Post on 11-May-2015
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.2
The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.
Seguridad en aplicaciones y servicios web
David Rodríguez-BarberoSecurity Presales Team Leader
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.4
Agenda
Necesidades en un entorno SOA
Control basado en la información
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.5
Estado y necesidades
Web Service
Web Service
Web Service
Web Service
Web Service
XMLGateway
DMZ
HTTP GET/POST
REST
XML
SOAP
JMS
Extranet Intranet
Web Client (Browser)Web Service Client
Web Service Client
Web Service Client
Web Service Client
… se despliegan principalmente usando web services XML• Uso elevado e intensivo de CPU • Implica el uso de tecnologías y
estándares, tanto modernos como “legacy”
• Gran diversidad de clientes• Necesidad de SLA’s para el
“cobro por uso”
…altamente expuestas• Amenazas XML, virus, ataques
DoS, etc.• ¿Como podemos asegurar la
confidencialidad y el no repudio?• ¿Quién puede acceder a los
servicios y bajo que condiciones?
• ¿Qué información sale de la organización y como?
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.6
DMZ Seguridad
Primera línea de defensa
Oracle API GatewayPerímetro de seguridad dinámico
CloudGateway
Seguridad en la Nube
MobileAcceso
Salvaguarda en acceso móvil
PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD
Detección de intrusiones Acceso asegurado Seguridad en el transporte/mensaje Análisis en tiempo real
Seguridad del dato Asegura SLAs Transformaciones seguras Virtualización y mash-ups
Automatización en mensajes Acceso seguro a servicios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.7
Acceso desde dispositivos móviles
Robo de identidad
Nuevos paradigmas
Identificación
¿Quiero mejorar mi autenticación sin cambios?
¿Quiero cambiar la seguridad de mis servicios sin desarrollo?
Refuerzo del acceso
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8
Sistemas de control de acceso
DMZExtranet
Web Service ClientWeb Service Client
Servidores de aplicaciones
Web ServiceWeb Service
Autenticación en el perímetro Autenticación contra
Oracle Directory Services (OID, ODSEE, OVD) Oracle Access Manager (SSO usando OAM cookie) o 3rd party WebSSO Directorios y herramientas de acceso de terceras partes
Mediación de Tokens – Generación de aserciones SAML usando el nombre del web service client
SSO Cookie
OAG
Web Service Client (Browser)Web Service Client (Browser)
Refuerzo del accesoAutenticación en el perímetro
Tratamiento de tokens
Intranet
Access Manager STS
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.9
Cambios en la autorización
Desarrollos continuos
Paradas de servicio
Carencias
¿Quiero cambiar la autorización sin parar mis sistemas?
¿Quiero integrar
todos mis entornos?
Autorización sin cambio en las aplicaciones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.10
- getCustomerDetail- getCustomerDetail
- updateCustomer- updateCustomer
- deleteCustomer…- deleteCustomer…
Customer Service Customer Service
Autorización sin cambio en las aplicacionesAutorización de grano fino para WebServices y Aplicaciones
Web Applications
Web Services Clients
Request
PEPPEP
PDPPDP
• Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP• Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras HTTP o en información del cuerpo del mensaje
• Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP• Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras HTTP o en información del cuerpo del mensaje
OAG
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.12
Mensajes inalterables
Nuevas necesidades
Enriquecimiento
Cifrado
¿Necesito enriquecer/simplificar mis mensajes?
¿Quiero cifrar en los servicios para tereceros?
Tratamiento de mensajes
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.13
- getCustomerDetail- getCustomerDetail
- updateCustomer- updateCustomer
- deleteCustomer…- deleteCustomer…
Customer Service Customer Service
Tratamiento de mensajesReescritura del mensaje
Web Applications
Web Services Clients
PEPPEP
PDPPDP
OAG<SOAP:Envelope> …<SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body></SOAP:Envelope>
<SOAP:Envelope> …<SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body></SOAP:Envelope>
<SOAP:Envelope> …<SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory>
</getCustomerDetailResponse> </SOAP:Body></SOAP:Envelope>
<SOAP:Envelope> …<SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory>
</getCustomerDetailResponse> </SOAP:Body></SOAP:Envelope>
• Reescritura de los datos y/o cifrado en la entrega del mensaje• En base a políticas de autorización
• Reescritura de los datos y/o cifrado en la entrega del mensaje• En base a políticas de autorización
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.14
Seguridad en entornos móvilesSeguridad para REST
Web Services Clients OAG
Servidor de recursosServidor de recursos
HTTP / HTTPS / REST
Transformaciones seguras y REST
Detección de amenzas en el tráfico REST SSL y autenticación por certificado Limitación del canal (Throttling) Cambio protocolo (REST a SOAP y SOAP a REST) y mediación de datos
REST SOAP
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.15
Consumo de servicios Cloud
Centralización del acceso
Gestión de claves
Simplificación
¿Quiero integrar mis entornos con servicios Cloud?
¿Quiero centralizar el acceso a servicios Cloud?
Consumo de servicios en el Cloud
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.16
API Key Management
Corporate DMZ
SOAP/REST and Legacy Web Services
Oracle API Gateway
HR
CRM
Talent
APIKey_AWS APIKey_Salesforce
API Key + Web Service Request
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.17
Publicación de servicios a terceros
Vulnerabilidad frente a ataques
Acceso desde móviles
Seguridad
¿Quiero publicar mis servicios hacia mis proveedores/partners?
¿Quiero proteger mis servicios de ataques externos?
Publicación de servicios a Internet
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.18
Seguridad en la DMZ
SOAP / REST/ HTMLValidación del mensaje
Navegadores y APIs clientes
FloodingRecursive PayloadsOversized PayloadsMemory Leak
FloodingRecursive PayloadsOversized PayloadsMemory Leak
Ataques DOS
SniffingParameter TamperingSchema PoisoningExternal EntityCanonicalization
SniffingParameter TamperingSchema PoisoningExternal EntityCanonicalization
Confidencialidad Integridad
Code templatesForceful browsingDirectory ReversalWSDL scanningRegistry Disclosure
Code templatesForceful browsingDirectory ReversalWSDL scanningRegistry Disclosure
Reconocimiento de ataques
DictionaryFormat StringBuffer OverflowRace ConditionsSymlinkUnprotected interfaces
DictionaryFormat StringBuffer OverflowRace ConditionsSymlinkUnprotected interfaces
Ataques de Escalado de privilegios
SQL InjectionXPath InjectionCross-site scriptingMalformed contentLogic bombs
SQL InjectionXPath InjectionCross-site scriptingMalformed contentLogic bombs
Inyecciones y Código malicioso
OAG
Web ServiceWeb Service
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.19
Conclusiones
Integrado y extensible– Preintegrado con Oracle’s Fusion Middleware, IDM, Databases, y Applications
– También preintegrado con las tecnologías principales de terceras partes
Soporte completo para el gobierno de la nube y su seguridad– Soporte de las ultimas tecnologías de cloud y movilidad
Rápido y escalable– Aprovecha los últimos avances de las CPU’s Intel y Sparc
– Diseñado para soportar grandes despliegues empresariales
Basado en estándares– Soporta todos los protocolos y tecnologías XML relevantes; web services, SOA,
seguridad y estandartes en gestión de Identidad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.20
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.21
www.facebook.com/OracleIDMwww.twitter.com/OracleIDM
blogs.oracle.com/OracleIDM
www.oracle.com/Identity
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.22
Copyright © 2012, Oracle and/or its affiliates. All rights reserved.23