atbusiness Tietoturvatorstai 27.11.2003



Samankaltaiset tiedostot
Data Security 2003, Tieturi

Käyttäjähallinta liiketoiminnan selkärankana. Ratkaisuna LDAP-hakemistot

PKI AtBusiness. Kokonaisprojektit Konsultointi CP/CPS Sovelluskehitys Mobile PKI RSA, Baltimore, iplanet, W2K Hakemistot

Miten PKI-projekti onnistuu? AtBusiness Tietoturvatorstai

Sertifioinnin rooli tietoturvallisuudessa. atbusiness tietoturvatorstai Client-server, n-tier, web-sovellus

Tutkimus web-palveluista (1996)

SecGo. Sähköinen allekirjoitus ja sen käyttö. Ari-Pekka Paananen, SecGo VE Oy Director,technology

HSMT J2EE & EJB & SOAP &...

Kansallinen sähköinen potilasarkisto Varmenteiden käyttö

HOJ J2EE & EJB & SOAP &...

Web-palvelukonsepti tarjoaa yhden tavan toteuttaa SOA. Tämä tapa perustuu Web-palvelustandardien käyttöön: palvelut kuvataan WSDL-kielen avulla ja

Identiteettipohjaiset verkkoja tietoturvapalvelut

Sisällys. Valtion tietotekniikan rajapintasuosituksia. XML:n rooleja sähköisen asioinnin tavoitearkkitehtuurissa. dbroker - asiointialusta

Järjestelmäarkkitehtuuri (TK081702) SOA, Service-oriented architecture SOA,

myynti-insinööri Miikka Lintusaari Instrumentointi Oy

in condition monitoring

PALVELUKUVAUS OHJELMISTOTALOILLE SAMLINK VARMENNEPALVELU

SOA ja/tai tietoturva?

Hyökkäysten havainnoinnin tulevaisuus?

Tiedonsiirto- ja rajapintastandardit

SOA/.NET oppitunti siitä, miten johtoasema säilytetään

Järjestelmäarkkitehtuuri (TK081702)

Harri Kaukovuo Senior Sales Consultant Technology Sales Oracle Finland Oy

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

XML johdanto, uusimmat standardit ja kehitys

OHJ-5201 Web-palveluiden toteutustekniikat. Kurssisisällöstä. Tarja Systä

Verkkosovellusten tietoturvastrategia

Tietoturvallisuuden ja tietoturvaammattilaisen

Tietojärjestelmien yhteensovittaminen turvallisesti älykkäisiin koneisiin

Rakenteiset dokumentit Mitä hyötyä niistä on?

W3C-teknologiat ja yhteensopivuus

SAMLINK VARMENNEPALVELU PALVELUKUVAUS OHJELMISTOTALOILLE

Varmennepalvelu Yleiskuvaus Kansallisen tulorekisterin perustamishanke

Yritysturvallisuuden perusteet. 11. Luento Tietotekninen turvallisuus

Sähköisten palveluiden tietoturva Maksufoorumi, Suomen Pankki

Käyttäjien ja käyttövaltuuksien hallinta terveydenhuollon alueella

Hajauta yhdistäen ja yhdistä hajauttaen: Web Services

Verkostojen identiteetinhallinta. Haka-seminaari Kehityspäällikkö Sami Saarikoski Opetus- ja kulttuuriministeriö.

Tietojärjestelmien itsepuolustus Reaktiivisuudesta ennakointiin

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2011

Novell Access Manager ja Novell Cloud Security Service Pekka Lindqvist Markku Wallgren

Uloskirjautuminen Shibbolethissa

Julkinen sanomarajapinta ja

Potilastiedot ja tietoturvallisuus Käyttäjähallinta ja tietoturva kertakirjautumisella

Yritysturvallisuuden perusteet

Helsingi yliopiston kevytkäyttäjähallintosovelluksen rajapintakuvaus

Salaustekniikat. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2010

Tietoturvatekniikka Ursula Holmström

Neoxen Systems on suomalainen ohjelmistotalo. Olemme erikoistuneet tiedon- ja oppimisen hallinnan ratkaisuihin.

