Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017Codemotion
Nuovi modelli di sicurezza in ambienti multi-cloud. Ridefinizione del concetto di Front-End. Nuovi approcci alle tematiche di sicurezza in scenari magmatici.
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud
Tesi di Laurea di Roberto Amelio
Relatore: Dott. Claudio Ardagna
Correlatore: Dott. Marco Anisetti
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
Il nostro DevOps Engineer Gabriele Torregrossa insieme alla Solution Architect Eleonora Peruch di Red Hat, moderati dal giornalista Francesco Pignatelli, hanno mostrato come Red Hat ACS può aiutare a difendersi dalle minacce informatiche, riducendo al minimo i costi ed il rischio operativo delle tue applicazioni.
I temi trattati da Gabriele sono stati:
- RHACS Insights
- Conformità agli standard di settore
- Valutazione dei rischi per la sicurezza
- Gestione delle politiche di rete
- Gestione delle vulnerabilità
- Risposta alle violazioni
- Sistema centralizzato di ricerca
- Integrazione con SSO
- Gestione della salute del cluster
- Integrazione per allarmi e backup
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/advanced-cluster-security-come-si-mette-davvero-al-sicuro-il-cloud
Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017Codemotion
Nuovi modelli di sicurezza in ambienti multi-cloud. Ridefinizione del concetto di Front-End. Nuovi approcci alle tematiche di sicurezza in scenari magmatici.
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei servizi cloud
Tesi di Laurea di Roberto Amelio
Relatore: Dott. Claudio Ardagna
Correlatore: Dott. Marco Anisetti
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
Il nostro DevOps Engineer Gabriele Torregrossa insieme alla Solution Architect Eleonora Peruch di Red Hat, moderati dal giornalista Francesco Pignatelli, hanno mostrato come Red Hat ACS può aiutare a difendersi dalle minacce informatiche, riducendo al minimo i costi ed il rischio operativo delle tue applicazioni.
I temi trattati da Gabriele sono stati:
- RHACS Insights
- Conformità agli standard di settore
- Valutazione dei rischi per la sicurezza
- Gestione delle politiche di rete
- Gestione delle vulnerabilità
- Risposta alle violazioni
- Sistema centralizzato di ricerca
- Integrazione con SSO
- Gestione della salute del cluster
- Integrazione per allarmi e backup
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/advanced-cluster-security-come-si-mette-davvero-al-sicuro-il-cloud
Cloud Computing fondamenti di sicurezzaMario Gentili
Cloud Computing fondamenti di sicurezza, la sicurezza nei modelli IaaS, PaaS e SaaS. La virtualizzazione, l'Intrusion Detection Service e la crittografia
SHELL CONTROL BOX: IL GUSTO DELLA SICUREZZA
I TechAdvisor Babel presentano i dettagli dell'ultima versione dello Shell Control Box, la soluzione di BalaBit dedicata al monitoraggio e all'audit degli accessi amministrativi remoti.
L'evento ha avuto luogo il 21 novembre 2012 presso il Rome Cavalieri Hilton.
BalaBit: www.balabit.com
Babel: www.babel.it
Scenari introduzione Application Service Governance in AziendaConsulthinkspa
La visione Consulthink per la selezione di un'infrastruttura abilitante per l'IT di un'Azienda per la realizzazione della "Application Service Governance",
attraverso un'analisi di mercato e la realizzazione di PoC personalizzate .
Introduction to Microsoft Azure Well Architected Framework in Italian - Session 3 of 6
Introduzione a Microsoft Azure Well Architected Framework in Italiano - Sessione 3 di 6
Modulo 3: sicurezza
Intervento Carlo Mauceli a International Business Forum: le nuove frontiere dell'IT in Puglia" 7 - 8 novembre 2019 - Grand Hotel Masseria Santa Lucia di Ostuni. Carlo Mauceli, National Digital Officer, MICROSOFT
Il webinar ha l'obiettivo di dare indicazioni pratiche e suggerimenti per un adeguato utilizzo dello IAM di WSO2, fornendo casi d'uso e dettagli di integrazione con i sistemi utilizzati anche nella tua organizzazione.
