Page 7Une configuration adaptée au contexte de chaque lienQoSRRéseaux privésInternetApplications internesR&DUtilisateurPar...
Page 8Software AG est un éditeur Européen spécialisé dansl’intégration des partenaires et dans la modernisa-tion du systèm...
Page 9lexiqueESBEnterprise Service Bus. Le bus de service d’entreprise aide les applications d’entreprised’éditeurs distin...
Livre BlancPour assurer la continuité et l’évolution des Web Services, quel que soit le mode de consommation (de l’interne...
Tous droits réservés - (C)opyright septembre 2011 - © Bee Ware
White paper - La sécurisation des web services
White paper - La sécurisation des web services
Upcoming SlideShare
Loading in...5
×

White paper - La sécurisation des web services

609

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
609
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
17
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "White paper - La sécurisation des web services"

  1. 1. La sécurisation des Web ServicesLivre Blanc
  2. 2. Le parefeu XML sécuriseles échanges entre applicationsLivre BlancL’entreprise gagne à soigner l’interopérabilité de ses applications si elle veut croiser ses informations, enrichirses analyses et conquérir de nouveaux marchés. Dans ce contexte, l’infrastructure Web Services devient un enjeucrucial. Elle figure au centre de l’interconnexion des systèmes d’informations et des migrations actuelles vers lecloud computing. De nouveaux moyens de protection sont nécessaires pour fournir des interactions continues,des échanges fiables et sécurisés de Web Services, qu’ils soient destinés aux partenaires de l’entreprise ou auxsalariés.
  3. 3. Page 4Savez-vous qui exploite réellement vos WebServices ? Lorsque la direction informatique donnele feu vert pour déployer ces composants applicatifs,c’est pour industrialiser des échanges commerciaux avec despartenaires, sans intervention humaine. La DSI provoque desinteractions entre deux applications hétérogènes, par exemplepour consulter le stock d’un fournisseur et répondre à unecommande en ligne avec une date de livraison pertinente.En coulisse, cette implémentation repose sur plusieurs pro-tocoles et standards, issus du Web et respectant, le plussouvent, l’architecture orientée services SOA (les standards"WS-*"). Les données fournies en réponse à l’invocation duservice sont structurées et représentées en langage XML, làoù une page HTML répond à une requête HTTP de l’utilisateurd’un navigateur Web.Le hacker, de son côté, cherche à se faire passer pour uneressource applicative, par exemple via un contenu malicieuxencapsulé dans un message. Il tente ainsi de sonder les WebServices exposant des données sensibles, pour récupérer desmots de passe ou des références bancaires. D’où l’impor-tance d’identifier soigneusement le deman-deur comme le fournisseur de services.A présent, de nombreux mécanismesd’intrusions se répandent sur Inter-net ; des boîtes à outils détectent lesdernières vulnérabilités applicatives.D’autres défis attendent l’exploitant des Web Services. Qu’ilsoit hébergeur des serveurs d’applications ou responsable dela production informatique interne, il doit garantir une disponi-bilité continue de chaque module communicant. Il s’organisedonc pour diminuer les interventions en cas d’attaque malveil-lante, de maladresse d’un développeur ou d’un administrateur.Comment ? En sélectionnant les outils et les procédures rédui-sant les délais de maintenance, en anticipant les intrusions, enfiltrant les messages et en corrigeant les erreurs.Garantir la disponibilité du serviceLa sécurisation des flux de machine à machine devient unepriorité pour tous ceux qui exposent des Web Services à leurspartenaires. Ils doivent garantir un niveau de disponibilité etun niveau de conformité constant, le plus élevé possible. Or,les défenses actuelles suivent un schéma dépassé, sur troisniveaux. La plupart offrent un périmètre renforcé, nécessairemais insuffisant. Il faut passer du correctif logiciel à une ré-flexion architecturale, prévenir le déni de service, anticiperles attaques, détecter l’origine précise du problème, puis lerésoudre rapidement.Naturellement, on ne va pas demander aux