famous for integration White Paper SICHERE INTEGRATION von Partnern, Kunden, Mobileund Enterprise-Applikationen Matthias Buchs, Lukas Kern

Größe: px
Ab Seite anzeigen:

Download "famous for integration White Paper SICHERE INTEGRATION von Partnern, Kunden, Mobileund Enterprise-Applikationen Matthias Buchs, Lukas Kern"

Transkript

1 famous for integration White Paper SICHERE INTEGRATION von Partnern, Kunden, Mobileund Enterprise-Applikationen Matthias Buchs, Lukas Kern

2 2 Sichere Integration Komponentenbasierte, grosse Systeme Natiaspe llorepr aereium sit et perioss itatur, et pra non conestem que nimoluptatin nis vellate peliquundel inte rem la culliquas autes venist quatent autaepti re denihillanis aborerum re cus, sita demporerum hil il mi, sumqui am, exceati onseque pres rehent verum que od mos evenet unt.

3 3 Sichere Integration Einleitung 5 Zusammenfassung 6 Wieso sich Sicherheit auszahlt 7 Konzepte, Techniken und Technologien 8 Einsatzgebiete 11 Kunden- und Partnerportale 12 Integration mit Partnern (B2B) 14 Integration von Mobile-Applikationen 16 Enterprise-Applikationen 18 Integration von heterogenen Systemen 20 ipt gibt Ihrem Unternehmen Sicherheit 23

4

5 Einleitung 5 Sichere Integration

6 6 Sichere Integration Zusammenfassung Unternehmen und Organisationen öffnen ihre IT-Systeme nach aussen, um mehr Kunden zu erreichen und bestehenden bessere Dienstleistungen bieten zu können. Nebst herkömmlicher Web-Applikationen wird immer häufiger auf eine Mehrkanalstrategie gesetzt, damit Kunden die Angebote auch unterwegs mit ihren Mobiltelefonen nutzen können. Um effizienter und schneller zu arbeiten, integriert man Systeme unterschiedlicher Unternehmen entlang der Wertschöpfungskette. Applikationen werden in die Cloud verschoben oder man verwendet Cloud-Applikationen. In beiden Fällen ist die Notwendigkeit einer Integration mit Systemen im eigenen Rechenzentrum wahrscheinlich. Alle diese Entwicklungen können einen grossen Nutzen bringen, zielen sie doch darauf ab effizienter zu werden, Kosten zu sparen und Umsätze zu erhöhen. Gleichzeitig wird allerdings auch die Angriffsfläche der IT-Systeme vergrössert, was neue Herausforderungen und Sicherheitsrisiken mit sich bringt. Wenn mitgelesen werden kann, wird dies auch getan. Ein nicht verfügbares System kann zu grossen Umsatzeinbussen führen. Abhanden gekommene Daten oder Verletzungen des Datenschutzes führen zu Reputationsschäden, Abwanderung von Kunden und Verlust von Know-how-Vorsprung; im schlimmsten Fall können solche Vorfälle gar rechtliche Konsequenzen haben. Dieses White Paper beschreibt, mit welchen Security-Bausteinen typische Anwendungsfälle sicher realisiert werden können, beispielweise der Bau von Kunden- oder Partnerportalen sowie Enterprise-Systemen oder wie Partner, Mobile-Applikationen und heterogene Systeme integriert werden. Der Einsatz von dedizierten, gehärteten Security-Komponenten, sowie externalisierter und deklarativer Security, basierend auf etablierten Standards, bietet viele Vorteile: Sichere Integrationen erhöhen den Automatisierungsgrad und steigern die Effizienz. Security-Funktionalität wird an die Infrastruktur delegiert und beschleunigt so den Umsetzungsprozess. Bisherige Kunden können besser bedient und neue mit attraktiven Kanälen hinzugewonnen werden. Zentralisierte und deklarative Security Policies sind übersichtlicher und einfacher in der Handhabung, was die Governance erleichtert. $ Dank erprobter Security-Komponenten treten weniger Fehler auf. Dadurch werden Wartungskosten reduziert.

7 7 Sichere Integration Wieso sich Sicherheit auszahlt Informationssysteme öffnen sich vermehrt und Unternehmen integrieren immer mehr Teile ihrer Wertschöpfungskette mit Partnern (B2B) oder stellen Daten und Dienste ihren Mitarbeitern (B2E) und Kunden (B2C) zur Verfügung. Der Nutzen durch neu erschlossene Geschäftskanäle, reduzierte Medienbrüche usw. ist sehr gross. Die zunehmende Vernetzung muss mit massgeschneiderten Konzepten, Techniken und Technologien angegangen werden. ipt unterstützt seine Kunden seit Jahren bei der Umsetzung von komplexen Individuallösungen, sei es im Bereich der Integration von Systemen oder bei der Erstellung von ganzen Enterprise-Applikationen. Diese Entwicklungen stellen Unternehmen vor eine Reihe von Herausforderungen Sichere und kontrollierte Publikation von Daten: Heutzutage müssen Unternehmen ihren Kunden, Mitarbeitern und Partnern Daten zur Verfügung stellen. Durch diese Öffnung werden IT-Systeme aber auch unsicherer. Abhanden gekommene oder verloren gegangene Daten können den Verlust von Reputation oder Know-how-Vorsprung bedeuten, Kunden wandern ab. Wenn dabei Gesetze verletzt werden, drohen gar rechtliche Konsequenzen. Vermeidung mehrfacher Logins: Die Digitalisierung nimmt zu, monolithische Systeme werden aufgebrochen. Infolgedessen entstehen in Unternehmen vermehrt Applikationen. Sich bei jeder Anwendung einloggen zu müssen, ist im Arbeitsalltag kaum mehr denkbar und wird von Benutzern auch nicht mehr akzeptiert. Sie wählen in solchen Fällen einfache Passwörter, verwenden diese wieder oder schreiben sie gar auf. Nutzung von Daten und Diensten über verschiedene Organisationen hinweg: Um ganze Wertschöpfungsketten zu integrieren, müssen Daten und Dienste über verschiedene Organisationen hinweg genutzt werden können: Wer verwaltet welche Identitäten? Wie werden diese verifiziert? Und wie werden Zugriffsentscheidungen getroffen? All dies soll auf kontrollierte Art und Weise geschehen. Bereitstellung von Diensten über verschiedene digitale Kanäle: Benutzer wollen von überall her auf Daten und Dienste zugreifen können. Wie ist es möglich, ein und denselben Dienst über die verschiedensten digitalen Kanäle (Mobile, Web, Desktop-App) bereitzustellen? Zugriffsentscheide in dynamischer Umgebung: Konventionelle, rollenbasierte Zugriffskontrollen sind oft nicht mehr ausreichend. Wie kann z.b. ein Kunde einer Krankenversicherung die Policen seiner Familie verwalten, die der ausgezogenen Kinder aber ausgenommen? Wie kann dies ohne aufwendiges und fehleranfälliges Ausprogrammieren geschehen? Datenmissbrauch: Abhanden gekommene Daten können grossen Schaden anrichten. Banken, Versicherungen oder Nachrichtendienste möchten nicht, dass ihre internen Funktionsweisen publik werden. Aber auch Industrie und Hightech- Firmen wollen ihr Know-how schützen. Wie können solche geschäftsschädigenden Vorfälle vermieden oder deren Auswirkungen zumindest so klein wie möglich gehalten werden? Denial-of-Service (DoS): Unternehmen erwirtschaften vermehrt Umsatz mit Hilfe ihrer IT-Systeme. Gezielte Angriffe auf deren Verfügbarkeit (DoS) können zu substanziellen Geschäftseinbussen führen. Zum einen gilt es, möglichst wenig Angriffsfläche zu bieten, zum andern muss die Infrastruktur so aufgebaut werden, dass sie DoS-Attacken auch abwehren kann.