Järjestelmäarkkitehtuuri (TK081702) Järjestelmäarkkitehtuuri. Järjestelmäarkkitehtuuri

-kokemuksia ja näkemyksiä

IoT-järjestelmän ja ulkovalaistuksen ohjauksen hankinta -markkinavuoropuhelutilaisuus

WEB SERVICES RAJAPINTA SAMLINKIN TEKNINEN RAJAPINTAKUVAUS OHJELMISTOTALOILLE

Tietoturvan perusteet - Syksy SSH salattu yhteys & autentikointi. Tekijät: Antti Huhtala & Asko Ikävalko (TP02S)

Potilastiedot ja tietoturvallisuus Tietoturvaselvitykset ja asiantuntijakonsultointi roolipohjaisen käyttäjähallinnan osalta

W3C, Web-teknologiat ja XML

3 Verkkosaavutettavuuden tekniset perusteet

Luento 12: XML ja metatieto

Verkottunut suunnittelu

PKI-arkkitehtuurin kansallinen selvitys Terveydenhuollon atk-päivät

Helpottuuko sovellusten välinen integraatio XML:n avulla - kokemuksia ja ratkaisuja, teknologiajohtaja Sauli Tujunen, atbusiness Communications Oyj

Kymenlaakson Kyläportaali

Terveydenhuollon standardoinnin tilanne tänään, tietohallintopäälli kkö Pekka Ruotsalainen, Stakes

XML:n turvallisuus web-palveluissa

Varmennepalvelu Rajapintakuvaus Kansallisen tulorekisterin perustamishanke

WEB SERVICES -YHTEYS

Integrointi. Ohjelmistotekniikka kevät 2003

Web Services - yhteys

Järjestelmätoimitusprosessin tietoturva Mikko Jylhä

Kuljetus- ja sovelluskerroksen tietoturvaratkaisut. Transport Layer Security (TLS) TLS:n suojaama sähköposti


TeliaSonera CA Asiakkaan vastuut ja velvollisuudet (Subscriber Agreement)

Microsoft Online Portal. Järjestelmänvalvojan perusopas

TeliaSonera Identity and Access Management

Turvaa vihdoin hallitusti sähköpostit, asiakas- ja kumppaniviestintä sekä tietosisällöt

Tietoverkkojen turvallisuus. Tuomas Aura T Johdatus tietoliikenteeseen kevät 2012

GDPR-projektien ja johtoryhmien kuulumisia GDPR-päivä / Helsinki EU General Data Protection Regulation (GDPR) Juha Sallinen / GDPR Tech

Turvallinen etäkäyttö Aaltoyliopistossa

W3C ja Web-teknologiat

Kvarkki XUA: sähköisen allekirjoituksen määritys 1 (6) V 1.0. Kvarkki XUA: sähköisen allekirjoituksen määritys

Sähköinen allekirjoitus

Kryptografiset vahvuusvaatimukset luottamuksellisuuden suojaamiseen - kansalliset suojaustasot

Turvaa langattomat laitteesi ja verkkosi. Harri Koskinen Rossum Oy

Järjestelmäarkkitehtuuri (TK081702) Web Services. Web Services

Terveydenhuollon ATK päivät TURKU

Automaatiojärjestelmän hankinnassa huomioitavat tietoturva-asiat

Federoidun identiteetinhallinnan

Tulevaisuuden Internet. Sasu Tarkoma

Harjoitus 3: Vaatimukset

HOJ Haja-aiheita. Ville Leppänen. HOJ, c Ville Leppänen, IT, Turun yliopisto, 2012 p.1/10

Ongelma 1: Miten tieto kannattaa koodata, jos sen halutaan olevan hyvin vaikeasti luettavaa?

ISACA Finland OWASP The OWASP Foundation. Timo Meriläinen Antti Laulajainen.

