1 / 32

Sicherheitsaspekte in Service Orientierten Architekturen

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I. Agenda. SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs durch sichere Web Services?. Seite 1.

pabla
Download Presentation

Sicherheitsaspekte in Service Orientierten Architekturen

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I

  2. Agenda • SOA? • Web Services? • Sicherheitsrisiko Web Services • Web Services & Sicherheit • Sichere SOAs durch sichere Web Services? Seite 1 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  3. SOA? • Web Services? • Sicherheitsrisiko Web Services • Web Services & Sicherheit • Sichere SOAs durch sichere Web Services? Seite 2 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  4. Was ist eigentlich SOA? Die Welt ohne SOA: • Anwendungs Monolithen • Durch permanente Weiterentwicklung totgepflegte Anwendungen • Integrierung durch proprietäre Protokolle, Kommunikation durch schreiben in Dateien • Änderungen in Geschäftsprozessen sind nur schwer umzusetzen Seite 3 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  5. Was ist eigentlich SOA? • Architekturpattern • Fachspezifische Anwendungsteile werden in wiederverwendbaren Services gekapselt • Lose Kopplung • Einheitlicher Zugriff • Anbindung von Legacy Systemen • Technische Grundlage meist Web Services (sonst MOM) Seite 4 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  6. Services • Kapselung von Logik und Komplexität fachspezifischer Anwendungsteile • Wiederverwendbar • Flexible Abbildung von Geschäftsprozessen durch Process Choreography (PC) • Services werden über einen Enterprise Service Bus (ESB) angesprochen Seite 5 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  7. Was ist eigentlich SOA? Enterprise Service Bus Seite 6 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  8. Was ist eigentlich SOA? Übersicht ( aus:Olaf Zimmermann "Jumpstarting SOA Projects" ) Seite 7 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  9. SOA? • Web Services? • Sicherheitsrisiko Web Service • Web Service Sicherheit • Sichere SOAs durch sichere Web Services? Seite 8 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  10. Was sind Web Services? • Interoperable- und plattformunabhängige Kommunikation mittels XML Nachrichten (meist) via HTTP Seite 9 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  11. Was ist eigentlich SOA? • Was sind eigentlich Web Services? • Sicherheitsrisiko Web Service • Web Service Sicherheit • Sichere SOAs durch sichere Web Services? Seite 10 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  12. Sicherheitsrisiko Webservices • Webservices sind zu offen • Firewalls helfen kaum • Integrität der Nachrichten kann nicht gewährleistet werden • Authentifizierung und Autorisierung nicht einheitlich und somit Fehleranfällig Seite 11 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  13. SOA? • Web Services? • Sicherheitsrisiko Web Services • Web Services & Sicherheit • Sichere SOAs durch sichere Web Services? Seite 12 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  14. Web Service Sicherheit • Warum nicht einfach SSL? • fehlende Autorisierung • verschlüsselt komplette Nachricht • Point-to-Point unzureichend • Unsicherheitsfaktor Intermediaries Seite 13 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  15. Web Service Sicherheit WS-Security • SOAP Header für • Autorisation • Verschlüsselung • Signatur Seite 14 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  16. Web Service Sicherheit WS-Security UsernameToken Seite 15 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  17. Web Service Sicherheit WS-Security BinarySecurityToken(X.509 Zertifikat, Kerberos Ticket) Seite 16 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  18. Web Service Sicherheit WS-Security Signaturen • XML Signature (XMLDsig) • Integrität der Nachrichten • Nachricht wurde nicht verändert • Authentifikation • Nachricht stammt wirklich von der angegeben Entität Signierung mit Privatem Schlüssel (X.509), Sitzungsschlüssel (Kerberos) oder Passwort (UsernameToken) Seite 17 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  19. Web Service Sicherheit Seite 18 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  20. Web Service Sicherheit WS-Security Verschlüsselung • Verhindert unerlaubten Zugriff auf Informationen • XML Encryption Seite 19 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  21. Web Service Sicherheit Triple DES Verschlüsselte Daten Seite 20 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  22. Web Service Sicherheit WS-Security 1.1 (WS-*) • WS-Trust • WS-Secure-Conversation • WS-SecurityPolicy • (WS-Federation) Seite 21 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  23. Web Service Sicherheit WS-Trust • Security Token Service (STS) • Aufgabe des STS: • Ausgabe von Token • Prüfung von Token • Erneuerung von Token • Entwertung von Token • Zentrale Stelle für die Verwaltung der Security Tokens Seite 22 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  24. Web Service Sicherheit Security Token Service Web Service Client Request Security Token (RST) Request Security Token Response (RSTR) [SAML Token] [SAML Token] Kennen und Vertrauen sich STS Seite 23 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  25. Web Service Sicherheit WS-Secure-Conversation • Sicherheitskontext für aufeinanderfolgende Nachrichten • STS wird entlastet • Conversation Partner leiten sich Folgeschlüssel aus dem Basisschlüssel ab Seite 24 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  26. Web Service Sicherheit WS-SecurityPolicy • Deklarative Beschreibung der Sicherheitsanforderungen eines Webservices • Erforderliches Token-Format • Welchem STS vertraut der Service • Mehrere Alternativen werden Angeboten, der Client sucht sich eine aus Seite 25 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  27. Web Service Sicherheit WS-SecurityPolicy Seite 26 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  28. Web Service Sicherheit WS-Security in .NET: • ASMX ist die Web Service Implementierung im .NET Framework • Web Service Enhancements (WSE) ist eine Extension, die WS-* in .NET verfügbar macht (aktuell: WSE 3.0) • Windows Communication Foundation (WCF, a.k.a. "Indigo") ist Microsofts nächster Schritt: Einheitliches Programmier Modell für WS-*, Messaging, Queuing, Transactions, … Seite 27 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  29. SOA? • Services? • Sicherheitsrisiko Web Services • Web Services & Sicherheit • Sichere SOAs durch sichere Web Services? Seite 28 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  30. Sichere SOA durch sichere WS? • SOA Komponenten unterschiedlicher Hersteller erschweren die Integration von Sicherheit • Viele Spezifikationen sind noch nicht in den Applikationen integriert • Einzelne Webservices absichern langt nicht aus, ganzheitliches Sicherheitskonzept erforderlich (ein Master Thema?) Seite 29 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  31. Weiterführende Links SOA • http://www.cio.com/archive/11504/soa.html • http://de.bea.com/loesungen/soa/index.jsp • http://www-306.ibm.com/software/info/openenvironment/soa/ • http://msdn.microsoft.com/architecture/soa/ • http://www.sap.com/platform/netweaver/index.epx • http://users.informatik.haw-hamburg.de/~ubicomp/projekte/master2005/zimmermann/slides.pdf WS-* • http://www.oasis-open.org/committees/wss • http://msdn.microsoft.com/webservices/ • http://ws.apache.org/wss4j/ • http://incubator.apache.org/tsik/ • http://www-128.ibm.com/developerworks/library/specification/ws-secure/ • http://www.w3.org/TR/xmldsig-core/ Seite 30 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

  32. Vielen Dank für die Aufmerksamkeit! Seite 31 Eike Falkenberg - Sicherheitsaspekte in Service Orientierten Architekturen

More Related