SOA ja/tai tietoturva?

Samankaltaiset tiedostot
Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

Kari Rouvinen Johtaja, Technology Products & Solutions. Oracle Finland Oy

Federointi-investoinnin tehokas hyödyntäminen Haka- ja Virtu-seminaarissa

Henkilötietoja sisältävän datan säilytyksen ja käsittelyn tekniset ratkaisut

HELIA TIKO ICT03D Tieto ja tiedon varastointi T.Mikkola, O.Virkki. Tietoturva tiedon varastoinnissa

Identiteettipohjaiset verkkoja tietoturvapalvelut

Novell Access Manager ja Novell Cloud Security Service Pekka Lindqvist Markku Wallgren

Digitalisaatio oppimisen maailmassa. Tommi Lehmusto Digital Advisor Microsoft Services

Identiteetin merkitys seuraavan sukupolven tietoturva-arkkitehtuurissa. Janne Tägtström Security Systems Engineer

Kokemuksia käyttäjätunnistuksen ja käyttöoikeushallinnan käyttöönotosta

Älykäs verkottuminen ja käyttäjänhallinta. Pekka Töytäri TeliaSonera Finland

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

Järjestelmäarkkitehtuuri (TK081702) Järjestelmäarkkitehtuuri. Järjestelmäarkkitehtuuri

Järjestelmäarkkitehtuuri (TK081702) SOA, Service-oriented architecture SOA,

Taltioni teknisen alustan arviointi

Federoinnin vaikeat käyttötapaukset palveluntarjoajille (SP)

Tech Conference Office 365 tietoturvan heikoin #TechConfFI

TeliaSonera Identity and Access Management

Salcom Group Oy - osaavimmat ratkaisut IT-infran hallintaan

Federoidun identiteetinhallinnan

Federoitu keskitetty sovellus

Hyödynnä DPS- ja SA-setelit Azure hybridipilvi-palveluiden suunnittelussa ja testauksessa!

Kansallinen palveluväylä

Cisco Unified Computing System -ratkaisun hyödyt EMC- ja VMwareympäristöissä

Turvallinen etäkäyttö Aaltoyliopistossa

<raikasta digitaalista ajattelua>

Sonera perustaa Helsinkiin Suomen suurimman avoimen datakeskuksen. #SoneraB2D

10:30 Tauko. 12:00 Lopetus. Yhteistyössä:

Sopimushallintaa Alfrescolla. Jarmo Sorvari IT-järjestelmäpäällikkö TAMK

Järjestelmäarkkitehtuuri (TK081702) Avoimet web-rajapinnat

Case: Avoimen lähdekoodin ohjelmistojen hyödyntäminen Lahdessa

Liiketoimintajärjestelmien integrointi

Tietojärjestelmien integroiminen hyödyntämällä palvelupohjaista arkkitehtuuria. CASE: Metropolia. Jaakko Rannila & Tuomas Orama 1

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

Pekka Hagström, Panorama Partners Oy

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

Tutkimus web-palveluista (1996)

Verkottunut suunnittelu

Pilvi 9.0. Arkkitehtuuri. Esimerkki arkkitehtuurit

Tunnistus ja roolipohjainen käyttöoikeuksien hallinta. Inspire-verkoston Yhteistyö-ryhmä

Terveydenhuollon Atk-päivät 2009

SOA & Ajax Sanahelinää vai toimivaa käytäntöä sähköisessä asioinnissa? Fenix hankejohtaja Harri Juuti Projektipäällikkö Teemu Karvonen

TYPO3 - Open Source Enterprise CMS

Järjestelmäarkkitehtuuri (TK081702)

Oskarin avulla kaupungin karttapalvelut kuntoon

Käytännön haasteita ja ratkaisuja integraation toteutuksessa. Jukka Jääheimo Teknologiajohtaja Solita Oy

Käyttövaltuushallinnan hyödyt tehokkaasti käyttöön. Johanna Lampikoski, RM5 Software Juha Arjonranta, TeliaSonera Finland

Portaaliteknologiat mahdollistavat ajattelutavan muutoksen

Monitoimittajaympäristö ja SIAM, haasteet eri toimijoiden näkökulmasta

Rajattomat tietoverkot ja niiden rooli pilvipalveluissa. Jukka Nurmi Teknologiajohtaja Cisco Finland

3 Verkkopalveluarkkitehtuuri

Roolipohjainen käyttöoikeuksien hallinta Terveydenhuollon ATK-päivät

atbusiness Tietoturvatorstai

Vaivattomasti parasta tietoturvaa

Liiketoimintajärjestelmien integrointi

Tietojärjestelmien itsepuolustus Reaktiivisuudesta ennakointiin

3 Verkkopalveluarkkitehtuuri

OWASP CLASP turvallisten web sovellusten takaajana

Sisällys. Valtion tietotekniikan rajapintasuosituksia. XML:n rooleja sähköisen asioinnin tavoitearkkitehtuurissa. dbroker - asiointialusta

TIETOTURVA LIIKETOIMINNAN MAHDOLLISTAJANA

Tiedonsiirto- ja rajapintastandardit

Virkamiehen tunnistamisen luottamusverkosto Virtu vapauttaa salasanaviidakosta Kotiviraston näkökulma

Visualisoi tapahtumat ja selvitä niiden kulku

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

PCI DSS 3.0. Merkittävimmät muutokset Seppo Heikkinen, QSA Nixu

ACCOUNTOR ICT Digitaalinen työympäristö Markkinatutkimus joulukuu 2018

PKI-arkkitehtuurin kansallinen selvitys Terveydenhuollon atk-päivät

Liite 1: KualiKSB skenaariot ja PoC tulokset. 1. Palvelun kehittäjän näkökulma. KualiKSB. Sivu 1. Tilanne Vaatimus Ongelma jos vaatimus ei toteudu

Kaikki analogiset järjestelmät digitaalisiksi ja verkkokäyttöisiksi - jo tänään Kustannustekkuutta ja joustavuutta työskentelyyn

Kattava tietoturva kerralla

Liiketoimintaprosessien ja IT -palvelujen kytkentä Palveluntarjoaja katalysaattorina

Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella

SUOJAA JA HALLINNOI MOBIILILAITTEITASI. Freedome for Business

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Osoitteena O365. Toimisto ja yhteydet pilvestä

IoT-platformien vertailu ja valinta erilaisiin sovelluksiin / Jarkko Paavola

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

Älykästä. kulunvalvontaa. toimii asiakkaan omassa tietoverkossa

Elisa Toimisto 365. Toimisto ja yhteydet pilvestä

Miten hakea tehoa ja kustannussäästöjä infrastruktuuria optimoimalla. Teemu Salmenkivi, teknologianeuvonantaja

Suomi.fi-palveluväylä. Palvelulupaus ja tiekartta

PILVIPALVELUT. Käyttäjän- ja pääsynhallinnan näkökantoja itsmf.fi aamiasseminaari

Hyökkäysten havainnoinnin tulevaisuus?

Tietoturvan haasteet grideille

Tuotetta koskeva ilmoitus

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Tieto ja järjestelmät integroituvat asiakaslähtöisiksi palveluiksi. JHS-seminaari Jukka Ahtikari

Palveluiden, prosessien ja tietoturvan hallinnointi monitoimittajaympäristössä

TEEMME KYBERTURVASTA TOTTA

KAOS 2015: Integraatioiden standardointi suunnittelumallien avulla. Ilkka Pirttimaa, Chief ICT Architect, Stockmann ICT

XPages käyttö ja edut Jarkko Pietikäinen toimitusjohtaja, Netwell Oy

Tietoturvakoulutus Tietojenkäsittelyn koulutusohjelmassa

- ai miten niin? Web:

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti

Tietoturvan Perusteet Yksittäisen tietokoneen turva

Tietosuojariskienhallinnan palvelutuotteet. Marko Ruotsala M.Eng, CISA, CISM,CRISC,HCISPP Liiketoimintapäällikkö, turvallisuus ja riskienhallinta

Suuret Hyödyt Suuri IT-palveluiden tehokkuus

Juha Viinikka, Senior Manager, Corporate Security, Kesko

Transkriptio:

SOA ja/tai tietoturva? Kim Westerlund, johtava konsultti Nixu Oy 6/2/09 Nixu Oy 1

Aiheeni Taustaa SOA:sta Teesi: SOA kiertää useimmat tietoturvaarkkitehtuurin kontrollit? Miten varautua SOA:aan? Mitä tietoturvapalveluita SOA:lle tulisi tarjota Esimerkki: IAM SOA-pilvessä?