8 8 Sichere Integration Konzepte, Techniken und Technologien Security hat viele verschiedene Facetten und Bausteine, die einzeln oder in einer bestimmten Kombination Herausforderungen adressieren. Konzepte und Techniken Webservice-Gateway: Eine Komponente zur Absicherung von Webservice- Kommunikation, die üblicherweise in der sogenannten demilitarisierten Zone (DMZ) angesiedelt wird. Typische Funktionen sind Authentisierung, Autorisierung, Abwehr von Überlast, Abwehr von Code-Injektion (d.h. Code über Meldungen einschleusen, anstatt reguläre Daten zu übermitteln), Verschlüsselung oder Datenintegrität. API-Management: Ein Prozess zur kontrollierten Publikation, Überwachung und Dokumentation von Schnittstellen (APIs). Damit lassen sich Daten und Dienste von mobilen Applikationen kontrolliert verwenden und somit eine Mehrkanal-Strategie umsetzen. Mehr Informationen dazu finden Sie im White Paper API-Management von ipt. Externalisierte und deklarative Security: Dabei werden Security-Eigenschaften einer Komponente von deren Geschäftslogik getrennt und in deklarativer Form (Policies) festgehalten. Die Ausführung dieser Policies übernehmen üblicherweise Infrastrukturkomponenten in Applikationsservern und Middleware-Komponenten. Die Herauslösung der Security-Aspekte erlaubt zudem deren zentrale Verwaltung. Single Sign-On (SSO) und Portallösungen: Eine Eigenschaft von mehreren zusammengehörigen Systemen, bei denen sich Benutzer nur einmal authentisieren müssen und daraufhin gemäss ihrer Zugriffsrechte auf die verschiedenen Komponenten zugreifen können. Portallösungen, die einen einheitlichen Einstieg in einen Verbund zusammengehöriger Anwendungen zur Verfügung stellen, benötigen diese Eigenschaft. Identity Propagation: Ein mit SSO verwandter Mechanismus, bei dem die digitale Identität eines Benutzers oder Systems bei der Verwendung eines Dienstes mitgeführt wird. Damit können in nachgelagerten Systemen immer noch Zugriffsentscheidungen gemacht werden basierend auf der ursprünglich aufrufenden Identität. Identity Propagation kann zudem in Kombination mit Auditing zur Nachvollziehbarkeit eingesetzt werden. Identity Federation: Ein mit Identity Propagation eng verwandtes Konzept. Hier werden digitale Identitäten jedoch über Organisations- und Security-Domänengrenzen hinweg benutzt, weil die involvierten Organisationen ein Vertrauensverhältnis aufgebaut haben. Dies ermöglicht es, extern verwalteten Identitäten Zugriff auf bestimmte Daten und Dienste zu gewähren. Rollenbasierte vs. Attribut-basierte Zugriffskontrolle: Üblicherweise werden Benutzern Rollen zugewiesen, d.h. die Nutzung einer Funktionalität wird zugelassen, sofern der aufrufende Benutzer eine bestimmte Rolle inne hat. In den letzten Jahren stiegen die Anforderungen an Autorisierungssysteme zusehends: Auch der Kontext (z.b. Tageszeit, Wochentag oder gar Inhalt des Aufrufs) soll für Zugriffsentscheidungen berücksichtigt werden. Um diese Regeln nicht fest in die Applikation codieren zu müssen, werden immer häufiger Attribut-basierte Mechanismen eingesetzt.

9 9 Sichere Integration Technologien WS-*: Im Bereich von SOAP-Webservices sind zahlreiche Standards und Spezifikationen zur Lösung verschiedener Security-Aspekte entstanden. Zu den wichtigsten gehören: WS-Security: Von OASIS publizierte Erweiterung von SOAP um Security-Aspekte wie Integrität, Vertraulichkeit und Transport von Token-Formaten. WS-Trust: Von OASIS publizierte Erweiterung von WS-Security zur Ausstellung, Validierung und Erneuerung von Security-Tokens. WS-SecurityPolicy: Ein OASIS-Standard zur Spezifikation von Fähigkeiten und Anforderungen von Webservices im Bereich der Security. WS-Federation: Eine Spezifikation zum Austausch von Informationen von Identitäten zwischen mehreren Security-Domänen. Security Assertion Markup Language (SAML): Ein XML-basierter Standard von OASIS zum Austausch von Security-Informationen wie beispielsweise Authentisierung und Autorisierung. Dabei werden zwei wichtige Anwendungsfälle unterschieden: Webapplikationen und SOAP-Webservices. Die Einbettung in SOAP-Meldungen ist im WS-Security SAML Token Profile definiert. Kerberos: Ein Authentisierungsprotokoll, das in der Lage ist, Authentisierungsinformation mittels Tickets über ein unsicheres Netzwerk zu schicken. Analog zu SAML wird zwischen Webapplikationen und SOAP-Webservices unterschieden. Die Einbettung von Kerberos-Tickets in SOAP-Meldungen ist im WS-Security Kerberos Token Profile definiert. X.509 Zertifikate: Ein weit verbreiteter Standard der ITU, der Formate im Bereich Public Key Infrastructure (PKI) definiert. Damit lassen sich digitale Identitäten von Inhabern bestätigen, sowie die Bindung an einen öffentlichen kryptografischen Schlüssel herstellen. Anwendungen finden sich beispielsweise in SSL (https, ftps etc.) oder in WS-Security. OAuth: Ein offener Standard, der Mechanismen definiert, wie Clients auf Ressourcen im Auftrag deren Besitzer zugreifen können. Ursprünglich aus Anwendungen von Social Media entstanden, hat sich OAuth in der Absicherung von RESTful Services und APIs etabliert. XACML: Die extensible Access Control Markup Language ist ein OASIS-Standard, der eine deklarative Access-Control-Policy-Sprache und ein Protokoll für Zugriffsentscheide definiert. XACML wird üblicherweise zur Umsetzung von Attribut-basierter Zugriffskontrolle (ABAC) eingesetzt.

10

11 Einsatzgebiete 11 Sichere Integration

12 12 Sichere Integration Kunden- und Partnerportale Herausforderungen Kunden im privaten wie auch im öffentlichen Sektor möchten vermehrt Dienstleistungen direkt über das Internet beziehen. Zu diesem Zweck werden Kunden- oder Partnerportale eingesetzt, die einen einheitlichen Einstiegspunkt in die Organisation darstellen. Die dazugehörigen Daten und Systeme befinden sich jedoch im Back-end (vgl. Abb.). In herkömmlichen Architekturen ist ein Zugriff aus dem Internet ins Back-end aus Sicherheitsgründen nicht erlaubt. Als Workaround werden oftmals Kopien der Daten auch in der DMZ und somit ausserhalb des Back-ends gehalten. Die Datenhaltung ausserhalb der dafür vorgesehenen und entsprechend abgesicherten Zone stellt ein erhöhtes Sicherheitsrisiko dar. Durch sich ständig ändernde Information und immer komplexere Autorisierungsregeln steigen auch die Anforderungen an die Zugriffsmechanismen. Lösung Zugriffe auf die Back-end-Systeme werden ausschliesslich über ein Service-Gateway zugelassen (vgl. Abb.). Dieses übernimmt die Absicherung der Services. Neben Threat Protection werden auch Authentisierung und Autorisierung durchgesetzt. Werden Daten aus dem Back-end in Portalen angeboten, dann reicht die herkömmliche, rollenbasierte Autorisierung nicht mehr aus. Zwar kann der Zugriff auf bestimmte Dienste mittels Rollen gesteuert werden, aber Autorisierungsentscheide können nur noch basierend auf Informationen aus den Datensätzen oder Dokumenten gefällt werden. Hierzu bietet sich Attribut-basierte Zugriffskontrolle beispielsweise mit XACML an. Das Service-Gateway als Policy Enforcement Point (PEP) schickt dabei eine Autorisierungsanfrage mit den notwendigen Kontextinformationen an einen Autorisierungsserver, Policy Decision Point (PDP) genannt. So können Portale sicher auf Back-end-Systeme zugreifen. Als dedizierte Sicherheitskomponente ermöglicht das Service-Gateway den kontrollierten Zugriff auf dahinterliegende Schnittstellen und stellt die konsequente Durchsetzung von Security Policies sicher. Die zentralisierte und externalisierte Umsetzung der Security erleichtert zudem Security-Audits. Nutzen Beschleunigte Umsetzung, da möglichst viel Security-Funktionalität an die Infrastruktur delegiert wird. Der Zugriff auf Dienste und Daten des Back-ends ist abgesichert. Gleichzeitig fallen Datensynchronisationsmechanismen weg, was die Komplexität reduziert. Zudem werden verteilte und inkonsistent implementierte Autorisierungsrichtlinien eliminiert und Review und Audit von Sicherheitsrichtlinien ermöglicht. $ Durch die zentralisierte Verwaltung von Security Policies werden die Betriebskosten reduziert.

