Embed Size (px)
Citation preview
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 2
The following is intended to outline our general product direction. It
is intended for information purposes only, and may not be
incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality,
and should not be relied upon in making purchasing decisions. The
development, release, and timing of any features or functionality
described for Oracle’s products remains at the sole discretion of
Oracle.
Seguridad en aplicaciones y servicios web
David Rodríguez-Barbero
Enterprise Architect Security Specialist
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 4
Agenda
Necesidades en un entorno SOA
Control basado en la información
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 5
Estado y necesidades
… se despliegan principalmente
usando web services XML • Uso elevado e intensivo de CPU
• Implica el uso de tecnologías y
estándares, tanto modernos
como “legacy”
• Gran diversidad de clientes
• Necesidad de SLA’s para el
“cobro por uso”
…altamente expuestas • Amenazas XML, virus, ataques
DoS, etc.
• ¿Como podemos asegurar la
confidencialidad y el no repudio?
• ¿Quién puede acceder a los
servicios y bajo que
condiciones?
• ¿Qué información sale de la
organización y como?
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 6
DMZ Seguridad
Primera línea
de defensa
Oracle API Gateway Perímetro de seguridad dinámico
Cloud Gateway
Seguridad en
la Nube
Mobile Acceso
Salvaguarda en
acceso móvil
PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD
Detección de intrusiones
Acceso asegurado
Seguridad en el transporte/mensaje
Análisis en tiempo real
Seguridad del dato
Asegura SLAs
Transformaciones seguras
Virtualización y mash-ups
Automatización en mensajes
Acceso seguro a servicios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 7
Acceso desde dispositivos móviles
Robo de identidad
Nuevos paradigmas
Identificación
¿Quiero mejorar mi
autenticación sin
cambios?
¿Quiero cambiar la
seguridad de mis
servicios sin desarrollo?
Refuerzo del acceso
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 8
Sistemas de control de acceso
DMZ Extranet
Web Service Client
Servidores de aplicaciones
Web Service
Autenticación en el perímetro
Autenticación contra
Oracle Directory Services (OID, ODSEE, OVD)
Oracle Access Manager (SSO usando OAM cookie) o 3rd party WebSSO
Directorios y herramientas de acceso de terceras partes
Mediación de Tokens – Generación de aserciones SAML usando el nombre del web service client
SSO Cookie
OAG
Web Service Client
(Browser)
Refuerzo del acceso Autenticación en el perímetro
Tratamiento de tokens
Intranet
Access Manager STS
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 9
Cambios en la autorización
Desarrollos continuos
Paradas de servicio
Carencias
¿Quiero cambiar la
autorización sin parar
mis sistemas?
¿Quiero integrar
todos mis entornos?
Autorización sin cambio en las aplicaciones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 10
- getCustomerDetail
- updateCustomer
- deleteCustomer…
Customer Service
Autorización sin cambio en las aplicaciones Autorización de grano fino para WebServices y Aplicaciones
Web Applications
Web Services Clients
Request
PEP
PDP
• Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP
• Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras
HTTP o en información del cuerpo del mensaje
OAG
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 12
Mensajes inalterables
Nuevas necesidades
Enriquecimiento
Cifrado
¿Necesito
enriquecer/simplificar
mis mensajes?
¿Quiero cifrar en los
servicios para
tereceros?
Tratamiento de mensajes
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 13
- getCustomerDetail
- updateCustomer
- deleteCustomer…
Customer Service
Tratamiento de mensajes Reescritura del mensaje
Web Applications
Web Services Clients
PEP
PDP
OAG <SOAP:Envelope>
…
<SOAP:Body>
<getCustomerDetailResponse>
<customerID> 86901 </customerID>
<name> Sally Smith </name>
<phone> 555-1234567 </phone>
<DNI> 12345678A </DNI>
<creditCardNo> 1122 3344 5566 </creditCardNo>
<purchaseHistory> … </purchaseHistory>
</getCustomerDetailResponse>
</SOAP:Body>
</SOAP:Envelope>
<SOAP:Envelope>
…
<SOAP:Body>
<getCustomerDetailResponse>
<customerID> 99999 </customerID>
<name> Sally Smith </name>
<phone> 555-1234567 </phone>
<DNI> *********** </DNI>
<creditCardNo> @^*%&@$#%! </creditCardNo>
<purchaseHistory> … </purchaseHistory>
</getCustomerDetailResponse>
</SOAP:Body>
</SOAP:Envelope>
• Reescritura de los datos y/o cifrado en la entrega del mensaje
• En base a políticas de autorización
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 14
Seguridad en entornos móviles Seguridad para REST
Web Services Clients OAG
Servidor de
recursos
HTTP / HTTPS / REST
Transformaciones seguras y REST
Detección de amenzas en el tráfico REST
SSL y autenticación por certificado
Limitación del canal (Throttling)
Cambio protocolo (REST a SOAP y SOAP a REST) y mediación de datos
REST
SOAP
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 15
Consumo de servicios Cloud
Centralización del acceso
Gestión de claves
Simplificación
¿Quiero integrar mis
entornos con servicios
Cloud?
¿Quiero centralizar el
acceso a servicios
Cloud?
Consumo de servicios en el Cloud
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 16
API Key Management
Corporate DMZ
SOAP/REST and Legacy Web Services
Oracle API Gateway
HR
CRM
Talent
APIKey_AWS APIKey_Salesforce
API Key + Web Service Request
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 17
Publicación de servicios a terceros
Vulnerabilidad frente a ataques
Acceso desde móviles
Seguridad
¿Quiero publicar mis
servicios hacia mis
proveedores/partners?
¿Quiero proteger mis
servicios de ataques
externos?
Publicación de servicios a Internet
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 18
Seguridad en la DMZ
SOAP / REST/ HTML Validación del mensaje
Navegadores y APIs clientes
Flooding Recursive Payloads Oversized Payloads Memory Leak
Ataques DOS
Sniffing Parameter Tampering Schema Poisoning External Entity Canonicalization
Confidencialidad Integridad
Code templates Forceful browsing Directory Reversal WSDL scanning Registry Disclosure
Reconocimiento de ataques
Dictionary Format String Buffer Overflow Race Conditions Symlink Unprotected interfaces
Ataques de Escalado de privilegios
SQL Injection XPath Injection Cross-site scripting Malformed content Logic bombs
Inyecciones y Código malicioso
OAG
Web Service
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 19
Conclusiones
Integrado y extensible
– Preintegrado con Oracle’s Fusion Middleware, IDM, Databases, y Applications
– También preintegrado con las tecnologías principales de terceras partes
Soporte completo para el gobierno de la nube y su seguridad
– Soporte de las ultimas tecnologías de cloud y movilidad
Rápido y escalable
– Aprovecha los últimos avances de las CPU’s Intel y Sparc
– Diseñado para soportar grandes despliegues empresariales
Basado en estándares
– Soporta todos los protocolos y tecnologías XML relevantes; web services, SOA,
seguridad y estandartes en gestión de Identidad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 20
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 21
www.facebook.com/OracleIDM
www.twitter.com/OracleIDM
blogs.oracle.com/OracleIDM
www.oracle.com/Identity
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 22
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 23
