Kick off avalon_imserso_20100209

Download Kick off avalon_imserso_20100209

Post on 04-Aug-2015

20 views

Category:

Documents

1 download

Embed Size (px)

TRANSCRIPT

<p> 1. Piloto Auditora SISAAD9 de febrero de 2010 Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture. 2. 1.Presentacin de AVALON2.Piloto de auditora del SISAADCopyright 2010 Accenture All Rights Reserved.2 3. 1. Presentacin de AVALON Qu es AVALON? AVALON es una Solucin de Auditora que contiene adems algunas funcionalidades bsicas de Gestin de la Seguridad en aplicaciones. El desarrollo de AVALON se ha basado en experiencias de xito en la implantacin de soluciones de seguridad. Registro de transacciones de negocio y acceso a datos (consultas realizadas y valores visualizados) Monitorizacin de actividad de usuarios concretos Control de acceso a datos sensibles o especialmente protegidos Explotacin de datos AVALON est desarrollado en J2EE bajo entorno open-source con las siguientes caractersticas tcnicas:Ser. AplicacionesSer. Web AVALON Web FilterAVALON Setup ManagerAVALON Parser Identificacin del puesto de trabajo desde el que se realizan las operaciones (direccin IP) Identificacin de intentos de suplantacin de credenciales Validacin bsica de perfiles autorizados para el acceso a datosSeguridadAuditoraAVALON Audit TrailServidores Auditoria Multi-Aplicacin: permite controlar distintas aplicaciones de forma conjunta en un nico repositorio de auditora Multi-Plataforma: admite no slo aplicaciones que utilicen el protocolo HTTP, sino tambin aplicaciones desarrolladas en otras tecnologas Independiente del gestor de base de datos. Escalable / fcil de configurar: la configuracin de los elementos a auditar es flexible y se realiza en caliente. Persistencia ante fallos: sus componentes pueden funcionar de manera independiente en el caso de prdidas eventuales de conexin entre ellos. No intrusivo / desacoplado: basado en colas asncronas, no impacta en el rendimiento de las aplicaciones ni requiere en gran parte de los casos, su modificacinAVALON puede definirse como una solucin intermedia y complementaria entre el enfoque Copyright 2010 Accenture All Rights Reserved. tradicional y el enfoque basado en appliances.3 4. 1. Presentacin de AVALON Componentes AVALON Web Filter** Disponible para aplicaciones web (J2EE o .NET)Otros componentes Sistemas de persistencia: Tanto AVALON Web Filter como AVALON Parser utilizan sistemas de persistencia, que permiten almacenar la informacin procesada en caso de que se produzca algn error de comunicacin o indisponibilidad eventual de los sistemas con los que interactan. Filtro Web que captura las peticiones enviadas por el servidor web al servidor de aplicaciones y las llamadas HTTP que pudieran ser enviadas a AVALON por ste ltimo (opcional), genera los ficheros en formato XML y los transfiere a AVALON Parser mediante un sistema de colas asncronas.AVALON Setup Manager Interfaz de administracin para configurar los criterios a aplicar por AVALON Web Filter y AVALON Parser en relacin a los mecanismos de seguridad en aplicaciones y de auditora. Control de errores: AVALON Parser dispone de un mecanismo que permite identificar errores en el procesamiento de datos de auditora y almacenarlos en un repositorio auxiliar si no es posible efectuar su registro en el componente AVALON Audit Trail. De este modo, se garantiza la persistencia de la informacin de auditora incluso en el caso de errores.AVALON Setup ManagerAplicaciones webOtras aplicacionesAVALONUsuariosColas XML asncronasAVALON Web FilterBase de datos de la aplicacin webLgica de la aplicacin webColas XML asncronasSistema de persistencia Llamadas HTTP (opcional)AVALON Parser Componente cuyo propsito es la identificacin de los casos de uso a auditar y de los datos que deben ser registrados, en base a la configuracin realizada por el administrador del sistema, y almacenarlos en la base de datos de auditora (AVALON Audit Trail), desechando los datos recabados que no se consideren de utilidad.Copyright 2010 Accenture All Rights Reserved.AVALON ParserAVALON Audit TrailSistema de persistencia Control de erroresAVALON Audit Trail Constituye la base de datos de auditora. Se puede optar por utilizar el modelo estndar (opcin Easy Plug &amp; Play) o configurar la base de datos de auditora en base a los principales casos de uso que se desean auditar (opcin Custom), facilitando as su exportacin posterior a sistemas de reporting.4 5. 1. Presentacin de AVALON Arquitectura fsica La arquitectura de AVALON permite adoptar diferentes configuraciones fsicas, en funcin de las tecnologas utilizadas en las aplicaciones (J2EE, .NET, cliente/servidor, host, etc.), los medios tcnicos disponibles (por ejemplo, disponibilidad de servidores) y las necesidades de la organizacin. I LUAplicaciones J2EE Servidor webServidor de aplicaciones J2EEAVALON Web FilterAplicaciones .NETServidor webOtras aplicaciones (Host, cliente / servidor, etc.)Colas XML asncronasAVALON Web FilterAVALON ParserSTRATI VOAVALON Audit TrailIISGeneracin de informacin de auditora en formato XMLC/S Aplicaciones de gestin Copyright 2010 Accenture All Rights Reserved.AVALON 5 6. 1. Presentacin de AVALON Mecanismo de registro de operaciones AVALON permite efectuar el registro de las operaciones efectuadas por los usuarios de las aplicaciones, mediante dos mecanismos, que pueden ser utilizados de forma alternativa o complementaria: Por funcionalidad de negocio: definicin de filtros que permiten establecer, de forma no intrusiva en las aplicaciones, los casos de uso que se requieren auditar y los campos cuyo acceso debe ser registrado. Por transaccin: definicin de llamadas directas al sistema AVALON implementadas en la funcionalidad de las ventanas cliente, mediante las que se registra informacin de solicitudes de acceso a servicios. Grado de coberturaSolicitudes (ida)Por funcionalidad de negocioPor transaccinRespuestas (vuelta)Tipos de aplicacinMecanismoS, mediante filtro web (AVALON Web Filter) que redirige las peticiones al sistema de auditoraRequiere el desarrollo a medida de una clase que interprete la estructura de datos proporcionada por el servidor de aplicacionesAplicaciones web: J2EE .NETFiltro (AVALON Web Filter)S, mediante llamadas efectuadas al sistema AVALON desde la aplicacin para que se efecte el registro de la solicitud realizadaS, mediante llamadas efectuadas al sistema AVALON desde la aplicacin para que se efecte el registro de los datos consultadosCualquier tipo de aplicacin Llamadas HTTP Generacin de ficheros XMLCopyright 2010 Accenture All Rights Reserved.6 7. 2. Piloto de auditora del SISAAD Objetivo y resultados esperadosObjetivo Prueba de integracin de AVALON con el SISAAD, de modo que el IMSERSO pueda valorar la utilizacin de esta solucin como herramienta de auditora, con independencia de que se considere conveniente la utilizacin de otras soluciones complementarias basadas en productos comerciales.Resultados esperados Seleccin de dos casos de uso relevantes, y configuracin de AVALON de modo que sea posible obtener datos de auditora, relativos tanto a las consultas efectuadas por los usuarios como a la informacin que han podido visualizar, sin requerir modificar el cdigo fuente del SISAAD, y con un efecto mnimo en el rendimiento del sistema. Centralizacin de los datos de auditora en un mismo repositorio. Construccin de un informe que facilite la visualizacin de los resultados obtenidos en alguno de los casos auditados. Planteamiento de proyecto de adaptacin y configuracin de AVALON para la implementacin de la funcin de auditora del SISAAD haciendo uso de dicha solucin.Copyright 2010 Accenture All Rights Reserved.7 8. 2. Piloto de auditora del SISAAD Tareas y cronogramaSemana Tareas Gestin y seguimiento del proyecto 1. Arranque y preparacinReunin de arranqueRevisin del entorno, instalacin y configuracin bsica de AVALON Seleccin de casos de uso a auditar 2. Desarrollo y pruebas Desarrollo de adaptaciones para la integracin AVALON - SISAAD Configuracin de casos de uso - ejemplo Pruebas de integracin AVALON - SISAAD Diseo, desarrollo y pruebas de informes - ejemplo Presentacin de conclusiones3. Conclusiones Informe de conclusiones - Demostracin Definicin de prximos pasosCopyright 2010 Accenture All Rights Reserved. 8</p>