SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung



Ähnliche Dokumente
SOA Security in der Praxis

1 Dataport 12.Juli 2007 Internationale Standards zu Identity Management. Deckblatt. Harald Krause

Federated Identity Management

Anleitung mtan (SMS-Authentisierung) mit SSLVPN.TG.CH

Identitätskonzepte. Hauptseminar Web Engineering Vortrag. OpenID, WebID und OAuth. Robert Unger

Transaktionskosten senken mit dem Wirtschaftsportalverbund

ITIL & IT-Sicherheit. Michael Storz CN8

Bausteine eines Prozessmodells für Security-Engineering

Dienst zur Verwaltung der Zugangsverwalter (VZU) Schritt-für-Schritt-Anleitung

(c) 2014, Peter Sturm, Universität Trier

SECURITY DESIGN PATTERN FÜR EHEALTH-PLATTFORMEN

Identity & Access Management in der Cloud

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

smis_secure mail in der srg / pflichtenheft /

1. Integration von Liferay & Alfresco 2. Single Sign On mit CAS

OpenLimit - Sicherer elektronischer Handschlag. Digitale Identität als Element im Carsharing und in der Mobilitätskette

WIE MELDEN SIE SICH AN SAP AN? SAP NETWEAVER SINGLE SIGN-ON SAP SECURITY UND SICHERES SINGLE SIGN-ON MARKUS NÜSSELER-POLKE

Freie Universität Berlin

Intelligente und organisationsübergreifende Authentifikations- und Signaturmethoden

Enterprise Applikation Integration und Service-orientierte Architekturen. 09 Simple Object Access Protocol (SOAP)

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

e-serve UPSM Version 7.1

Secure Identity Management (SIM) bei Raiffeisen. Gerald Färber Raiffeisen Informatik, IT Architektur 12. Oktober 2005 / a.

Fit für den neuen Personalausweis Wie Städte und Gemeinden die Online-Ausweisfunktion einsetzen

Themen. Web Services und SOA. Stefan Szalowski Daten- und Online-Kommunikation Web Services

Matrix42. Use Case - Bearbeiten einer Störung unter Verwendung von Inventardaten, Aktionen und Knowledge Base. Version

Modernes Identitätsmanagement für das Gesundheitswesen von morgen

Sicherheit in Workflow-Management-Systemen

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Schritt für Schritt Installation von Polysun und die Ausführung des Updaters. Betriebssystem: Windows Vela Solaris AG

Ein mobiler Electronic Program Guide

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Swiss Association for Quality Arbeitsteam IT Process & Quality Manager

Cnlab / CSI 2013 Social Business endlich produktiv! Demo. Identity Federation in der Praxis

Veröffentlichung und Absicherung von SharePoint Extranets

Identity Propagation in Fusion Middleware

Sie erreichen den Online Ticketshop unter folgender Web Adresse:

Anleitung für Aussteller So funktioniert s!

Das Brie ng - die Eckdaten für Ihre Website / Geschäftsausstattung

IT-Sicherheit / Smartcards und Verschlüsselung Kobil midentity Light ohne Sim Karte

Abschlussvortrag zur Diplomarbeit Aufbau und Analyse einer Shibboleth/GridShib-Infrastruktur

Inhalt. TEIL I Grundlagen TEIL II Single-Sign-on für Benutzerschnittstellen. Vorwort 13 Einleitung 15

Validierungsarchitektur

FAQ Verwendung. 1. Wie kann ich eine Verbindung zu meinem virtuellen SeeZam-Tresor herstellen?

Berufliche Gymnasien für Ernährung und Gesundheit

Projektanleitung zum

KvBK: Basic Authentication, Digest Authentication, OAuth

openk platform Dokumentation Setup Liferay Version 0.9.1

!"#$"%&'()*$+()',!-+.'/',

Anleitung über den Umgang mit Schildern

Kobil Roundtable Identity Federation. Konzepte und Einsatz

Sorgfalt im Umgang mit Identitätskennungen (fürs Zertifikat)

Kolloquium zur Diplomarbeit

Prof. Dr. Norbert Pohlmann, Institut für Internet Sicherheit - if(is), Fachhochschule Gelsenkirchen. Lage der IT-Sicherheit im Mittelstand

Mehr IT-Souveränität durch Zusammenarbeit Vertrauen ist eine Herausforderung für die Zukunft

Kryptografische Verfahren für sichere

EINE PLATTFORM

eduroam unter Linux mit KNetworkManager Stand: 27. Januar 2015

a.sign Client Lotus Notes Konfiguration

Kurzanweisung für Google Analytics

Bürgerkonto Niedersachsen Eine Anmeldung für Bürgerservices

Leitfaden Social Media in der Hamburgischen Verwaltung

Identität gewährleisten private Daten schützen Starke Authentisierung mit privacyidea

PKI-Forum Schweiz, 15. Mai Erfahrungsbericht über den Aufbau der PKI der

MOA-Workshop. Ausländische BürgerInnen (STORK) Bernd Zwattendorfer Wien, 28. Juni 2012

INHALTSVERZEICHNIS Allgemeine Beschreibung... 3 Verwendung der Webseite... 4 Abbildungsverzeichnis... 12

Erfassung von Umgebungskontext und Kontextmanagement

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Aktuelles, Mitteilungen und Veranstaltungen verwalten

Ihr Rechenzentrum: hochverfügbar und zertifizierfähig

Infrastruktur: Vertrauen herstellen, Zertifikate finden

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Service-Orientierte Architekturen

Release-Informationen

Release-Informationen

Single Sign-on im SAP environment. SAGA Arbeitsgruppe SAP Basis Linz, Günther Berger

SSZ Policy und IAM Strategie BIT

Trusted E-Commerce: TeleTrusT. Beispiel: Wirtschaftlichkeitsbetrachtungen für den Bereich ebanking

B E N U T Z E R D O K U M E N TA T I O N ( A L E P H I N O

Authentication as a Service (AaaS)

Softwaretechnologie Wintersemester 2009/2010 Dr. Günter Kniesel, Pascal Bihler

Sicherheitsaspekte in Service Orientierten Architekturen. Eike Falkenberg Sommersemester 2006 Anwendungen I

Use Cases. Die Sicht des Nutzers. Fortgeschrittenenpraktikum SS 2004

Datensicherheit. Vorlesung 1: Sommersemester 2015 h_da. Heiko Weber, Lehrbeauftragter

Beispiel Shop-Eintrag Ladenlokal & Online-Shop im Verzeichnis 1

Postfinance Sicherheitsfrühstück Unterwegs sicher vernetzt

Cloud Control, Single Sign On in Active Directory Umfeld

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Supporting Consumers by Characterizing the Quality of Online Health Information: A Multidimensional Framework. Von Dominic Kipry

Folgende Voraussetzungen für die Konfiguration müssen erfüllt sein:

Interoperabilität und Informationssicherheit mit SGAM 2. LIESA Kongress, Saarbrücken, 30. September 2015

Die E-Government-Gesetzgebung des Bundes und der Länder Potenziale in Deutschland Prof. Dr. Dr. h.c. Jörg Becker Prof. Dr. Dr.

Universität Zürich Informatikdienste. SpamAssassin. Spam Assassin Go Koordinatorenmeeting 27. April

Sichere s. Kundeninformation zur Verschlüsselung von s in der L-Bank

Checkliste zur qualitativen Nutzenbewertung

Transkript:

Ergebnisse der TeleTrusT-AG "SOA" SOA Security in der Praxis Entwurfsmuster für eine sichere Umsetzung

Arbeitsergebnisse des SOA Security AKs Anfang 2009 - Themenfindung für das Dokument Mitte 2009 Vorgehenskonzept erarbeitet Mitte 2009 Mitte 2010 Dokument erstellen Juni 2010 Fertigstellung des Dokumentes 2

Motivation Hohe Komplexität von SOA Security durch viele Ansätze Technologien Standards Ziel des Dokumentes Empfehlung für die Nutzung von SOA Security Vorgabe von Sicherheitsanforderung Bewertung verfügbarer Sicherheitsmechanismen 3

Das Ergebnis. SOA Security in der Praxis Entwurfsmuster für eine Umsetzung Einleitung Beschreibung der Vorgehensweise Model Architekturen für Service-orientierte Architekturen Anwendungsfälle für Service-orientierte Architekturen Entwurfsmuster Authentizität, Integrität, Vertraulichkeit, Nichtabstritbarkeit, Autorisierung, ) Beispiele Vorgehensweise. 4

Sicherheitsanforderungen Authentisierung Autorisierung Integrität Vertraqulichkeit und Datenschutz Nichtabstreitbarkeit Weitere Sicherheitsanforderungen 5

Umsetzung von Sicherheitsanforderungen 6

Vorgehensmodell Architektur Use Case legen fest Security Pattern Schutzbedarfsanalyse Schutzbedarf Security Pattern Mögliche Alternativen für Technologien bzw. Sicherheitsmaßnahmen umzusetzende Sicherheitsmaßnahmen GAP-Analyse Infrastruktur (IST- Zustand) 7

Beispiel für Architekturbausteine und Architektur Vertrauensbeziehung Service Consumer Service Provider Nutzer und Anbieter von Diensten Kommunikation 8

Anwendungsfälle hinsichtlich der Authentifizierung Authentication - Wie sind die Benutzer einem Dienst bekannt? / Wer soll einen Dienst benutzen dürfen? Registrieren eines Consumer bei einem Provider (Beispiele: Bürger/Unternehmen registriert sich bei einer Behörde) Anmelden eines Consumers bei einem Provider (Authentifizierung bei einem Web Service) Auth_U1 Auth_U2 Anmelden eines Consumers bei einer Domain (man möchte verschiedene Dienste in der gleichen Domain mit einer Anmeldung benutzen) Anmelden eines Consumers bei einem Provider mit SSO bei anderen Providern Auth_U3 Auth_U4 9

