Protección de aplicaciones de negocio y servicios web Security Today Andalucia

  • 133 views
Uploaded on

 

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
133
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
2
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1
  • 2. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.2 The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
  • 3. Seguridad en aplicaciones y servicios web David Rodríguez-Barbero Enterprise Architect Security Specialist
  • 4. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.4 Agenda  Necesidades en un entorno SOA  Control basado en la información  Conclusiones
  • 5. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.5 Estado y necesidades … se despliegan principalmente usando web services XML • Uso elevado e intensivo de CPU • Implica el uso de tecnologías y estándares, tanto modernos como “legacy” • Gran diversidad de clientes • Necesidad de SLA’s para el “cobro por uso” …altamente expuestas • Amenazas XML, virus, ataques DoS, etc. • ¿Como podemos asegurar la confidencialidad y el no repudio? • ¿Quién puede acceder a los servicios y bajo que condiciones? • ¿Qué información sale de la organización y como?
  • 6. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.6 DMZ Seguridad Primera línea de defensa Oracle API Gateway Perímetro de seguridad dinámico Cloud Gateway Seguridad en la Nube Mobile Acceso Salvaguarda en acceso móvil PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD  Detección de intrusiones  Acceso asegurado  Seguridad en el transporte/mensaje  Análisis en tiempo real  Seguridad del dato  Asegura SLAs  Transformaciones seguras  Virtualización y mash-ups  Automatización en mensajes  Acceso seguro a servicios
  • 7. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.7 Acceso desde dispositivos móviles Robo de identidad Nuevos paradigmas Identificación ¿Quiero mejorar mi autenticación sin cambios? ¿Quiero cambiar la seguridad de mis servicios sin desarrollo? Refuerzo del acceso
  • 8. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8 Sistemas de control de acceso DMZExtranet Web Service Client Servidores de aplicaciones Web Service Autenticación en el perímetro  Autenticación contra  Oracle Directory Services (OID, ODSEE, OVD)  Oracle Access Manager (SSO usando OAM cookie) o 3rd party WebSSO  Directorios y herramientas de acceso de terceras partes  Mediación de Tokens – Generación de aserciones SAML usando el nombre del web service client SSO Cookie OAG Web Service Client (Browser) Refuerzo del acceso Autenticación en el perímetro Tratamiento de tokens Intranet Access Manager STS
  • 9. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.9 Cambios en la autorización Desarrollos continuos Paradas de servicio Carencias ¿Quiero cambiar la autorización sin parar mis sistemas? ¿Quiero integrar todos mis entornos? Autorización sin cambio en las aplicaciones
  • 10. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.10 - getCustomerDetail - updateCustomer - deleteCustomer… Customer Service Autorización sin cambio en las aplicaciones Autorización de grano fino para WebServices y Aplicaciones Web Applications Web Services Clients Request PEP PDP • Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP • Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras HTTP o en información del cuerpo del mensaje OAG
  • 11. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.12 Mensajes inalterables Nuevas necesidades Enriquecimiento Cifrado ¿Necesito enriquecer/simplificar mis mensajes? ¿Quiero cifrar en los servicios para tereceros? Tratamiento de mensajes
  • 12. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.13 - getCustomerDetail - updateCustomer - deleteCustomer… Customer Service Tratamiento de mensajes Reescritura del mensaje Web Applications Web Services Clients PEP PDP OAG <SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope> <SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope> • Reescritura de los datos y/o cifrado en la entrega del mensaje • En base a políticas de autorización
  • 13. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.14 Seguridad en entornos móviles Seguridad para REST Web Services Clients OAG Servidor de recursos HTTP / HTTPS / REST Transformaciones seguras y REST  Detección de amenzas en el tráfico REST  SSL y autenticación por certificado  Limitación del canal (Throttling)  Cambio protocolo (REST a SOAP y SOAP a REST) y mediación de datos REST SOAP
  • 14. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.15 Consumo de servicios Cloud Centralización del acceso Gestión de claves Simplificación ¿Quiero integrar mis entornos con servicios Cloud? ¿Quiero centralizar el acceso a servicios Cloud? Consumo de servicios en el Cloud
  • 15. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.16 API Key Management Corporate DMZ SOAP/REST and Legacy Web Services Oracle API Gateway HR CRM Talent APIKey_AWS APIKey_Salesforce API Key + Web Service Request
  • 16. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.17 Publicación de servicios a terceros Vulnerabilidad frente a ataques Acceso desde móviles Seguridad ¿Quiero publicar mis servicios hacia mis proveedores/partners? ¿Quiero proteger mis servicios de ataques externos? Publicación de servicios a Internet
  • 17. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.18 Seguridad en la DMZ SOAP / REST/ HTML Validación del mensaje Navegadores y APIs clientes Flooding Recursive Payloads Oversized Payloads Memory Leak Ataques DOS Sniffing Parameter Tampering Schema Poisoning External Entity Canonicalization Confidencialidad Integridad Code templates Forceful browsing Directory Reversal WSDL scanning Registry Disclosure Reconocimiento de ataques Dictionary Format String Buffer Overflow Race Conditions Symlink Unprotected interfaces Ataques de Escalado de privilegios SQL Injection XPath Injection Cross-site scripting Malformed content Logic bombs Inyecciones y Código malicioso OAG Web Service
  • 18. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.19 Conclusiones  Integrado y extensible – Preintegrado con Oracle’s Fusion Middleware, IDM, Databases, y Applications – También preintegrado con las tecnologías principales de terceras partes  Soporte completo para el gobierno de la nube y su seguridad – Soporte de las ultimas tecnologías de cloud y movilidad  Rápido y escalable – Aprovecha los últimos avances de las CPU’s Intel y Sparc – Diseñado para soportar grandes despliegues empresariales  Basado en estándares – Soporta todos los protocolos y tecnologías XML relevantes; web services, SOA, seguridad y estandartes en gestión de Identidad
  • 19. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.20
  • 20. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.21 www.facebook.com/OracleIDM www.twitter.com/OracleIDM blogs.oracle.com/OracleIDM www.oracle.com/Identity
  • 21. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.22
  • 22. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.23