<Insert Picture Here><Insert Picture Here>
Bezpieczne API, jak organizacja może
minimalizować ryzyko korzystania z "web
se...
WS Request
<soapenv:Envelope
xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:alx="http://alx/">
<soapenv:H...
Confidentiality - Poufność
Integrity - Integralność
Avaliability - Dostępność
Narzędzia
• Uwierzytelnianie
• Autoryzacja
• Szyfrowanie
• Podpis cyfrowy
• Integralność
• Niezaprzeczalność
Jakie API ?
• Web Services Protocols: SOAP 1.1 & 1.2, SwA,
MTOM, Plain XML (POX), REST, Web 2.0 (Ajax,
JSON), UDDI, WSDL
•...
Web
Service
Web
Service
OWSM
Agent
Architektura
Referencyjna
DMZ
HTTP GET/POST
REST
XML
SOAP
JMS
Extranet
Pierwsza linia
o...
API Security
• Bezpieczeństwo API
• Ochrona przed zagrożeniami Zagrożenia
• Kontrola dostępu i tożsamości
• Bezpieczeństwo...
Bezpieczeństwo Web Service’ów
• Bezpieczeństwo warstwy transportowej
• Point to Point - SSL
• Standardowy mechanizm uwierz...
Bezpieczeństwo Web Service’ów
Bezpieczeństwo warstwy wiadomość
• Wiadomość same się chronią
• Uwierzytelnianie, Poufność, ...
Uwierzytelnianie
• Dostępne tokeny
• Certyfikaty X.509
• Kerberos tickets
• UserID/Password
• SAML - Assertion
• ObSSO Coo...
Uwierzytelnianie cd
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:alx="http://alx/">
<...
Integralność
• Standard Podpisu wg. W3C - XML Signature
• Podpisywanie wybranych elementów
• Niezaprzeczalność - Non-repud...
OWSM - Poufność
• Stadnard szyfrowania - W3C XML Encryption
• Szyfrowanie wybranych elementów
OWSM - Wydajność
Pamiętajmy !!!
Szyfrowanie i podpisywanie cyfrowe wymaga zasobów
"Bezpieczne API, jak organizacja może minimalizować ryzyko korzystania z "web services" w sieci." Aleksander Jachowicz, En...
"Bezpieczne API, jak organizacja może minimalizować ryzyko korzystania z "web services" w sieci." Aleksander Jachowicz, En...
Upcoming SlideShare
Loading in...5
×

"Bezpieczne API, jak organizacja może minimalizować ryzyko korzystania z "web services" w sieci." Aleksander Jachowicz, Enterprise Security Solution Architect, Oracle Polska

249

Published on

Summer Tech Days - Identity Management, 9.07.2013

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
249
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

"Bezpieczne API, jak organizacja może minimalizować ryzyko korzystania z "web services" w sieci." Aleksander Jachowicz, Enterprise Security Solution Architect, Oracle Polska

  1. 1. <Insert Picture Here><Insert Picture Here> Bezpieczne API, jak organizacja może minimalizować ryzyko korzystania z "web services" w sieci.
  2. 2. WS Request <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:alx="http://alx/"> <soapenv:Header/> <soapenv:Body> <alx:addInput> <arg0>4</arg0> <arg1>5</arg1> </alx:addInput> </soapenv:Body> </soapenv:Envelope>
  3. 3. Confidentiality - Poufność Integrity - Integralność Avaliability - Dostępność
  4. 4. Narzędzia • Uwierzytelnianie • Autoryzacja • Szyfrowanie • Podpis cyfrowy • Integralność • Niezaprzeczalność
  5. 5. Jakie API ? • Web Services Protocols: SOAP 1.1 & 1.2, SwA, MTOM, Plain XML (POX), REST, Web 2.0 (Ajax, JSON), UDDI, WSDL • Transport Protocols: TCP, HTTP 1.0 & 1.1, JMS, MQ, FTP, SFTP, SMTP, POP. • Security and Policy Model: SSL, XML Encryption, XML Signature, WS-Security (SAML, Kerberos, Username, X.509 token profiles), WS-Policy, WS- SecurityPolicy, WS-Trust, WS-SecureConversation, WS-Addressing, WS-RM, XACML, XKMS, PKCS#1, PKCS#7, PKCS#12, S/MIME., OAuth
  6. 6. Web Service Web Service OWSM Agent Architektura Referencyjna DMZ HTTP GET/POST REST XML SOAP JMS Extranet Pierwsza linia obrony Bezpieczaństwo „Last mile” Intranet Web Client (Browser) Web Service Client Web Service Client Web Service Client Web Service Client OWSM Agent Service Bus OWSM Agent OWSMOWSM Web Service OWSM Agent Web Service OWSM Agent Web Service OWSM Agent Common Security Policies OAG
  7. 7. API Security • Bezpieczeństwo API • Ochrona przed zagrożeniami Zagrożenia • Kontrola dostępu i tożsamości • Bezpieczeństwo danych („data redaction”) • Zarządzanie API • QOS • Transformacje i „Routing” • Audyt i Monitorowanie • Zarządzanie kluczami do API
  8. 8. Bezpieczeństwo Web Service’ów • Bezpieczeństwo warstwy transportowej • Point to Point - SSL • Standardowy mechanizm uwierzytelniania HTTP • W SSL Brak informacji o użytkowniku aplikacji • Poufność • Integralność
  9. 9. Bezpieczeństwo Web Service’ów Bezpieczeństwo warstwy wiadomość • Wiadomość same się chronią • Uwierzytelnianie, Poufność, Integralność • Niezależne od warstwy transportowej
  10. 10. Uwierzytelnianie • Dostępne tokeny • Certyfikaty X.509 • Kerberos tickets • UserID/Password • SAML - Assertion • ObSSO Cookie (Oracle Access Manager) • Custom defined token
  11. 11. Uwierzytelnianie cd <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:alx="http://alx/"> <soapenv:Header> <wsse:Security soapenv:mustUnderstand="1" xmlns:wsse="http://docs.oasis- open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd"> <wsse:UsernameToken wsu:Id="UsernameToken-5" xmlns:wsu="http://docs.oasis- open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd"> <wsse:Username>owsmuser</wsse:Username> <wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss- username-token-profile-1.0#PasswordText">abcd1234</wsse:Password> </wsse:UsernameToken> </wsse:Security> </soapenv:Header> <soapenv:Body> <alx:addInput> <arg0>5</arg0> <arg1>8</arg1> </alx:addInput> </soapenv:Body> </soapenv:Envelope>
  12. 12. Integralność • Standard Podpisu wg. W3C - XML Signature • Podpisywanie wybranych elementów • Niezaprzeczalność - Non-repudiation
  13. 13. OWSM - Poufność • Stadnard szyfrowania - W3C XML Encryption • Szyfrowanie wybranych elementów
  14. 14. OWSM - Wydajność Pamiętajmy !!! Szyfrowanie i podpisywanie cyfrowe wymaga zasobów
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×