Muster: Direkte Authentifizierung Der Service Consumer verwendet ein Credential mit einer Aussage über sich selbst (z.b. ich bin Benutzer X) und einer Authentifizierungsinformation. Der Service Provider überprüft verifiziert das Credential selbst, um den Benutzer zu authentisieren 10

Muster: Delegierte Provider-zentrische Authentifizierung Service Consumer verwendet ein Credential mit einer Aussage über sich selbst (z.b. ich bin Benutzer X) und einer Authentifizierungsinformation. Der Service Provider kontaktiert einen Identity Provider/ Identity Directory, um das Credential verifizieren zu lassen. 11

Beispielszenarien Beispiele für Technologien Aspekt Authentifizierung eines Nutzers mittels eines unternehmensinternen LDAP. Mögliche Technologien/ Standards Authentifizierung des Benutzers: Umsetzung des Identity Providers/Identity Directory Benutzername/Passwort, LDAP, WS-Trust, 12

Muster: Delegierte Consumer-zentrische Authentifizierung 13

Beispielszenarien Zentrale Benutzerverwaltung im Unternehmen, Beipiele für Technologien Aspekt Authentifizierung des Benutzers: Bereitstellung der Authentifizierungse ntscheidung: Abrufen der Authentifizierungsto kens: Bereitstellung zentraler Daten, wie unternehmensweites Adressbuch, etc. Unternehmensweites SSO für Unternehmensanwendungen SSO für offene Umgebungen wie das Internet mit mehreren potenziellen Identitätsprovidern (Beispiel InformationCard) Mögliche Technologien/ Standards Benutzername/Passwort, SAML, Kerberos, WS-Trust, SAML, Kerberos 14

Muster: Delegierte Consumer-zentrische Authentifizierung mit Rückkopplung 15

Beispielszenarien Zentrale Benutzerverwaltung im Unternehmen (Beispiel RSA Token) als auch offene Umgebungen wie das Internet mit mehreren potenziellen Identitätsprovidern (Beispiel OpenID) Beispiele für die Technologien Aspekt Mögliche Technologien/ Standards Authentifizierung des Benutzername/Passwort, Benutzers: Bereitstellung der OpenID, RSAToken, Authentifizierungsentsche idung: Abrufen der Authentifizierungstokens: OpenId, RSAToken,.. 16

Auswahl der Technologien und Methoden Für den Aspekt Authentifizierung des Nutzers gelten die in folgender Tabelle möglichen Technologien und Methoden: Schutzbedarf Technologien und Methoden Erläuterungen normal Username- Password, PIN Challenge-Response-Verfahren (z.b. Captcha) Location-based (IP-Range, Geographie) SAML-Token (mit Aussagen über den Nutzer) hoch 2-Faktor-Authentisierung Challenge-Response-Verfahren (RSA Token ) Zertifikatsbasierte Authentifizierung (softwarebasiert) Sehr hoch 2-Faktor-Authentisierung nach gesetzlichen Anforderungen Zertifikatsbasierte Authentifizierung (Hardware (SmartCard)) neuer Personalausweis: eid Karte Smartcard der Behörde 17

Beispiel zur Vorgehensweise 1.Identifizierung der zutreffenden Architektur 2.Identifizierung der zugehörigen Anwendungsfälle 3.Auswahl der Entwurfsmusters gemäß den Ergebnissen aus den Arbeitsschritten 1 und 2 4.Bestimmung des Schutzbedarfs der verarbeiteten Daten und Informationen 5.Auswahl der möglichen Technologien und Methoden, um für die identifizierten Architekturen und Anwendungsfälle den geforderten Schutzbedarf für die verschiedenen Schutzziele zu erfüllen. 6.Auswahl der umzusetzenden Technologien und Methoden (Sicherheitsmaßnahmen) auf der Grundlage von bereits existierender Infrastruktur, die genutzt werden kann 18

Bestellvorgang, aus SOA- Security- Kompendium Kunde Bestellung aufgeben (1) Händler Bestellung prüfen Bestellablehnung erhalten Bestellinformationen erhalten (2) (3) Bestellung ausführen 19

Kommunikation Architektur Anwendungsfall Schutzbedarf Entwurfs-muster Nr.1: Bestellung aufgeben; Nr.2: Bestellablehnung erhalten A4, A5 DS_U1 Nr.1: hoch, Nr.2: normal Integrität: P1 Vertraulichkeit: P1 Nr.1: Bestellung aufgeben; Nr.3: Bestellinformatione n erhalten A4, A5 Nr.1: hoch, Nr.2: normal Integrität: P1 Vertraulichkeit: P1 20

Ergebnis Dokument mit ca 65 Seiten Teletrust Druck PDF Download über Webseite Offen Übersetzung für Schwesterverbände? 21

Mitwirkende Editoren I. Thomas, M. Menzel T. Störtkuhl E. Saar B. Quint HPI Secaron T-Systems CORISECIO Alle Mitglieder der Arbeitsgruppe SOA Security 22

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback