Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas

402 views

Published on

Clovis Wichoski (CEO, NEOINIX)

Published in: Technology
  • Be the first to comment

  • Be the first to like this

WSO2 API Forum Brazil - Segurança para suas APIs: Guia de Boas Práticas

  1. 1. CEO Neoinix Segurança para suas APIs: Guia de Boas Práticas Clóvis Wichoski
  2. 2. •  Security by Design •  Taxonomia e modelo canônico •  Desafios •  Pilares fundamentais •  Princípios •  Controles de Segurança •  Facilidades do WSO2 APIM Agenda 2
  3. 3. •  Deve ser pensado em todas as fases •  Design, Desenvolvimento, Testes, Implantação e Monitoramento •  Maioria deixa pra pensar na implantação Security by Design 3
  4. 4. Taxonomia e modelo canônico 4
  5. 5. Taxonomia e modelo canônico 5
  6. 6. Taxonomia e modelo canônico 6
  7. 7. •  Facilidade de uso •  Performance •  Ponto mais fraco •  Defesa em profundidade •  Ataques internos Desafios 7
  8. 8. •  Confidencialidade •  Integridade •  Disponibilidade Pilares fundamentais 8
  9. 9. •  Minimizar os pontos de ataque •  Estabelecer padrões seguros •  Mínimo de previlégios •  Defesa em profundidade •  Falhar com segurança •  Não confie nos serviços •  Separação de responsabilidades •  Evite a segurança por obscuridade •  Mantenha a segurança simples Princípios 9
  10. 10. •  Autenticação •  Autorização •  Autenticidade •  Não-repudio •  Auditoria •  Mapeamento de ameaças Controles de segurança 10
  11. 11. Ato de provar quem você é. •  Algo que você sabe •  Algo que você possui •  Algo que você é Controles de segurança Autenticação 11
  12. 12. Ato de determinar o que você pode fazer. •  ACL - Access Control List •  DAC - Discricionário •  MAC - Mandatório •  RBAC - Função ou cargo do usuário •  ABAC - Atributos •  Controle de acesso baseado em políticas •  Escopos OAuth 2.0 Controles de segurança Autorização 12
  13. 13. Ato que garante que um determinado documento ou informação é verdadeiro e autêntico. •  Validade da assinatura da NF-e •  Validade da assinatura digital de PDF Controles de segurança Autenticidade 13
  14. 14. Ato de garantir que a pessoa não negue ter assinado ou criado a informação. •  Uso de certificado digital •  Tokens Controles de segurança Não-repúdio 14
  15. 15. Ato de armazenar informações das ações permitidas e recusadas para uso em análises ou relatórios de conformidade. Controles de segurança Auditoria 15
  16. 16. É uma abordagem metódica e sistemática para identificar possíveis ameaças de segurança e vulnerabilidades em uma implantação do sistema. Controles de segurança Mapeamento de ameaças 16
  17. 17. Controles de segurança Mapeamento de ameaças 17
  18. 18. •  Autenticação direta •  Gerenciando credenciais •  Autenticação biométrica •  Zona Verde Selada •  Mínimo comum •  Autenticação mútua •  Controle de acesso baseado em políticas •  Blockchain Padrões de segurança 18
  19. 19. Padrões de segurança Autenticação direta 19
  20. 20. Padrões de segurança Gerenciamento de credenciais 20
  21. 21. Padrões de segurança Autenticação biométrica 21
  22. 22. Padrões de segurança Zona verde selada 22
  23. 23. pior melhor Padrões de segurança Mínimo comum 23
  24. 24. Padrões de segurança Autenticação mútua 24
  25. 25. Padrões de segurança Controle de acesso baseado em políticas 25
  26. 26. Padrões de segurança Blockchain 26 Fonte: https://www.slideshare.net/wso2.org/wso2con-usa-2017-keynote-the-blockchains-digital-disruption
  27. 27. Facilidades do WSO2 APIM 27
  28. 28. Demonstração
  29. 29. wso2.com 29

×