Hva betyr tjenesteorientert arkitektur for sikkerhet?

Størrelse: px

Begynne med side:

Download "Hva betyr tjenesteorientert arkitektur for sikkerhet?"

Rolf Olsen
8 år siden
Visninger:

1 Hva betyr tjenesteorientert arkitektur for sikkerhet? Torbjørn Staff Architecture Innovation Group Accenture, its logo, and High Performance Delivered are trademarks of Accenture.

2 Agenda Arkitekturevolusjonen Praktiske utfordringer Tilgangskontroll i kontekst Standarder for policy Hvorfor trenger vi et policy-språk? 2

Arkitekturevolusjonen SOA - fra siloer til tjenesteorientering Silo Monolittiske systemer Duplisering av data og funksjonalitet Lite integrasjon mellom systemene System X System Y System Z P2P

3 Arkitekturevolusjonen SOA - fra siloer til tjenesteorientering Silo Monolittiske systemer Duplisering av data og funksjonalitet Lite integrasjon mellom systemene System X System Y System Z P2P Komponentorientering for økt gjenbruk Distribuert med tette tekniske koblinger Lav endringstakt Komponent X Komponent A Komponent Y Komponent B Komponent Z SOA Veldefinerte kontrakter Løse koblinger Høy endringstakt Tilbyder X Konsument A Konsument B Tjenestebuss Tilbyder Y Tilbyder Z

Distribuert med tette tekniske koblinger Lav endringstakt Komponent X Komponent A Komponent Y Komponent B Komponent Z

4 Arkitekturevolusjonen SOA-sikkerhet - fra perimeter til policy B2B Perimeter-sikkerhet realisert med brannmurer Teknologiorientert XMLDSIG, XMLENC, WS-Security etc Fokus på behov ved kommunikasjon med eksterne partnere RBAC Delvis identitetsdrevet Rolle-basert, grovkornet tilgangskontroll Statisk konfigurasjon og manglende forsyning Policy Policy-drevet sikkerhetsarkitektur WS-Policy og XACML Aggregering av policy er fra underliggende systemer Understøtter dynamisk integrasjonsplattform

identitetsdrevet Rolle-basert, grovkornet tilgangskontroll Statisk konfigurasjon og manglende forsyning Policy

5 Referansemodell Tjenesteorientering helt ut til brukerflaten.. User Interaction Services Governance Enterprise Platform Information Model Business Domain Entities Business Events Standardized Entities Enterprise Entities Activity Services Web Application Screens Orchestration and Choreography Services Business Services Capability Services Information Services Web Application Widgets Business Processes Event Handlers Batches Entity Services Master Data Services Business Rules Technical Framework Capabilities Infratructure Services Management and Operations Services

Enterprise Entities Activity Services Web Application Screens Orchestration and Choreography Services Business Services Capability Services

6 Referansemodell i et større virksomhetsperspektiv

7 Referansemodell og i forretningsperspektivet

8 Referansemodell eller litt forenklet

9 Praktiske utfordringer (1/2) Informasjonsbeskyttelse Sikker transportkanal vs krav til beskyttelse av meldingskonvolutten? Identifisering og autentisering Identifisere sluttbruker eller system? Behov for føderasjon av brukeridentiteter?

10 Praktiske utfordringer (2/2) Tilgangskontroll Grovkornet eller finkornet tilgangskontroll? Styre tilgang basert på identifisering av system, eller sluttbruker? Komposisjon og sammensatte tjenester Hvordan håndtere komposjoner som ikke er autonome?

Styre tilgang basert på identifisering av system, eller

11 2 Praktiske utfordringer Håndheve tilgang til tjenester Tjenestekonsument A 1 Tjenestekonsument B Håndheve tjenestespesifikasjon og policy Service Gateway 3 1 Konsument initierer forespørsel mot tilbyder/produsent 2 Service Gateway implementerer et Policy Enforcement Point (PEP) for å håndheve policy. Kan løses vha en tjenestebuss/esb, xml-appliance eller enklere reverse-proxy 3 Produsent mottar forespørsler kun fra autoriserte konsumenter. Tjenestetilbyder X Tjenestetilbyder Y Tjenestetilbyder Z Introdusere PBAC for Policybased Access Control??

12 Vi trenger kontekst

13 XACML beskriver modeller for dette

14 Generell modell for policy-orientering Abstrakte funksjoner definert i XACML Subjekt(er) Policy Enforcement (PEP) Handling(er) Ressurs(er) Policy Administration (PAP) Policy Decision (PDP) Policy Information (PIP)

Enforcement (PEP) Handling(er) Ressurs(er) Policy

15 Generell modell for policy-orientering med attributter som gir kontekst Subjekter Sluttbruker System Autentiseringsnivå Handlinger Opprett, Les, Oppdater, Slett, Kjør Miljø Fysisk lokasjon Kanal Subjekt(er) Policy Enforcement (PEP) Handling(er) Ressurs(er) Attributter Attributter Policy Administration (PAP) Policy Decision (PDP) Policy Information (PIP) Ressurser Prosesser og aktiviteter Tjenester og applikasjoner Informasjon og data Klassifisering og metadata

Enforcement (PEP) Handling(er) Ressurs(er) Attributter Attributter Policy Administration (PAP) Policy Decision

16 Generell modell for policy-orientering hele modellen fra XACML

17 Policy-dokumenter og standarder Interaksjonspolicy Policy for autentisering Policy for meldingsbeskyttelse (signering og kryptering) Tilgangspolicy Policy for tilgangskontroll Policy for sporbarhetslogging WS-SecurityPolicy XACML 17

(signering og kryptering) Tilgangspolicy Policy for

18 Hvorfor trenger vi standarder for dette?

19 Flere praktiske utfordringer Dagens løsninger har ingen standardiserte ressursdefinisjoner konfigurasjon lar seg ikke eksternalisere administrasjon og forsyning skalerer ikke gir ikke tilstrekkelig presisjon

konfigurasjon lar seg ikke eksternalisere

20 mens standardiserte policy er..tilbyr et kanonisk språk for å uttrykke policy..gir en rikere representasjon av subjekter og ressurser..muliggjør fleskibel tilgangskontroll i riktig kontekst..kan komponeres og aggregeres..muliggjør interoperabilitet på tvers av produkter og verktøy med sentralisert forsyning

.muliggjør fleskibel tilgangskontroll i riktig kontekst.

21 XACML Tilbyr: Kanonisk språk for å uttrykke tilgangspolicy er Generell protokoll for å spørre om tilgangsbeslutninger Mangler: Ingen binding av den generelle protokollen til bærende protokoll eller meldingskonvolutt Ingen integrasjon med WS-Policy eller resten av WS-*

22 Spørsmål 22

23 Eks: sentralisert forsyning Partners nett Partners ytre brannmur Din ytre brannmur DMZ Din indre brannmur Din virksomhets interne nett Tjenestekonsumenter Tjenestetilbydere WS-Security Gateway PEP Internet PEP PEP PEP WS-Policy XACML Policy 2007 Accenture. All rights reserved. 23

24 Praktiske utfordringer Håndheve tilgang til data Interaction Services ASYS BSYS Governance Enterprise Platform ActivityService X Orchestration and Choreography Services Batch Business Services BusinessService X BusinessService Y Information Services Technical Framework Capabilities Infratructure Services Management and Operations Services EntityService A LegacyService B Repository A Repository B Repository C

Like dokumenter

Identifisering, autentisering og tilgangskontroll for representanter. 10. September 2019 // IT-arkitektur // Håkon Jendal

Identifisering, autentisering og tilgangskontroll for representanter 10. September 2019 // IT-arkitektur // Håkon Jendal Hvem skal digitalt kunne benytte NAVs løsninger? Person Person representerer annen