SOA:n tulevaisuus? 27.1.2009: Burton group Executive Advisory Program, On the Death of SOA

SOA kahdessa minuutissa SOAn tavoite on että yksinkertaiset palvelut käyttävät muita yksinkertaisia palveluita toteuttamaan jonkun prosessin. SOA on löyhästi kytkettyjä järjestelmiä jotka keskustelevat WS-* ja REST sanomin. Ajatus taustalla on että myös kumppanimme ja asiakkaamme voisi käyttää SOA-palveluitamme. Palvelun julkaissut järjestelmä ei luultavasti toteuta koko tapahtumaa. Tavoitteena uudelleenkäytettävyys ja yhteensopivuus.

Darwinistinen visio: SOA 2014? metrokartta

Teesi Joka on rakennettu suojaamaan luvattomalta käytöltä, tunketumisilta ja viruksilta. SOA kiertää useimmat nykyiset tietoturva-arkkitehtuurit? Palomuurit Salaus Todennus IDS...koska jatkossa suuri osa palveluiden tietoturvakontrolleista määritellään SOAssa.

Perinteinen tietoturvajärjestely Tuottaja Toimittaja A Toimittaja B

Suojaamaton SOA-versio edellisestä arkiitehtuurista Tuottaja Web Service SOA: SOAP over Internet/HTTP Web Service Web Service Web Service Toimittaja A Toimittaja B

Kontrasti ihmis- ja koneyhteyksien välillä Tuottaja Tuottaja Web Service Ihmisen ja laitteen välinen kommunikointi Laitteiden välinen kommunikointi Web Service Toimittaja A Toimittaja A Jälkimäisessä tietoturva usein karkerakeisempi vähemmän turvallinen infra

Koneyhteyksien karkearakenteiset tietoturvakontrollit Tuottaja Tuottaja Web Service Autorisoitu käyttäjä Laitteiden välinen kommunikointi Web Service Autorisoitu koneyhteys Joustava ja avoin arkkitehtuuri helpottaa uudelleenkäytettävyyttä ja uusien sovellusten laatimista myös vihamielisten sellaisten

Muita ongelmia suojaamattomassa SOAssa Yksityisyys ja eheys (päästä-päähän salaus) Päästä-päähän näkyvyys ja auditoitavuus Käytettävyys (SLA) Vianselvitys (root-cause analysis) Tulviminen (DoS) Tapahtumien eheys kun yksi toiminto pilkkoutuu useammalle ali-palvelulle (atomiset transaktiot)

Mitä tietoturvatarpeita SOA:lla on Tunnistus (Authentication) Roolipohjainen valtuutus (Authorization Access Control) Luottamuksellisuus (Confidentiality) Eheys (Integrity) Kiistämättömyys (Non-repudiation) Tunnistuspääsylippujen välitys (Credential mediation) Julkaista tietoja palveluista (Service capabilities and constraints) Raportoitavuus (Reporting and Auditing) Edustajuus ja kontekstinhallinta

Miten tietoturvavastaavana varmistan etten ole hiekkana kehityksen rattaissa? Opiskele mistä SOA:ssa ja SOA Security:ssä on kysymys! Esim. Manningin kirjat: SOA Security ja Understanding Enterprise SOA Tarkastele asiaa seuraavina kokonaisuuksina: 1.Tietoturvaperiaatteet (security policy) 2.Todennus, autorisointi ja identiteettien hallinta(iam) 3.Sanomatason tietoturva (message-level security) 4.Palveluiden hallintotapa (governance) Voit suunnitella löyhästi kytkettyjä SOAstandardien mukaisia tietoturvapalveluita

Esimerkkejä WS-* -standardeista Esimerkkejä keskeisistä WS-* tietotuvastandardeista WS-Security WS-Trust WS-SecurityPolicy

Miksi tarvitaan erityistä SOAhallintaa? Perinteisessä maailmassa Sovellukset liiketoimintayksiköittäin Jokainen liiketoimintasovellus on riippumaton Yhdellä tiimillä on päästä-päähän vastuu Yksi tiimi tuntee kaikki liikkut osat Yksi tiimi tekee kaikki päätökset Lähde: Progress Software

Miksi tarvitaan erityistä SOAhallintaa? kun taas SOA-maailmassa Jos et näe prosessia Et voi mitata Et voi optimoida Et voi kontrolloida SOA-organisaatiossa Prosessit ylittävät siilot Yhdellä tiimillä ei ole päästä-päähän vastuu Yksi tiimi ei tunne kaikki liikkuvia osia Yksi tiimi ei tee kaikkia päätöksiä Lähde: Progress Software

SOA pakottaa ajattelemaan tietoturvaa uudelleen Perinteisen sovelluksen tietoturva Sovellus on suojattu eikä niinkään sen toiminnot Kutsuvan sovelluksen tulee tuntea kohteen tietoturvamalli Client Lähde: Progress Software

SOA pakottaa ajattelemaan tietoturvaa uudelleen SOA Security tekee asioista monimutkaisempia? Palvelut tulee suojata, ei niinkään sovellukset Palveluita uudelleenkäytetään eri konteksteissa ja saattavat tarvita useita säännöstöjä Palvelun suunnitteluvaiheessa on mahdoton nähdä kaikkia käyttötapauksia Hyödyntäjä Hyödyntäjä

SOA pakottaa ajattelemaan tietoturvaa uudelleen SOA Security Oikein tehtynä! Teknologian raja-aitoja ei tule nostaa uudelleen SOA Security itsessään tulee olla palvelulähtöistä ja avoimiin standardeihin purustuvaa SOA Security tulee perustua periaatteisiin helpomman kehitystyön ja hallittavuuden vuoksi Hyödyntäjä Hyödyntäjä

Moderni IAM-arkkitehtuurit tänään Asiakkaat Kumppanit Työntekijät Tunnisteen hallinta Tunnusten jakelu Todentaminen Valtuushallinta ja roolit Organisaatiotiedot Sis. ja ulk. identiteettilähteet Profiilitiedot Pääsynhallinta ja lokitus Kertakirjautu minen Karkea pääsynhallinta Luottamusverkon integraatio Edustajuuden valinta Lokitus ja raportointi Järjestel mäliitok set Roolien hallinta Delegoitu hallinta Hyväksyntä -työvuo Itsepalvelu -sivut Käyttäjä ja käyttövaltuushallinta Raportointi Periaatteet ja säännöt Käyttäjätietovarastojen hallinta Federoitu provisiointi Active Directory CRM Metahakemisto Provisiointi

Pääsynhallinta Moderni IAM-arkkitehtuurit tänään Työntekijät Periaatteet Teknologiat Prosessit Palvelut Käyttöliittymät Asiakkaat Periaatteet Teknologiat Prosessit Palvelut Käyttöliittymät Kumppanit Periaatteet Teknologiat Prosessit Palvelut Käyttöliittymät Ratkaisu Valtuushallinta Periaatteet Teknologiat Prosessit Palvelut Käyttöliittymät Periaatteet Teknologiat Prosessit Palvelut Käyttöliittymät Periaatteet Teknologiat Prosessit Palvelut Käyttöliittymät Ratkaisu Käyttäjätietovarasto Periaatteet Teknologiat Palvelut Periaatteet Teknologiat Palvelut Periaatteet Teknologiat Palvelut Ratkaisu SSO SSO SSO

Tunnistuksen ja identiteettitiedon normalisointi ja yleistys Web Service Web Service WS-Trust/SAML WS-Trust/SAML Web Service Roolitieto Attribuutit Luottamus

Autorisointi Entitlement management / fine-grained authorization Keskitetty palvelu XACML-standardiin perustuen Hyödyt...? Perinteiset SOA-hyödyt Keskitetty loki käytönaikaisille valtuutuksille Yleiskäyttöinen säännöstö perustuen suojattavaan tietoon Seuratkaa näitä! Axiomatics BiTKOO CA Oracle Securent / Cisco Jatkuu 2010...

Kiitos mielenkiinnosta kim.westerlund@nixu.com 040 512 3125

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute