• Share
  • Email
  • Embed
  • Like
  • Private Content
Bezpieczeństwo przesyłu danych finansowych i osobowych, klientów w energetyce
 

Bezpieczeństwo przesyłu danych finansowych i osobowych, klientów w energetyce

on

  • 624 views

Andrzej Kowalczyk IBM

Andrzej Kowalczyk IBM

Statistics

Views

Total Views
624
Views on SlideShare
624
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Bezpieczeństwo przesyłu danych finansowych i osobowych, klientów w energetyce Bezpieczeństwo przesyłu danych finansowych i osobowych, klientów w energetyce Presentation Transcript

    • Bezpieczeństwo przesyłu danych finansowych iosobowych, klientów w energetyce Andrzej Kowalczyk © 2013 IBM Corporation
    • IBM Software Jakie bezpieczeństwo jest tym właściwym?22
    • IBM Software Jak rozpoznać zagrożenie?3
    • IBM Software Zabezpieczanie danych a nie tylko transmisji4
    • IBM SoftwarePrzesyłanie danych osobowych i finansowych klientów SAP Faktury Odczyty Dane osobowe Jan Kowalski ARY123567 Faktury 82051232451 1982.05.12 Dane MIM - Man In The Middle Faktury Odczyty Faktury Osobowe Billing1 Billing2 Billing3 Billing45
    • IBM SoftwareJak się chronić przed atakiem MIM? Infrastruktura klucza publicznego Szyfrowanie treści Podpisywanie treści Używanie standardów jak: PKCS#7 – dla dowolnego typu dokumentu WS-Security – dla dokumentów XML6
    • IBM SoftwarePrzesyłanie danych osobowych i finansowych klientów SAP Faktury Jan Kowalski Dane ARY123567 Faktury Odczyty Faktury 82051232451 Odczyty Osobowe 1982.05.12 Dane osobowe ☺ Billing1 Billing2 Billing3 Billing47
    • IBM SoftwareBezpieczeństwo wymaga: Mocnych maszyn (CPU) Dużej ilości pamięci (RAM) Bezpiecznego przechowywania kluczy (urządzenia HSM) W przypadku tworzenia własnego kodu: – Znajomości dziedziny (ekspertów kryptografii) – Testów, testów i testów W przypadku zakupu komercyjnego rozwiązania software: – Zakupu maszyn o dużej wydajności obliczeniowej – Zakupu dużej ilości licencji ( w przypadku licencjonowania per CPU/Core)8
    • IBM SoftwareRozwiązaniem jest WebSphere DataPower Zbudowany do konkretnych zastosowań jak kryptografia Sprawdzony w działaniu (klienci) Konfigurowalny versus programowalny Wbudowany HSM Wsparcie PKCS#7 i WS-Security Wbudowany akcelerator XML i kryptografii9
    • IBM SoftwarePrzesyłanie danych osobowych i finansowych klientów SAP Faktury Jan Kowalski Dane ARY123567 Odczyty Faktury Odczyty Faktury 82051232451 Osobowe 1982.05.12 Dane osobowe W przypadku generacji dużej ilości danych należy rozważyć użycie maszyn DataPower w systemach generujących dane Billing1 Billing2 Billing3 Billing410
    • IBM SoftwareModel rynku opomiarowania 11
    • IBM SoftwareUogólniona architektura OIP - z systemami zabezpieczeń orazgłównym systemami dziedzinowymi 12
    • IBM SoftwareIBM SAFE –referencyjna architektura pomaga zbudowaćpełne środowisko dla sektora Utilities Smart Grid Data Integration to zasób pozwalający wdrożyć „Distribution Operations„ monitorujący urządzenia i usługi Security Solutions for Smart Meter / AMI Asset Management for Distribution Meter Asset Management ECM for Asset Operations Intelligent Meter Network Mgmt Time Series Data Management Smart Meter Data & Event Mgmt Business Agility for Smart Metering Smart Grid Data Integration Risk & Compliance Management13
    • IBM Software Smart Grid Data Architektura Funkcjonalna14
    • IBM SoftwareDataPower adresuje zarówno wyzwania biznesu jak itechnologiczne aspekty E&U wyzwania biznesowe Wyzwania technologiczne Sieci energetyczne, gazownicze oraz wodociągowe Web Service’y zwiększają efektywność aplikacji wymagają silnego bezpieczeństwa i skalowalności. dzięki reużywalności usług Wymagają wysokiej skalowalności ze względu na XML/Web Services ułatwiają wdrożenie SOA, ale przetwarzanie millionów transakcji dziennie a niosą nowe wyzwania: następnie millionów transakcji na godzinę. – Skalowalność: XML wymaga wydajności,mocno – Zaawansowane zarządzanie odczytami: wydajna i wykorzystuje CPU oraz pamięć; bezpieczna obsługa danych odczytowych we – Bezpieczeństwo: integracja systemów via Web wspierającej infrastrukturze Services stawia wyzwania bezpieczeństwu. – Automatyzacja sieci: integracja bazująca na – Integracja: podpięcie Web Services’ów do standardach danych oraz wsparcie dla systemów dawnych aplikacji wymaga różnych formatów. zarządzania awariami – Standardy: XML jest „gruby” co może – Generacja danych: konieczność wsparcia dużej spowodować problemy wydajnościowe czy być ilości danych z tysięcy urządzeń oraz wsparcie wąskim gardłem. systemów sprzedażowych interoperacyjność jest kluczem do integracji z istniejącą infrastrukturą.15