13 13 Sichere Integration Vorher Back-end https://www Browser Internet Portal Back-end- System Back-end- System Nachher https://www Browser Internet Portal Service- Gateway Back-end Back-end- System Back-end- System Policy Decision Point (PDP)

14 14 Sichere Integration Integration mit Partnern (B2B) Herausforderungen Der Druck, effizienzsteigernd und kostensenkend zu handeln, zwingt Unternehmen Medienbrüche zu vermeiden oder zu überbrücken und den Automatisierungsgrad zu erhöhen. Oft werden dazu Services über SOAP- und zunehmend auch REST-Schnittstellen angeboten respektive verwendet. Da diese Services zumeist über das Internet publiziert werden (vgl. Abb.), muss die Security verstärkt werden. Mit der Publikation von Geschäftsfunktionalität ausserhalb der Grenzen der eigenen Organisation erhöht man die Angriffsfläche. Wie kann man die Infrastruktur aufbauen, damit Denial-of-Service-, Injektion- oder Virus-Attacken geeignet adressiert sind? Und dadurch beispielsweise verhindern, dass im Bereich von Datenbanken SQL-Abfragen manipuliert werden. Als Anbieter möchte man Services in der Regel nur bestimmten Personen oder Systemen zur Verfügung stellen. Wer soll also diese Identitäten verwalten, die wahrscheinlich gar nicht zur eigenen Organisation gehören? Identitäten sollen selbstverständlich nur für sie bestimmte Daten sehen. Die fachlichen Anforderungen, wie solche Autorisierungsentscheidungen getroffen werden müssen, steigen zunehmend. Ein rollenbasierter Ansatz reicht oftmals nicht mehr. Lösung In einem möglichen Lösungsansatz spielt das Service-Gateway eine zentrale Rolle (vgl. Abb.). Es schützt die Infrastruktur vor drohenden Angriffen wie Denial-of-Service oder Injektion von schädlichem Code. Bei der Verwaltung der zugreifenden Identitäten gibt es je nach Kontext verschiedene Optionen. Sind nur wenige Identitäten involviert, macht es Sinn, dass diese auch vom Service-Provider verwaltet werden. Werden Identitäten von Partnern nicht selbst verwaltet, gelangt man automatisch in eine Identity-Federation-Situation. Dies bedeutet, man vertraut darauf, dass der Partner Authentisierungen korrekt durchführt. Auf der technischen Ebene muss die Infrastruktur in der Lage sein, Identitäten zu akzeptieren, die in keinem internen Verzeichnis existieren, jedoch von einem vertrauenswürdigen Partner authentifiziert und gegebenenfalls autorisiert wurden. Als einziger Eintrittspunkt in die interne Systemlandschaft führt das Service-Gateway auch Zutrittsüberprüfungen durch. Dynamische Autorisierungen, basierend auf Attributen, anstelle des statischen, rollenbasierten Ansatzes, sind hier Stand der Technik. Nutzen Die sichere Systemintegration mit Partnern steigert die Effizienz. Der Attribut-basierte Ansatz ermöglicht eine flexible Autorisierung. Back-end-Systeme werden vor Angriffen von aussen geschützt. $ Zentralisierung zahlt sich gleich zweimal aus: bei der Security-Funktionalität werden dadurch Entwicklungkosten reduziert, bei den Security Policies die Betriebskosten.

15 15 Sichere Integration Vorher Partner Partner Internet Back-end Partner Nachher Partner Partner Internet Service- Gateway Back-end Partner Federated Identity Management Access Management Identity Management

16 16 Sichere Integration Integration von Mobile-Applikationen Herausforderungen Mit der raschen Verbreitung von Smartphones und Tablets eröffnen sich für viele Unternehmen neue Möglichkeiten Kunden und Mitarbeiter zu bedienen. Aus diesem Grund wird taktische Mobile-App- Entwicklung betrieben. In einem sehr dynamischen Umfeld müssen oft mehrere Mobile-Plattformen (z.b. ios, Android oder Windows Phone) mit diversen Technologie-Stacks unterstützt werden. Diese mobilen Applikationen wollen auf Daten und Funktionalität in Back-end-Systemen zugreifen (vgl. Abb.). Wie können diese Zugriffe sicher gemacht werden, ohne zuviel in Wartung und Weiterentwicklung investieren zu müssen? Lösung Um mit den vielen, sich ständig verändernden Technologien effizient und reibungslos arbeiten zu können, werden Apps mittels einer Schnittstelle vom Back-end getrennt. Im mobilen Umfeld ist ein schonender Umgang mit Ressourcen besonders wichtig. Deshalb bietet sich eine REST-basierte API als Schnittstellentechnologie an. Aus Sicherheitsgründen ist ein direkter Zugriff auf die Back-end-Systeme nicht angezeigt. Ein API-Gateway nimmt in der DMZ Anfragen entgegen, und leitet diese an die Service- Provider weiter (vgl. Abb.). So können den mobilen Apps auch SOAP-basierte Webservices oder Legacy Applikationen zur Verfügung gestellt werden, ohne dass interne Schnittstellen angepasst werden müssen. Da Unternehmensdaten direkt ins Internet publiziert werden, ist die Absicherung durch eine spezialisierte und gehärtete Komponente besonders wichtig. Das API-Gateway entkoppelt Back-end- und Front-end-Systeme, was unterschiedliche Lebenszyklen zulässt. Nutzen Neue Apps können schneller gebaut werden, da die vorhandende Funktionalität aus den APIs wiederverwendet werden kann. Back-end-Systeme sind vor Angriffen von aussen geschützt, weil Daten auf sichere Art und Weise direkt ins Internet publiziert werden können. Zudem ermöglichen flexible Autorisierungs- und Delegationstechnologien neue Anwendungen. $ Datenkonsumenten sind von internen Systemen entkoppelt, was die Unterhaltskosten reduziert.

17 17 Sichere Integration Vorher Back-end Internet Back-end- System Back-end- System Nachher Internet API-Gateway Back-end Back-end- System Back-end- System

18 18 Sichere Integration Enterprise-Applikationen Herausforderungen Organisationen und Unternehmen digitalisieren und automatisieren immer mehr Geschäftsbereiche. Um sich von der Konkurrenz abzuheben, oder weil das eigene Geschäft sehr spezifisch ist, braucht es in bestimmten Bereichen Individualsoftware. Eine wichtige, nicht-funktionale Anforderung (non-functional requirement, NFR) bei Enterprise- Applikationen ist die Security. Benutzer müssen autorisiert sein, um eine Funktionalität verwenden zu dürfen oder Daten einzusehen. Damit Integrität und Vertraulichkeit gewährleistet sind, müssen auch die transportierten Daten geschützt sein. Oft ist es unerlässlich, auch zu einem späteren Zeitpunkt nachvollziehen zu können, wer wann was im System gemacht hat. Dafür muss die digitale Identität auch in nachgelagerten Systemen mitgeführt werden. Zusätzlich müssen sämtliche beteiligten Teilsysteme alle Zugriffe protokollieren (vgl. Abb.). Ein grosser Aufwand nützt wenig, wenn die umgesetzten Mechanismen aufgrund von Schwachstellen oder Lücken leicht umgangen werden können. Es gibt auch einfachere Wege, um Security umzusetzen mit einem vernünftigen Aufwand, kosteneffizient und wenig Coding-Anteil. Lösung Ein wichtiger Ansatz ist die Externalisierung derjenigen Security, die nicht mit der Applikationslogik vermischt werden soll. Dadurch können sich Entwickler auf die Geschäftslogik konzentrieren, während sich entsprechende Experten um Sicherheitsaspekte kümmern. Um komplexe Security-Mechanismen zu abstrahieren und um Fehlerquellen zu reduzieren, sollte Security-Funktionalität deklarativ konfiguriert werden. Externalisierte, deklarative Security- Spezifikationen können zudem einfach zentral verwaltet werden. JEE-Applikationsserver und das.net Framework bieten dafür zahlreiche Möglichkeiten (vgl. Abb.). Der Zugriff auf Ressourcen wie Ldap-Verzeichnisse, JMS-Infrastruktur, Webseiten oder Services wird nur mit Authentisierung zugelassen. Dies muss während der Entwicklung mittels Testing verifiziert werden. Rollenbasierte Autorisierungsmechanismen werden von allen Enterprise-tauglichen Servern unterstützt, auch Attribut-basierte Autorisierungen finden immer mehr Anklang. Beim Bau von Enterprise Systemen müssen konsequente Standards eingesetzt werden. Anwendungen werden nicht als Insellösungen gebaut und bestehen aus verschiedensten Komponenten. WS-Security oder SAML vermindern das Risiko von Inkompatibilitäten. Nutzen Die Nutzung von existierender Security-Funktionalität beschleunigt Projekte. Durch Wiederverwendung treten weniger Fehler auf. Umsysteme können einfacher integiert werden, weil eingesetzte Standards das Risiko für Inkompatibilitäten verringern. Deklarative Security Policies sind übersichtlicher und werden zentral verwaltet. $ Reduzierte Wartungskosten, weil weniger eigener Code gewartet werden muss.

