Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 1
Jun 12, 2015
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 2
The following is intended to outline our general product direction. It
is intended for information purposes only, and may not be
incorporated into any contract.
It is not a commitment to deliver any material, code, or functionality,
and should not be relied upon in making purchasing decisions. The
development, release, and timing of any features or functionality
described for Oracle’s products remains at the sole discretion of
Oracle.
Seguridad en aplicaciones y servicios web
David Rodríguez-Barbero
Enterprise Architect Security Specialist
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 4
Agenda
Necesidades en un entorno SOA
Control basado en la información
Conclusiones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 5
Estado y necesidades
… se despliegan principalmente
usando web services XML • Uso elevado e intensivo de CPU
• Implica el uso de tecnologías y
estándares, tanto modernos
como “legacy”
• Gran diversidad de clientes
• Necesidad de SLA’s para el
“cobro por uso”
…altamente expuestas • Amenazas XML, virus, ataques
DoS, etc.
• ¿Como podemos asegurar la
confidencialidad y el no repudio?
• ¿Quién puede acceder a los
servicios y bajo que
condiciones?
• ¿Qué información sale de la
organización y como?
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 6
DMZ Seguridad
Primera línea
de defensa
Oracle Enterprise Gateway Perímetro de seguridad dinámico
Cloud Gateway
Seguridad en
la Nube
Mobile Acceso
Salvaguarda en
acceso móvil
PRIMERA LÍNEA DE DEFENSA GATEWAY EN LA NUBE SEGURIDAD EN MOVILIDAD
Detección de intrusiones
Acceso asegurado
Seguridad en el transporte/mensaje
Análisis en tiempo real
Seguridad del dato
Asegura SLAs
Transformaciones seguras
Virtualización y mash-ups
Automatización en mensajes
Acceso seguro a servicios
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 7
Cambios en la autorización
Desarrollos continuos
Paradas de servicio
Carencias
¿Quiero cambiar la
autorización sin parar
mis sistemas?
¿Quiero integrar
todos mis entornos?
Autorización sin cambio en las aplicaciones
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 8
- getCustomerDetail
- updateCustomer
- deleteCustomer…
Customer Service
Autorización sin cambio en las aplicaciones Autorización de grano fino para WebServices y Aplicaciones
Web Applications
Web Services Clients
Request
PEP
PDP
• Servicio autorizado sobre la base de “Claims/SAML assertions” en el encabezado SOAP
• Propagación de la identidad insertando token SAML en el encabezado SOAP basándose en cabeceras
HTTP o en información del cuerpo del mensaje
OEG
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 9
Mensajes inalterables
Nuevas necesidades
Enriquecimiento
Cifrado
¿Necesito enriquecer
mis mensajes?
¿Quiero cifrar
antes de…?
Tratamiento de mensajes
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 10
- getCustomerDetail
- updateCustomer
- deleteCustomer…
Customer Service
Tratamiento de mensajes Reescritura del mensaje
Web Applications
Web Services Clients
PEP
PDP
OEG <SOAP:Envelope>
…
<SOAP:Body>
<getCustomerDetailResponse>
<customerID> 86901 </customerID>
<name> Sally Smith </name>
<phone> 555-1234567 </phone>
<DNI> 12345678A </DNI>
<creditCardNo> 1122 3344 5566 </creditCardNo>
<purchaseHistory> … </purchaseHistory>
</getCustomerDetailResponse>
</SOAP:Body>
</SOAP:Envelope>
<SOAP:Envelope>
…
<SOAP:Body>
<getCustomerDetailResponse>
<customerID> 99999 </customerID>
<name> Sally Smith </name>
<phone> 555-1234567 </phone>
<DNI> *********** </DNI>
<creditCardNo> @^*%&@$#%! </creditCardNo>
<purchaseHistory> … </purchaseHistory>
</getCustomerDetailResponse>
</SOAP:Body>
</SOAP:Envelope>
• Reescritura de los datos y/o cifrado en la entrega del mensaje
• En base a políticas de autorización
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 11
Acceso desde dispositivos móviles
Robo de identidad
Nuevos paradigmas
Identificación
¿Quiero mejorar mi
autenticación sin
cambios?
¿Quiero cambiar
sin desarrollo?
Refuerzo del acceso
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 12
Sistemas de control de acceso
DMZ Extranet
Web Service Client
Servidores de aplicaciones
Web Service
Autenticación en el perímetro
Autenticación contra
Oracle Directory Services (OID, ODSEE, OVD)
Oracle Access Manager (SSO usando OAM cookie) o 3rd party WebSSO
Directorios y herramientas de acceso de terceras partes
Mediación de Tokens – Generación de aserciones SAML usando el nombre del web service client
SSO Cookie
OEG
Web Service Client
(Browser)
Refuerzo del acceso Autenticación en el perímetro
Tratamiento de tokens
Intranet
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 13
Conclusiones
Integrado y extensible
– Preintegrado con Oracle’s Fusion Middleware, IDM, Databases, y Applications
– También preintegrado con las tecnologías principales de terceras partes
Soporte completo para el gobierno de la nube y su seguridad
– Soporte de las ultimas tecnologías de cloud y movilidad
Rápido y escalable
– Aprovecha los últimos avances de las CPU’s Intel y Sparc
– Diseñado para soportar grandes despliegues empresariales
Basado en estándares
– Soporta todos los protocolos y tecnologías XML relevantes; web services, SOA,
seguridad y estandartes en gestión de Identidad
Copyright © 2012, Oracle and/or its affiliates. All rights reserved. 14
www.facebook.com/OracleIDM
www.twitter.com/OracleIDM
blogs.oracle.com/OracleIDM
www.oracle.com/Identity