Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 2

The following is intended to outline our general product direction. It

is intended for information purposes only, and may not be

incorporated into any contract.

It is not a commitment to deliver any material, code, or functionality,

and should not be relied upon in making purchasing decisions. The

development, release, and timing of any features or functionality

described for Oracle’s products remains at the sole discretion of

Oracle.

Seguridad en aplicaciones y servicios web

David Rodríguez-Barbero

Enterprise Architect Security Specialist

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 4

Agenda

Necesidades en un entorno SOA

Control basado en la información

Conclusiones

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 5

Estado y necesidades

… se despliegan principalmente

usando web services XML • Uso elevado e intensivo de CPU

• Implica el uso de tecnologías y

estándares, tanto modernos

como “legacy”

• Gran diversidad de clientes

• Necesidad de SLA’s para el

“cobro por uso”

…altamente expuestas • Amenazas XML, virus, ataques

DoS, etc.

• ¿Como podemos asegurar la

confidencialidad y el no repudio?

• ¿Quién puede acceder a los

servicios y bajo que

condiciones?

• ¿Qué información sale de la

organización y como?

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 6

DMZ Seguridad

Primera línea

de defensa

Oracle Enterprise Gateway Perímetro de seguridad dinámico

Cloud Gateway

Seguridad en

la Nube

Mobile Acceso

Salvaguarda en

acceso móvil

PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD

Detección de intrusiones

Acceso asegurado

Seguridad en el transporte/mensaje

Análisis en tiempo real

Seguridad del dato

Asegura SLAs

Transformaciones seguras

Virtualización y mash-ups

Automatización en mensajes

Acceso seguro a servicios

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 7

Cambios en la autorización

Desarrollos continuos

Paradas de servicio

Carencias

¿Quiero cambiar la

autorización sin parar

mis sistemas?

¿Quiero integrar

todos mis entornos?

Autorización sin cambio en las aplicaciones

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 8

- getCustomerDetail

- updateCustomer

- deleteCustomer…

Customer Service

Autorización sin cambio en las aplicaciones Autorización de grano fino para WebServices y Aplicaciones

Web Applications

Web Services Clients

Request

PEP

PDP

• Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP

• Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras

HTTP o en información del cuerpo del mensaje

OEG

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 9

Mensajes inalterables

Nuevas necesidades

Enriquecimiento

Cifrado

¿Necesito enriquecer

mis mensajes?

¿Quiero cifrar

antes de…?

Tratamiento de mensajes

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 10

- getCustomerDetail

- updateCustomer

- deleteCustomer…

Customer Service

Tratamiento de mensajes Reescritura del mensaje

Web Applications

Web Services Clients

PEP

PDP

OEG <SOAP:Envelope>

…

<SOAP:Body>

<getCustomerDetailResponse>

<customerID> 86901 </customerID>

<name> Sally Smith </name>

<phone> 555-1234567 </phone>

<DNI> 12345678A </DNI>

<creditCardNo> 1122 3344 5566 </creditCardNo>

<purchaseHistory> … </purchaseHistory>

</getCustomerDetailResponse>

</SOAP:Body>

</SOAP:Envelope>

<SOAP:Envelope>

…

<SOAP:Body>

<getCustomerDetailResponse>

<customerID> 99999 </customerID>

<name> Sally Smith </name>

<phone> 555-1234567 </phone>

<DNI> *********** </DNI>

<creditCardNo> @^*%&@$#%! </creditCardNo>

<purchaseHistory> … </purchaseHistory>

</getCustomerDetailResponse>

</SOAP:Body>

</SOAP:Envelope>

• Reescritura de los datos y/o cifrado en la entrega del mensaje

• En base a políticas de autorización

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 11

Acceso desde dispositivos móviles

Robo de identidad

Nuevos paradigmas

Identificación

¿Quiero mejorar mi

autenticación sin

cambios?

¿Quiero cambiar

sin desarrollo?

Refuerzo del acceso

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 12

Sistemas de control de acceso

DMZ Extranet

Web Service Client

Servidores de aplicaciones

Web Service

Autenticación en el perímetro

Autenticación contra

Oracle Directory Services (OID, ODSEE, OVD)

Oracle Access Manager (SSO usando OAM cookie) o 3rd party WebSSO

Directorios y herramientas de acceso de terceras partes

Mediación de Tokens – Generación de aserciones SAML usando el nombre del web service client

SSO Cookie

OEG

Web Service Client

(Browser)

Refuerzo del acceso Autenticación en el perímetro

Tratamiento de tokens

Intranet

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 13

Conclusiones

Integrado y extensible

– Preintegrado con Oracle’s Fusion Middleware, IDM, Databases, y Applications

– También preintegrado con las tecnologías principales de terceras partes

Soporte completo para el gobierno de la nube y su seguridad

– Soporte de las ultimas tecnologías de cloud y movilidad

Rápido y escalable

– Aprovecha los últimos avances de las CPU’s Intel y Sparc

– Diseñado para soportar grandes despliegues empresariales

Basado en estándares

– Soporta todos los protocolos y tecnologías XML relevantes; web services, SOA,

seguridad y estandartes en gestión de Identidad

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 14

www.facebook.com/OracleIDM

www.twitter.com/OracleIDM

blogs.oracle.com/OracleIDM

www.oracle.com/Identity

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 15

Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 16