19 19 Sichere Integration Vorher Applikationsserver Web Applikation RESTful Service SOAP Webservice Back-end- Systeme Security/ NFR Security/ NFR Security/ NFR Service Consumer Benutzer Nachher Applikationsserver Web Applikation RESTful Service SOAP Webservice Back-end- Systeme Authentisierung Autorisierung Credentials Integrität Vertraulichkeit Trust Audit Service Consumer Benutzer

20 20 Sichere Integration Integration von heterogenen Systemen Herausforderungen Die Applikationslandschaft eines Unternehmens ist heute in der Regel heterogen und verteilt. Als Architekturstil wird deshalb oft der Service-orientierte Ansatz gewählt. Dabei werden Funktionalitäten und Anwendungen als Services gebündelt und durch eine Middleware entkoppelt (vgl. Abb.). Oftmals muss die Identität des Nutzers mitgeführt werden, damit Zugriffskontrollen durchgeführt werden können und die Nachvollziehbarkeit gewährleistet ist. Involvierte Systeme wurden mit verschiedenen Technologien unterschiedlicher Hersteller gebaut, weshalb ganz unterschiedliche Methoden zur Authentisierung und sicheren Übermittlung digitaler Identitäten unterstützt werden. Sicherheitsanforderungen werden oft durch Applikationsentwickler ausprogrammiert. Die Erfahrung zeigt, dass dies mit einigen Nachteilen verbunden ist, beispielsweise ungenügender oder gar nicht implementierter Zugriffschutz, durch Architektur- oder Programmierfehler entstandene Sicherheitslöcher oder inkonsistent implementierte Sicherheitsrichtlinien. Solcher Code muss getestet und gewartet werden, und Änderungen an Sicherheitsrichtlinien können nur im Rahmen eines Releases eingepflegt werden. Baut man Security direkt in Komponenten ein, besteht die Gefahr von Wildwuchs, Redundanz und fehlender Flexibilität. Das Durchsetzen von unternehmensweiten Richtlinien wie zu verwendende Standards, Authentisierungsmittel oder kryptografische Algorithmen ist stark eingeschränkt. Dies gilt auch für Security Audits. Lösung Die Abbildung zeigt einen möglichen Ansatz einer sicheren Integration von Back-end-Systemen. Dabei wird ein SOA-Mediator (z.b. ein Enterprise Service Bus ESB oder ein Service-Gateway) eingesetzt, der externalisierte Security in Form sogenannter Policy Execution resp. Policy Enforcement Points nutzt. Diese erlauben es, Sicherheitsanforderungen ohne Code zu spezifizieren und als Policies auszulagern. Das nennt man auch deklarative Security, die von den meisten unternehmenstauglichen Applikationsservern unterstützt wird. Der SOA-Mediator überbrückt nicht nur unterschiedliche Formate der Nutzlast, sondern vermittelt auch zwischen verschiedenen Security-Mechanismen. Nutzen Beschleunigte Umsetzung, da möglichst viel Security-Funktionalität an die Infrastruktur delegiert wird. Aufgrund durchgehender Identity Propagation wird Nachvollziehbarkeit vereinfacht unterstützt durch Security-Mediation. $ Bewährte, existierende Security-Komponenten reduzieren die Entwicklungskosten und erhöhen die Sicherheit. Durch zentralisierte Security Policies werden die Betriebskosten gesenkt. Unterhaltskosten fallen durch Trennung von Geschäftslogik und Security geringer aus.

21 21 Sichere Integration Vorher Back-end- Systeme MIDDLEWARE PLATTFORM Nachher Back-end- Systeme Policy Execuion/ Enforcement Point Digitale Identitäten MIDDLEWARE PLATTFORM

22

23 ipt gibt Ihrem Unternehmen Sicherheit 23 Sichere Integration

24 24 Sichere Integration ipt bietet Neben vielen neuen Möglichkeiten und grossem Nutzen, birgt die Öffnung von Enterprise-Systemen auch Risiken und bringt entsprechende Herausforderungen. Diese Risiken sollten durch angemessene Massnahmen eingeschränkt und gleichzeitig die Realisierung von sicheren Systemen und Integrationen vereinfacht werden. ipt kennt Konzepte und Technologien mit denen IT-Security zum Enabler von neuen Lösungen wird. Application Security Implementation Assessment Eine Studie kann Mängel oder Lücken in der Security der eigenen Enterprise-Applikations-Landschaft identifizieren. Auch Ineffizienzen in Betrieb und Unterhalt können dabei zutage treten. ipt zeigt nach Erarbeitung der Studie auch auf, wie Sie diese Punkte gezielt beheben und so neue Angebote und Lösungen ermöglichen können. Security-Architektur und -Detailkonzepte In Ihrer Organisation sind Projekte geplant (oder laufen bereits), die eines oder mehrere der beschriebenen Einsatzgebiete betreffen. Unsere erfahrenen IT-Architekten mit Security-Fokus unterstützen Sie in Architektur- und Konzeptfragen. Bei Sicherheitsarchitekturen und -Konzepten sind Sie mit ipt auf der sicheren Seite. Proof of Concept (PoC) Sie möchten die technische Machbarkeit einer spezifischen Security-Technologie in Ihrem Umfeld erproben. ipt führt mit Ihnen zusammen einen Proof of Concept durch. Dadurch kann validiert werden, dass die gewählte Technologie nicht nur Sicherheitsansprüchen genügt, sondern auch Betriebs- und Unterhaltsansprüchen. Security-Spezialisten Zur sicheren Integration braucht es Leute mit speziellen Fähigkeiten. Unsere spezifisch ausgebildeten Berater unterstützen Sie bei der Umsetzung von Security, beim Testen von Security-Eigenschaften und halten den Betrieb von Sicherheitslösungen im Service Level Agreement à jour. Damit können Ihre Enterprise-IT-Systeme nicht nur sicherer, sondern auch effizienter und kostengünstiger betrieben und gewartet werden.

25 25 Sichere Integration Kontakt Dr. Matthias Buchs unterstützt unsere Kunden in der Konzeption und Umsetzung von Individual- Lösungen, basierend auf SOA-Prinzipien. Zudem führt er intern und extern Schulungen und Workshops zu Security-Architekturen und Security-Technologien durch; Schwerpunkt: Verwaltung und E-Government. Matthias Buchs ist IT-Architect bei ipt. Telefon Mail Lukas Kern hat langjährige Erfahrung in der Entwicklung und Integration von IT- Systemen, wobei Security eine wichtige und oft kritische Rolle spielt. In den letzten Jahren beschäftigte er sich mit der Absicherung von komplexen, service-orientierten Gesamtsystemen, die zunehmend aus unternehmensinternen und unternehmensexternen Einzelkomponenten bestehen. Lukas Kern ist Associate Partner im ipt-management. Telefon Mail März 2014

26 Komponentenbasierte, grosse Systeme 26 Sichere Integration

27 27 Sichere Integration

28 28 Sichere Integration Sichere Integration Innovation Process Technology AG Poststrasse 14, 6300 CH-Zug T , famous for integration

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I Sicherheitsaspekte in Service Orientierten Architekturen Eike Falkenberg Sommersemester 2006 Anwendungen I Agenda SOA? Web Services? Sicherheitsrisiko Web Services Web Services & Sicherheit Sichere SOAs

Mehr

Federated Identity Management

Federated Identity Management Federated Identity Management Verwendung von SAML, Liberty und XACML in einem Inter Campus Szenario d.marinescu@gmx.de 1 Fachbereich Informatik Inhalt Grundlagen Analyse Design Implementierung Demo Zusammenfassung

Mehr

Web Service Security

Web Service Security Hochschule für Angewandte Wissenschaften Hamburg Fachbereich Elektrotechnik und Informatik SS 2005 Masterstudiengang Anwendungen I Kai von Luck Web Service Security Thies Rubarth rubart_t@informatik.haw-hamburg.de

