Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit in SOA Was kommt auf Entwickler zu? Sebastian Weber

Veröffentlicht von:Berahthraben Schmauch Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sicherheit in SOA Was kommt auf Entwickler zu? Sebastian Weber"—  Präsentation transkript:

1 Sicherheit in SOA Was kommt auf Entwickler zu? Sebastian Weber

2 Sicherheit in SOA Sebastian Weber Developer Platform & Strategy Group
Microsoft Deutschland GmbH

3 SOA der Hype „IT-Dienstleister können mit SOA abkassieren“ Quelle: „2006 wird das SOA-Jahr“ Quelle: „SOA treibt das intelligente Unternehmen“ Quelle: „In Architekturfragen zeigen die Unternehmen ein zunehmendes Interesse an der Serviceorientiertung. Im Jahr 2003 noch kaum genannt, liegen SOA-Projekt mittlerweile im Trend.“ Quelle: „Agilität – Stand der Praxis“,

4 SOA – was ist ein Dienst?*
Web Service Nachrichten == Daten Logik („Code“) *Serviervorschlag

5 SOA – ein Schaubild UDDI Service A Service B

6 SOA und die Sicherheit (I)
UDDI Jeder Web Service bietet Zugang zum System Service A Service B

7 SOA und die Sicherheit (II)
UDDI Dokumente werden über das (Inter-)net versendet Service A Service B

8 SOA und die Sicherheit (III)
UDDI Services müssen „als Ganzes“ geschützt sein Service A Service B

9 SOA Security – Es gibt viel zu tun!
UDDI Service A Service B

10 Agenda SOA und Sicherheit SOA Security Pattern
Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

11 Servicezugang schützen
Authentifizierung Authorisierung

12 Direkte Authentifizierung (I)
Service verlangt Authentifizierung des Clients Service fungiert als Autentifizierungsdienst Client und Server haben ein gemeinsames Geheimnis Client Service Aufruf inkl. Credentials

13 Direkte Authentifizierung (II)
Pro Contra Keine weitere Infrastruktur benötigt Geht das Geheimnis verloren, ist „nur“ diese Verbindung gefährdet Kein SSO möglich Aufwendiger Abgleich der Credentials bei mehreren Diensten Pro-Request Authent. kostet Zeit und Ressourcen

14 Broker Authentifizierung (I)
Service verlangt Authentifizierung des Clients Client authentifiziert sich beim Broker Service und Client haben kein gemeinsamens Geheimnis Authentifizierungsbroker Authentifi- zierungs- anfrage Authentifizierungs- anfrage Token Client Service

15 Broker Authentifizierung (II)
Pro Contra Zentrale Vertrauensstellung Client und Service müssen sich nicht kennen Zentrale Verwaltung aller Credentials (möglich) Single point of failure Broker darf niemals in die falschen Hände gelangen

16 Direkt oder via Broker? Mal wieder: keine pauschale Antwort
Direkte Authentifizierung ist schnell implementiert und bedarf keine weitere Infrastruktur Broker-basierte Authentifizierung ist aufwendiger, dafür in vielen Szenarien flexibler

17 Agenda SOA und Sicherheit SOA Security Pattern
Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

18 Nachrichten schützen? Oliver Sebastian Spesenabrechnung von Sebastian

19 Nachrichten schützen! Nicht Sebastian 

20 Was genau ist zu schützen?
Ist die Nachricht wirklich von B? Hat A wirklich X gemeint? Authentizität der Herkunft Integrität der Daten Geheimhaltung Service A Service B Das sollte C lieber nie erfahren ...

21 Das Prinzip VIA Vertraulichkeit
Daten der Nachricht dürfen nicht von Dritten eingesehen werden Integrität & Authentizität der Herkunft Überprüfbarkeit, ob der Inhalt unverändert übermittelt wurde Überprüfbarkeit, ob der Inhalt wirklich vom Abesender stammt

22 Vertraulichkeit - Symmetrisch
Sender Empfänger Verschlüsseln Entschlüsseln Gemeinsamer Schlüssel

23 Vertraulichkeit - Asymmetrisch
Sender Empfänger Verschlüsseln Entschlüsseln Öffentlicher Schlüssel vom Empfänger Privater Schlüssel vom Empfänger

24 Integrität & Authentizität der Herkunft – Symmetrisch
Sender Empfänger Signieren Signatur prüfen Gemeinsamer Schlüssel

25 Integrität & Authentizität der Herkunft – Asymmetrisch
Sender Empfänger Empfänger Signieren Signatur prüfen Privater Schlüssel vom Sender Öffentlicher Schlüssel vom Sender

26 Nachrichten schützen Vertraulichkeit
Verschlüsseln der Nachrichten Symmetrisch / Asymmetrisch Integrität & Authentizität der Herkunft Signieren der Nachrichten

27 Agenda SOA und Sicherheit SOA Security Pattern
Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

28 Servicegrenzen sichern
Wirklich sicher?

29 Servicegrenzen sichern
Replay Attack? DOS? Zugang zu Internas? Injection?

30 Servicegrenzen sichern
Schutz vor Injections Steht etwas „Böses“ in den Nachrichten? Schutz vor Replay Attacks / DOS „2-mal die gleiche Nachricht?“ „Wirklich Nachrichten von X?“ Schutz vor Spionage Exception Shielding Nie wieder: „Fehler in SQL Statement: SELECT * FROM KennwortTabelle WHERE User = ‘Ernie‘ AND Pass = ‘geheim!‘“

31 Schutz vor Injections Client-seitige Überprüfung nicht ausreichend
AJAX (!!!!!!!!!!) Ist die Nachricht formal korrekt? Länge, Schema, ... Entsprechen die Daten der erwarteten Datentypen? Eingabevalidierung, Eingabevalidierung, Eingabevalidierung, Eingab...

32 Schutz vor RAs / DOS Sender Empfänger Replay Cache Prüfen, ob bekannt

33 Schutz vor Spionage Ein sehr häufiges Problem: Exeptions Lösungsansatz
Angreifer erzwingt eine Exception Service gibt interne Informationen in der Fehlermeldung preis Lösungsansatz Jeder Exception muss vom Service behandelt werden Erstellung explizierter Exceptions ohne interne Informationen

34 Agenda SOA und Sicherheit SOA Security Pattern
Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

35 Message vs Transport Layer
Absicherund der Kommunikation kann auf zwei unterschiedlichen Ebenen stattfinden Message Layer Bestandteil der Nachrichten Transport Layer Die Netzwerkverbindung wird pauschal gesichert

36 Technologien X.509 Zertifikate Kerberos Security Token Service (STS)
SSL IPSec Diverse Web Service Spezikationen WS-Security, WS-Trust, WS-Federation, ... ...

37 SOA Security Implementierung
.NET Framework 2.0 Verschlüsselung, Signierung, Zertifikate, ... Web Service Enhancements 3.0 (WSE) Zusätzliche WS-* Implementierungen Windows Communication Foundation (WCF) Next Generation Secure by Default „Eine Frage der Konfiguration“

38 WCF Security Übersicht
<Vortragstitel> WCF Security Übersicht Einheitlich Designed für On-Machine, Cross-Machine, und Cross-Internet Szenarien Einheitliches Programmiermodell Interoperabel Basiert auf WS-* Spezifikationen Kompatibel mit existierenden Security Mechanismen (Windows, Kerberos, X.509, HTTPS) Secure by default Alle Standard-Bindings sind per Default sicher BasicHttpBinding ist eine Ausnahme Standardabsicherung ist Verschlüsseln und Signieren TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

39 Mehr zu Web Service Security
Web Service Security ISBN: Online und als Download (PDF) kostenfrei erhältlich

40 Agenda SOA und Sicherheit SOA Security Pattern
Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

41 Sicherheit in SOA Ein umfassendes Thema
Automatisierung macht den Angriff einfach Auch hier: keine nachträgliche Sicherheit WSE 3.0 und WCF erleichtern die Arbeit

42 Vielen Dank! Fragen und Antworten Sebastian Weber

43 Mehr Informationen MSDN Security Center TechNet Security Center
TechNet Security Center Codezone.de

44 Ihr Potenzial. Unser Antrieb.

Herunterladen ppt "Sicherheit in SOA Was kommt auf Entwickler zu? Sebastian Weber"

Ähnliche Präsentationen

Security Lösungen, die Ihnen echten Schutz bieten!

Security Lösungen, die Ihnen echten Schutz bieten!
Sicherheit in Netzwerken

Sicherheit in Netzwerken
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.

Präsentation Der Gruppe: Boll, Barbosa, Blädel Klasse: WG 05 a.
Web Storage System - Einrichten, Verwalten und Anwendungsmöglichkeiten

Web Storage System - Einrichten, Verwalten und Anwendungsmöglichkeiten
Sichere Anbindung kleiner Netze ans Internet

Sichere Anbindung kleiner Netze ans Internet
Asymmetrische Kryptographie

Asymmetrische Kryptographie
Verbessern der Datensicherheit durch SQL Server 2005 Verwenden der SQL Server 2005- Verschlüsselung zum Schutz von Daten Veröffentlicht: Oktober 2005.

Verbessern der Datensicherheit durch SQL Server 2005 Verwenden der SQL Server Verschlüsselung zum Schutz von Daten Veröffentlicht: Oktober 2005.
Daten fließen lassen XML in Microsoft Office 2003 Lorenz Goebel LGoebel@HanseVision.de Frank Fischer FrankFi@microsoft.com.

Daten fließen lassen XML in Microsoft Office 2003 Lorenz Goebel Frank Fischer
Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.

Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Funktionserweiterungen für den ISA Server 2000 mit dem Feature Pack 1 Christian Thor.
SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.

SQL Server 2005.NET Integration Sebastian Weber Developer Evangelist Microsoft Deutschland GmbH.
Design- und Entwicklungswerkzeuge

Design- und Entwicklungswerkzeuge
Web-Entwicklung mit ASP.NET 2.0 und Visual Studio 2005 Uwe Baumann Marketing Manager Developer Tools Microsoft Deutschland GmbH Oliver Scheer Developer.

Web-Entwicklung mit ASP.NET 2.0 und Visual Studio 2005 Uwe Baumann Marketing Manager Developer Tools Microsoft Deutschland GmbH Oliver Scheer Developer.
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
1 XVergabe Story Authentifizierung v003. Story Die Story zeigt auf, wie sich Alice an einer Vergabelösung authentifiziert Alice ist bereits bei der Vergabeplattform.

1 XVergabe Story Authentifizierung v003. Story Die Story zeigt auf, wie sich Alice an einer Vergabelösung authentifiziert Alice ist bereits bei der Vergabeplattform.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Erweiterung B2B Usermanagement / LDAP-Anbindung

Erweiterung B2B Usermanagement / LDAP-Anbindung
Secure Socket Layer SSL For a secure E-Business Thomas Muskalla

Secure Socket Layer SSL For a secure E-Business Thomas Muskalla
Konfiguration eines VPN Netzwerkes

Konfiguration eines VPN Netzwerkes
Fachgerechte Bereitstellung von Geoinformationen mit Service- orientierten Infrastrukturen Niklas Panzer - PRO DV Software AG Wachtberg 24. September 2008.

Fachgerechte Bereitstellung von Geoinformationen mit Service- orientierten Infrastrukturen Niklas Panzer - PRO DV Software AG Wachtberg 24. September 2008.

Ähnliche Präsentationen

Google-Anzeigen