SlideShare a Scribd company logo

Palveluiden ja tietoturvan valtuushallinta

Thomas Malmberg
Thomas Malmberg

- Ws-security, allekirjoitus ja kryptaus - Webserviceiden tekninen tunnistaminen ja suojaaminen - Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit - Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun

Presentations & Public Speaking
1 of 23
-"Ai että kuka minä olen?" -"Kyllähän te minut tunnette..." Palveluiden ja tietoturvan valtuushallinta 9.6.2011 Thomas Malmberg
Päivän puheenaiheet • Ws-security, allekirjoitus ja kryptaus • Webserviceiden tekninen tunnistaminen ja suojaaminen • Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit • Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun 11.9.2014 (C) Thomas 2 Malmberg [FOR INTENDED AUDIENCES ONLY] ”Kysymyksiä voi esittää koska tahansa” Palveluiden ja tietoturvan valtuushallinta
...mutta alkuun: mikä tietoturva? • On hyvä muistaa ettei tietoturvaa saavuteta vain teknisillä vimpaimilla ja kallilla härveleillä – eikä varsinkaan Isolla Voimalla • Tietoturva kostuu tässä kontekstissa ainakin seuraavista asioista – Sovellus- ja palvelukehityksestä – Sovelluskehittäjistä – Pääsystä tietoon – Palvelimien fysisestä suojaamisesta – Käyttäjätunnuksista – Valtuushallinnasta – Sertifikaattien hallinnasta – Konfiguraatioiden hallinnasta 11.9.2014 (C) Thomas 3 Malmberg [FOR INTENDED AUDIENCES ONLY]
...ja sitten: miksi tarvitaan tietoturvaa palveluissa *) • Tiedätkö mitä kaikkea yhdellä palvelulla voi tehdä • Tiedätkö kuka palvelun on toteuttanut • Tiedätkö onko palvelulle suoritettu tekninen auditointi • Tiedätkö kuka palvelua käyttää • Tiedätkö mihin palvelua käytetään • Tiedätkö milloin palvelua käytetään • Tiedätkö mihin tietoihin palvelulla pääsee käsiksi • Pystytkö rajaamaan palvelun käyttöä tarvittaessa • Etkö? Miksi et? *) Palveluilla tarkoitetaan palveluarkkitehtuurin mukaisia SOA-palveluita 11.9.2014 (C) Thomas 4 Malmberg [FOR INTENDED AUDIENCES ONLY]
Ws-security, allekirjoitus ja kryptaus 11.9.2014 (C) Thomas 5 Malmberg [FOR INTENDED AUDIENCES ONLY]
Ws-security, allekirjoitus ja kryptaus • Perusasiat kuntoon – Turha suojata jotain joka on sisältä mätä • Huolehdi siitä että palvelun toteutus vastaa asetettuja vaatimuksia • Katselmoi ja toteuta tekninen auditointi – Jos et liiku turvallisessa verkossa, käytä aina SSL-suojausta • Selvitä faktat ja määrittele – Mikä on haluttu tietoturvataso – Joudutko terminoimaan SSL-suojauksen aikaisemmin kuin haluaisit – Luotatko pyynnön lähettäjään – Onko joitakin erityisehtoja arkkitehtuurissa jotka vaativat tietynlaisia ratkaisuja – Onko joitain muita erityisehtoja (esim. PCI-DSS) 11.9.2014 (C) Thomas 6 Malmberg [FOR INTENDED AUDIENCES ONLY]
Ws-security, allekirjoitus ja kryptaus • Mihin tarvitan allekirjoitusta – Allekirjoituksella taataan että sanoman sisältö ei ole matkalla muuttunut – Allekirjoittamalla voit myös huolehtia tunnistuksesta ja sen myötä auktorisoinnista • ...mutta: – Allekirjoitus ei suojaa sisältöä ulkopuolisen silmiltä – Allekirjoitus ei korvaa kryptaamista – Allekirjoitus vaatii tokenin • SAML • Kerberos • Sertifikaatti – Allekirjoitus puretaan kummassakin päässä – kallista • Vaihtoehtoja? – Asioita voi (ehkä) yksinkertaistaa (ehkä) käyttämällä sertifikaattipohjaista tunnistusta kuljetuskerroksessa (SSL) 11.9.2014 (C) Thomas 7 Malmberg [FOR INTENDED AUDIENCES ONLY]
Ws-security, allekirjoitus ja kryptaus • Mihin tarvitaan kryptausta – Jos on oletettavaa että ulkopuolinen voi päästä katsomaan sanomia – Jos halutaan taata ettei kukaan ulkopuolinen voi päästä katsomaan sanomia – Jos SSL:ää ei voida käyttää – Jos SSL terminoidaan verkon reunalle, ja sanoman matka siitä perille asti on pitkä ja turvaton • ...mutta: – Kryptaus vasta kallista onkin – SSL voi mahdollisesti korvata kryptauksen 11.9.2014 (C) Thomas 8 Malmberg [FOR INTENDED AUDIENCES ONLY]
Ws-security, allekirjoitus ja kryptaus • Lisämausteet – Kaikki asiakkaat eivät tue kaikkia mahdollisia protokollia ja variantteja – Haasteita voi edelleen olla dotnet ja Java-ympäristöiden yhdistämisessä, puhumattakaan eksoottisimmista ratkaisuista – Valmisohjelmistojen tuki ws-securitylle edelleen hyvin vaihtelevaa – On olemassa XML-kiihdyttimiä, XML-yhdyskäytäviä sekä XML-palomuureja jotka tekevät • Vähän samoja asioita • Osittain niitä asioita mitä palveluväylä tekee • Osittain jotain aivan muuta • Joskus jotain aivan käsittämätöntä • Ja lopuksi – Tukeudu standardeihin, älä keksi pyörää uudestaan 11.9.2014 (C) Thomas 9 Malmberg [FOR INTENDED AUDIENCES ONLY]
Suorituskykyimpakti - "As you can see SSL encryption provides close to the same performance as the unsecured case" - "Using WS-Security, on the other hand, causes some huge drops in performance" - "In the case of combined signing and encryption, the test time is more than 2,100 percent longer than the unsecured case" Dennis Sosnoski, IBM developerWorks, 07 Jul 2009 http://www.ibm.com/developerworks/java/library/j-jws6/index.html 11.9.2014 (C) Thomas 11 Malmberg [FOR INTENDED AUDIENCES ONLY]
Suorituskykyimpakti - referenssit • Performance of Web Services Security – http://grids.ucs.indiana.edu/ptliupages/publications/WSSPerf.pdf • Performance Analysis of WS-Security Mechanisms in SOAP-Based Web Services – http://www.sei.cmu.edu/reports/10tr023.pdf • Implementation and Performance of WS-Security – http://domino.watson.ibm.com/library/cyberdig.nsf/1e4115aea78b6e7c85256b360066f0d4/337510 17b1eac46b852573a3000c455e!OpenDocument&Highlight=0,XML • Java Web services: The high cost of (WS-)Security – http://www.ibm.com/developerworks/java/library/j-jws6/index.html 11.9.2014 (C) Thomas 12 Malmberg [FOR INTENDED AUDIENCES ONLY]
Webserviceiden tekninen tunnistaminen ja suojaaminen 11.9.2014 (C) Thomas 13 Malmberg [FOR INTENDED AUDIENCES ONLY]
Webserviceiden tekninen tunnistaminen ja suojaaminen • Perusasiat kuntoon – Huolehdi siitä että tunnet toimintaympäristön, tavoitteet ja vaatimukset – Tarkista että suoja on oikea suoja • Älä rakenna itsellesi suojalabyrinttia jonka toimivuudesta ja suojaustasosta et itsekään tiedä • Suunnittele palvelut siten, että suojaus on käytännöllistä toteuttaa – Jos et liiku turvallisessa verkossa, käytä aina SSL-suojausta • Määrittele ensin – Mikä on haluttu tietoturvataso – Joudutko terminoimaan SSL-suojauksen aikaisemmin kuin haluat – Luotatko lähettäjään – Tietoturvapolitiikka – Nimeämispolitiikat 11.9.2014 (C) Thomas 14 Malmberg [FOR INTENDED AUDIENCES ONLY]
Webserviceiden tekninen tunnistaminen ja suojaaminen • Suojaaminen on ehdoton edellytys palveluiden tarjoamiselle – Tietoturvan näkökulmasta ei ole tärkeitä ja vähemmän tärkeitä palveluita – tee yksi tietoturvapolitiikka ja noudata sitä • Toteuta palvelut siten, että noudattavat oman alasi lainsäädäntöä ja hyviä käytäntöjä nyt - ja helposti tulevaisuudessa • Muista tiedottaa! – Jos kukaan ei tiedä hienosta tietoturvapolitiikasta tai vaatimuksista, ei sitä myös noudateta – Kannusta ja palkitse hyviä ja "oikein tehtyjä" ratkaisuja 11.9.2014 (C) Thomas 15 Malmberg [FOR INTENDED AUDIENCES ONLY]
Webserviceiden tekninen tunnistaminen ja suojaaminen • Mitä tarkoitetaan teknisellä tunnistamisella – Esimerkiksi perinteinen machine2machine tekninen käyttäjätunnus, joka nyt on korvattu sertifikaatilla – Tunnistetaan kutsuja (kutsuva sovellus) joka haluaa käyttää jotain palvelua • Kutsuja on esimerkiksi websovellus joka puolestaan huolehtii loppukäyttäjän tunnistuksesta ja auktorisoinnista • Miten suojataan – Suojaaminen on tunnustenhallintaa ja luvitusta • Prosessi – Tekninen toteutus palveluväylässä joka toteuttaa suojaamiselle määritellyt ja asetetut vaatimukset 11.9.2014 (C) Thomas 16 Malmberg [FOR INTENDED AUDIENCES ONLY]
Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit 11.9.2014 (C) Thomas 17 Malmberg [FOR INTENDED AUDIENCES ONLY]
Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit • Hallintaan liittyvät haasteet – Sertifikaattien hallinta • Kuka voi hakea sertifikaatteja • Kuka voi myöntää sertifikaatteja • Missä sertifikaatit pidetään – Keystoreiden käsittely – LDAPin hallinta • Sertifikaattien voimassaoloaika – Palveluiden hallinta • Kuka määrittelee palvelun sisällön • Kuka päättää mikä tai kuka saa kutsua palvelua jonka tuottama sisältö on X (ja mahdollisesti huomenna X+1) • Voiko tunnistukseen luottaa jos sen taustalla oleva palvelu muuttuu siten että alunperin annetut valtuudet ja oikeudet eivät enää voi päteä? – Prosessihaaste! 11.9.2014 (C) Thomas 18 Malmberg [FOR INTENDED AUDIENCES ONLY]
Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit • Prosesseihin liittyvät haasteet – Miten palveluiden tekninen tunnistus ja siihen liittyvät asiat saadaan osaksi käyttöönottoprosessia – Kuuluuko palveluiden tekninen valtuushallinta yrityksen valtuus- tai identiteetinhallinnan piiriin • Pitääkö palvelut listata AD:hen? • Onko AD:ssa tämän tasoisia hallintaprosesseja? • Entä LDAP? – Tekninen lähestymistapa samankaltainen kuin AD:ssa, mutta usein hallinnollisesti helpompi ratkaisu • Entä IAM? – Voiko palveluita hallita IAM-järjestelmän avulla, ja mitä se edellyttää? 11.9.2014 (C) Thomas 19 Malmberg [FOR INTENDED AUDIENCES ONLY]
Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun 11.9.2014 (C) Thomas 20 Malmberg [FOR INTENDED AUDIENCES ONLY]
Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun • Asiakastunnistus voidaan ottaa mukaan tekniseen tunnistukseen, mutta – Infrastruktuuri ja arkkitehtuuri on hankala – Edellyttää yleensä erittäin vahvaa ja hyvää business-casea – Testaaminen voi olla hyvin raskasta – Edellyttää että yhteistyökumppanit myös tukevat tätä – Paketoidaan asiakkaan identiteetti mukaan webservicekutsuun • Tarvitaan silti tekninen autentikointi • Ei päästetä "vääriä" sovelluksia edes yrittämään – Käytännössä: federoidaan asiakkaan identiteetti koko kutsuketjun läpi esim. SAMLilla • Löydätkö hyödyt? Miten myyt ne? Entäs jokin hybridimalli? 11.9.2014 (C) Thomas 21 Malmberg [FOR INTENDED AUDIENCES ONLY]
Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun • Kuten aikaisemmin todettiin: Asiakkaan identiteetti voidaan viedä osana palvelukutsun sisältöä • Edellyttää tietenkin että asiakas on luotettavasti (ja mielellään vahvasti) tunnistettu varsinaisessa sovelluksessa • Asiakkaan identiteetti voi olla pelkästään ID varsinaiseen asiakasdataan • Asiakastiedot voidaan pitää kauempana ja siten suojatuimpina • Palveluväylä voi hyödyntää asiakasidentiteettiä taustajärjestelmäkutsuihin – Taustajärjestelmät eivät välttämättä kuitenkaan tue webservicejä – puhumattakaan ws-securitystä 11.9.2014 (C) Thomas 22 Malmberg [FOR INTENDED AUDIENCES ONLY]
Questions? Kysymyksiä? Frågor? Thank You! Kiitos! Tack! Contact: thomas.malmberg@aktia.fi http://fi.linkedin.com/in/thomasmalmberg twitter @tsmalmbe Esityksen kuvat: Aktia sekä stock.xchng
Palveluiden ja tietoturvan valtuushallinta

Recommended

Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Tomppa Järvinen
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuri
Thomas Malmberg
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012
Tomppa Järvinen
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
guest6a238ed
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Petri Aukia
 
Software Development Life Cycle – Managing Risk and Measuring Security
Software Development Life Cycle – Managing Risk and Measuring SecuritySoftware Development Life Cycle – Managing Risk and Measuring Security
Software Development Life Cycle – Managing Risk and Measuring Security
Thomas Malmberg
 
SSL - sertifikaatit
SSL - sertifikaatitSSL - sertifikaatit
SSL - sertifikaatit
Salcom Group
 

Recommended

Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminenKyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Kyberrikos 2018 - verkkokaupan kyberriskit ja niihin varautuminen
Tomppa Järvinen
 
Tietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuriTietoturva ja IT-arkkitehtuuri
Tietoturva ja IT-arkkitehtuuri
Thomas Malmberg
 
Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012Tietoturvaa it kehitykselle 12 2012
Tietoturvaa it kehitykselle 12 2012
Tomppa Järvinen
 
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_SimulaTietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Tietoturvallisuuden_kevatseminaari_2013_Tommi_Simula
Valtiokonttori / Statskontoret / State Treasury of Finland
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
guest6a238ed
 
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Pilvipalvelut - vääjäämättömyys vai mahdottomuus –ISACA 17.2.2011
Petri Aukia
 
Software Development Life Cycle – Managing Risk and Measuring Security
Software Development Life Cycle – Managing Risk and Measuring SecuritySoftware Development Life Cycle – Managing Risk and Measuring Security
Software Development Life Cycle – Managing Risk and Measuring Security
Thomas Malmberg
 
SSL - sertifikaatit
SSL - sertifikaatitSSL - sertifikaatit
SSL - sertifikaatit
Salcom Group
 
SSL sertifikaatit Salcom Entrust
SSL sertifikaatit Salcom EntrustSSL sertifikaatit Salcom Entrust
SSL sertifikaatit Salcom Entrust
Salcom Group
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
Kim Westerlund
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
Tomppa Järvinen
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
japijapi
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Tieturi Oy
 
SQL Server 2012 aamiaisseminaari
SQL Server 2012 aamiaisseminaariSQL Server 2012 aamiaisseminaari
SQL Server 2012 aamiaisseminaari
Salcom Group
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Tomppa Järvinen
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
Tomppa Järvinen
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?
Nixu Corporation
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
Finceptum Oy
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEW3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
Deittisirkus
 
Tietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäTietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissä
Jyrki Kasvi
 
Eero_Siljander_Consent_Management_Solution_Offer_2023_AVAUS.pptx
Eero_Siljander_Consent_Management_Solution_Offer_2023_AVAUS.pptxEero_Siljander_Consent_Management_Solution_Offer_2023_AVAUS.pptx
Eero_Siljander_Consent_Management_Solution_Offer_2023_AVAUS.pptx
Eero Siljander
 
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Lari Hotari
 
Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016
Sininen Meteoriitti / Blue Meteorite
 
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaLiiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Jukka Niiranen
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
Kimmo Vesajoki
 
Tunnistautuminen (luento, tietoturva)
Tunnistautuminen (luento, tietoturva)Tunnistautuminen (luento, tietoturva)
Tunnistautuminen (luento, tietoturva)
Tieto- ja viestintätekniikkakoulu
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-Nebula
Telia Inmics-Nebula
 
Maine, turvallisuus, luotettavuus... verkkokaupan valuutta
Maine, turvallisuus, luotettavuus... verkkokaupan valuuttaMaine, turvallisuus, luotettavuus... verkkokaupan valuutta
Maine, turvallisuus, luotettavuus... verkkokaupan valuutta
Symantec Website Security
 

More Related Content

Similar to Palveluiden ja tietoturvan valtuushallinta

Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
Tomppa Järvinen
 

Similar to Palveluiden ja tietoturvan valtuushallinta (20)

SSL sertifikaatit Salcom Entrust
SSL sertifikaatit Salcom EntrustSSL sertifikaatit Salcom Entrust
SSL sertifikaatit Salcom Entrust
 
Nixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuusNixu pilvipalveluiden tietoturvallisuus
Nixu pilvipalveluiden tietoturvallisuus
 
Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011Pilvipalvelut ja tietoturva - 24.5.2011
Pilvipalvelut ja tietoturva - 24.5.2011
 
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdfPalveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
Palveluntarjoajien kyberturvakyvykkyys-11.9.23.pdf
 
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
Testaus 2014 -seminaari. Pauli Kauppila, Secrays Oy. Mitä jokaisen testaajan ...
 
SQL Server 2012 aamiaisseminaari
SQL Server 2012 aamiaisseminaariSQL Server 2012 aamiaisseminaari
SQL Server 2012 aamiaisseminaari
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
 
Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?Tekninen näkökulma: Lokienhallinta vai SIEM?
Tekninen näkökulma: Lokienhallinta vai SIEM?
 
Vahvojen tunnusten hallinta
Vahvojen tunnusten hallintaVahvojen tunnusten hallinta
Vahvojen tunnusten hallinta
 
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKEW3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
W3 Rekkari: Tietoturva ja käyttäytyminen intranetissä Jyrki Kasvi, TIEKE
 
Tietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissäTietoturva ja käyttätytyminen intranetissä
Tietoturva ja käyttätytyminen intranetissä
 
Eero_Siljander_Consent_Management_Solution_Offer_2023_AVAUS.pptx
Eero_Siljander_Consent_Management_Solution_Offer_2023_AVAUS.pptxEero_Siljander_Consent_Management_Solution_Offer_2023_AVAUS.pptx
Eero_Siljander_Consent_Management_Solution_Offer_2023_AVAUS.pptx
 
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
Microservices - Palveluarkkitehtuurin uusi tuleminen - EMC Forum 2014
 
Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016Trusted cloud sininen meteoriitti - 13.1.2016
Trusted cloud sininen meteoriitti - 13.1.2016
 
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avullaLiiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
Liiketoimintatietojen turvaaminen microsoftin pilvipalveluiden avulla
 
Salcom Turva @easyFairs
Salcom Turva @easyFairsSalcom Turva @easyFairs
Salcom Turva @easyFairs
 
Tunnistautuminen (luento, tietoturva)
Tunnistautuminen (luento, tietoturva)Tunnistautuminen (luento, tietoturva)
Tunnistautuminen (luento, tietoturva)
 
Edge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-NebulaEdge Computing 0204020, Telia Inmics-Nebula
Edge Computing 0204020, Telia Inmics-Nebula
 
Maine, turvallisuus, luotettavuus... verkkokaupan valuutta
Maine, turvallisuus, luotettavuus... verkkokaupan valuuttaMaine, turvallisuus, luotettavuus... verkkokaupan valuutta
Maine, turvallisuus, luotettavuus... verkkokaupan valuutta
 

Palveluiden ja tietoturvan valtuushallinta

  • 1. -"Ai että kuka minä olen?" -"Kyllähän te minut tunnette..." Palveluiden ja tietoturvan valtuushallinta 9.6.2011 Thomas Malmberg
  • 2. Päivän puheenaiheet • Ws-security, allekirjoitus ja kryptaus • Webserviceiden tekninen tunnistaminen ja suojaaminen • Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit • Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun 11.9.2014 (C) Thomas 2 Malmberg [FOR INTENDED AUDIENCES ONLY] ”Kysymyksiä voi esittää koska tahansa” Palveluiden ja tietoturvan valtuushallinta
  • 3. ...mutta alkuun: mikä tietoturva? • On hyvä muistaa ettei tietoturvaa saavuteta vain teknisillä vimpaimilla ja kallilla härveleillä – eikä varsinkaan Isolla Voimalla • Tietoturva kostuu tässä kontekstissa ainakin seuraavista asioista – Sovellus- ja palvelukehityksestä – Sovelluskehittäjistä – Pääsystä tietoon – Palvelimien fysisestä suojaamisesta – Käyttäjätunnuksista – Valtuushallinnasta – Sertifikaattien hallinnasta – Konfiguraatioiden hallinnasta 11.9.2014 (C) Thomas 3 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 4. ...ja sitten: miksi tarvitaan tietoturvaa palveluissa *) • Tiedätkö mitä kaikkea yhdellä palvelulla voi tehdä • Tiedätkö kuka palvelun on toteuttanut • Tiedätkö onko palvelulle suoritettu tekninen auditointi • Tiedätkö kuka palvelua käyttää • Tiedätkö mihin palvelua käytetään • Tiedätkö milloin palvelua käytetään • Tiedätkö mihin tietoihin palvelulla pääsee käsiksi • Pystytkö rajaamaan palvelun käyttöä tarvittaessa • Etkö? Miksi et? *) Palveluilla tarkoitetaan palveluarkkitehtuurin mukaisia SOA-palveluita 11.9.2014 (C) Thomas 4 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 5. Ws-security, allekirjoitus ja kryptaus 11.9.2014 (C) Thomas 5 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 6. Ws-security, allekirjoitus ja kryptaus • Perusasiat kuntoon – Turha suojata jotain joka on sisältä mätä • Huolehdi siitä että palvelun toteutus vastaa asetettuja vaatimuksia • Katselmoi ja toteuta tekninen auditointi – Jos et liiku turvallisessa verkossa, käytä aina SSL-suojausta • Selvitä faktat ja määrittele – Mikä on haluttu tietoturvataso – Joudutko terminoimaan SSL-suojauksen aikaisemmin kuin haluaisit – Luotatko pyynnön lähettäjään – Onko joitakin erityisehtoja arkkitehtuurissa jotka vaativat tietynlaisia ratkaisuja – Onko joitain muita erityisehtoja (esim. PCI-DSS) 11.9.2014 (C) Thomas 6 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 7. Ws-security, allekirjoitus ja kryptaus • Mihin tarvitan allekirjoitusta – Allekirjoituksella taataan että sanoman sisältö ei ole matkalla muuttunut – Allekirjoittamalla voit myös huolehtia tunnistuksesta ja sen myötä auktorisoinnista • ...mutta: – Allekirjoitus ei suojaa sisältöä ulkopuolisen silmiltä – Allekirjoitus ei korvaa kryptaamista – Allekirjoitus vaatii tokenin • SAML • Kerberos • Sertifikaatti – Allekirjoitus puretaan kummassakin päässä – kallista • Vaihtoehtoja? – Asioita voi (ehkä) yksinkertaistaa (ehkä) käyttämällä sertifikaattipohjaista tunnistusta kuljetuskerroksessa (SSL) 11.9.2014 (C) Thomas 7 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 8. Ws-security, allekirjoitus ja kryptaus • Mihin tarvitaan kryptausta – Jos on oletettavaa että ulkopuolinen voi päästä katsomaan sanomia – Jos halutaan taata ettei kukaan ulkopuolinen voi päästä katsomaan sanomia – Jos SSL:ää ei voida käyttää – Jos SSL terminoidaan verkon reunalle, ja sanoman matka siitä perille asti on pitkä ja turvaton • ...mutta: – Kryptaus vasta kallista onkin – SSL voi mahdollisesti korvata kryptauksen 11.9.2014 (C) Thomas 8 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 9. Ws-security, allekirjoitus ja kryptaus • Lisämausteet – Kaikki asiakkaat eivät tue kaikkia mahdollisia protokollia ja variantteja – Haasteita voi edelleen olla dotnet ja Java-ympäristöiden yhdistämisessä, puhumattakaan eksoottisimmista ratkaisuista – Valmisohjelmistojen tuki ws-securitylle edelleen hyvin vaihtelevaa – On olemassa XML-kiihdyttimiä, XML-yhdyskäytäviä sekä XML-palomuureja jotka tekevät • Vähän samoja asioita • Osittain niitä asioita mitä palveluväylä tekee • Osittain jotain aivan muuta • Joskus jotain aivan käsittämätöntä • Ja lopuksi – Tukeudu standardeihin, älä keksi pyörää uudestaan 11.9.2014 (C) Thomas 9 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 10. Suorituskykyimpakti - "As you can see SSL encryption provides close to the same performance as the unsecured case" - "Using WS-Security, on the other hand, causes some huge drops in performance" - "In the case of combined signing and encryption, the test time is more than 2,100 percent longer than the unsecured case" Dennis Sosnoski, IBM developerWorks, 07 Jul 2009 http://www.ibm.com/developerworks/java/library/j-jws6/index.html 11.9.2014 (C) Thomas 11 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 11. Suorituskykyimpakti - referenssit • Performance of Web Services Security – http://grids.ucs.indiana.edu/ptliupages/publications/WSSPerf.pdf • Performance Analysis of WS-Security Mechanisms in SOAP-Based Web Services – http://www.sei.cmu.edu/reports/10tr023.pdf • Implementation and Performance of WS-Security – http://domino.watson.ibm.com/library/cyberdig.nsf/1e4115aea78b6e7c85256b360066f0d4/337510 17b1eac46b852573a3000c455e!OpenDocument&Highlight=0,XML • Java Web services: The high cost of (WS-)Security – http://www.ibm.com/developerworks/java/library/j-jws6/index.html 11.9.2014 (C) Thomas 12 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 12. Webserviceiden tekninen tunnistaminen ja suojaaminen 11.9.2014 (C) Thomas 13 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 13. Webserviceiden tekninen tunnistaminen ja suojaaminen • Perusasiat kuntoon – Huolehdi siitä että tunnet toimintaympäristön, tavoitteet ja vaatimukset – Tarkista että suoja on oikea suoja • Älä rakenna itsellesi suojalabyrinttia jonka toimivuudesta ja suojaustasosta et itsekään tiedä • Suunnittele palvelut siten, että suojaus on käytännöllistä toteuttaa – Jos et liiku turvallisessa verkossa, käytä aina SSL-suojausta • Määrittele ensin – Mikä on haluttu tietoturvataso – Joudutko terminoimaan SSL-suojauksen aikaisemmin kuin haluat – Luotatko lähettäjään – Tietoturvapolitiikka – Nimeämispolitiikat 11.9.2014 (C) Thomas 14 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 14. Webserviceiden tekninen tunnistaminen ja suojaaminen • Suojaaminen on ehdoton edellytys palveluiden tarjoamiselle – Tietoturvan näkökulmasta ei ole tärkeitä ja vähemmän tärkeitä palveluita – tee yksi tietoturvapolitiikka ja noudata sitä • Toteuta palvelut siten, että noudattavat oman alasi lainsäädäntöä ja hyviä käytäntöjä nyt - ja helposti tulevaisuudessa • Muista tiedottaa! – Jos kukaan ei tiedä hienosta tietoturvapolitiikasta tai vaatimuksista, ei sitä myös noudateta – Kannusta ja palkitse hyviä ja "oikein tehtyjä" ratkaisuja 11.9.2014 (C) Thomas 15 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 15. Webserviceiden tekninen tunnistaminen ja suojaaminen • Mitä tarkoitetaan teknisellä tunnistamisella – Esimerkiksi perinteinen machine2machine tekninen käyttäjätunnus, joka nyt on korvattu sertifikaatilla – Tunnistetaan kutsuja (kutsuva sovellus) joka haluaa käyttää jotain palvelua • Kutsuja on esimerkiksi websovellus joka puolestaan huolehtii loppukäyttäjän tunnistuksesta ja auktorisoinnista • Miten suojataan – Suojaaminen on tunnustenhallintaa ja luvitusta • Prosessi – Tekninen toteutus palveluväylässä joka toteuttaa suojaamiselle määritellyt ja asetetut vaatimukset 11.9.2014 (C) Thomas 16 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 16. Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit 11.9.2014 (C) Thomas 17 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 17. Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit • Hallintaan liittyvät haasteet – Sertifikaattien hallinta • Kuka voi hakea sertifikaatteja • Kuka voi myöntää sertifikaatteja • Missä sertifikaatit pidetään – Keystoreiden käsittely – LDAPin hallinta • Sertifikaattien voimassaoloaika – Palveluiden hallinta • Kuka määrittelee palvelun sisällön • Kuka päättää mikä tai kuka saa kutsua palvelua jonka tuottama sisältö on X (ja mahdollisesti huomenna X+1) • Voiko tunnistukseen luottaa jos sen taustalla oleva palvelu muuttuu siten että alunperin annetut valtuudet ja oikeudet eivät enää voi päteä? – Prosessihaaste! 11.9.2014 (C) Thomas 18 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 18. Teknisen tunnistamisen hallinta sekä siihen liittyvät prosessit • Prosesseihin liittyvät haasteet – Miten palveluiden tekninen tunnistus ja siihen liittyvät asiat saadaan osaksi käyttöönottoprosessia – Kuuluuko palveluiden tekninen valtuushallinta yrityksen valtuus- tai identiteetinhallinnan piiriin • Pitääkö palvelut listata AD:hen? • Onko AD:ssa tämän tasoisia hallintaprosesseja? • Entä LDAP? – Tekninen lähestymistapa samankaltainen kuin AD:ssa, mutta usein hallinnollisesti helpompi ratkaisu • Entä IAM? – Voiko palveluita hallita IAM-järjestelmän avulla, ja mitä se edellyttää? 11.9.2014 (C) Thomas 19 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 19. Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun 11.9.2014 (C) Thomas 20 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 20. Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun • Asiakastunnistus voidaan ottaa mukaan tekniseen tunnistukseen, mutta – Infrastruktuuri ja arkkitehtuuri on hankala – Edellyttää yleensä erittäin vahvaa ja hyvää business-casea – Testaaminen voi olla hyvin raskasta – Edellyttää että yhteistyökumppanit myös tukevat tätä – Paketoidaan asiakkaan identiteetti mukaan webservicekutsuun • Tarvitaan silti tekninen autentikointi • Ei päästetä "vääriä" sovelluksia edes yrittämään – Käytännössä: federoidaan asiakkaan identiteetti koko kutsuketjun läpi esim. SAMLilla • Löydätkö hyödyt? Miten myyt ne? Entäs jokin hybridimalli? 11.9.2014 (C) Thomas 21 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 21. Loppuasiakkaan tunnistuksen lisääminen tekniseen tunnistusketjuun • Kuten aikaisemmin todettiin: Asiakkaan identiteetti voidaan viedä osana palvelukutsun sisältöä • Edellyttää tietenkin että asiakas on luotettavasti (ja mielellään vahvasti) tunnistettu varsinaisessa sovelluksessa • Asiakkaan identiteetti voi olla pelkästään ID varsinaiseen asiakasdataan • Asiakastiedot voidaan pitää kauempana ja siten suojatuimpina • Palveluväylä voi hyödyntää asiakasidentiteettiä taustajärjestelmäkutsuihin – Taustajärjestelmät eivät välttämättä kuitenkaan tue webservicejä – puhumattakaan ws-securitystä 11.9.2014 (C) Thomas 22 Malmberg [FOR INTENDED AUDIENCES ONLY]
  • 22. Questions? Kysymyksiä? Frågor? Thank You! Kiitos! Tack! Contact: thomas.malmberg@aktia.fi http://fi.linkedin.com/in/thomasmalmberg twitter @tsmalmbe Esityksen kuvat: Aktia sekä stock.xchng