yeux humains desurveiller chaque flux de données émis par le Web Service.Une nouvelle automatisation doit intervenir au sein d’un équi-pement intelligent, fiable, simple à configurer et évolutif. •Sans surveillance, les Web Services restent vulnérablesLes hackers ne se contentent pas d’infiltrer les réseaux. Ils découvrent de nouvelles faillesapplicatives chaque jour. Et ils en profitent pour intercepter des données sensibles.Parmi les attaques répandues sur le niveau applicatif,l’injection de requêtes SQL permet de de dérober desdonnées confidentielles. L’injection de requêtes surl’annuaire LDAP peut servir à usurper les droits del’administrateur, pour prendre la main sur une res-source partagée, un équipement ou un WebService.Les scripts d’interception de données figurent dans denombreux kits d’attaques. Certains exploitent le format,l’enveloppe, ou le message XML. D’autres ciblent leparseur XML qui analyse les messages transmis. Uneinfrastructure web non sécurisée expose les serveurs àde multiples vulnérabilités comme le déni de service, ledétournement de service, la prise de contrôle à distance,le vol ou l’effacement de données.Il faut protéger les web services tout comme on aprotégé en leur temps les applications web. Un outilcomme le pare-feu applicatif doit avoir son pendantdans le référentiel des web services. Agile, polyvalent, ce« pare-feu XML » permet d’analyser les messages XMLet leur contexte, tout comme les pare-feu l’ont fait pourles requêtes HTTP standard.La problématiqueLes Web Services évoluent en milieu hostile.Que fait-on pour les sécuriser ?<?xml version=»1.0» encoding=»UTF-8»?>       <kml xmlns=»http://earth.google.com/kml/2.0»>   <Response>       <name>rue de la chimie, saint martin d’hères</name>       <Status>           <code>200</code>           <request>geocode</request>       </Status>       <Placemark id=»p1»>           <address>rue de la chimie, 38400 Saint martin d’hères, France</address>
  4. 4. Page 5Le portefeuille applicatif de l’entreprise évolue vers ununivers de services hétérogènes. Il se compose d’unnombre croissant d’applications SaaS (Software asa Service) accessibles à la demande. Les développementsintranet et les applications métiers cohabitent fréquemmentderrière un portail Web. Au final, un nombre croissant de WebServices sont consommés en interne.D’autres composants semblables sont exposés aux partenairesde l’entreprise. Cette tendance s’accentue avec la dématéria-lisation des procédures, avec le commerce électronique, avecles réseaux sociaux et les places de marché sur Internet.Relever des défis critiquesLe rôle du parefeu XML est donc critique. D’une part, pourgarantir la disponibilité et la conformité des flux XML, et d’autrepart pour alerter l’administrateur avant et pendant une attaque,une panne ou une défaillance de Web Services.Prenons un exemple concret. Lorsqu’un internaute commandeun produit sur le site web de l’entreprise, l’application mar-chande lui présente un bon de commande dont les informationsproviennent de plusieurs modules intégrés. En arrière-plan, lesserveurs d’applications invoquent plusieurs Web Services. Dèsqu’elle procède aux premiers échanges automatisés, l’entre-prise doit maintenir une chaîne cohérente, stable et sécuri-sée. Elle doit analyser les comportements de chaque moduleapplicatif, sonder plusieurs niveaux de protocoles réseaux etweb, inspecter les fichiers retournés par chaque composant,indépendamment du langage de développement.Le sas de sécurité historique - la DMZ - n’est plus l’uniquepoint de contrôle nécessaire et suffisant. De même, le pare-feu réseau perd de son intérêt lorsque les communicationsbasculent vers le protocole HTTP sur SSL, court-circuitant toutfiltrage de bas niveau pour l’accès aux ressources réseau.Le pare-feu XML et ses nombreuses fonctionnalités apportentune instrumentation adaptée aux besoins actuels de sécurisa-tion des interactions. Il filtre ainsi de façon simple et efficacetous les flux de données. Conscient de l’état du réseau, cetéquipement matériel facilite le dialogue entre administrateurs(applicatif, système, réseaux) et RSSI (responsable de la sécu-rité du système d’information).Les analyses fournies par