    • IBM SoftwareKoszt wydajności przetwarzania XMLWydajność jest kluczem dla bezpieczeństwa & mediacji Kroki przetwarzania* Parsing Schema XPath XML Signature Parsing Schema XML XML XML Validation Filtering Decryption Verification Validation Transformation Signing Encryption 1 3 5 8 8 1 3 10 6 8 Każda funkcja bezpieczeństwa wymaga przetwarzania XML Musi być zaimplementowana we wszystkich usługach bez żadnych kompromisów Musi posiadać możliwość skalowania względem treści i ilości danych * Representative of software-based systems. software-16 For demonstration only. Actual processing time varies depending on application.
    • 17 IBM Software Urządzenia WebSphere DataPower … ZABEZPIECZA architekturę SOA, Web 2.0, B2B oraz „Cloud” UPRASZCZA infrastrukturę integracyjną PRZYSPIESZA „time to value” NADZORUJE ewoluującą architekturę IT WebSphere DataPower Appliances dają niski koszt początkowy, pomagają klientom zwiększyć ROI oraz zredukować TCO ę ć ć dzięki specjalizowanym, dedykowanym urządzeniom które zapewniają najwyższej wydajności i wzmocnionemu ż ś bezpieczeństwu ń 17
    • IBM SoftwareSOA Bezpieczeństwo & Integracja Zewnętrzne Systemy: różne spółki/oddziały, partnerzy, konsumenckie, itp Web Services Żądanie Agregacja Faktury Broker Portal Interfaces danych Płatności Portal kliencki1. Zewn trzny system wywo uje Web Service ę ę ł ł (Web Services = HTTP z danymi w XML’u) HTTP2. Sprawd podpis cyfrowy ź3. Deszyfruj & waliduj dokument Verify Sign. Authenticate 17. Wy lij odpowied ś ś ś ś ź ź ź ź4. Pod ął ął ął ął cz Identity Mgmt System Decrypt XML Authorize 16. Zaszyfruj & Podpisz5. Uwierzytelnij & autoryzuj DataPower Service Gateway (XG45) Audit 15. Filtruj odpowied ź Identity Mgmt System Validate (Tivoli, LDAP, itp)6. Wstaw token bezpiecze stwa (SAML, Kerberos) ń ń ń ń HTTP7. Wy lij ś danie do warstwy integracyjnej ąż Warstwa bezpieczeństwa Warstwa integracji8. Transformuj XML Transform XML9. Zmie protokó (e.g. HTTP to MQ) ń ń ń ń ł ł ł ł Protocol switch 14. Wy lij do warstwy ś ś ś ś10. Route’uj na podstawie tre ci ś DataPower Integration Appliance (XI52 lub XG45 + DIM) bezpiecze stwa ń Content Routing MQ, JMS, 13. Transformuj odpowied ź FTP, HTTP, 12. Zmie protokó ń ń ń ń ł ł ł ł itp. 11. Agreguj odpowied ź ź ź ź Interfaces/Protocols HTTP MQ JMS DB FTP inne Odpowiedź FI w asne Systemy ł ł ł ł Zewn trzne Systemy ę Usługi CRM HR ERP Payment Płatności Karty kredytowe18 Dla kont Systemy korporacyjne
    • IBM Software WS-Security19
    • IBM Software WSRR Tworzenie polityk WSRR dostarcza kompletne narzędzia dla tworzenia dokumentów WS-Policy. Obejmuje to: – Web Services Policy 1.5 - Framework (WS-Policy). – Web Services Policy 1.2 - Attachment (WS-PolicyAttachment). WSRR także dostarcza przeglądarkowy edytor dla dokumentów. WS-SecurityPolicy Assertion 1: basicAuth required Assertion 2: sig required WS-Policy Attachment WSDL20
    • IBM SoftwareStosowanie Polityk BezpieczeństwaPolityki w działaniu Policy Polityka Szyfrowania CustomerInfoService Wymagane Zaszyfrowanie getAddress WSRR updateAddress Attachment getHistory Polityka Szyfrowania CustomerInfoService:updateHistory updateHistory updateHistory updateHistory [zaszyfrowany] [czyste] User Docelowy adres klient Uwaga: dobra praktyka wymaga bezpieczeństwa tzw „ostatniej mili”. 21
    • IBM Software WebSphere DataPower Appliance Portfolio Integration Appliance XI52/XI50B/XI50z Konfigurowalny hardware SOA/ESB Web services security Uwierzytelnienie i autoryzacja Dowolna Konwersja z „wire-speed” Scentralizowane zarządzanie politykami Inteligentny LoadBalancing i Dynamiczny Routing Opcjonalny Hardware Security Module (XI52) Service Gateway XG45 JMS, MQ, TAM - wbudowane Elastyczny i modyfikowalny – Entry-level SOA Opcjonalnie moduł „Data Integration” dla nie- Rozmiar 1U XML, PKCS7, ODBC Opcjonalny Hardware Security Module (HSM) Webapp, Web Services, Web 2.0 Security DMZ XML Firewalling & Threat Protection B2B Appliance XB62 Wysoka B2B wydajność Pogląd transakcji i możliwość ich ponowienia Bezpieczne B2B (EDIINT AS1, AS2, AS3) Wsparcie dla EDI i ebXML Zarządzanie profilami partnerów handlowych Integracja z MQ FTE Opcjonalnie Hardware Security Module (HSM)2222
    • IBM SoftwareService Gateway XG45 XML/SOAP Firewall – Filtruje dowolną treść, metadane czy sieciowe zmienne Walidacja Danych – sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą Kryptografia - PKCS#7,WS-Security Field Level Security- WS-Security, szyfrowanie & podpisywanie konkretnych pól, niezaprzeczalność XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc. Wielokrokowe reguły - zaawansowane wielokrokowe przetwarzanie reguł Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie zasadami Obsługa różnych warstw transportowych - HTTP, HTTPS, SSL SSL Termination/Acceleration – Akceleruje SSL ze sprzętową wydajnością Prosta Konfiguracja & Zarządzanie- WebGUI, CLI, IDE oraz Eclipse dla różnych grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa) Możliwość obsługi różnych protokołów dodatkowych - WMQ, JMS, TAM23
    • IBM Software XML Integration Appliance XI52 DataGlue “Any-to-Any” Silnik transformacji Routing bazujący na treści Wzbogacanie treści komunikatu Konwersja protokołów (HTTP, WMQ, TIBCO EMS, JMS, FTP, SFTP…) Request-response oraz synchroniczne-asynchroniczne łączenia Obsługa baz danych (ODBC) XML/SOAP Firewall – Filtruje dowolną treść, metadane oraz zmienne sieciowe Walidacja Danych - sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą Field Level Security- WS-Security, szyfrowanie & podpisywanie konkretnych pól, niezaprzeczalność XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc. Wielokrokowość - zaawansowane wielokrokowe przetwarzanie reguł Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie zasadami Prosta Konfiguracja & Zarządzanie- WebGUI, CLI, IDE oraz Eclipse dla różnych grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa) Występuje w wersji Z „mainframe”, B „blade”24
    • IBM SoftwareKonfiguracyjne podejście przyspiesza „time-to-market” Zapewnia standardy bezpieczeństwa - zero kodowania Intuicyjne przetwarzanie „strumienia komunikatów” Import/export konfiguracji pomiędzy środowiskami Próbniki pozwalają debbugować dane pomiędzy węzłami2525
    • IBM SoftwareDataPower Zyski i Wartość Zyski w implementacji Wartość Zmniejszone koszty operacyjne poprzez użycie wielu wbudowanych cech urządzenia Uproszczenie architektury IT Minimize expense of new applications – using DataPower Centralny punkt stosowania polityk to extend and modernize legacy systems Redukcja wydatków w przyszłości poprzez ponowne użycie czy redukcję wymagań na sprzęt Adresacja ryzyka dla wymagań dotyczących bezpieczeństwa Redukcja całkowitego kosztu „software maintenance” Krótki czas wdrożenia Redukcja kosztów IT poprzez usunięcie redundantnego oprogramowania i sprzętu Szybsza adopcja SOA Sprawdzony, bezpieczny - Policy Enforcement Point26
    • IBM Software Referencyjna Architektura & Przykłady2727
    • IBM SoftwareWebSphere DataPower wzorce użycia dla „Utilities” Smart Grid Sieć komunikacyjna Aplikacje Secure gateway Akceleracja XML & Systemy wysoka wydajność sprzedażowe ESB *) Zarządzanie odczytami *) Warstwa ESB zależy od protokołu i wymagań funkcjonalnych: HMC • WebSphere Message Broker • lub DataPower XG45 + DIM + AO Aplikacje zarządzające • lub DataPower XI52 + ODBC + AO Smart Grid28
    • IBM SoftwareWebSphere DataPower Appliances Internet DMZ Zaufana Domena 4 Wewnętrzne bezpieczeństwo 1 Secure Gateway 5 Enterprise Service Bus (Web Services, Web Applications) 6 SOA Governance Aplikacja 2 Inteligentny Load 7 Web Service Management Balancing Konsument Aplikacja 3 B2B Partner Gateway 8 „Legacy” integracja Aplikacja Konsument2929