XML und Web Services Herausforderung für die Unternehmens-IT-Sicherheit Sebastian Staamann, CEO...

XML und Web Services — Herausforderung für die Unternehmens-IT-Sicherheit

Sebastian Staamann, CEOXtradyne Technologies AG

[email protected]

Schönhauser Allee 6-7 D-10119 Berlin

Copyright © 2003 XTRADYNE Technologies AG- 2 -

Technologiekontext: Web Services (Projektkontext)

Relevanz Erster allgemein und weit akzeptierter

Standard für die Interaktion von Unternehmens-Applikationen über das Internet

Technologieentwicklung und Marktdurchdringung getrieben von:IBM, Microsoft, SUN, BEA ...

Unterstützung durch SAP, Oracle ...

Technik Web Services sind Software-

Komponenten oder Funktionen, auf die über einen standardisierten Satz aus Protokollen und Datenformaten zugegriffen werden kann.

Wichtige Formate (Technologiekern): XML, SOAP, WSDL, UDDI, HTTP

Perspektive Nutzung von Daten und Applikationen

über alle Applikationsgrenzen und Schnittstellen hinweg.

Standardtechnologie für die IT-gestützte Integration von Geschäftsprozessen im Unternehmen mit anderen Unternehmen

Web Services-Produkte in jedem Unternehmen (wie Datenbanken)

gegenwärtiger Stand Marktdurchdringung hat begonnen:

Technologie-Evaluierung bei großenIT-Nutzern in 2002 und 2003

Erste Produktentwicklungen mit WebService-Technologie (v.a. Microsoft Visual Studio .NET)

Einführung in der Breite: 2004(Giga, Gartner, Forrester)


Technologiekontext: Web Services - ein Anwendungsbeispiel -

Modellentwicklung in der Automobilindustrie: parallele Designprozesse

Problem/Aufgabe: verfügbare Kontextdaten für die Entwickler müssen aktuell/synchron sein.

Entwickler beim Zulieferer vonLichtmaschinen entwirft Teile

Entwickler beim Zulieferer vonKühlungssystem entwirft Teile

... auch mit Zulieferernüber die Firewall hinweg

Entwickler arbeiten gleichzeitig am Design verschiedener Teile und Aspekte eines neuen Modells

zentraler Server mitApplikation für die Integrationder Teil-Designs hat jederzeit

die globale, aktuelle, integrierte Datensicht

Web Services-Technologie ermöglicht Real-Time-Integration

(ständiger Abgleich der Kontextdaten)

Entwickler beimKarosserieteil-fertiger fein-designen Einzelteile

... auch Server-zu-Server


Web Services-Sicherheit

Relevanz Sicherheit ist Sorge Nr.1 der IT-

Verantwortlichen, die Web Services-Technologie einführen wollen(Forrester, Gartner, 2002, 2003)

Ohne Sicherheit kommt Web Services-Technologie nicht aus dem Back-Office-Bereich hinaus

Einsetzbarkeit von Web Services in der Praxis hängt ab von Sicherheit.

Technik Web Services-Sicherheitsprodukte

müssen Applikationssicherheit und Firewallsicherheit leisten

Realisierung der Technik erfordert Innovation und ist hochkomplex

Wichtige Formate (Standards): SAML, XML Encryption, XML Signature, XKMS, SSL/TLS, HTTP, WS Security

Perspektive Web Services-Applikationen werden

gebaut von Entwicklern ohne Sicherheits-Knowhow (Technologie für Massen, nicht für Experten). Produkte müssen dies ermöglichen.

Die Mehrheit der neuen Anwendungs-projekte wird Web Services über die Unternehmensfirewall hinaus anbieten.

gegenwärtiger Stand Application Server-Hersteller (IBM, BEA,

Oracle u.ä.) bieten proprietäre Lösungenverschiedener Mächtigkeit

Standards für Web Services-Sicherheit sind in der Phase der Ausarbeitung

Anwender und AppServer-Hersteller beginnen, nach Web Services-Firewall-Produkten zu suchen


Sicherheit für Web Services - herkömmliches Vorgehen -

herkömmliches Vorgehen:in alle Softwareteile werden mitSecurity APIs und Programm-bibliotheken Sicherheitsfunktionenvon Hand integriert

Firewallswerdenpartielldurchlässig


Web Services Security Gateway- Kundennutzen -

Sicherheit für alle Web-Services-Applikationen

(Supply Chain Management, Banking, Logistik, Buchungssysteme, Abrechnungssysteme ...)

EINFACH als EIN Produkt, umfassend und hochsicher deckt interne und externe Nutzer ab mit einer Installation Applikationssicherheit und Firewallsicherheit in einem Produkt extrem einfache Einführung, keine unkalkulierbaren und nicht

planbaren Projektkosten für Web-Services-Sicherheit erweiterbar ohne zusätzliche Projektkosten zentralisiertes und einheitliches Sicherheitsmanagement zuverlässig betreibbar von durchschnittlich qualifiziertem

Administrationspersonal, kein Bedarf für teure Experten

Kostenreduktion von mindestens 50% für Web Services-Sicherheit


Ein Policy Serversteuert beliebigviele Gateways

Web Services Security Gateway- Aufbau und Funktion -

Applikationsebene (SAML, DSig..)

Darstellungsebene (XML)

Transportebene (TCP, SSL, HTTP)

Netzwerkebene (IP)eingehenderDatenverkehr

(SOAP)

ausgehenderDatenverkehr

(SOAP)

Sicherheitsregeln,Benutzerverwaltung,Rechteverwaltung

Policy Server(Steuerung der Analysen, Autorisierung, ...)

Gateway-Komponente(Unterbrechung des Datenverkehrs und Sicherheitsanalyse auf allen Ebenen)

Web Services SecurityGateway-Lösung bestehtaus zwei Komponenten


Web Services Security Gateway- Einsatzmöglichkeiten -

Web Services-verfügbare

Unternehmens-applikation

fürinterne

Sicherheit

Sta

nd

ard

-Fir

ew

all-

Pro

du

kt

Sta

nd

ard

-Fir

ew

all-

Pro

du

kt

Firewall Zone

Internet

internerNutzerkannApplikationnutzen

Web ServicesSecurityGateway

Heimarbeiterkann Applikation

sicher von zu Hauseüber Internet nutzen

Web ServicesSecurityGateway

Firewall Zone

Sta

nd

ard

-Fir

ew

all-

Pro

du

kt

Sta

nd

ard

-Fir

ew

all-

Pro

du

kt

Web Services-verfügbare

Unternehmens-applikation

Web-Services-platform

Unter-nehmens-

applikation

Zulieferer kann eigene Applikationensicher über Internet anbinden (z.B. SCM)

ausgehendeZugriffskontrolle,

ausgehendeRollenzuweisungen

eingehendeZugriffskontrolle,

Rollenüberprüfung

Web ServicesSecurityGateway schützt

AppServervor Attackern

aus dem Internet. • kontrolliert die Inhalte

• autorisiert Benutzer en detail• integriert Benutzer- verwaltung


Beispiel-funktion:Benutzer-

verwaltung

Web Services Security Gateway- Einfache Administration -

Beispiel:für registriertenBenutzer Rees

ist Authentisierungmit Public-Key-

Zertifikaterlaubt

Beispiel:registrierter

Benutzer Young gehört zur

Nutzergruppe„Operators“


Xtradyne: Kurzprofil

Xtradyne Technologies AG:

Produkthersteller & Dienstleister Spezialist in Internet-, Middleware-

und Anwendungssicherheit (seit 1999)

Standorte: Berlin, Frankfurt a.M. (Berlin: 75% der Unternehmensangehörigen)

Vermarktung global, mit Schwerpunkt Deutschland DACH (überwiegend direkt)

EU, USA (Partnervertrieb)

Orientierung und Erfahrung: Großunternehmen

Know-How & Expertise:

IT-Sicherheit Firewalls Anwendungssicherheit Sicherheitsarchitektur

Application Server (Schwerpunkt Software-Security)

Sicherheits-Integration Einsatz im Unternehmen Produkte (IBM WebSphere,

BEA WebLogic, Borland, Oracle ...)

Internet-Technologie Netzwerkanwendungen

Web-Anwendungen Web Services


Kunden Partner

weitere Application Server-Hersteller

Anwendungshersteller weitere Sicherheitsberater ...

Xtradyne: Kunden & Partner

Web Services Security Gateway

Vielen Dank für Ihre

Aufmerksamkeit !

Fragen ?

Sebastian Staamann, CEOXtradyne Technologies AG

[email protected]

Schönhauser Allee 6-7 D-10119 Berlin

XML und Web Services Herausforderung für die Unternehmens-IT-Sicherheit Sebastian Staamann, CEO...

Documents

Transcript of XML und Web Services Herausforderung für die Unternehmens-IT-Sicherheit Sebastian Staamann, CEO...