Verranno inoltre affrontate le tematiche di accesso sia per i propri dipendenti, sia per i clienti finali che accedono a portali e utilizzano in generale i servizi esposti. In entrambi i casi WSO2 IAM garantisce sicurezza, agilità e conformità alle normative vigenti (GDPR; PSD2, ...)
Infine potrai chiedere approfondimenti tecnici al nostro esperto certificato su WSO2
Target
CIO, CISO, IT Manager, Product Manager, Digital Transformation Manager
AskQ Call Management System: uno strumento completo per la gestione delle chiamate e delle richieste di servizio.
Disegnato per una gestione remota e centralizzata, risponde perfettamente alla crescente richiesta di utilizzo di strumenti e servizi professionali senza acquisirne l’infrastruttura. Tutte le operazioni di mantenimento, backup e aggiornamento tecnologico sia hardware che software sono gestite centralmente dal team di supporto e sviluppo.
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...Par-Tec S.p.A.
Durante i due eventi Red Hat di novembre e più precisamente al Summit Connect di Roma e all’Open Source Day di Milano il nostro DevOps Engineer Gabriele Torregrossa ha mostrato un'accurata panoramica su Red Hat Advanced Cluster Security.
Durante il workshop tecnico sono stati esaminati i seguenti punti:
- Concetto di sicurezza nel mondo Cloud
- Cos'è Red Hat Advanced Cluster Security (RHACS)
- RHACS Insights
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/rhacs-creare-distribuire-ed-eseguire-applicazioni-cloud-native-in-modo-piu-sicuro
Introduction to Cloud Computing seminar.
Diritto dell'Informatica at Informatica, Dipartimento di Scienze matematiche e informatiche, scienze fisiche e scienze della terra, Università degli Studi di Messina.
By Lorenzo Carnevale.
Welcome to the 16th edition of the Deloitte Football Money League, in which we profile the highest earning clubs in the world’s most popular sport. The Money League is published eight months after the end of the 2011/12 season, and is therefore the most contemporary and reliable analysis of clubs’ relative financial performance.
Cloud Computing fondamenti di sicurezzaMario Gentili
Cloud Computing fondamenti di sicurezza, la sicurezza nei modelli IaaS, PaaS e SaaS. La virtualizzazione, l'Intrusion Detection Service e la crittografia
SHELL CONTROL BOX: IL GUSTO DELLA SICUREZZA
I TechAdvisor Babel presentano i dettagli dell'ultima versione dello Shell Control Box, la soluzione di BalaBit dedicata al monitoraggio e all'audit degli accessi amministrativi remoti.
L'evento ha avuto luogo il 21 novembre 2012 presso il Rome Cavalieri Hilton.
BalaBit: www.balabit.com
Babel: www.babel.it
Scenari introduzione Application Service Governance in AziendaConsulthinkspa
La visione Consulthink per la selezione di un'infrastruttura abilitante per l'IT di un'Azienda per la realizzazione della "Application Service Governance",
attraverso un'analisi di mercato e la realizzazione di PoC personalizzate .
Introduction to Microsoft Azure Well Architected Framework in Italian - Session 3 of 6
Introduzione a Microsoft Azure Well Architected Framework in Italiano - Sessione 3 di 6
Modulo 3: sicurezza
Intervento Carlo Mauceli a International Business Forum: le nuove frontiere dell'IT in Puglia" 7 - 8 novembre 2019 - Grand Hotel Masseria Santa Lucia di Ostuni. Carlo Mauceli, National Digital Officer, MICROSOFT
Il webinar ha l'obiettivo di dare indicazioni pratiche e suggerimenti per un adeguato utilizzo dello IAM di WSO2, fornendo casi d'uso e dettagli di integrazione con i sistemi utilizzati anche nella tua organizzazione.
Verranno inoltre affrontate le tematiche di accesso sia per i propri dipendenti, sia per i clienti finali che accedono a portali e utilizzano in generale i servizi esposti. In entrambi i casi WSO2 IAM garantisce sicurezza, agilità e conformità alle normative vigenti (GDPR; PSD2, ...)