Mehr

IT-Security als Enabler Attribut-basierte Autorisierung (ABAC) für das neue Kundenportal der CSS

IT-Security als Enabler Attribut-basierte Autorisierung (ABAC) für das neue Kundenportal der CSS IT-Security als Enabler Attribut-basierte Autorisierung (ABAC) für das neue Kundenportal der CSS Netclose Community Treffen, Horw, 24.09.2014 Stefan Allemann, CSS Versicherung CSS Versicherung - INTRAS

Mehr

Autorisierung zentral steuern

Autorisierung zentral steuern Autorisierung zentral steuern AdNovum hatte jüngst Gelegenheit, ein Autorisierungs-Management-System für ein Gesundheits-Enterprise-Portal zu bauen. Welche Form der Autorisierung soll auf welcher Stufe

Mehr

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany

Company. Sicherheit und WebServices CORISECIO CORISECIO. Dr. Bruno Quint CORISECIO. BESEQURE gegründet 2002 in Darmstadt Germany Corporate Information Security Sicherheit und Webs Dr. Bruno Quint GmbH. Uhlandstr. 9. D-64297 Darmstadt. Germany. www.corisecio.com Company BESEQURE gegründet 2002 in Darmstadt Germany umbenannt 2007

Mehr

(c) 2014, Peter Sturm, Universität Trier

(c) 2014, Peter Sturm, Universität Trier Soziotechnische Informationssysteme 6. OAuth, OpenID und SAML Inhalte Motivation OAuth OpenID SAML 1 Grundlagen Schützenswerte Objekte Zugreifende Subjekte Authentifizierung Nachweis einer behaupteten

Mehr

Initiative»Elektronische Fallakte«

Initiative»Elektronische Fallakte« Deklarative Sicherheit zur Spezifikation und Implementierung der elektronischen FallAkte Workshop»Sichere Informationstechnologie für das Gesundheitswesen von morgen«gmds Jahrestagung 2010, Mannheim R.

Mehr

Programmierhandbuch SAP NetWeaver* Sicherheit

Programmierhandbuch SAP NetWeaver* Sicherheit Martin Raepple Programmierhandbuch SAP NetWeaver* Sicherheit Galileo Press Bonn Boston Inhalt Vorwort 13 2.1 Sicherheit und serviceorientierte Architekturen 24 2.1.1 Sicherheitsziele der Informationssicherheit

Mehr

Service-Orientierte Architekturen

Service-Orientierte Architekturen Hochschule Bonn-Rhein-Sieg Service-Orientierte Architekturen Kapitel 7: Web Services IV Exkurs über Sicherheitsanforderungen Vorlesung im Masterstudiengang Informatik Sommersemester 2010 Prof. Dr. Sascha

Mehr

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause 1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management Deckblatt Bremen, E-Government in medias res, 12. Juli 2007 Internationale Standards zu Identity Management 3 Dataport 12.Juli 2007

Mehr

Authentication as a Service (AaaS)

Authentication as a Service (AaaS) Authentication as a Service (AaaS) Abendseminar «Innovative Alternativen zum Passwort» 26.10.2010, Hotel Novotel, Zürich Anton Virtic CEO, Clavid AG Information Security Society Switzerland 1 Agenda Cloud

Mehr

Was ist Identity Management?

Was ist Identity Management? DECUS IT - Symposium 2005 Andreas Zickner HP Deutschland 2004 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice Problem IT Admin Mitarbeiter

Mehr

Enterprise Web-SSO mit CAS und OpenSSO

Enterprise Web-SSO mit CAS und OpenSSO Enterprise Web-SSO mit CAS und OpenSSO Agenda Gründe für SSO Web-SSO selbst gemacht Enterprise Web-SSO mit CAS Enterprise Web-SSO mit SUN OpenSSO Federation-Management Zusammenfassung Gründe für SSO Logins

Mehr

Sicherheitskonzepte in SOA auf Basis sicherer Webservices

Sicherheitskonzepte in SOA auf Basis sicherer Webservices HAW Hamburg Seminarvortrag - 16.12.2005 Thies Rubarth Folie 1 Sicherheit machen wir später...... wie hätt's auch anders sein sollen? Sicherheitskonzepte in SOA auf Basis sicherer Webservices Thies Rubarth

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

agate.ch - Plattform für Applikationsintegration Yannick Beaud Fachgruppenleiter Architektur und Strategie, ISCeco EVD Reto Kohlas IT Architect, [ipt]

agate.ch - Plattform für Applikationsintegration Yannick Beaud Fachgruppenleiter Architektur und Strategie, ISCeco EVD Reto Kohlas IT Architect, [ipt] agate.ch - Plattform für Applikationsintegration Yannick Beaud Fachgruppenleiter Architektur und Strategie, ISCeco EVD Reto Kohlas IT Architect, [ipt] From stable... to table. Portfolio Lebensmittelkette-Sicherheit

Mehr

Integration von SAP Netweaver mit Identity und Access Management

Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Integration von SAP Netweaver mit Identity und Access Management Unternehmenslösungen für sicheres und skalierbares Identity und Access

Mehr

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter

Technische Universität München. SAML/Shibboleth. Ein Vortrag von Florian Mutter SAML/Shibboleth Ein Vortrag von Florian Mutter Security Assertion Markup Language XML-basierter Standard für den Austausch von Authentifizierungs-, Attributs- Berechtigungsinformationen Seit 2001 von OASIS

Mehr

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper

CLOUD APPS IM UNTERNEHMEN VERWALTEN. So meistern Sie die Herausforderungen. Whitepaper CLOUD APPS IM UNTERNEHMEN VERWALTEN So meistern Sie die Herausforderungen Whitepaper 2 Die Herausforderungen bei der Verwaltung mehrerer Cloud Identitäten In den letzten zehn Jahren haben cloudbasierte

Mehr

Sichere Web-Services in einem föderierten Umfeld

Sichere Web-Services in einem föderierten Umfeld Sichere Web-Services in einem föderierten Umfeld ZKI Arbeitskreis Verzeichnisdienste ZEDAT FU Berlin Axel Maurer Die Kooperation von Forschungszentrum Karlsruhe GmbH und Universität Karlsruhe (TH) integrierte

Mehr

Integrating Architecture Apps for the Enterprise

Integrating Architecture Apps for the Enterprise Integrating Architecture Apps for the Enterprise Ein einheitliches Modulsystem für verteilte Unternehmensanwendungen Motivation und Grundkonzept Inhalt Problem Ursache Herausforderung Grundgedanke Architektur

Mehr

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH

Identity und Access Management im Kontext der Cloud. Horst Bratfisch Raiffeisen Informatik GmbH Identity und Access Management im Kontext der Cloud Horst Bratfisch Raiffeisen Informatik GmbH Raiffeisen Informatik Konzern Länder: 29 Standorte: 100 Mitarbeiter: 2.800 Umsatz 2011: 1,4 Mrd. Raiffeisen

Mehr

Tier-Konzepte. Vertiefungsarbeit von Karin Schäuble

Tier-Konzepte. Vertiefungsarbeit von Karin Schäuble Vertiefungsarbeit von Karin Schäuble Gliederung 1. Einführung 3. Rahmenbedingungen in der heutigen Marktwirtschaft 3.1 Situation für Unternehmen 3.2 Situation für Applikationsentwickler 4. Lösungskonzepte

Mehr

Sichere Kommunikation für SOAP-basierte Web Services

Sichere Kommunikation für SOAP-basierte Web Services Whitepaper SOA Security Framework Sichere Kommunikation für SOAP-basierte Web Services Holger Junker, BSI, soa@bsi.bund.de Die Sicherheitsanforderungen an SOA Infrastrukturen und den darin stattfindenden

Mehr

Nevis Sichere Web-Interaktion

Nevis Sichere Web-Interaktion Nevis Sichere Web-Interaktion Enterprise Security: Wachsende Gefahren und Anforderungen Moderne Unternehmen sehen sich immer neuen Gefahren durch Online- und In-House-Angriffe ausgesetzt. Gleichzeitig

Mehr

Identity as a Service

Identity as a Service Identity as a Service Michael Seeger Siemens IT Solutions and Services CISM. Identity as a Service Geschichtlicher Abriss Technik oder the gory details Voraussetzungen Business case Referenzen und Links

Mehr

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de

Sichere Authentifizierung SSO, Password Management, Biometrie. 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Sichere Authentifizierung SSO, Password Management, Biometrie 21.06.2007 Dr. Horst Walther, KCP hw@kuppingercole.de Single Sign-On, Password Management, Biometrie Single Sign-On: Anmeldung an mehreren

Mehr

Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte

Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte Sichere Mobilität in der Verwaltung - Management der Geräte, Anwendungen und Inhalte Andreas Gremm, CA Deutschland GmbH 21. Mai 2014 40% der IT Manager sagen, dass sie ihren Benutzern Zugriff auf Unternehmensinformationen

Mehr

Mobile Security Smartphones

Mobile Security Smartphones Mobile Security Smartphones Schmelztiegel privater und geschäftlicher Aktivitäten eberhard@keyon.ch V1.1 2011 by keyon (www.keyon.ch) Über Keyon Warum Smartphones Welcher Nutzen wird vom Unternehmen erwartet?