le pare-feu XML mettent fin auxcontentieux éventuels. L’entreprise y gagne une disponibilitéde services continue. Elle peut garantir la conformité de seséchanges automatisés, de machine à machine. Ses incidentsapplicatifs ne se reproduisent plus sans fin. •Anticiper l’attaque, inspecter les flux, délivrer les preuvesAvant, pendant et après l’incident, le parefeu XML surveille, filtre et trace les flux de données.Ses algorithmes d’inspection et d’analyse procurent une défense et un reporting précieux.Première étape, le parefeu XML intervient, de façonpréventive, en orchestrant les moyens de sécurité mis àsa disposition. Il aide à préparer, puis à valider des règlesd’accès sécurisés. Il recense les Web Services puisprocède au diagnostic de niveau de sécurité de chaquecomposant. Il permet aux développeurs de s’assurer, demanière transparente, que leur travail est conforme à lapolitique de sécurité des Web Services de l’entreprise.Une fois déployé, conscient du contexte, il filtre lesmessages échangés en temps réel. S’il détecte unincident ou une intrusion, il bloque à temps les conte-nus suspects, même si le type d’attaque n’a jamais étérencontré jusque là. Il surveille les performances desWeb Services, s’assure que ceux-ci sont disponibles etvont le demeurer.En cas d’alerte, ou suite à une dégradation de perfor-mances, ses réponses sont également précieuses. Leparefeu XML apporte une analyse qui aide à comprendrepourquoi un WebService ne répond plus ou bien troplentement. Grâce aux rapports qu’il délivre, l’administra-teur peut remonter la trace des échanges jusqu’à trouverl’origine du problème.La méthodologie« Le parefeu XML enrichit considérablement la sécurité des Web Services,en particulier pour les transactions financières, les échanges de donnéesprivées ou relatives à la propriété intellectuelle » (source : Gartner 2011)Une protection en trois phases
  5. 5. Page 6Le parefeu XML renforce les ressources applicativeset les interactions entre applications. De son côté, leparefeu réseau filtre les accès aux équipements duréseau. Les deux dispositifs sont complémentaires.L’un comme l’autre doivent être configurés pourfaire respecter la politique de sécurité de l’entre-prise, chacun à leur niveau.Les Web Services délivrent des données àl’intérieur de l’entreprise aussi bien que versl’extérieur. Par conséquent, le parefeu XML BeeWare applique des règles de sécurité distinctes,selon l’emploi, interne ou externe, des modules appli-catifs surveillés. Conscient de la topologie du réseau physique,il sait communiquer avec les dispositifs actifs de l’infrastruc-ture, pour révéler, en cas d’indisponibilité du service, l’originedu dysfonctionnement.Des Web Services intégralement suivisUne fois installé, l’équipement dédié surveille les flux échangésentre les serveurs d’applications Web, le contenu des mes-sages (XML/SOAP, REST) et des attachements. Conforme auxderniers standards, le parefeu XML Bee Ware protège chaqueWebService en examinant tout son éco-système. En casd’interruption ou de dégradation de service, il prévient l’ad-ministrateur que le niveau de service est altéré, précisant lemodule en cause et le segment de réseau concerné. Lesfonctions de reporting et de suivi visuel de l’activité apportentune visibilité nouvelle aux responsables de l’exploitationet de la sécurité informatique. Le boîtier analyse, à la volée,les scripts encapsulés et propose une réaction immédiate. Ilbloque ainsi les attaques en déni de service et garan-tit que les données fournies par le WebService sonttoujours intactes et conformes au format attendu.L’exécution de règles de sécurité contribue àdétecter les comportements suspects et lesscripts malicieux. Chaque Web Service est pro-tégé dans son contexte d’utilisation. L’applianceBee Ware se déploie de manière adaptable, en modereverse proxy ou transparent proxy. Cela permet unroutage applicatif granulaire vers les applications autorisées,internes comme externes. Bee Ware renforce ainsi les canauxde communication intra-entreprise et inter-entreprises.En pratique, le parefeu XML Bee Ware rejoint très rapidementle site de production informatique ou bien le datacenter del’hébergeur lorsque les traitements sont externalisés. Il n’ya pas de plateforme serveur à commander ni à configurer,aucune installation ni aucune mise à niveau manuelle à gérerpour renforcer les Web Services. En option, le parefeu XMLBee Ware est disponible sous forme d’appliance virtuelleVMware. •Le parefeu XML Bee Ware apporte une visibilité nouvelleConforme aux derniers standards des Web Services, simple à porter et à exploiter, le parefeu XMLBee Ware rejoint tous les sites sensibles. Il protège les applications internes et externes.Un flux de données XML peut concerner plusieurs par-tenaires à la fois, chacun exigeant son propre niveau desécurité. De l’authentification à la signature électronique,en passant par les fichiers attachés, le parefeu XML BeeWare garantit que toutes les informations sensibles sontsécurisées, chiffrées avec le bon algorithme, conformé-ment aux applications et aux politiques de sécurité despartenaires. « Des portions de message peuvent êtrechiffrées différemment, car chaque application du par-tenaire captera une partie seulement du message. Notreparefeu XML assure le suivi et la conformité de tellesinteractions », précise Jérôme Clauzade, le responsableproduit de Bee Ware.La réponse technologiqueJérôme ClauzadeResponsable ProduitBee ware franceUne inspection fine et précise des messages<?xml version=»1.0» encoding=»UTF-8»?>       <kml xmlns=»http://earth.google.com/kml/2.0»>   <Response>       <name>rue de la chimie, saint martin d’hères</name>       <Status>           <code>200</code>           <request>geocode</request>       </Status>       <Placemark id=»p1»>           <address>rue de la chimie, 38400 Saint martin d’hères, France</address>           <AddressDetails Accuracy=»6» xmlns=»urn:oasis:names:tc:ciq:xsdschema:xAL:2.0»>               <Country>                   <CountryNameCode>FR</CountryNameCode>                   <CountryName>France</CountryName>                   <AdministrativeArea>                       <AdministrativeAreaName>Rhône-Alpes</AdministrativeAreaName>                       <SubAdministrativeArea>                           <SubAdministrativeAreaName>Isère</SubAdministrativeAreaName>                           <Locality>                               <LocalityName>Saint martin d’hères</LocalityName>                               <Thoroughfare>                                   <ThoroughfareName>Chemin de Malanot</ThoroughfareName>                               </Thoroughfare>                               <PostalCode>                                   <PostalCodeNumber>38400</PostalCodeNumber>                               </PostalCode>                           </Locality>                       </SubAdministrativeArea>                   </AdministrativeArea><?xml version=»1.0» encod   <kml xmlns=»http://eart   <Response>       <name>rue de la chimi       <Status>           <code>200</code>           <request>geocode</       </Status>       <Placemark id=»p1»>           <address>rue de la c           <AddressDetails Accu               <Country>                   <CountryNameCo                   <CountryName>F                   <AdministrativeA                       <Administrativ                       <SubAdministr                           <SubAdminis                           <Locality>                               <LocalityNa                               <Thorough                                   <Thoroug                               </Thorough                               <PostalCod                                   <PostalCo                               </PostalCod                           </Locality>                       </SubAdminist                   </Administrative
