Your SlideShare is downloading. ×
0
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.2
The following is intended to outline our general pro...
Seguridad en aplicaciones y
servicios web
David Rodríguez-Barbero
Enterprise Architect Security Specialist
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.4
Agenda
 Necesidades en un entorno SOA
 Control bas...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.5
Estado y necesidades
… se despliegan principalmente
...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.6
DMZ
Seguridad
Primera línea
de defensa
Oracle API Ga...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.7
Acceso desde dispositivos móviles
Robo de identidad
...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8
Sistemas de control de acceso
DMZExtranet
Web Servic...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.9
Cambios en la autorización
Desarrollos continuos
Par...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.10
- getCustomerDetail
- updateCustomer
- deleteCustom...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.12
Mensajes inalterables
Nuevas necesidades
Enriquecim...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.13
- getCustomerDetail
- updateCustomer
- deleteCustom...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.14
Seguridad en entornos móviles
Seguridad para REST
W...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.15
Consumo de servicios Cloud
Centralización del acces...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.16
API Key Management
Corporate DMZ
SOAP/REST and
Lega...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.17
Publicación de servicios a terceros
Vulnerabilidad ...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.18
Seguridad en la DMZ
SOAP / REST/ HTML
Validación de...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.19
Conclusiones
 Integrado y extensible
– Preintegrad...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.20
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.21
www.facebook.com/OracleIDM
www.twitter.com/OracleID...
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.22
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.23
Upcoming SlideShare
Loading in...5
×

Protección de aplicaciones de negocio y servicios web Security Today Andalucia

158

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
158
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Protección de aplicaciones de negocio y servicios web Security Today Andalucia"

