"Bezpieczne API, jak organizacja może minimalizować ryzyko korzystania z "web services" w sieci."...

Bezpieczne API, jak organizacja może

minimalizować ryzyko korzystania z "web

services" w sieci.

WS Request

<soapenv:Envelope

xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"

xmlns:alx="http://alx/">

<soapenv:Header/>

<soapenv:Body>

<alx:addInput>

</alx:addInput>

</soapenv:Body>

</soapenv:Envelope>

Confidentiality - Poufność

Integrity - Integralność

Avaliability - Dostępność

Narzędzia

• Uwierzytelnianie

• Autoryzacja

• Szyfrowanie

• Podpis cyfrowy

• Integralność

• Niezaprzeczalność

Jakie API ?

• Web Services Protocols: SOAP 1.1 & 1.2, SwA,

MTOM, Plain XML (POX), REST, Web 2.0 (Ajax,

JSON), UDDI, WSDL

• Transport Protocols: TCP, HTTP 1.0 & 1.1, JMS, MQ,

FTP, SFTP, SMTP, POP.

• Security and Policy Model: SSL, XML Encryption,

XML Signature, WS-Security (SAML, Kerberos,

Username, X.509 token profiles), WS-Policy, WS-

SecurityPolicy, WS-Trust, WS-SecureConversation,

WS-Addressing, WS-RM, XACML, XKMS, PKCS#1,

PKCS#7, PKCS#12, S/MIME., OAuth

Service

Architektura Referencyjna

HTTP GET/POST

Extranet

Pierwsza linia

obrony

Bezpieczaństwo

„Last mile”

Intranet

Web Client

(Browser)

Web Service

Client

Web Service

Client

Web Service

Client

Web Service

Client

Service Bus

Service

Common Security Policies

API Security

• Bezpieczeństwo API

• Ochrona przed zagrożeniami Zagrożenia

• Kontrola dostępu i tożsamości

• Bezpieczeństwo danych („data redaction”)

• Zarządzanie API

• QOS

• Transformacje i „Routing”

• Audyt i Monitorowanie

• Zarządzanie kluczami do API

Bezpieczeństwo Web Service’ów

• Bezpieczeństwo warstwy transportowej

• Point to Point - SSL

• Standardowy mechanizm uwierzytelniania HTTP

• W SSL Brak informacji o użytkowniku aplikacji

• Poufność

• Integralność

Bezpieczeństwo Web Service’ów

Bezpieczeństwo warstwy wiadomość

• Wiadomość same się chronią

• Uwierzytelnianie, Poufność, Integralność

• Niezależne od warstwy transportowej

Uwierzytelnianie

• Dostępne tokeny

• Certyfikaty X.509

• Kerberos tickets

• UserID/Password

• SAML - Assertion

• ObSSO Cookie (Oracle Access Manager)

• Custom defined token

Uwierzytelnianie cd

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"

xmlns:alx="http://alx/">

<soapenv:Header>

<wsse:Security soapenv:mustUnderstand="1" xmlns:wsse="http://docs.oasis-

open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd">

<wsse:UsernameToken wsu:Id="UsernameToken-5" xmlns:wsu="http://docs.oasis-

open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd">

<wsse:Username>owsmuser</wsse:Username>

<wsse:Password Type="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-

username-token-profile-1.0#PasswordText">abcd1234</wsse:Password>

</wsse:UsernameToken>

</wsse:Security>

</soapenv:Header>

<soapenv:Body>

<alx:addInput>

</alx:addInput>

</soapenv:Body>

</soapenv:Envelope>

Integralność

• Standard Podpisu wg. W3C - XML Signature

• Podpisywanie wybranych elementów

• Niezaprzeczalność - Non-repudiation

OWSM - Poufność

• Stadnard szyfrowania - W3C XML Encryption

• Szyfrowanie wybranych elementów

OWSM - Wydajność

Pamiętajmy !!!

Szyfrowanie i podpisywanie cyfrowe wymaga zasobów

"Bezpieczne API, jak organizacja może minimalizować ryzyko korzystania z "web services" w sieci."...

Technology

Transcript of "Bezpieczne API, jak organizacja może minimalizować ryzyko korzystania z "web services" w sieci."...

Many ideas one solution

Projektowanie Wnętrz Warszawa- The Architect

W Sieci 40/2015€¦ · 86 miej oko na oko iwona kazimierska na koniec 92 prezydencie, do dzieŁa! aleksander nalaskowski 93 felietony katarzyna Łaniewska, jerzy jachowicz 94 epos

Katarzyna Kobierska / landscape architect

Applications for polyurethane insulation today s solution for tomorrow s needs pl 1

"Ochrona repozytoriów SZT LDAP vs Baza Danych", Marcin Kozak, Software Architect, Security, Oracle Polska

Customer Solution Briefdownload.microsoft.com/.../CaseStudyNormanBenett_… · Web viewKlient: Norman Benett Group Wielkość firmy: 30 pracowników Kraj: Polska Profil klienta: Norman

Moxa Solution Day 2014 Rozwiązania Ethernetu Przemysłowego

Laboratorium 4 VMware ESXi, vCenter, vSphererjachowicz.kis.p.lodz.pl/Lab_4.pdf · VMware ESXi, vCenter, vSphere autor: Rafał Jachowicz (rjachowicz@kis.p.lodz.pl) 1 Laboratorium 4

Developer to Software Architect

Jakub Michalak - Solution Partner Manager Łukasz Ziółkowski - Junior Consultant - XGS

ZACIEŚNIAMY RELACJE Z HANDLEM · 15:30 Zintegr owany Łańcuch Dostaw XXI w. – najnowsze trendy w ﬁ rmach handlowych Adam Adamczyk, Business Solution Architect, SAP POLSKA 15:50

Instytut Fizyki Jądrowej im. Henryka Niewodniczańskiego Polskiej Akademii Nauk Electronics for PARIS Searching for optimum solution Piotr Bednarczyk.

PORTFOLIO - Equidif · portfolio 20 11 21 Equidif independent stone consulting portfolio 20 11 >>> Barhain Client > mAJiD Al FUttAim gRoUP Architect > RtKl london management > mace

PRACE IPPT • IBTP REPORTS - bcpw.bg.pw.edu.plbcpw.bg.pw.edu.pl/Content/970/Prace_IPPT_1967_n1_str1_16.pdf · tzw.techniczna teoria naprężeń cieplnych, ... Contributioa a la solution

Drożyzna - gandalf.com.pl · do tragedii 10 kwietnia – MAREK PYZA 28 Rodzina na swoim. Saga rodu Radwańskich – KRZYSZTOF RAWA 31 Czarna lista zbrodni w III RP – JERZY JACHOWICZ

caa.rocaa.ro/media/docs/PAA_2020_aprobat_-_proceduri.pdf · Constrwtie rm_ÀtifunctmaJ echipat Identity Solution Sistem electronic pentru procesarea solicitarilor de check Sistem

Social Impact III Marcin Kociuba NetCenter Solution sp. z o.o.

Ansible Tower by Red Hat · Tomasz Dziedzic CTO, Wiceprezes zarządu RHCA @ 2009 RHCE @ 2005 Konrad Rzentarzewski Senior Solutions Architect Ekspert w dziedzinie automatyzacji IT

The equivalent amplitude stress as a solution of …bluebox.ippt.pan.pl/~bednarek/2005/Lviv2005.pdf · The equivalent amplitude stress as a solution of mean stress effect problem