Infine potrai chiedere approfondimenti tecnici al nostro esperto certificato su WSO2
Target
CIO, CISO, IT Manager, Product Manager, Digital Transformation Manager
AskQ Call Management System: uno strumento completo per la gestione delle chiamate e delle richieste di servizio.
Disegnato per una gestione remota e centralizzata, risponde perfettamente alla crescente richiesta di utilizzo di strumenti e servizi professionali senza acquisirne l’infrastruttura. Tutte le operazioni di mantenimento, backup e aggiornamento tecnologico sia hardware che software sono gestite centralmente dal team di supporto e sviluppo.
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...Par-Tec S.p.A.
Durante i due eventi Red Hat di novembre e più precisamente al Summit Connect di Roma e all’Open Source Day di Milano il nostro DevOps Engineer Gabriele Torregrossa ha mostrato un'accurata panoramica su Red Hat Advanced Cluster Security.
Durante il workshop tecnico sono stati esaminati i seguenti punti:
- Concetto di sicurezza nel mondo Cloud
- Cos'è Red Hat Advanced Cluster Security (RHACS)
- RHACS Insights
Per saperne di più, scaricate le slide e guardate la registrazione del webinar su https://www.par-tec.it/rhacs-creare-distribuire-ed-eseguire-applicazioni-cloud-native-in-modo-piu-sicuro
Introduction to Cloud Computing seminar.
Diritto dell'Informatica at Informatica, Dipartimento di Scienze matematiche e informatiche, scienze fisiche e scienze della terra, Università degli Studi di Messina.
By Lorenzo Carnevale.
Welcome to the 16th edition of the Deloitte Football Money League, in which we profile the highest earning clubs in the world’s most popular sport. The Money League is published eight months after the end of the 2011/12 season, and is therefore the most contemporary and reliable analysis of clubs’ relative financial performance.
Presentazione - ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
1. V Facoltà di Ingegneria
Corso di Laurea in Ingegneria Informatica
Dipartimento di Elettronica e Informazione
ANALISI DI PATTERN DI SICUREZZA
PER APPLICAZIONI BASATE SU SERVIZI
Relatore: prof. Pierluigi PLEBANI
Elaborato di Laurea di: Gianfranco CONTI
Matricola: 737296
Anno Accademico 2009-2010
2. Obiettivi & Metodologia 2
v Obiettivi preposti:
Fornire una panoramica tra gli strumenti e i requisiti di sicurezza;
Osservare come questi strumenti e requisiti vengano gestiti ed utilizzati all’interno di una SOA;
Cogliere gli aspetti salienti e il valore aggiunto che portano all’architettura stessa della SOA;
Evidenziare le peculiarità ed i vantaggi nell’utilizzo di questi strumenti.
v Metodologia seguita:
ü individuare alcune linee di sviluppo di maggiore interesse e approfondirle criticamente.
Nome relatore
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
3. Overview 3
Una panoramica tra gli strumenti e i requisiti di sicurezza
v SOA, WS, BPEL, WS-SECURITY, SAML, XACML, Confidenzialità, Integrità e non ripudio, Autorizzazione ecc
Gestione ed utilizzo degli strumenti e dei requisiti di sicurezza in una SOA
v A Pattern Language for Identity Management (Circle of Trust, Identity Provider, Identity Federation)
v Patterns for the eXtensible Access Control Markup Language (XACML Authorization ., XACML Access Control Evaluation)
v A Pattern-Driven Security Process for SOA Applications
v BPEL Processes for Non-Repudiation Protocols in Web Services
v The Credentials Pattern
ü Patterns for Authentication and Authorization Infrastructures
v Data provenance in SOA-security-reliability-and-integrity
ü Authorization-Based Access Control for the SOA (Identity-based AC vs Authorization-Based AC)
ü Methodology and Tools for End-to-End SOA Security Configurations
Conclusioni
Nome relatore
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
4. Patterns for Authentication and 4
Authorization Infrastructures 1 of 2
Viene proposto un pattern system derivato in grado di esprimere completamente ed esaustivamente una generica “attributed-
based Authentication and Authorization Infrastructure”.
