s.o.s. – service oriented security? ibm szoftver megoldások – nem csak soa környezetben
DESCRIPTION
S.O.S. – Service Oriented Security? IBM szoftver megoldások – nem csak SOA környezetben. 2009. március 19. Balogh Péter IBM, SOA Architect. Agenda. Biztonsági megoldások SOA környezetben Identitás- és hozzáférés menedzsment Központi logmenedzsment – az auditálás eszközei - PowerPoint PPT PresentationTRANSCRIPT
IBM Software Group
© 2009 IBM Corporation
S.O.S. – Service Oriented Security?
IBM szoftver megoldások – nem csak SOA környezetben
2009. március 19.
Balogh PéterIBM, SOA Architect
IBM Software Group
© 2009 IBM Corporation
Agenda
Biztonsági megoldások SOA környezetben Identitás- és hozzáférés menedzsment
Központi logmenedzsment – az auditálás eszközei
Esemény korreláció – fraud detection
A SOA és egyéb elosztott környezetek kihívásai Integráció – vállalaton kívül (tranzakciós átjárók)
Alkalmazások biztonsági tesztelése
IBM Software Group
© 2009 IBM Corporation
Identitás- és hozzáférés menedzsment – hagyományos modell
Új alkalmazottbeléptetése
Jogosultság és hozzáférésekmanuális igénylése
Házirend és szerepkörök manuális elemzése
Jóváhagyási lépésekJóváhagyott igény végrehajtásra vár
Felhasználói fiókok
Rendszergazdalétrehozza/módosítja a hozzáférést
Új alkalmazott belép Munkakörváltás Távollét/helyettesítés Munkaviszony megszűnése
IBM Software Group
© 2009 IBM Corporation
Cognos
AS400
Munkakörváltozás ITIM felhasználó
nyilvántartás (központi címtár)
Felhasználói fiókok
njanosnj_admin
njanos
Nagy János
Tóth Ilona
tilona
tilona
njanos
Ilona főnöke
Egyedi jogosultság igénylés
Szerepkör alapú házirendek és folyamatok
11
22
33
44
SAP
Automatikus jogosultság beállítás és szinkronban tartás
Központi identitás- és hozzáférés menedzsment
IBM Tivoli Identity Manager
Háttér-rendszerek
bpeter
kgeza
„Árva” és non-compliant fiókok kezelése
55
IBM Software Group
© 2009 IBM Corporation
Központi identitás- és hozzáférés menedzsment
IBM Tivoli Access Manager és az SSO
IBM Software Group
© 2009 IBM Corporation
Enterprise Service Bus
Integráció – vállalaton kívül (tranzakciós átjárók)
IBM Tivoli Access Manager – központi jogosultsági szolgáltatás
TivoliAccess Manager
AuthorizationService
Jogosultsági szabályok szolgáltatás -orientált megfogalmazása
Backend rendszerek jogosultságirendszerének elfedése
Központi szabály-definíció
Backend rendszernél komplexebbjogosultsági szabályok megvalósítása!
IBM Software Group
© 2009 IBM Corporation
Központi logmenedzsment
“W7”
AIX Windows Firewall Oracle SAP IKM Cognos Portal ESB …
„Who,
did What,
on What,
When,
Where,
Where from,
Where to”
„Who,
did What,
on What,
When,
Where,
Where from,
Where to”?
Két naplózási szint megkülönböztetése:
Technikai, biztonsági log Tranzakció napló
Azonos, értelmezhető formára alakítás
IBM Software Group
© 2009 IBM Corporation
Központi logmenedzsment
IBM Tivoli Security Information and Event Manager
IBM Software Group
© 2009 IBM Corporation
Források Események IBM Tivoli SIEM Install Eredmény
Collectors
TSOM CMS Server
Compliance Dashboard
Riportok
Archív log fájlok kinyerése
3rd party eszközök
Riasztások
Alkalmazások
Adatbázisok
Operációs rsz.
IDS & IPS
Tűzfalak
Mainframe
TSOM EAMs
TCIM Enterprise Server
TCIM Standard Server
TCIM Standard Server
Operational Dashboard
TCIM Standard Server
Központi logmenedzsment
IBM Software Group
© 2009 IBM Corporation
Üzleti felhasználó
Business Services
Web Services
Business Processes
Applications
Alerts/KPIs
BPM
Események
Jelszó váltás
Hitel kalkuláció
Kp felvétel
Turbulent, Disparate,Non-Deterministic,
Un-sequenced Events
Észlelés
Opciós ügylet
Számlanyitás
Tranzakciók lekérdezése
Levelezésicím változtatása
„Fraud gyanú!"
