05 Oracle api gateway

988 views
794 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
988
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
26
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Join The Community
  • 05 Oracle api gateway

    1. 1. 1 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    2. 2. The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle. 2 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    3. 3. Seguridad en aplicaciones y servicios web David Rodríguez-Barbero Security Presales Team Leader
    4. 4. Agenda  Necesidades en un entorno SOA  Control basado en la información  Conclusiones 4 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    5. 5. Estado y necesidades … se despliegan principalmente usando web services XML • Uso elevado e intensivo de CPU • Implica el uso de tecnologías y estándares, tanto modernos como “legacy” • Gran diversidad de clientes • Necesidad de SLA’s para el “cobro por uso” 5 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. …altamente expuestas • Amenazas XML, virus, ataques DoS, etc. • ¿Como podemos asegurar la confidencialidad y el no repudio? • ¿Quién puede acceder a los servicios y bajo que condiciones? • ¿Qué información sale de la organización y como?
    6. 6. Oracle API Gateway Perímetro de seguridad dinámico Mobile DMZ Seguridad Acceso Seguridad en la Nube Salvaguarda en acceso móvil PRIMERA LÍNEA DE DEFENSA 6 Gateway Primera línea de defensa     Cloud GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD Detección de intrusiones Acceso asegurado Seguridad en el transporte/mensaje Análisis en tiempo real Copyright © 2012, Oracle and/or its affiliates. All rights reserved.     Seguridad del dato Asegura SLAs Transformaciones seguras Virtualización y mash-ups   Automatización en mensajes Acceso seguro a servicios
    7. 7. Refuerzo del acceso Acceso desde dispositivos móviles Robo de identidad ¿Quiero mejorar mi autenticación sin cambios? Nuevos paradigmas Identificación 7 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. ¿Quiero cambiar la seguridad de mis servicios sin desarrollo?
    8. 8. Refuerzo del acceso Autenticación en el perímetro Extranet Web Service Client (Browser) Intranet DMZ SSO Cookie Servidores de aplicaciones Web Service Client Web Service OAG Access Manager Sistemas de control de acceso Autenticación en el perímetro  Autenticación contra   8 Oracle Access Manager (SSO usando OAM cookie) o 3 rd party WebSSO   Oracle Directory Services (OID, ODSEE, OVD) Directorios y herramientas de acceso de terceras partes Mediación de Tokens – Generación de aserciones SAML usando el nombre del web service client Copyright © 2012, Oracle and/or its affiliates. All rights reserved. STS Tratamiento de tokens
    9. 9. Autorización sin cambio en las aplicaciones Cambios en la autorización Desarrollos continuos ¿Quiero cambiar la autorización sin parar mis sistemas? Paradas de servicio Carencias 9 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. ¿Quiero integrar todos mis entornos?
    10. 10. Autorización sin cambio en las aplicaciones Autorización de grano fino para WebServices y Aplicaciones • Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP • Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras HTTP o en información del cuerpo del mensaje PEP Web Applications PDP Request Customer Service - getCustomerDetail - updateCustomer OAG Web Services Clients 10 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. - deleteCustomer…
    11. 11. Tratamiento de mensajes Mensajes inalterables Nuevas necesidades ¿Necesito enriquecer/simplificar mis mensajes? Enriquecimiento Cifrado 12 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. ¿Quiero cifrar en los servicios para tereceros?
    12. 12. Tratamiento de mensajes Reescritura del mensaje • Reescritura de los datos y/o cifrado en la entrega del mensaje • En base a políticas de autorización PEP Web Applications PDP Customer Service - getCustomerDetail - updateCustomer OAG Web Services Clients 13 <SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope> Copyright © 2012, Oracle and/or its affiliates. All rights reserved. - deleteCustomer… <SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope>
    13. 13. Seguridad en entornos móviles Seguridad para REST HTTP / HTTPS / REST Web Services Clients REST SOAP OAG Transformaciones seguras y REST     14 Detección de amenzas en el tráfico REST SSL y autenticación por certificado Limitación del canal (Throttling) Cambio protocolo (REST a SOAP y SOAP a REST) y mediación de datos Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Servidor de recursos
    14. 14. Consumo de servicios en el Cloud Consumo de servicios Cloud Centralización del acceso ¿Quiero integrar mis entornos con servicios Cloud? Gestión de claves Simplificación 15 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. ¿Quiero centralizar el acceso a servicios Cloud?
    15. 15. API Key Management Corporate DMZ CRM HR API Key + Web Service Request Oracle API Gateway Talent APIKey_AWS 16 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. APIKey_Salesforce SOAP/REST and Legacy Web Services
    16. 16. Publicación de servicios a Internet Publicación de servicios a terceros Vulnerabilidad frente a ataques ¿Quiero publicar mis servicios hacia mis proveedores/partners? Acceso desde móviles Seguridad 17 Copyright © 2012, Oracle and/or its affiliates. All rights reserved. ¿Quiero proteger mis servicios de ataques externos?
    17. 17. Seguridad en la DMZ SOAP / REST/ HTML Validación del mensaje Web Service OAG Navegadores y APIs clientes Ataques DOS Flooding Recursive Payloads Oversized Payloads Memory Leak 18 Inyecciones y Código malicioso SQL Injection XPath Injection Cross-site scripting Malformed content Logic bombs Copyright © 2012, Oracle and/or its affiliates. All rights reserved. Confidencialidad Integridad Sniffing Parameter Tampering Schema Poisoning External Entity Canonicalization Reconocimiento de ataques Code templates Forceful browsing Directory Reversal WSDL scanning Registry Disclosure Ataques de Escalado de privilegios Dictionary Format String Buffer Overflow Race Conditions Symlink Unprotected interfaces
    18. 18. Conclusiones  Integrado y extensible – Preintegrado con Oracle’s Fusion Middleware, IDM, Databases, y Applications – También preintegrado con las tecnologías principales de terceras partes  Soporte completo para el gobierno de la nube y su seguridad – Soporte de las ultimas tecnologías de cloud y movilidad  Rápido y escalable – Aprovecha los últimos avances de las CPU’s Intel y Sparc – Diseñado para soportar grandes despliegues empresariales  Basado en estándares – Soporta todos los protocolos y tecnologías XML relevantes; web services, SOA, seguridad y estandartes en gestión de Identidad 19 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    19. 19. 20 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    20. 20. www.oracle.com/Identity www.facebook.com/OracleIDM www.twitter.com/OracleIDM blogs.oracle.com/OracleIDM 21 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    21. 21. 22 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.
    22. 22. 23 Copyright © 2012, Oracle and/or its affiliates. All rights reserved.

    ×