  1. 1. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1
  2. 2. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.2 The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
  3. 3. Seguridad en aplicaciones y servicios web David Rodríguez-Barbero Enterprise Architect Security Specialist
  4. 4. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.4 Agenda  Necesidades en un entorno SOA  Control basado en la información  Conclusiones
  5. 5. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.5 Estado y necesidades … se despliegan principalmente usando web services XML • Uso elevado e intensivo de CPU • Implica el uso de tecnologías y estándares, tanto modernos como “legacy” • Gran diversidad de clientes • Necesidad de SLA’s para el “cobro por uso” …altamente expuestas • Amenazas XML, virus, ataques DoS, etc. • ¿Como podemos asegurar la confidencialidad y el no repudio? • ¿Quién puede acceder a los servicios y bajo que condiciones? • ¿Qué información sale de la organización y como?
  6. 6. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.6 DMZ Seguridad Primera línea de defensa Oracle API Gateway Perímetro de seguridad dinámico Cloud Gateway Seguridad en la Nube Mobile Acceso Salvaguarda en acceso móvil PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD  Detección de intrusiones  Acceso asegurado  Seguridad en el transporte/mensaje  Análisis en tiempo real  Seguridad del dato  Asegura SLAs  Transformaciones seguras  Virtualización y mash-ups  Automatización en mensajes  Acceso seguro a servicios
  7. 7. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.7 Acceso desde dispositivos móviles Robo de identidad Nuevos paradigmas Identificación ¿Quiero mejorar mi autenticación sin cambios? ¿Quiero cambiar la seguridad de mis servicios sin desarrollo? Refuerzo del acceso
  8. 8. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8 Sistemas de control de acceso DMZExtranet Web Service Client Servidores de aplicaciones Web Service Autenticación en el perímetro  Autenticación contra  Oracle Directory Services (OID, ODSEE, OVD)  Oracle Access Manager (SSO usando OAM cookie) o 3rd party WebSSO  Directorios y herramientas de acceso de terceras partes  Mediación de Tokens – Generación de aserciones SAML usando el nombre del web service client SSO Cookie OAG Web Service Client (Browser) Refuerzo del acceso Autenticación en el perímetro Tratamiento de tokens Intranet Access Manager STS
  9. 9. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.9 Cambios en la autorización Desarrollos continuos Paradas de servicio Carencias ¿Quiero cambiar la autorización sin parar mis sistemas? ¿Quiero integrar todos mis entornos? Autorización sin cambio en las aplicaciones
  10. 10. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.10 - getCustomerDetail - updateCustomer - deleteCustomer… Customer Service Autorización sin cambio en las aplicaciones Autorización de grano fino para WebServices y Aplicaciones Web Applications Web Services Clients Request PEP PDP • Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP • Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras HTTP o en información del cuerpo del mensaje OAG
  11. 11. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.12 Mensajes inalterables Nuevas necesidades Enriquecimiento Cifrado ¿Necesito enriquecer/simplificar mis mensajes? ¿Quiero cifrar en los servicios para tereceros? Tratamiento de mensajes
  12. 12. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.13 - getCustomerDetail - updateCustomer - deleteCustomer… Customer Service Tratamiento de mensajes Reescritura del mensaje Web Applications Web Services Clients PEP PDP OAG <SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope> <SOAP:Envelope> … <SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body> </SOAP:Envelope> • Reescritura de los datos y/o cifrado en la entrega del mensaje • En base a políticas de autorización
  13. 13. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.14 Seguridad en entornos móviles Seguridad para REST Web Services Clients OAG Servidor de recursos HTTP / HTTPS / REST Transformaciones seguras y REST  Detección de amenzas en el tráfico REST  SSL y autenticación por certificado  Limitación del canal (Throttling)  Cambio protocolo (REST a SOAP y SOAP a REST) y mediación de datos REST SOAP
  14. 14. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.15 Consumo de servicios Cloud Centralización del acceso Gestión de claves Simplificación ¿Quiero integrar mis entornos con servicios Cloud? ¿Quiero centralizar el acceso a servicios Cloud? Consumo de servicios en el Cloud
  15. 15. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.16 API Key Management Corporate DMZ SOAP/REST and Legacy Web Services Oracle API Gateway HR CRM Talent APIKey_AWS APIKey_Salesforce API Key + Web Service Request
  16. 16. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.17 Publicación de servicios a terceros Vulnerabilidad frente a ataques Acceso desde móviles Seguridad ¿Quiero publicar mis servicios hacia mis proveedores/partners? ¿Quiero proteger mis servicios de ataques externos? Publicación de servicios a Internet
  17. 17. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.18 Seguridad en la DMZ SOAP / REST/ HTML Validación del mensaje Navegadores y APIs clientes Flooding Recursive Payloads Oversized Payloads Memory Leak Ataques DOS Sniffing Parameter Tampering Schema Poisoning External Entity Canonicalization Confidencialidad Integridad Code templates Forceful browsing Directory Reversal WSDL scanning Registry Disclosure Reconocimiento de ataques Dictionary Format String Buffer Overflow Race Conditions Symlink Unprotected interfaces Ataques de Escalado de privilegios SQL Injection XPath Injection Cross-site scripting Malformed content Logic bombs Inyecciones y Código malicioso OAG Web Service
  18. 18. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.19 Conclusiones  Integrado y extensible – Preintegrado con Oracle’s Fusion Middleware, IDM, Databases, y Applications – También preintegrado con las tecnologías principales de terceras partes  Soporte completo para el gobierno de la nube y su seguridad – Soporte de las ultimas tecnologías de cloud y movilidad  Rápido y escalable – Aprovecha los últimos avances de las CPU’s Intel y Sparc – Diseñado para soportar grandes despliegues empresariales  Basado en estándares – Soporta todos los protocolos y tecnologías XML relevantes; web services, SOA, seguridad y estandartes en gestión de Identidad
  19. 19. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.20
  20. 20. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.21 www.facebook.com/OracleIDM www.twitter.com/OracleIDM blogs.oracle.com/OracleIDM www.oracle.com/Identity
  21. 21. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.22
  22. 22. Copyright © 2012, Oracle and/or its affiliates. All rights reserved.23
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×