Automatikus beavatkozás
„Kivizsgálás indítása"
WBE RuntimeKiértékelésKorreláció
Külső források
Belső források
IBM WebSphere Business Events
Esemény korreláció – fraud detection
IBM Software Group
© 2009 IBM Corporation
Fejlett esemény feldogozás
Üzlet- és felhasználó- barát felület+
WebSphere Business Events
Időben eltérő, tetszőleges forrásból származó események, tranzakciók korrelációja visszaélések azonosítása, értékesítési programok (x-sell, upsell), ...
IBM WebSphere Business Events
Esemény korreláció – fraud detection
IBM Software Group
© 2009 IBM Corporation
Agenda
Biztonsági megoldások SOA környezetben Identitás- és hozzáférés menedzsment
Központi logmenedzsment – az auditálás eszközei
Esemény korreláció – fraud detection
A SOA és egyéb elosztott környezetek kihívásai Integráció – vállalaton kívül (tranzakciós átjárók)
Alkalmazások biztonsági tesztelése
IBM Software Group
© 2009 IBM Corporation
Demilitarized Zone
Partner Zone
Enterprise Secure Zone
Enterprise Service Bus
Enterprise Service
Bus Gateway
DataPower
Do
ma
in
Fire
wa
ll
Inter-Enterprise
Zone
Pro
toco
l F
irew
allNetwork
Infrastructure
Integráció – vállalaton kívül (tranzakciós átjárók)
IBM DataPower Üzenet szabványokBelső jogosultság kezelésTrust zóna
Eltérő protokoll és üzenetstruktúraErősebb bizontsági ellenőrzésAláírás kezelésWS-Security
IBM Software Group
© 2009 IBM Corporation
Demilitarized Zone
XML Firewall and Web Services Gateway
XS40
Partner Zone
Enterprise Secure Zone
Enterprise Service
Bus
Enterprise Service
Bus Gateway
XI50
Do
ma
in
Fire
wa
ll
Inter-Enterprise
Zone
Pro
toco
l F
irew
allNetwork
Infrastructure
XML Processing
Offload
XA35
Integráció – vállalaton kívül (tranzakciós átjárók) DataPower termékcsalád
XML gyorsító
XML tűzfal, Web Service gateway
ESB gateway
IBM Software Group
© 2009 IBM CorporationSources: Gartner, Watchfire
Az IT biztonsági támasok a web alkalmazások rétege ellen irányul
75%75%
A webalkalmazások sebezhető2/32/3
Hálózatiinfrastruktúr
a
Webalkalmazáso
k
% %
75%
10%
25%
90%
Támadások Kiadások
Alkalmazások biztonsági tesztelése – nem kap elég figyelmet
IBM Software Group
© 2009 IBM Corporation
Támadás Negatív hatás Lehetséges üzleti kockázat
Buffer overflow Denial of Service (DoS) Oldal elérhetetlensége
Cookie poisoning Session eltérítés Lopás
Hidden fields Oldal átalakítás Illegális tranzakciók
Debug options Admin hozzáférés Jogosulatlan hozzáférés, személyes adatok védelmének sérülése
Cross Site scripting Azonosító lopás Lopás, ügyfél bizalmatlanság
Stealth Commanding Hozzáférés OS-hez, alkalmazásokhoz
Hozzáférés személyes adatokhoz, csalás, stb.
Parameter Tampering Csalás, adatlopás Ügyfelek átirányítása
Forceful Browsing/SQL Injection
Jogosulatlan oldal/adat hozzáférés
Írás/olvasás az ügyfél adatbázba/adatbázisból
Alkalmazások biztonsági tesztelése – nem kap elég figyelmet
IBM Software Group
© 2009 IBM Corporation
AppScan EnterpriseAppScan Enterprise
Web alkalmazás biztonság és tesztelés a teljes életciklusban
AppScan – AppScan – Enterprise Enterprise Edition & Edition & QuickscanQuickscan
AppScan – AppScan – Tester EditionTester Edition
AppScan - AppScan - Standard Standard EditionEdition
Fejlesztés alatti
tesztelés
Fejlesztés alatti
tesztelés
Tesztelés a QA folyamat részeként
Tesztelés a QA folyamat részeként
Tesztelés üzembe
helyezés előtt
Tesztelés üzembe
helyezés előtt
Monitoroz-za vagy
újra auditálja
az üzembe helyezett
alkalmazá-sokat
Monitoroz-za vagy
újra auditálja
az üzembe helyezett
alkalmazá-sokat
Alkalmazásfejlesztés
Minőség biztosítás
BiztonságiAudit
Monitorozás
AppScan - AppScan - Enterprise MSPEnterprise MSP
Alkalmazások biztonsági tesztelése
IBM Software Group
© 2009 IBM Corporation
Köszönöm!
MerciThank You!
Gracias
ObrigadoDanke
Japanese
Hungarian
French
Russian
German
English
Spanish
Brazilian Portuguese
Arabic
Traditional Chinese
Simplified Chinese
Hindi
Tamil
Thai
Korean
Bulgarian
Благодаря
Dziękuję Polish