Attribuutti-kyselypalvelu

Enigmail-opas. Asennus. Avainten hallinta. Avainparin luominen

PKI Käytännön kokemukset ja SWOT-analyysi

W3C ja Web-teknologiat

Tikon Ostolaskujenkäsittely versio SP1

Järjestelmäarkkitehtuuri (TK081702) Avoimet web-rajapinnat

StanForD-XML. Juha-Antti Sorsa, Tapio Räsänen, Vesa Imponen

Transkriptio:

Web Services tietoturvahaasteet atbusiness Tietoturvatorstai 27.11.2003 Jari.Pirhonen@atbusiness.com Tietoturvallisuuspäällikkö ja -konsultti, CISSP, CISA AtBusiness Communications Oyj www.atbusiness.com www.iki.fi/japi/ Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 1 Web Services Sovelluskomponentteja, jotka on kuvattu WSDL-esitystavalla ja käytettävissä -protokollan avulla standardien verkkoprotokollien yli Web Services = XML + WSDL + (+ UDDI) Löyhä sidos sovellusten välillä toteutustavalla ei merkitystä vrt. Java RMI, CORBA, DCOM Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 2 1

Perinteinen web-sovellus SSL Web-sovellus Tietoliikenteen salaus ja eheys (point-to-point) Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 3 Web Services perusmalli XML salaus XML allekirj. WS sovellus XML salaus XML allekirj. WS sovellus Viestien salaus ja eheys (end-to-end) Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 4 2

Web Services monimutkaisempi malli Tietoturvapalvelu Tietoturvapalvelu Luottamus Käyttäjän todennus Valtuutus Valtuutus SAML WS sovellus SAML WS sovellus Viestien salaus ja eheys, käyttöoikeuksien delegointi, valtuutus Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 5 Web Services arkkitehtuuriehdotus palvelu hallinta Web Service palvelu Palomuuri /XML suodatus Todennus & valtuutus Web Services hallinta Web Service asiakas Lähde: Netegrity suodatus pääsynvalvonta Yrityksen sovellukset Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 6 3

Lähtökohta XML, ja Web Services - tietoturva mietitty jälkikäteen Web Services tietoturva <> WS Security Analyytikot (Gartner, Forrester, Hurwitz, Burton Group, ZapThink) nimeävät Web Services tietoturvan yhdeksi yritysten suurimmista haasteista lähivuosina. Ensimmäiset sovellukset lähellä perinteisiä web-sovelluksia. Tuotteissa luvataan enenevässä määrin tukea Web Services tietoturvaan liittyville standardeille (XML, SAML, XKMS,..). Yhteensopivuus todennäköinen ongelma. Standardointi käymistilassa standardeissa päällekkäisyyksiä Nykyinen WS-Interoperability dokumentti (Basic Profile Version 1.0a, 8.8.2003) kuittaa tietoturvan SSL-käyttömahdollisuudella. Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 7 Haasteita Monimutkaisuus Sovellusten vaikeuskerrointa nostetaan taas Kypsymättömyys Standardit elävät Työkaluja ja valmiita rajapintoja vähän Yhteensopivuusongelmat Hype Palveluita halutaan nopeasti. Mietitäänkö riskejä? Tuotteisiin halutaan nopeasti Web Services leima => yhteensopivuusongelmat, kehittyneet piirteet puuttuvat, bugeja. Sovellusten välinen kommunikointi Web Services lupaus piilee sovellusten välisessä kommunikoinnissa. Useita osapuolia ja sovelluksia tiedonkäsittelyketjussa. Tapahtumien aikaleimat, kellojen synkronointi. Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 8 4

