Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit in SOA Was kommt auf Entwickler zu? Sebastian Weber.

Ähnliche Präsentationen


Präsentation zum Thema: "Sicherheit in SOA Was kommt auf Entwickler zu? Sebastian Weber."—  Präsentation transkript:

1 Sicherheit in SOA Was kommt auf Entwickler zu? Sebastian Weber

2 Sicherheit in SOA Sebastian Weber Developer Platform & Strategy Group Microsoft Deutschland GmbH

3 SOA der Hype In Architekturfragen zeigen die Unternehmen ein zunehmendes Interesse an der Serviceorientiertung. Im Jahr 2003 noch kaum genannt, liegen SOA-Projekt mittlerweile im Trend. Quelle: Agilität – Stand der Praxis, IT-Dienstleister können mit SOA abkassieren Quelle: wird das SOA-Jahr Quelle: SOA treibt das intelligente Unternehmen Quelle:

4 SOA – was ist ein Dienst?* == Daten Logik (Code) Web Service Nachrichten *Serviervorschlag

5 SOA – ein Schaubild Service A Service B UDDI

6 SOA und die Sicherheit (I) Jeder Web Service bietet Zugang zum System Service B UDDI Service A

7 SOA und die Sicherheit (II) Dokumente werden über das (Inter-)net versendet Service B UDDI Service A

8 SOA und die Sicherheit (III) Services müssen als Ganzes geschützt sein Service B UDDI Service A

9 SOA Security – Es gibt viel zu tun! Service B UDDI Service A

10 Agenda SOA und Sicherheit SOA Security Pattern Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

11 Servicezugang schützen Authentifizierung Authorisierung

12 Direkte Authentifizierung (I) Service verlangt Authentifizierung des Clients Service fungiert als Autentifizierungsdienst Client und Server haben ein gemeinsames Geheimnis Aufruf inkl. Credentials ClientService

13 Direkte Authentifizierung (II) ContraPro Kein SSO möglich Aufwendiger Abgleich der Credentials bei mehreren Diensten Pro-Request Authent. kostet Zeit und Ressourcen Keine weitere Infrastruktur benötigt Geht das Geheimnis verloren, ist nur diese Verbindung gefährdet

14 Broker Authentifizierung (I) Service verlangt Authentifizierung des Clients Client authentifiziert sich beim Broker Service und Client haben kein gemeinsamens Geheimnis Authentifizierungsbroker Authentifizierungs- anfrage Client Service Authentifi- zierungs- anfrage Token

15 Broker Authentifizierung (II) ContraPro Single point of failure Broker darf niemals in die falschen Hände gelangen Zentrale Vertrauensstellung Client und Service müssen sich nicht kennen Zentrale Verwaltung aller Credentials (möglich)

16 Direkt oder via Broker? Mal wieder: keine pauschale Antwort Direkte Authentifizierung ist schnell implementiert und bedarf keine weitere Infrastruktur Broker-basierte Authentifizierung ist aufwendiger, dafür in vielen Szenarien flexibler

17 Agenda SOA und Sicherheit SOA Security Pattern Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

18 Nachrichten schützen? Oliver Spesenabrechnung von Sebastian Sebastian

19 Nachrichten schützen! Nicht Sebastian

20 Was genau ist zu schützen? Service BService A Hat A wirklich X gemeint? Ist die Nachricht wirklich von B? Das sollte C lieber nie erfahren... Authentizität der Herkunft Integrität der Daten Geheimhaltung

21 Das Prinzip VIA Vertraulichkeit Daten der Nachricht dürfen nicht von Dritten eingesehen werden Integrität & Authentizität der Herkunft Überprüfbarkeit, ob der Inhalt unverändert übermittelt wurde Überprüfbarkeit, ob der Inhalt wirklich vom Abesender stammt

22 Vertraulichkeit - Symmetrisch Empfänger Sender VerschlüsselnEntschlüsseln Gemeinsamer Schlüssel

23 Vertraulichkeit - Asymmetrisch Empfänger Sender VerschlüsselnEntschlüsseln Öffentlicher Schlüssel vom Empfänger Privater Schlüssel vom Empfänger

24 Integrität & Authentizität der Herkunft – Symmetrisch Empfänger Sender SignierenSignatur prüfen Gemeinsamer Schlüssel

25 Integrität & Authentizität der Herkunft – Asymmetrisch Empfänger Privater Schlüssel vom Sender Öffentlicher Schlüssel vom Sender Empfänger Sender SignierenSignatur prüfen

26 Nachrichten schützen Vertraulichkeit Verschlüsseln der Nachrichten Symmetrisch / Asymmetrisch Integrität & Authentizität der Herkunft Signieren der Nachrichten Symmetrisch / Asymmetrisch

27 Agenda SOA und Sicherheit SOA Security Pattern Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

28 Servicegrenzen sichern Wirklich sicher?

29 Servicegrenzen sichern Replay Attack? DOS? Injection? Zugang zu Internas?

30 Servicegrenzen sichern Schutz vor Injections Steht etwas Böses in den Nachrichten? Schutz vor Replay Attacks / DOS 2-mal die gleiche Nachricht? Wirklich Nachrichten von X? Schutz vor Spionage Exception Shielding Nie wieder: Fehler in SQL Statement: SELECT * FROM KennwortTabelle WHERE User = Ernie AND Pass = geheim!

31 Schutz vor Injections Client-seitige Überprüfung nicht ausreichend AJAX (!!!!!!!!!!) Ist die Nachricht formal korrekt? Länge, Schema,... Entsprechen die Daten der erwarteten Datentypen? Eingabevalidierung, Eingabevalidierung, Eingabevalidierung, Eingab...

32 Schutz vor RAs / DOS Empfänger SenderReplay Cache Prüfen, ob bekannt

33 Schutz vor Spionage Ein sehr häufiges Problem: Exeptions Angreifer erzwingt eine Exception Service gibt interne Informationen in der Fehlermeldung preis Lösungsansatz Jeder Exception muss vom Service behandelt werden Erstellung explizierter Exceptions ohne interne Informationen

34 Agenda SOA und Sicherheit SOA Security Pattern Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

35 Message vs Transport Layer Absicherund der Kommunikation kann auf zwei unterschiedlichen Ebenen stattfinden Message Layer Bestandteil der Nachrichten Transport Layer Die Netzwerkverbindung wird pauschal gesichert

36 Technologien X.509 Zertifikate Kerberos Security Token Service (STS) SSL IPSec Diverse Web Service Spezikationen WS-Security, WS-Trust, WS-Federation,......

37 SOA Security Implementierung.NET Framework 2.0 Verschlüsselung, Signierung, Zertifikate,... Web Service Enhancements 3.0 (WSE) Zusätzliche WS-* Implementierungen Windows Communication Foundation (WCF) Next Generation Secure by Default Eine Frage der Konfiguration

38 WCF Security Übersicht Einheitlich Designed für On-Machine, Cross-Machine, und Cross-Internet Szenarien Einheitliches Programmiermodell Interoperabel Basiert auf WS-* Spezifikationen Kompatibel mit existierenden Security Mechanismen (Windows, Kerberos, X.509, HTTPS) Secure by default Alle Standard-Bindings sind per Default sicher BasicHttpBinding ist eine Ausnahme Standardabsicherung ist Verschlüsseln und Signieren

39 Mehr zu Web Service Security Web Service Security ISBN: Online und als Download (PDF) kostenfrei erhältlich

40 Agenda SOA und Sicherheit SOA Security Pattern Servicezugang schützen Nachrichten schützen Servicegrenzen sichern Implementierungsstrategien

41 Sicherheit in SOA Ein umfassendes Thema Automatisierung macht den Angriff einfach Auch hier: keine nachträgliche Sicherheit WSE 3.0 und WCF erleichtern die Arbeit

42 Fragen und Antworten Vielen Dank! Sebastian Weber

43 Mehr Informationen MSDN Security Center TechNet Security Center Codezone.de

44 Ihr Potenzial. Unser Antrieb.


Herunterladen ppt "Sicherheit in SOA Was kommt auf Entwickler zu? Sebastian Weber."

Ähnliche Präsentationen


Google-Anzeigen