IBM Software Group © 2009 IBM Corporation S.O.S. – Service Oriented Security? IBM szoftver megoldások – nem csak SOA környezetben március 19. Balogh Péter IBM, SOA Architect

IBM Software Group © 2009 IBM Corporation Agenda  Biztonsági megoldások SOA környezetben  Identitás- és hozzáférés menedzsment  Központi logmenedzsment – az auditálás eszközei  Esemény korreláció – fraud detection  A SOA és egyéb elosztott környezetek kihívásai  Integráció – vállalaton kívül (tranzakciós átjárók)  Alkalmazások biztonsági tesztelése

IBM Software Group © 2009 IBM Corporation Identitás- és hozzáférés menedzsment – hagyományos modell Új alkalmazott beléptetése Jogosultság és hozzáférések manuális igénylése Házirend és szerepkörök manuális elemzése Jóváhagyási lépések Jóváhagyott igény végrehajtásra vár Felhasználói fiókok Rendszergazda létrehozza/módosítja a hozzáférést  Új alkalmazott belép  Munkakörváltás  Távollét/helyettesítés  Munkaviszony megszűnése

IBM Software Group © 2009 IBM Corporation Cognos AS400 Munkakör változás ITIM felhasználó nyilvántartás (központi címtár)‏ Felhasználói fiókok njanos nj_admin njanos Nagy János Tóth Ilona tilona njanos Ilona főnöke Egyedi jogosultság igénylés Szerepkör alapú házirendek és folyamatok SAP Automatikus jogosultság beállítás és szinkronban tartás Központi identitás- és hozzáférés menedzsment IBM Tivoli Identity Manager Háttér- rendszerek bpeter kgeza „Árva” és non-compliant fiókok kezelése 5 5

IBM Software Group © 2009 IBM Corporation Központi identitás- és hozzáférés menedzsment IBM Tivoli Access Manager és az SSO

IBM Software Group © 2009 IBM Corporation Enterprise Service Bus Integráció – vállalaton kívül (tranzakciós átjárók) IBM Tivoli Access Manager – központi jogosultsági szolgáltatás Tivoli Access Manager Authorization Service  Jogosultsági szabályok szolgáltatás -orientált megfogalmazása  Backend rendszerek jogosultsági rendszerének elfedése  Központi szabály-definíció  Backend rendszernél komplexebb jogosultsági szabályok megvalósítása!

IBM Software Group © 2009 IBM Corporation Központi logmenedzsment “W7” AIXWindowsFirewallOracleSAPIKMCognosPortalESB… „Who, did What, on What, When, Where, Where from, Where to” „Who, did What, on What, When, Where, Where from, Where to” ? Két naplózási szint megkülönböztetése:  Technikai, biztonsági log  Tranzakció napló Azonos, értelmezhető formára alakítás

IBM Software Group © 2009 IBM Corporation Központi logmenedzsment IBM Tivoli Security Information and Event Manager

IBM Software Group © 2009 IBM Corporation Források Események IBM Tivoli SIEM Install Eredmény Collectors TSOM CMS Server Compliance Dashboard Riportok Archív log fájlok kinyerése 3rd party eszközök Riasztások Alkalmazások Adatbázisok Operációs rsz. IDS & IPS Tűzfalak Mainframe TSOM EAMs TCIM Enterprise Server TCIM Standard Server Operational Dashboard TCIM Standard Server Központi logmenedzsment

IBM Software Group © 2009 IBM Corporation Üzleti felhasználó Business Services Web Services Business Processes ApplicationsAlerts/KPIs BPM Események Jelszó váltás Hitel kalkuláció Kp felvétel Turbulent, Disparate, Non-Deterministic, Un-sequenced Events Észlelés Opciós ügylet Számlanyitás Tranzakciók lekérdezése Levelezési cím változtatása „Fraud gyanú!" Automatikus beavatkozás „Kivizsgálás indítása" WBE Runtime Kiértékelés Korreláció Külső források Belső források IBM WebSphere Business Events Esemény korreláció – fraud detection

IBM Software Group © 2009 IBM Corporation Fejlett esemény feldogozás Üzlet- és felhasználó- barát felület + WebSphere Business Events Időben eltérő, tetszőleges forrásból származó események, tranzakciók korrelációja  visszaélések azonosítása, értékesítési programok (x-sell, upsell),... IBM WebSphere Business Events Esemény korreláció – fraud detection

IBM Software Group © 2009 IBM Corporation Agenda  Biztonsági megoldások SOA környezetben  Identitás- és hozzáférés menedzsment  Központi logmenedzsment – az auditálás eszközei  Esemény korreláció – fraud detection  A SOA és egyéb elosztott környezetek kihívásai  Integráció – vállalaton kívül (tranzakciós átjárók)  Alkalmazások biztonsági tesztelése

IBM Software Group © 2009 IBM Corporation Demilitarized Zone Partner Zone Enterprise Secure Zone Enterprise Service Bus Enterprise Service Bus Gateway DataPower Domain Firewall Inter- Enterprise Zone Protocol Firewall Network Infrastructure Integráció – vállalaton kívül (tranzakciós átjárók) IBM DataPower Üzenet szabványok Belső jogosultság kezelés Trust zóna Eltérő protokoll és üzenetstruktúra Erősebb bizontsági ellenőrzés Aláírás kezelés WS-Security

IBM Software Group © 2009 IBM Corporation Demilitarized Zone XML Firewall and Web Services Gateway XS40 Partner Zone Enterprise Secure Zone Enterprise Service Bus Enterprise Service Bus Gateway XI50 Domain Firewall Inter- Enterprise Zone Protocol Firewall Network Infrastructure XML Processing Offload XA35 Integráció – vállalaton kívül (tranzakciós átjárók)  DataPower termékcsalád  XML gyorsító  XML tűzfal, Web Service gateway  ESB gateway

IBM Software Group © 2009 IBM Corporation Sources: Gartner, Watchfire Az IT biztonsági támasok a web alkalmazások rétege ellen irányul 75% A webalkalmazások sebezhető 2/3 Hálózati infrastruktúra Web alkalmazások % 75% 10% 25% 90% TámadásokKiadások Alkalmazások biztonsági tesztelése – nem kap elég figyelmet

IBM Software Group © 2009 IBM Corporation TámadásNegatív hatásLehetséges üzleti kockázat Buffer overflowDenial of Service (DoS)Oldal elérhetetlensége Cookie poisoningSession eltérítésLopás Hidden fieldsOldal átalakításIllegális tranzakciók Debug optionsAdmin hozzáférésJogosulatlan hozzáférés, személyes adatok védelmének sérülése Cross Site scriptingAzonosító lopásLopás, ügyfél bizalmatlanság Stealth CommandingHozzáférés OS-hez, alkalmazásokhoz Hozzáférés személyes adatokhoz, csalás, stb. Parameter TamperingCsalás, adatlopásÜgyfelek átirányítása Forceful Browsing/ SQL Injection Jogosulatlan oldal/adat hozzáférés Írás/olvasás az ügyfél adatbázba/adatbázisból Alkalmazások biztonsági tesztelése – nem kap elég figyelmet

IBM Software Group © 2009 IBM Corporation AppScan Enterprise Web alkalmazás biztonság és tesztelés a teljes életciklusban AppScan – Enterprise Edition & Quickscan AppScan – Tester Edition AppScan - Standard Edition Fejlesztés alatti tesztelés Fejlesztés alatti tesztelés Tesztelés a QA folyamat részeként Tesztelés üzembe helyezés előtt Monitoroz- za vagy újra auditálja az üzembe helyezett alkalmazá- sokat Alkalmazás fejlesztés Minőség biztosítás Biztonsági Audit Monitorozás AppScan - Enterprise MSP Alkalmazások biztonsági tesztelése

IBM Software Group © 2009 IBM Corporation Köszönöm! Merci Thank You! Gracias Obrigado Danke Japanese Hungarian French Russian German English Spanish Brazilian Portuguese Arabic Traditional Chinese Simplified Chinese Hindi Tamil Thai Korean Bulgarian Благодаря Dziękuję Polish