XML und Web Services Herausforderung für die Unternehmens-IT-Sicherheit Sebastian Staamann, CEO Xtradyne Technologies AG Schönhauser Allee 6-7 D Berlin
Copyright © 2003 XTRADYNE Technologies AG Technologiekontext: Web Services (Projektkontext) Relevanz Erster allgemein und weit akzeptierter Standard für die Interaktion von Unternehmens-Applikationen über das Internet Technologieentwicklung und Marktdurchdringung getrieben von: IBM, Microsoft, SUN, BEA... Unterstützung durch SAP, Oracle... Technik Web Services sind Software- Komponenten oder Funktionen, auf die über einen standardisierten Satz aus Protokollen und Datenformaten zugegriffen werden kann. Wichtige Formate (Technologiekern): XML, SOAP, WSDL, UDDI, HTTP Perspektive Nutzung von Daten und Applikationen über alle Applikationsgrenzen und Schnittstellen hinweg. Standardtechnologie für die IT-gestützte Integration von Geschäftsprozessen im Unternehmen mit anderen Unternehmen Web Services-Produkte in jedem Unternehmen (wie Datenbanken) gegenwärtiger Stand Marktdurchdringung hat begonnen: Technologie-Evaluierung bei großen IT-Nutzern in 2002 und 2003 Erste Produktentwicklungen mit Web Service-Technologie (v.a. Microsoft Visual Studio.NET) Einführung in der Breite: 2004 (Giga, Gartner, Forrester)
Copyright © 2003 XTRADYNE Technologies AG Technologiekontext: Web Services - ein Anwendungsbeispiel - Modellentwicklung in der Automobilindustrie: parallele Designprozesse Problem/Aufgabe: verfügbare Kontextdaten für die Entwickler müssen aktuell/synchron sein. Entwickler beim Zulieferer von Lichtmaschinen entwirft Teile Entwickler beim Zulieferer von Kühlungssystem entwirft Teile... auch mit Zulieferern über die Firewall hinweg Entwickler arbeiten gleichzeitig am Design verschiedener Teile und Aspekte eines neuen Modells zentraler Server mit Applikation für die Integration der Teil-Designs hat jederzeit die globale, aktuelle, integrierte Datensicht Web Services-Technologie ermöglicht Real-Time-Integration (ständiger Abgleich der Kontextdaten) Entwickler beim Karosserieteil- fertiger fein- designen Einzelteile... auch Server-zu-Server
Copyright © 2003 XTRADYNE Technologies AG Web Services-Sicherheit Relevanz Sicherheit ist Sorge Nr.1 der IT- Verantwortlichen, die Web Services- Technologie einführen wollen (Forrester, Gartner, 2002, 2003) Ohne Sicherheit kommt Web Services- Technologie nicht aus dem Back- Office-Bereich hinaus Einsetzbarkeit von Web Services in der Praxis hängt ab von Sicherheit. Technik Web Services-Sicherheitsprodukte müssen Applikationssicherheit und Firewallsicherheit leisten Realisierung der Technik erfordert Innovation und ist hochkomplex Wichtige Formate (Standards): SAML, XML Encryption, XML Signature, XKMS, SSL/TLS, HTTP, WS Security Perspektive Web Services-Applikationen werden gebaut von Entwicklern ohne Sicherheits- Knowhow (Technologie für Massen, nicht für Experten). Produkte müssen dies ermöglichen. Die Mehrheit der neuen Anwendungs- projekte wird Web Services über die Unternehmensfirewall hinaus anbieten. gegenwärtiger Stand Application Server-Hersteller (IBM, BEA, Oracle u.ä.) bieten proprietäre Lösungen verschiedener Mächtigkeit Standards für Web Services-Sicherheit sind in der Phase der Ausarbeitung Anwender und AppServer-Hersteller beginnen, nach Web Services- Firewall-Produkten zu suchen
Copyright © 2003 XTRADYNE Technologies AG Sicherheit für Web Services - herkömmliches Vorgehen - herkömmliches Vorgehen: in alle Softwareteile werden mit Security APIs und Programm- bibliotheken Sicherheitsfunktionen von Hand integriert Firewalls werden partiell durchlässig
Copyright © 2003 XTRADYNE Technologies AG Web Services Security Gateway - Kundennutzen - Sicherheit für alle Web-Services-Applikationen (Supply Chain Management, Banking, Logistik, Buchungssysteme, Abrechnungssysteme...) EINFACH als EIN Produkt, umfassend und hochsicher deckt interne und externe Nutzer ab mit einer Installation Applikationssicherheit und Firewallsicherheit in einem Produkt extrem einfache Einführung, keine unkalkulierbaren und nicht planbaren Projektkosten für Web-Services-Sicherheit erweiterbar ohne zusätzliche Projektkosten zentralisiertes und einheitliches Sicherheitsmanagement zuverlässig betreibbar von durchschnittlich qualifiziertem Administrationspersonal, kein Bedarf für teure Experten Kostenreduktion von mindestens 50% für Web Services-Sicherheit
Copyright © 2003 XTRADYNE Technologies AG Ein Policy Server steuert beliebig viele Gateways Web Services Security Gateway - Aufbau und Funktion - Applikationsebene (SAML, DSig..) Darstellungsebene (XML) Transportebene (TCP, SSL, HTTP) Netzwerkebene (IP) eingehender Datenverkehr (SOAP) ausgehender Datenverkehr (SOAP) Sicherheitsregeln, Benutzerverwaltung, Rechteverwaltung Policy Server (Steuerung der Analysen, Autorisierung,...) Gateway- Komponente (Unterbrechung des Datenverkehrs und Sicherheitsanalyse auf allen Ebenen) Web Services Security Gateway-Lösung besteht aus zwei Komponenten
Copyright © 2003 XTRADYNE Technologies AG Web Services Security Gateway - Einsatzmöglichkeiten - Web Services- verfügbare Unternehmens- applikation für interne Sicherheit Standard-Firewall-Produkt Firewall Zone Internet interner Nutzer kann Applikation nutzen Web Services Security Gateway Heimarbeiter kann Applikation sicher von zu Hause über Internet nutzen Web Services Security Gateway Firewall Zone Standard-Firewall-Produkt Web Services- verfügbare Unternehmens- applikation Web- Services- platform Unter- nehmens- applikation Zulieferer kann eigene Applikationen sicher über Internet anbinden (z.B. SCM) ausgehende Zugriffskontrolle, ausgehende Rollenzuweisungen eingehende Zugriffskontrolle, Rollenüberprüfung Web Services Security Gateway schützt AppServer vor Attackern aus dem Internet. kontrolliert die Inhalte autorisiert Benutzer en detail integriert Benutzer- verwaltung
Copyright © 2003 XTRADYNE Technologies AG Beispiel- funktion: Benutzer- verwaltung Web Services Security Gateway - Einfache Administration - Beispiel: für registrierten Benutzer Rees ist Authentisierung mit Public-Key- Zertifikat erlaubt Beispiel: registrierter Benutzer Young gehört zur Nutzergruppe Operators
Copyright © 2003 XTRADYNE Technologies AG Xtradyne: Kurzprofil Xtradyne Technologies AG: Produkthersteller & Dienstleister Spezialist in Internet-, Middleware- und Anwendungssicherheit (seit 1999) Standorte: Berlin, Frankfurt a.M. (Berlin: 75% der Unternehmensangehörigen) Vermarktung global, mit Schwerpunkt Deutschland DACH (überwiegend direkt) EU, USA (Partnervertrieb) Orientierung und Erfahrung: Großunternehmen Know-How & Expertise: IT-Sicherheit Firewalls Anwendungssicherheit Sicherheitsarchitektur Application Server (Schwerpunkt Software-Security) Sicherheits-Integration Einsatz im Unternehmen Produkte (IBM WebSphere, BEA WebLogic, Borland, Oracle...) Internet-Technologie Netzwerkanwendungen Web-Anwendungen Web Services
Copyright © 2003 XTRADYNE Technologies AG Kunden Partner weitere Application Server- Hersteller Anwendungshersteller weitere Sicherheitsberater... Xtradyne: Kunden & Partner
Web Services Security Gateway Vielen Dank für Ihre Aufmerksamkeit ! Fragen ? Sebastian Staamann, CEO Xtradyne Technologies AG Schönhauser Allee 6-7 D Berlin