Haasteita Tietoturvafokus muuttuu Haasteena ei ole ulkopuolisten pääsyn estäminen, vaan kommunikoivien osapuolten varmistaminen ja valtuutus. Käyttäjätietojen, valtuuksien ja tietoturvavaatimusten käsittely sovellusten välillä. Käyttäjätietojen hallinta Käyttäjäoikeuksien delegointi. Roolipohjainen valtuutus (RBAC) Ison yrityksen tarvittavien roolien löytäminen sovellustarpeisiin on haasteellinen tehtävä Vastuut, toimintamallit, Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 9 Haasteita PKI SSL ei välttämättä enää riitä Salaus ja digitaaliset allekirjoitukset välttämättömyys monimutkaisissa (hyödyllisissä) sovelluksissa. XML-salauksen ja allekirjoitusten käyttöönotto vaatii salausteknologioiden perusosaamista: salausalgoritmit, tiivisteet, varmenteet, sähköiset allekirjoitukset, sulkulistat, Luottamuksen hallinta Kuinka osoitat tietoturvan olevan kunnossa? Kuinka varmistat eri osapuolten tietoturvan? Luottamuksen väärinkäyttömahdollisuudet minimoitava. Onko luottamus siirrettävissä? Luottaako yrityksesi yhteistyökumppaniensa kumppaneiden kumppaneihin? Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 10 5

Ratkaisuja WS- SecureConversation Sovellusten välinen tietoturvakonteksti, SSL -tasolla WS-Federation Luottamuksen välitys, esim. X509 PKI => Kerberos WS-Authorization Pääsyoikeuksien määritys ja hallinta XKMS XrML WS-Policy Tietoturvavaatimukset WS-Trust Luottamussuhteet WS-Privacy Tietosuojapolitiikat Liberty Alliance WS-Security -viestien suojaaminen, -security XML-salaus, XML-allekirjoitus PKI SSL SAML XACML Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 11 XML-pohjainen viestivälitys Ei ota kantaa tietoturvaan Ei kiinnitä kuljetuskerrosta HTTP, SMTP, FTP, JMS, HTTP suosittu, palomuuriystävällinen kuljetuskerros salakuljetus palomuurin läpi Speksi suosittelee porttinumeron vaihtamista -tarkoitukseen Voidaan käyttää sekä RPC että viestinvälitystarkoitukseen Not a glue, but an email between applications -viestit voidaan reitittää usean toimijan kautta Skaalaus, protokollamuunnokset, viestisisällön esitystavan muunnos -liikenteen suodatus Molempiin suuntiin Checkpoint, Vordel, WestBridge, Forum Systems, DataPower Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 12 6

XMLENC XML Encryption XML dokumentin tai sen osan salaus Elementti tai elementin sisältö Dokumenttiin linkitetyn tiedon salaus Myös salattu tieto voidaan tallettaa raakana XML-dokumentin ulkopuolelle Kuinka yhdistät salauksen ja allekirjoituksen? Allekirjoitat ensin, sitten salaat sekä tiedon että allekirjoituksen? Allekirjoitat ensin, sitten salaat vain tiedon, et allekirjoitusta? Salaat ensin ja allekirjoitat salatun tiedon? Allekirjoitat salaat allekirjoitat uudestaan? Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 13 XMLDSIG XML Digital Signature XML dokumentin tai sen osan digitaalinen allekirjoitus Dokumenttiin linkitetyn tiedon allekirjoitus (URI) XML-muoto vs. käyttäjälle esitetty muoto Myös käytettävä DTD allekirjoitettava XML:n allekirjoitus tehdään kanoniselle (canonical) muodolle Allekirjoitus esitetään XML-muodossa Ei esim. PKCS#7 XMLDSIG on joustava ja monikäyttöinen mekanismi Mahdollistaa myös virheet ja harhaanjohtamisen XAdES ETSI:n XML-määritys laatuvarmenteisiin liittyviin allekirjoituksiin (2/2002) Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 14 7

WS-Security Määrittelee vain tietoturvatiedon sisällyttämisen viesteihin Käyttäjätunnus Kerberos-lippu X509-varmenne SAML-kuvaus XrML-kuvaus -viestiosan salaus ja allekirjoitus Hyödyntää XML-salausta ja allekirjoitusta Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 15 XACML extensible Access Control Markup Language XML-muotoiset pääsylistat (ACL) Ei tietoturvaa XML-dokumentteihin vaan XML-formaatti pääsylistoille Suojauskohteiden ei tarvitse olla XML-dokumentteja Tekijä, kohde, toiminto (luku, kirjoitus, luonti, tuhoaminen) Kohde jopa XML-dokumentin yksi elementti Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 16 8

SAML Security Assertion Markup Language Sovellusten (ja organisaatioiden) välinen oikeustietojen välitys Single Sign-On Mahdollisuus tuotteiden yhteensopivuuteen Tunnistus Käyttäjä X on todennettu salasanalla ajanhetkellä T Attribuutit Käyttäjä X kuuluu yrityksen Y tietoturvatiimiin Valtuudet Käyttäjällä X on lukuoikeus CRM-järjestelmän asiakastietoihin Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 17 Federation Luottamussuhteiden välittäminen organisaatioiden välillä luottamuksen ja istunnon hallinta, todennuksen laatu, organisaatioiden todennus, Microsoft Passport Microsoftin keskitetty käyttäjärekisteri TrustBridge Security Proxy (AD-AD, AD-Passport) Liberty Alliance Identity Federation Framework (ID-FF) Open Standards Community : Sun, HP, Verisign, BEA, Nokia, SAML + laajennokset WS-Federation Microsoft, IBM, BEA, Verisign, RSA WS-Trust, WS-SecureConversation, WS-SecurityPolicy Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 18 9

XKMS XML Key Management Specification XML-pohjainen PKI X509, PGP, SPKI Ei tarvitse ASN.1:tä Tavoitteena poistaa avainten ja varmenteiden käsittely client-sovellukselta Sopii paremmin myös puhelimille ja PDA-laitteille X-KRSS: XML Key Registration Service Specification Avainten generointi, rekisteröinti, mitätöinti ja toipuminen Ei massarekisteröintimahdollisuutta (XBULK) X-KISS: XML Key Information Service Specification Avainten haku, avainten voimassaolo, luottamuspolkujen käsittely XKMS on avain-keskeinen, perinteinen PKI varmennekeskeinen Luottamus XKMS -palveluun Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 19 Yhteenveto Sovellusten monimutkaisuus lisääntyy Tietoturva on huomioitava koko sovelluskehitysprosessissa Haluttu tietoturvataso on määriteltävä Hallittu tietoturva-arkkitehtuuri auttaa Web Services-sovelluksiin siirtyminen tuo uusia riskejä Paljon uutta opittavaa Uudet sovellusalueet ja tietoturvafokus Kasvavaa kiinnostusta uusille tietoturvaratkaisuille Käyttäjätietojen hallinta SSO, keskitetyt valtuutusratkaisut, RBAC Luottamuksen hallinta -liikenteen tarkistus ja suodatus Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 20 10

Standardien tila Standardi XMLDSIG XMLENC SAML 1.1 XACML v.1.0 v.1.2 Status W3C recommendation, 2/2002 W3C recommendation, 12/2002 OASIS standard, 9/2003 OASIS standard, 2/2003 W3C recommendation, 6/2003 Tukijat IBM, Microsoft, Verisign, Sun, IBM, Microsoft, Verisign, BEA, RSA, Entrust, BEA, Sun, RSA, Netegrity, Baltimore, BEA, Entrust, IBM, SUN, Microsoft, Sun, IBM, WS-Security XKMS UDDI v.2 XCBF v.1.1 OASIS draft, 3/2003 W3C working draft, 4/2003 OASIS standard 7/2002 OASIS standard, 9/2003 IBM, Microsoft, Verisign, HP, BEA, RSA, Sun, Verisign, RSA, Microsoft, IBM, Microsoft, IBM, Objective Systems, http://www.w3.org/tr/, http://www.oasis-open.org/ Copyright 2003 AtBusiness Communications Oyj. / Jari Pirhonen 26.11.2003 Page: 21 11

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute