Copyright © 2012, Oracle and/or its affiliates. All rights reserved.1

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.2

The following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract.

It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

Seguridad en aplicaciones y servicios web

David Rodríguez-BarberoSecurity Presales Team Leader

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.4

Agenda

Necesidades en un entorno SOA

Control basado en la información

Conclusiones

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.5

Estado y necesidades

Web Service

Web Service

Web Service

Web Service

Web Service

XMLGateway

DMZ

HTTP GET/POST

REST

XML

SOAP

JMS

Extranet Intranet

Web Client (Browser)Web Service Client

Web Service Client

Web Service Client

Web Service Client

… se despliegan principalmente usando web services XML• Uso elevado e intensivo de CPU • Implica el uso de tecnologías y

estándares, tanto modernos como “legacy”

• Gran diversidad de clientes• Necesidad de SLA’s para el

“cobro por uso”

…altamente expuestas• Amenazas XML, virus, ataques

DoS, etc.• ¿Como podemos asegurar la

confidencialidad y el no repudio?• ¿Quién puede acceder a los

servicios y bajo que condiciones?

• ¿Qué información sale de la organización y como?

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.6

DMZ Seguridad

Primera línea de defensa

Oracle API GatewayPerímetro de seguridad dinámico

CloudGateway

Seguridad en la Nube

MobileAcceso

Salvaguarda en acceso móvil

PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD

Detección de intrusiones Acceso asegurado Seguridad en el transporte/mensaje Análisis en tiempo real

Seguridad del dato Asegura SLAs Transformaciones seguras Virtualización y mash-ups

Automatización en mensajes Acceso seguro a servicios

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.7

Acceso desde dispositivos móviles

Robo de identidad

Nuevos paradigmas

Identificación

¿Quiero mejorar mi autenticación sin cambios?

¿Quiero cambiar la seguridad de mis servicios sin desarrollo?

Refuerzo del acceso

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.8

Sistemas de control de acceso

DMZExtranet

Web Service ClientWeb Service Client

Servidores de aplicaciones

Web ServiceWeb Service

Autenticación en el perímetro Autenticación contra

Oracle Directory Services (OID, ODSEE, OVD) Oracle Access Manager (SSO usando OAM cookie) o 3rd party WebSSO Directorios y herramientas de acceso de terceras partes

Mediación de Tokens – Generación de aserciones SAML usando el nombre del web service client

SSO Cookie

OAG

Web Service Client (Browser)Web Service Client (Browser)

Refuerzo del accesoAutenticación en el perímetro

Tratamiento de tokens

Intranet

Access Manager STS

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.9

Cambios en la autorización

Desarrollos continuos

Paradas de servicio

Carencias

¿Quiero cambiar la autorización sin parar mis sistemas?

¿Quiero integrar

todos mis entornos?

Autorización sin cambio en las aplicaciones

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.10

- getCustomerDetail- getCustomerDetail

- updateCustomer- updateCustomer

- deleteCustomer…- deleteCustomer…

Customer Service Customer Service

Autorización sin cambio en las aplicacionesAutorización de grano fino para WebServices y Aplicaciones

Web Applications

Web Services Clients

Request

PEPPEP

PDPPDP

• Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP• Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras HTTP o en información del cuerpo del mensaje

• Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP• Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras HTTP o en información del cuerpo del mensaje

OAG

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.12

Mensajes inalterables

Nuevas necesidades

Enriquecimiento

Cifrado

¿Necesito enriquecer/simplificar mis mensajes?

¿Quiero cifrar en los servicios para tereceros?

Tratamiento de mensajes

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.13

- getCustomerDetail- getCustomerDetail

- updateCustomer- updateCustomer

- deleteCustomer…- deleteCustomer…

Customer Service Customer Service

Tratamiento de mensajesReescritura del mensaje

Web Applications

Web Services Clients

PEPPEP

PDPPDP

OAG<SOAP:Envelope> …<SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body></SOAP:Envelope>

<SOAP:Envelope> …<SOAP:Body> <getCustomerDetailResponse> <customerID> 86901 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> 12345678A </DNI> <creditCardNo> 1122 3344 5566 </creditCardNo> <purchaseHistory> … </purchaseHistory> </getCustomerDetailResponse> </SOAP:Body></SOAP:Envelope>

<SOAP:Envelope> …<SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory>

</getCustomerDetailResponse> </SOAP:Body></SOAP:Envelope>

<SOAP:Envelope> …<SOAP:Body> <getCustomerDetailResponse> <customerID> 99999 </customerID> <name> Sally Smith </name> <phone> 555-1234567 </phone> <DNI> *********** </DNI> <creditCardNo> @^*%&@$#%! </creditCardNo> <purchaseHistory> … </purchaseHistory>

</getCustomerDetailResponse> </SOAP:Body></SOAP:Envelope>

• Reescritura de los datos y/o cifrado en la entrega del mensaje• En base a políticas de autorización

• Reescritura de los datos y/o cifrado en la entrega del mensaje• En base a políticas de autorización

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.14

Seguridad en entornos móvilesSeguridad para REST

Web Services Clients OAG

Servidor de recursosServidor de recursos

HTTP / HTTPS / REST

Transformaciones seguras y REST

Detección de amenzas en el tráfico REST SSL y autenticación por certificado Limitación del canal (Throttling) Cambio protocolo (REST a SOAP y SOAP a REST) y mediación de datos

REST SOAP

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.15

Consumo de servicios Cloud

Centralización del acceso

Gestión de claves

Simplificación

¿Quiero integrar mis entornos con servicios Cloud?

¿Quiero centralizar el acceso a servicios Cloud?

Consumo de servicios en el Cloud

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.16

API Key Management

Corporate DMZ

SOAP/REST and Legacy Web Services

Oracle API Gateway

HR

CRM

Talent

APIKey_AWS APIKey_Salesforce

API Key + Web Service Request

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.17

Publicación de servicios a terceros

Vulnerabilidad frente a ataques

Acceso desde móviles

Seguridad

¿Quiero publicar mis servicios hacia mis proveedores/partners?

¿Quiero proteger mis servicios de ataques externos?

Publicación de servicios a Internet

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.18

Seguridad en la DMZ

SOAP / REST/ HTMLValidación del mensaje

Navegadores y APIs clientes

FloodingRecursive PayloadsOversized PayloadsMemory Leak

FloodingRecursive PayloadsOversized PayloadsMemory Leak

Ataques DOS

SniffingParameter TamperingSchema PoisoningExternal EntityCanonicalization

SniffingParameter TamperingSchema PoisoningExternal EntityCanonicalization

Confidencialidad Integridad

Code templatesForceful browsingDirectory ReversalWSDL scanningRegistry Disclosure

Code templatesForceful browsingDirectory ReversalWSDL scanningRegistry Disclosure

Reconocimiento de ataques

DictionaryFormat StringBuffer OverflowRace ConditionsSymlinkUnprotected interfaces

DictionaryFormat StringBuffer OverflowRace ConditionsSymlinkUnprotected interfaces

Ataques de Escalado de privilegios

SQL InjectionXPath InjectionCross-site scriptingMalformed contentLogic bombs

SQL InjectionXPath InjectionCross-site scriptingMalformed contentLogic bombs

Inyecciones y Código malicioso

OAG

Web ServiceWeb Service

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.19

Conclusiones

Integrado y extensible– Preintegrado con Oracle’s Fusion Middleware, IDM, Databases, y Applications

– También preintegrado con las tecnologías principales de terceras partes

Soporte completo para el gobierno de la nube y su seguridad– Soporte de las ultimas tecnologías de cloud y movilidad

Rápido y escalable– Aprovecha los últimos avances de las CPU’s Intel y Sparc

– Diseñado para soportar grandes despliegues empresariales

Basado en estándares– Soporta todos los protocolos y tecnologías XML relevantes; web services, SOA,

seguridad y estandartes en gestión de Identidad

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.20

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.21

www.facebook.com/OracleIDMwww.twitter.com/OracleIDM

blogs.oracle.com/OracleIDM

www.oracle.com/Identity

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.22

Copyright © 2012, Oracle and/or its affiliates. All rights reserved.23