v Aspetti fondamentali:
apprendere da altre implementazione evitare falle di sicurezza e bug per software di business critici;
modularizzazione dei pattern assegnare uno specifico e accettato security pattern ad ogni singolo modulo.
v La catena di processo e i relativi pattern associati:
Nome relatore
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
5. Patterns for Authentication and 5
Authorization Infrastructures 2 of 2
v Le relazioni tra i pattern:
I risultati ottenuti sono una classificazione e una valutazione completa delle migliori pratiche, nonché degli insegnamenti appresi.
SAML è stato utilizzato per la comunicazione, mentre XACML per l’attuazione dell’attribute-based Access Control (ABAC).
Nome relatore
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
6. Authorization-Based Access Control 6
for the Services Oriented Architecture 1 of 2
v Con l’Identity-based Access Control - IBAC avremo che:
ü Il rapporto di fiducia tra due domini è l’unica cosa che può prevenire violazioni dal parte dei singoli domini
è resterebbe comunque il problema della propagazione di tali informazioni tramite intermediari;
ü In caso di cambio di compiti, il dominio di riferimento deve aggiornare tutte le sue ACL e informare tutti gli altri domini
è i domini interessati dovranno dunque aggiornare i propri DB è alti costi se i cambiamenti sono frequenti;
ü In caso di delega e/o revoca, il nuovo user delegato non sarà in grado di utilizzare il servizio finché non saranno aggiornati i DB
è viceversa potrà continuare ad utilizzare la propria autorità finché la revoca non sarà propagata su tutti i DB;
è la mancanza del requisiti di coerenza fra i DB limita fortemente la scalabilità;
ü I certificati emessi da un certo dominio devono essere processati da altri domini
è in caso di aggiornamenti il sistema dovrà essere aggiornato in modo coordinato;
è ciò comporta un forte limite per chi volesse entrare a far parte del sistema;
ü Ogni programma invoca i servizi presentando le asserzioni SAML dell’identità del principal
è le autorità assegnate sono prese dall’ambient del principal;
è sono consentiti attacchi informatici incorportati in link fasulli o script su pagine web
è è possibile effettuare qualsiasi azione che gli admin hanno concesso al principal nel policy DB;
è Poca flessibilità e scalabilità;
è Difficoltà nell’utilizzo, nell’aggiornamento, nella delegazione e nella gestione nei DB;
è Sensibile ad errori, virus e perdita delle informazioni fra i domini.
Nome relatore
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
7. Authorization-Based Access Control 7
for the Services Oriented Architecture 2 of 2
v Con l’Authorization-based Access Control - ABAC avremo che:
ü ogni dominio ha informazioni riguardanti il solo principal
è risolve il problema delle identità distribuite;
ü se si ha la necessità di cambiare dei compiti fra i vari utenti, si cambiano semplicemente le autorizzazioni dei rispettivi utenti
è l’eventuale revoca è immediata;
è nessun dominio ha la necessità di essere informato delle modifiche è nessuna perdita di informazioni ;
ü il formato dell’autorizzazione è necessaria soltanto da parte del servizio a cui si fa riferimento
è facilita l’unione di nuove aziende al sistema, con il minimo effetto sui loro processi interni
ü Una richiesta deve portare solo le autorizzazioni del solo principal
è se un programma ha un errore o contiene un virus, si potrà abusare delle sole autorità del principal e non di tutte come avviene con l’IBAC
è Facilità di scalabilità, di evoluzione, di delega e di gestione;
è Più privato e più sicuro;
…per attuare ciò è necessario apportare una “piccola” modifica al modello IBAC
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU relatore
Nome
ANALISI DI PATTERN DI SICUREZZA PERAPPLICAZIONI BASATE SU SERVIZISERVIZI
8. Methodology and Tools for 8
End-to-End SOA Security Configurations 1 of 2
Il pattern in oggetto si pone il problema di come aiutare gli sviluppatori a concentrarsi sulle proprie responsabilità per la
configurazione della sicurezza nelle applicazioni SOA-based durante l’intero processo di sviluppo, fornendo oltre al processo di
configurazione della sicurezza anche il supporto della tecnologia per gli sviluppatori.