  6. 6. Page 7Une configuration adaptée au contexte de chaque lienQoSRRéseaux privésInternetApplications internesR&DUtilisateurPartenaireFournisseurEntreprise122341Adoption des standards de sécuritéL’intégration de la sécurité dans l’envi-ronnement de développement des WebServices permet de réduire les délaisde publication. La R&D et la Productionparlent le même langage sécurité •2Protection et routageLes Web Services publiés vers l’entre-prise ou vers Internet requièrent uneanalyse en profondeur des messages,tant les technologies employées sontdiverses et potentiellement exploitables.Le support des standards est indispen-sable (XML, RESTful, JSON, etc.) pourl’inspection et le routage applicatif •3Qualité de serviceLes messages en direction des par-tenaires sont validés par le pare-feuXML afin de s’assurer que leur formatet leur fréquence ne vont pas acciden-tellement perturber le Web Service dupartenaire •4Continuité de serviceLe pare-feu XML garantit la disponibi-lité des Web Services pour les parte-naires en les assurant qu’un incidentde production de l’un d’entre eux (bug,surcharge accidentelle) ne va perturberl’ensemble du service •Le déploiement
  7. 7. Page 8Software AG est un éditeur Européen spécialisé dansl’intégration des partenaires et dans la modernisa-tion du système d’informations. Sa suite de logicielsprend en charge la modélisation et l’exécution des processusmétiers de l’entreprise en s’appuyant sur une architectureSOA, un bus de services et un référentiel unique : l’annuairede services.C’est autour de cet annuaire, précieux pour l’ouverture dusystème aux partenaires, que démarre la relation avec l’équi-pementier Français Bee Ware. Il s’agit de sécuriser les WebServices exposés, de protéger le système contre les attaqueset les risques principaux, qu’ils viennent de l’extérieur commede l’intérieur de l’entreprise et qu’ils impliquent une maladresseou une malveillance.«  On doit être certain d’invoquer ou d’exposer des WebServices sûrs, observe Fabrice Hugues, directeur avant-ventesde Software AG pour la France et l’Italie. La mise en place decontrats de services impose des moyens de sécurisation adap-tés, une gestion de tokens d’authentification et des outils desuivi des protocoles, à plus bas niveau. Bee Ware éradique ledéni de service, quel que soit le protocole. Grâce au parefeuXML, on sait qu’aucun code d’injection SQL n’est embarquédans un message. WebMethods agit, pour sa part, au niveaufonctionnel : tel message est-il autorisé à passer ? L’adéqua-tion des deux solutions nous confère une position unique surle marché. »Avec des règles de sécurité positionnées en un seul et uniquepoint, l’entreprise gagne une vision centralisée de ses compo-sants applicatifs. L’annuaire de services est partagé entre leparefeu XML Bee Ware, la suite WebMethods de Software AGet l’infrastructure : « l’annuaire est un repère essentiel, un pointfocal pour tous les objets que l’on veut exposer à l’extérieur.Le propriétaire d’un WebService - un responsable CRM parexemple - peut ainsi exposer un service de création de clientavec toutes ses contraintes, fonctionnelles et techniques  »,illustre Fabrice Hugues.Des règles de sécurité regroupéesL’équipement de protection des Web Services de Bee Wareintègre une suite complète de logiciels incluant, le cas échéant,la partie sécurité de WebMethods : « le parefeu XML Bee Warese présente sous la forme d’une appliance matérielle. Le hard-ware est facile à déployer, très performant. Les mises à jour etl’exploitation sont très simples. C’est intéressant en terme desouplesse et de TCO (coût total de possession), surtout dansun vaste datacenter », note Fabrice Hugues.La gouvernance de l’architecture SOA passe par celle descomposants applicatifs. Ainsi, même lorsqu’ils sont déployéschez un prestataire, les Web Services appartiennent toujours àleur propriétaire. Par conséquent, « c’est à l’entreprise de gérerses propres règles de sécurité, techniques et fonctionnelles,quand bien même l’hébergeur serait impliqué, au niveau de lasécurisation des protocoles », recommande-t-il. •Aligner le socle technique sur la sécurité fonctionnelleL’éditeur de WebMethods a choisi Bee Ware comme expert pour la sécurité des Web Services.Cette association renforce les interactions des clients communs, des protocoles aux processus.En terme d’échanges inter-entreprises (B2B), le modede communication asynchrone à base de message EDIou XML a longtemps été retenu. L’essor du e-Commercepuis celui du Cloud computing provoquent de plus enplus d’interactions entre les services. Les applicationsmobiles sous iOS, Windows Mobile ou Blackberryouvrent aussi de nouveaux canaux à sécuriser. L’info-gérance des applications professionnelles et les projetsSaaS vont accélérer l’adoption du parefeu XML BeeWare. En effet, ces approches multiplient les échangesavec des tiers, via Internet. L’appliance paramètre,exécute des règles de sécurité puis audite tout ce quicircule. Une fois filtrée, l’information est techniquementvalide. Au niveau de l’ESB (Enterprise Service Bus),aucun doute possible : on peut récupérer cette informa-tion.L’écosystèmeFabrice HuguesDirecteur avant-ventessoftware agParamétrer, exécuter les règles et auditertout ce qui passe
  8. 8. Page 9lexiqueESBEnterprise Service Bus. Le bus de service d’entreprise aide les applications d’entreprised’éditeurs distincts à communiquer entre elles. Il s’appuie sur des standards tels que lelangage XML, l’interface de programmation JMS (Java Message Service) et les Web Services.RESTRepresentational State Transfer. Ce style d’architecture - orienté ressources - est retenu pourréaliser des applications Web et bâtir des échanges standards entre machines à base de WebServices.SLAService Level Agreement. L’accord de niveau de service précise, dans un contrat établi entre unprestataire et un client, la qualité de service ainsi que les modalités de performances délivrées.SOAService Oriented Architecture. Cette architecture de médiation s’appuie sur des composantslogiciels ou Web Services pour intégrer entre elles des applications locales ou distantes.SOAPSimple Object Access Protocol. Ce protocole d’appels de procédures à distance, définiinitialement par Microsoft et IBM, est une spécification du W3C, le consortium World WideWeb. Il est utilisée dans le cadre d’architectures SOA pour les WS-*.WebServiceProgramme à base de standards ouverts fournissant l’interopérabilité entre des logicielsexécutés sur des plateformes distinctes. Le consommateur de WebService utilise la logiqueimplémentée par le fournisseur de ce composant.WSDLWeb Service Description Language. Interface d’accès au Webservice fondée sur le langageXML pour préciser comment communiquer afin d’utiliser le composant logiciel.WS-*Ensemble de spécifications des Web Services. Par exemple, le protocole WS-Security pourappliquer de la sécurité aux Web Services ou encore WS-Policy, WS-Trust...XMLExtensible Markup Language. Ce langage à balises, textuel et structuré, est extensible. Il viseà automatiser les échanges et entre différents systèmes hétérogènes.Bee Ware présente son Web Services Firewall, conçu pour donner aux équipes de sécuritédes SI une visibilité nouvelle sur les Web Services. Disponible sous forme d’appliances ou demachines virtuelles, le Web Services Firewall se déploie en mode mandataire ou transparentet permet d’inspecter les flux entrants ou ceux à destination des partenaires. Au delà de sonrôle de reconnaissance et d’interception de contenus offensifs, il permet de protéger lesfournisseurs et les consommateurs de Web Services contre les aléas qui peuvent perturber laproduction (incidents réseau, saturation, messages corrompus…) Ses fonctions de monitoringproactif lui permettent d’anticiper les surcharges et de faciliter la continuité des Web Servicesqu’il protège.Le parefeu XML BEE WARE EN Détails
  9. 9. Livre BlancPour assurer la continuité et l’évolution des Web Services, quel que soit le mode de consommation (de l’interne oudepuis l’extérieur), il faut instrumenter l’infrastructure. Le parefeu XML rassure les partenaires lors des échangesnumériques. Il garantit la conformité des flux entre serveurs, bloque les attaques et contenus malicieux. C’est un outilde conformité, de traçabilité et d’analyse forensique précieux à l’ère du cloud computing et de l’interconnexion dessystèmes d’informations.Pour en savoir plusBEE WARE20 rue Billancourt92100 Boulogne Billancourt - FranceTéléphone : +33 (0)1 74 90 50 90Fax : +33 (0)4 42 38 28 62Email : info@bee-ware.netWeb : www.bee-ware.netSOFTWARE AG FRANCETour Europlaza - 20 avenue André Prothin - La Défense 492927 Courbevoie cedexTéléphone : +33 (0)1 78 99 70 00Fax: +33 (0)1 47 76 32 62Email : sales.fr@softwareag.comWeb : www.softwareag.comLivreblancréalisépar-www.speedfire.com
  10. 10. Tous droits réservés - (C)opyright septembre 2011 - © Bee Ware
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×