Mehr

Single Sign-On Step 1

Single Sign-On Step 1 Single Sign-On Step 1 Novell Tour 2006 Stefan Stiehl Senior Technology Specialist sstiehl@novell.com Holger Dopp Senior Consultant hdopp@novell.com Was ist Single Sign-On? Eine Befugnisverwaltungstechnologie,

Mehr

Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse

Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse Methoden und Tools zur effizienten Integration in Anwendungen und Geschäftsprozesse 04.03.2010 Marc Albrecht marc.albrecht@de.ibm.com 199x / 200x / 201x von der Vision über die Diskussionen zur Realisierung

Mehr

Paradigmenwechsel im Access Management Organisationsübergreifende Autorisierung und Rechteverwaltung

Paradigmenwechsel im Access Management Organisationsübergreifende Autorisierung und Rechteverwaltung Paradigmenwechsel im Access Management Organisationsübergreifende Autorisierung und Rechteverwaltung security Essen 2010 security-forum - 06.10.2010 Michael Gröne groene [at] internet sicherheit. de Institut

Mehr

JEAF Cloud Plattform Der Workspace aus der Cloud

JEAF Cloud Plattform Der Workspace aus der Cloud JEAF Cloud Plattform Der Workspace aus der Cloud Juni 2014 : Aktuelle Situation Heutige Insellösungen bringen dem Nutzer keinen Mehrwert Nutzer sind mobil Dateien und Applikationen sind über Anbieter und

Mehr

Entwicklung und Integration mobiler Anwendungen. Oracle Deutschland B.V. & Co. KG

Entwicklung und Integration mobiler Anwendungen. <Speaker> Oracle Deutschland B.V. & Co. KG Entwicklung und Integration mobiler Anwendungen Oracle Deutschland B.V. & Co. KG Global Users (Millions) Der Trend ist eindeutig. Trend zu mobilen Endgeräten Wachstum des mobilen Datenverkehrs

Mehr

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung

SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung Ergebnisse der TeleTrusT-AG "SOA" SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung Arbeitsergebnisse des SOA Security AKs Anfang 2009 - Themenfindung für das Dokument Mitte 2009 Vorgehenskonzept

Mehr

Föderiertes Identity Management

Föderiertes Identity Management Föderiertes Identity Management 10. Tagung der DFN-Nutzergruppe Hochschulverwaltung Berlin, 09.05.-11.05.2011 Peter Gietz, CEO, DAASI International GmbH Peter.gietz@daasi.de 1 von 23 (c) Mai 2011 DAASI

Mehr

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration

Single Sign-On. Einführung und Überblick. Dipl-Inf. Rolf Negri. Technologie und Funktionalität. Installation und Konfiguration Single Sign-On Einführung und Überblick Dipl-Inf. Rolf Negri Copyright Trivadis AG 1 Agenda Einleitung Technologie und Funktionalität Installation und Konfiguration Ausblick Single Sign-On Copyright Trivadis

Mehr

Seminar "Smarte Objekte und smarte Umgebungen" Identity Management

Seminar Smarte Objekte und smarte Umgebungen Identity Management Seminar "Smarte Objekte und smarte Umgebungen" Identity Management Teil1: Einführung und die ideale Sicht Systeme aus der Forschung (Bettina Polasek) Teil2: Die angewandte Sicht - Industrielle Systeme

Mehr

SECTINO. Security for Inter-Organizational Workflows

SECTINO. Security for Inter-Organizational Workflows SECTINO Security for Inter-Organizational Workflows Framework zur Modellierung und Realsisierung sicherheitskritischer organisationsübergreifender Workflows Kooperation Research Group Quality Engineering

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Zusicherung von Qualitätskriterien bei WebServices. Dr. Bernhard Humm, Matthias Geiß sd&m-konferenz 2003 Web Services 17./18.07.

Zusicherung von Qualitätskriterien bei WebServices. Dr. Bernhard Humm, Matthias Geiß sd&m-konferenz 2003 Web Services 17./18.07. Zusicherung von Qualitätskriterien bei WebServices Dr. Bernhard Humm, Matthias Geiß sd&m-konferenz 2003 Web Services 17./18.07.2003 Agenda Verteilte Systeme am am Beispiel Beispiel Aspekte von Verteilung

Mehr

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber

Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick. Dr. Joachim Gerber Technologien und Organisationskonzepte digitaler Identitäten Ein Überblick Dr. Joachim Gerber INFORA-Kompetenzteam Informationssicherheit & Id-Management München, 14.06.2010 Agenda 1. Identität Begriff

Mehr

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp

Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Sicheres Single Sign-On mit dem SAML Holder-of-Key Web Browser SSO Profile und SimpleSAMLphp Andreas Mayer Adolf Würth GmbH & Co. KG Künzelsau-Gaisbach Prof. Dr. Jörg Schwenk Lehrstuhl für Netz- und Datensicherheit

Mehr

Projektbeschreibung Autorisierungsmechanismen im Enterprise Umfeld

Projektbeschreibung Autorisierungsmechanismen im Enterprise Umfeld FHZ > FACHHOCHSCHULE ZENTRALSCHWEIZ HTA > HOCHSCHULE FÜR TECHNIK+ARCHITEKTUR LUZERN ISIS > INSTITUT FÜR SICHERE SOFTWARESYSTEME Projektbeschreibung Autorisierungsmechanismen im Enterprise Umfeld Projektleiter:

Mehr

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH

Single-Sign-On mit Java und Kerberos. Michael Wiesner, SOFTCON IT-Service GmbH Single-Sign-On mit Java und Kerberos Michael Wiesner, SOFTCON IT-Service GmbH Über mich Softwareentwickler und Sicherheitsexperte bei der Firma SOFTCON Projekte: Enterprise Software, Webportale, Sicherheitslösungen,...

Mehr

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung

Use-Cases. Bruno Blumenthal und Roger Meyer. 17. Juli 2003. Zusammenfassung Use-Cases Bruno Blumenthal und Roger Meyer 17. Juli 2003 Zusammenfassung Dieses Dokument beschreibt Netzwerk-Szenarios für den Einsatz von NetWACS. Es soll als Grundlage bei der Definition des NetWACS

Mehr

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen.

Mobile Security: Sicherer Applikationszugriff für eine mobile Welt. Oracle Mobile and Social Access Management. Heike Jürgensen. Mobile Security: Sicherer Applikationszugriff für eine mobile Welt Oracle Mobile and Social Access Management Heike Jürgensen Security Sales Citizen Services Mobile Banking Online Healthcare Business Transformation

Mehr

Effizientes Sicherheits-Management von Endbenutzergeräten

Effizientes Sicherheits-Management von Endbenutzergeräten Effizientes Sicherheits-Management von Endbenutzergeräten Kammerstetter Bernhard Client Technical Professional IBM Tivoli http://www-01.ibm.com/software/tivoli/solutions/endpoint/ Bernhard_Kammerstetter@at.ibm.com

Mehr

SOA Starter Kit Einführungsstrategien und Einstiegspunkte

SOA Starter Kit Einführungsstrategien und Einstiegspunkte SOA Starter Kit Einführungsstrategien und Einstiegspunkte Benjamin Brunner Berater OPITZ CONSULTING Bad Homburg GmbH SOA Starter Kit Seite 1 Agenda Wer sollte eine SOA nutzen? Welche Ziele kann eine SOA

Mehr

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005

Dr. Thomas Lux XIONET empowering technologies AG Bochum, 20. Oktober 2005 XIONET empowering technologies AG Bochum, 20. Oktober 2005 EIS Analyseorientierte Informationssysteme DSS Einkauf F u E MIS Lager Vertrieb Produktion Operative Informationssysteme Folie 2 Oktober 05 Anwender

Mehr

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Matthias Heyde / Fraunhofer FOKUS SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN Dr. Jörg Caumanns Fraunhofer FOKUS, Berlin BEISPIELE FÜR EHEALTH ARCHITEKTUREN Security Security Security c c c c c c S

Mehr

Glossar zum S.A.F.E. Feinkonzept

Glossar zum S.A.F.E. Feinkonzept Glossar zum S.A.F.E. Feinkonzept Thema: Verantwortlich: Secure Access to Federated E-Justice/E-Government Bund-Länder-Kommission für Datenverarbeitung und Rationalisierung in der Justiz Version.Release:

Mehr

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language.

Inhalt Einführung Was ist SAML Wozu braucht man SAML Wo wird SAML verwendet kleine Demo SAML. Security Assertion Markup Language. Inhalt Einführung Was ist Wozu braucht man Wo wird verwendet kleine Demo Security Assertion Markup Language Björn Rathjens Inhalt Einführung Was ist Wozu braucht man Wo wird verwendet kleine Demo 1 Einführung

Mehr

Relution Enterprise App Store. Mobilizing Enterprises. 2.6 Release Note

Relution Enterprise App Store. Mobilizing Enterprises. 2.6 Release Note Mobilizing Enterprises 2.6 Release Note 1 Relution Release 2.6 Die neueste Relution Version 2.6 schafft neue Facetten im Mobile App Lebenszyklus. Neben den bereits vorhandenen Möglichkeiten Apps zu verwalten,

Mehr

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de

Endpoint Security. Where trust begins and ends. SINN GmbH Andreas Fleischmann Technischer Leiter. www.s-inn.de Endpoint Security Where trust begins and ends SINN GmbH Andreas Fleischmann Technischer Leiter www.s-inn.de Herausforderung für die IT Wer befindet sich im Netzwerk? Welcher Benutzer? Mit welchem Gerät?

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Identity and Access Management for Complex Research Data Workflows

Identity and Access Management for Complex Research Data Workflows Identity and Access Management for Complex Research Data Workflows Richard Zahoransky, Saher Semaan, Klaus Rechert richard.zahoransky@rz.uni-freiburg.de, semaan@uni-freiburg.de, klaus.rechert@rz.uni-freiburg.de

Mehr

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF

XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF XML-Sicherheitsdienste für das Netzwerk der Global Biodiversity Information Facility GBIF Dipl.-Inf. Lutz Suhrbier Prof. Dr.-Ing. Robert Tolksdorf Dipl.-Inf. Ekaterina Langer Freie Universität Berlin Institut

Mehr

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.

GeoXACML und SAML. Ubiquitous Protected Geographic Information. Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw. GeoXACML und SAML Ubiquitous Protected Geographic Information Dr. Andreas Matheus Universität der Bundeswehr München Andreas.Matheus@unibw.de Was erwartet Sie in diesem Vortrag? Einleitung OpenGIS Web

Mehr

Sind Cloud Apps der nächste Hype?

Sind Cloud Apps der nächste Hype? Java Forum Stuttgart 2012 Sind Cloud Apps der nächste Hype? Tillmann Schall Stuttgart, 5. Juli 2012 : Agenda Was sind Cloud Apps? Einordnung / Vergleich mit bestehenden Cloud Konzepten Live Demo Aufbau

Mehr

Mobile Device Management

Mobile Device Management 1 Mobility meets IT Service Management 26. April 2012 in Frankfurt Mobile Device Management So finden Sie Ihren Weg durch den Endgeräte- Dschungel Bild Heiko Friedrich, SCHIFFL + Partner GmbH & Co.KG http://www.schiffl.de

Mehr

Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management

Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management Motivation und aktuelle Lösungsansätze für organisationsübergreifendes Identity Management 7. Treffen der IT-Betriebszentren im Hochschulbereich 26. September 2007 Wolfgang Hommel, Leibniz-Rechenzentrum

Mehr

Implementierung von PVP 2.0 für neue Wege im Federated Identity Management

Implementierung von PVP 2.0 für neue Wege im Federated Identity Management Standardportal 2.0 Implementierung von PVP 2.0 für neue Wege im Federated Identity Management Bundesministerium für Inneres und Land-, forst- und wasserwirtschaftliches Rechenzentrum GmbH Inhalt LFRZ GmbH

Mehr

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen.

DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. DataSpace 2.0 Die sichere Kommunikations-Plattform für Unternehmen und Organisationen. Your data. Your control User A User B Die Datenaustauschplattform mit moderner Software Architektur Datenaustausch

Mehr

Begrüßung & zur Sicherheitslage

Begrüßung & zur Sicherheitslage Begrüßung & zur Sicherheitslage Hergen Harnisch harnisch@rrzn.uni hannover.de Hergen Harnisch, Begrüßung & zur Sicherheitslage, 20. November 2012 Seite 1/25 Programm Montag 19.11.12 09:15 10:00 Sicherheitslage

Mehr

Mobile Device Management

Mobile Device Management Mobile Device Management Ein Überblick über die neue Herausforderung in der IT Mobile Device Management Seite 1 von 6 Was ist Mobile Device Management? Mobiles Arbeiten gewinnt in Unternehmen zunehmend

Mehr

Positionspapier: Portalverbund und ehealth

Positionspapier: Portalverbund und ehealth Positionspapier: Portalverbund und ehealth e-government Arbeitsgruppe Integration und Zugänge (AG-IZ) Dr. Wilfried Connert Franz Hoheiser-Pförtner, MSc Rainer Hörbe Peter Pfläging Juli 2009 Inhalt Zielsetzung

Mehr

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen

SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen SWITCHaai Die Authentifizierungs- und Autorisierungs- Infrastruktur der Schweizer Hochschulen Thomas Lenggenhager thomas.lenggenhager@switch.ch Bern, 11. Juni 2010 Übersicht Die Shibboleth basierte SWITCHaai

Mehr

Identity Management. Puzzle mit vielen Teilen. Identity Management Forum München 10. Februar 2004

Identity Management. Puzzle mit vielen Teilen. Identity Management Forum München 10. Februar 2004 Identity Management Puzzle mit vielen Teilen Identity Management Forum München 10. Februar 2004 Beratung Lösungen Coaching Pro Serv Wartung Definition Identi tät [lat.; Idem; der-/dasselbe] die; das Existieren

Mehr

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL

GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL GRAU DataSpace 2.0 DIE SICHERE KOMMUNIKATIONS- PLATTFORM FÜR UNTERNEHMEN UND ORGANISATIONEN YOUR DATA. YOUR CONTROL Einführung Globales Filesharing ist ein Megatrend Sync & Share ist eine neue Produktkategorie

Mehr

Softwareentwicklung mit Enterprise JAVA Beans

Softwareentwicklung mit Enterprise JAVA Beans Softwareentwicklung mit Enterprise JAVA Beans Java Enterprise Edition - Überblick Was ist J2EE Java EE? Zunächst mal: Eine Menge von Spezifikationen und Regeln. April 1997: SUN initiiert die Entwicklung

Mehr

ENTERPRISE MOBILITY IN DEUTSCHLAND 2015

ENTERPRISE MOBILITY IN DEUTSCHLAND 2015 Unternehmensdarstellung: Check Point Software IDC Multi-Client-Projekt ENTERPRISE MOBILITY IN DEUTSCHLAND 2015 Von Consumerization zu Mobile first - Mobility-strategien in deutschen Unternehmen Check point

Mehr

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel

Organisationsübergreifendes Single Sign On mit shibboleth. Tobias Marquart Universität Basel Organisationsübergreifendes Single Sign On mit shibboleth Tobias Marquart Universität Basel Überblick Einordnung von Shibboleth, Abgrenzung zu OpenID Organisatorische und technische Komponenten einer Federation

Mehr

Entwicklung von Web-Anwendungen auf JAVA EE Basis

Entwicklung von Web-Anwendungen auf JAVA EE Basis Entwicklung von Web-Anwendungen auf JAVA EE Basis Java Enterprise Edition - Überblick Prof. Dr. Bernhard Schiefer Inhalt der Veranstaltung Überblick Java EE JDBC, JPA, JNDI Servlets, Java Server Pages

Mehr

Mission Critical Mobile Solutions

Mission Critical Mobile Solutions Mission Critical Mobile Solutions Anwendungsmöglichkeiten sowie Sicherheitsaspekte im Bereich Mobility und Situational Awareness Dipl.-Ing. Rainer Halanek Dr. Dan Temmer FREQUENTIS 2012 Datum: 2012-06-05

Mehr

Orchestrierung der IT-Sicherheit

Orchestrierung der IT-Sicherheit Orchestrierung der IT-Sicherheit Wie sieht es mit der Oracle Fusion Middleware aus? Mohammad Esad-Djou, Solution Architect OPITZ CONSULTING Deutschland GmbH München, 06. März 2014, Regionaltreffen München/Südbayern

Mehr

IAM in the Cloud - Guidance der Cloud Security Alliance

IAM in the Cloud - Guidance der Cloud Security Alliance Klaus Gribi United Security Providers IAM in the Cloud - Guidance der Cloud Security Alliance MEET SWISS INFOSEC, 26. Juni 2013 Agenda Vorstellung der Cloud Security Alliance (CSA) Vorstellung CSA Switzerland

Mehr

Identity Management Einführung in die Diskussion

Identity Management Einführung in die Diskussion Identity Management Einführung in die Diskussion Hans Pfeiffenberger Alfred Wegener Institut, Bremerhaven 1 Agenda Begriffe (Damit wir alle über dasselbe sprechen) Motivation, strategische Ziele Integrierte

Mehr

Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013

Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013 Thomas Kessler Identity Provider kurze strategische Betrachtung Fachvortrag an der security-zone 2013 Thomas Kessler / thomas.kessler@temet.ch / 079 508 25 43 / www.temet.ch Inhalt Angaben zum Referenten

Mehr

Symantec Mobile Computing

Symantec Mobile Computing Symantec Mobile Computing Zwischen einfacher Bedienung und sicherem Geschäftseinsatz Roland Knöchel Senior Sales Representative Endpoint Management & Mobility Google: Audi & Mobile Die Mobile Revolution

Mehr

Fraunhofer Institute for Secure Information Technology

Fraunhofer Institute for Secure Information Technology Fraunhofer Institute for Secure Information Technology Entwicklung sichere Unternehmens-Apps: gut gemeint oder gut gemacht? Dr. Jens Heider Head of Department Testlab Mobile Security Amt für Wirtschaft

Mehr

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen

Markus Dopler Rainer Ruprechtsberger. Security und Trust Aspekte in Service-Orientierten Web-Applikationen Markus Dopler Rainer Ruprechtsberger Security und Trust Aspekte in Service-Orientierten Web-Applikationen SOSE: Vision Automatische Auswahl und Integration von angebotenen Services Inhalt Beispiel SOA

Mehr

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets

Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Secure Mobility Sicher mobiler Zugriff auf Business Anwendungen mit Smartphones und Tablets Dr. Ralf Stodt Senior Consultant Business Development, CISSP Endpoint Security & IAM www.integralis.com Absicherung

Mehr

Bring Your Own Device

Bring Your Own Device Bring Your Own Device Was Sie über die Sicherung mobiler Geräte wissen sollten Roman Schlenker Senior Sales Engineer 1 Alles Arbeit, kein Spiel Smartphones & Tablets erweitern einen Arbeitstag um bis zu

Mehr

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte

SMARTPHONE SECURITY. Sichere Integration mobiler Endgeräte Sichere Integration mobiler Endgeräte ÜBERSICHT PROFI MOBILE SERVICES.mobile PROFI Mobile Business Agenda Workshops Themen Business Case Design Business Case Zielgruppe / -markt Zielplattform BPM fachlich

Mehr

Internet Datasafe Sicherheitstechnische Herausforderungen

Internet Datasafe Sicherheitstechnische Herausforderungen ERFA-Tagung 14.9.2010 Internet Datasafe Sicherheitstechnische Herausforderungen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte Wissenschaften

Mehr

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216

WS-Security. Thies Rubarth. Sicherheitskonzepte in global verteilten Anwendungen. 21. Sep 2007 ACM/GI Localgroup #216 WS-Security Sicherheitskonzepte in global verteilten Anwendungen Thies Rubarth 21. Sep 2007 ACM/GI Localgroup #216 Thies Rubarth, M.Sc. (Informatik) IT Berater Jahrgang 1979 Anwendungsentwicklung seit

Mehr

Creating your future. IT. αacentrix

Creating your future. IT. αacentrix Creating your future. IT. αacentrix We bring IT into Business Context Creating your future. IT. Wir sind eine Strategie- und Technologieberatung mit starkem Fokus auf die IT-Megatrends Cloud, Mobility,

Mehr

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein pempe@dfn.de

Grundlagen. AAI, Web-SSO, Metadaten und Föderationen. Wolfgang Pempe, DFN-Verein pempe@dfn.de Grundlagen AAI, Web-SSO, Metadaten und Föderationen Wolfgang Pempe, DFN-Verein pempe@dfn.de DFN-AAI IdP-Workshop, 24./25. Juni 2015, HS Amberg-Weiden Was ist DFN-AAI? AAI Authentifizierung Autorisierung

Mehr

SOA Governance Konzepte und Best Practices

SOA Governance Konzepte und Best Practices SOA Governance Konzepte und Best Practices Gerd Schneider Senior Director SOA Marketing Software AG 2/27/2007 Agenda Überblick SOA Governance Warum SOA Governance? Kundenbeispiel SAS Airlines Technische

Mehr

Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative!

Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative! Das Ende der Passwort-Ära X.509 Authentifizierung die Alternative! - X.509 Sicherheit für alle mobilen Geräte - Die PKI/MDM Integrationsproblematik - Ist Ihre Infrastruktur kompatibel? Juni 2013 Nicolas

Mehr

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP)

MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) MOBILE ENTERPRISE APPLICATION PLATFORM (MEAP) Oliver Steinhauer.mobile PROFI Mobile Business Agenda MOBILE ENTERPRISE APPLICATION PLATFORM AGENDA 01 Mobile Enterprise Application Platform 02 PROFI News

Mehr

Neue Technologien. Belastung oder Entlastung im Vertrieb?

Neue Technologien. Belastung oder Entlastung im Vertrieb? Neue Technologien Belastung oder Entlastung im Vertrieb? Was sind neue Technologien? Mobile Systeme Smartphones / Tablets / Notebooks Kunden Apps (Makler oder Fintech ) Vertriebs Apps Cloud Systeme (Rechenzentrum)

Mehr

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. "For your eyes only" Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo.

Karlsruher IT-Sicherheitsinitiative - 26. April 2001. For your eyes only Sichere E-Mail in Unternehmen. Dr. Dörte Neundorf neundorf@secorvo. Karlsruher IT-Sicherheitsinitiative - 26. April 2001 "For your eyes only" Sichere E-Mail in Unternehmen Dr. Dörte Neundorf neundorf@secorvo.de Secorvo Security Consulting GmbH Albert-Nestler-Straße 9 D-76131

Mehr

Open Source als de-facto Standard bei Swisscom Cloud Services

Open Source als de-facto Standard bei Swisscom Cloud Services Open Source als de-facto Standard bei Swisscom Cloud Services Dr. Marcus Brunner Head of Standardization Strategy and Innovation Swisscom marcus.brunner@swisscom.com Viele Clouds, viele Trends, viele Technologien

Mehr

Stammtisch 04.12.2008. Zertifikate

Stammtisch 04.12.2008. Zertifikate Stammtisch Zertifikate Ein Zertifikat ist eine Zusicherung / Bestätigung / Beglaubigung eines Sachverhalts durch eine Institution in einem definierten formalen Rahmen 1 Zertifikate? 2 Digitale X.509 Zertifikate

Mehr

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit.

ACT Gruppe. www.actgruppe.de. Effizienz. Innovation. Sicherheit. www.actgruppe.de ACT Gruppe Effizienz. Innovation. Sicherheit. ACT Gruppe, Rudolf-Diesel-Straße 18, 53859 Niederkassel Telefon: +49 228 97125-0, Fax: +49 228 97125-40 E-Mail: info@actgruppe.de, Internet:

Mehr

Analyse von Sicherheitaspekten in Service-orientierten Architekturen

Analyse von Sicherheitaspekten in Service-orientierten Architekturen Analyse von Sicherheitaspekten in Service-orientierten Architekturen Vortragende: Jia Jia Betreuer: Dipl.-Inf. Matthias Lehmann Dresden,10.12.2009 10.12.2009 Analyse von Sicherheitaspekten in SOA 1 Gliederung

Mehr