v Criticità nel processo di sviluppo “attuale”:
ü Nel processo di sviluppo non viene chiaramente definito come configurare la sicurezza;
ü I requisiti di sicurezza e le rispettive configurazioni sono determinare e realizzate in downstream phase;
ü Le informazioni richieste per la configurazione della sicurezza non sono disponibili nella fase di downstream;
ü In downstream phase lo sviluppatore non possiede sufficienti informazioni per creare corrette configurazioni di sicurezza;
ü Non vi è modo di sapere quale sicurezza è richiesta dai requisiti di business e se vengano o meno soddisfatti.
Come definire i ruoli dello sviluppatore da un punto di vista delle informazioni disponibili durante le fasi di sviluppo?
v Processo di sviluppo “futuro” proposto:
Il Business Analist definisce i business-level requirement
è i requisiti di sicurezza devono essere chiariti come una business-level policy definita dai busines proces;
Il Software Architect crea un service model completo concreto per soddisfare il business
è i requisiti di sicurezza per la composizione devono essere specificati nel service model;
Il Developer (che nell’”attuale” processo di sviluppo, sviluppa e testa gli atomic service) NON ha nessun ruolo
èsarà il Deployer attraverso WS-Security a specificare che il servizio verrà garantito dal deploy security configuration file;
Un Assembler crea il file di configurazione di sicurezza per ogni atomic service
è i requisiti di sicurezza definiti al passo 2 vengono garantiti;
Il Deployer imposta la piattaforma che dovrà eseguire e gestire i servizi per una esecuzione sicura
è verrà eseguito il deploy della configurazione per la piattaforma.
Nome relatore
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
9. Methodology and Tools for 9
End-to-End SOA Security Configurations 2 of 2
v Per attuare ciò si propongono due tecnologie:
ü Model-Driven Security – è una tecnologia per generare concretamente in modo semi-automatico, un file di configurazione della
sicurezza della model transformation dei requisiti di sicurezza, specificati dal Software architect.
ü Pattern-based Policy Application - supporta il Software architect nello specificare i requisiti (gli intent) di sicurezza della
composizione dei servizi attraverso l’applicazione di un pattern che si occuperà di applicare gli intenti per i componenti (anche di
basso livello). Nei pattern alcuni vincoli sono specificati, in modo tale che gli intenti non validi, siano individuati e corretti.
Si contribuirà dunque a generare configurazioni complesse in modo corretto, riducendo al contempo il carico di lavoro agli
sviluppatori anche quando il dominio di sicurezza è di tipo federato.
Nome relatore
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
10. Conclusioni 10
Si è appreso come la scelta e l’utilizzo di appropriati strumenti (WS-Security; SAML, XACML; X.509, Kerberos, TLS; AES, ecc) e
requisiti (Confidentialità; Integrità & non-ripudio; Autenticazione e Autorizzazione) all’interno di pattern di sicurezza per applicazioni
basate sul web, siano di fondamentale importanza per il raggiungimento di quegli obiettivi che un SOA da sempre si prepone di
raggiungere:
v Scalabilità, Sicurezza e Gestione.
Abbiamo inoltre appreso come sia utile e necessario a tale fine:
ü Centralizzare la gestione delle informazioni delle identità;
ü Realizzare una policy unificata di accesso in tutta l’organizzazione;
ü Utilizzare un approccio MDA che renda possibile considerare la sicurezza non più come un aspetto isolato;
ü Utilizzare pattern system derivati;
ü Considerare la provenienza dei dati;
ü Utilizzare un approccio riguardante le decisioni del controllo di accesso basate sull’autorizzazione (ABAC);
ü Utilizzare metodologie per configurazioni di sicurezza di tipo end-to-end per applicazioni SOA;
ü Utilizzare strumenti standard e ben conosciuti;
Nome relatore
ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI