SlideShare uma empresa Scribd logo

Presentazione - ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI

Gianfranco Conti
Gianfranco Conti
Tecnologia
1 de 10
Baixar para ler offline
V Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Dipartimento di Elettronica e Informazione ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI Relatore: prof. Pierluigi PLEBANI Elaborato di Laurea di: Gianfranco CONTI Matricola: 737296 Anno Accademico 2009-2010
Obiettivi & Metodologia 2 v  Obiettivi preposti:   Fornire una panoramica tra gli strumenti e i requisiti di sicurezza;   Osservare come questi strumenti e requisiti vengano gestiti ed utilizzati all’interno di una SOA;   Cogliere gli aspetti salienti e il valore aggiunto che portano all’architettura stessa della SOA;   Evidenziare le peculiarità ed i vantaggi nell’utilizzo di questi strumenti. v  Metodologia seguita: ü  individuare alcune linee di sviluppo di maggiore interesse e approfondirle criticamente. Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
Overview 3   Una panoramica tra gli strumenti e i requisiti di sicurezza v  SOA, WS, BPEL, WS-SECURITY, SAML, XACML, Confidenzialità, Integrità e non ripudio, Autorizzazione ecc   Gestione ed utilizzo degli strumenti e dei requisiti di sicurezza in una SOA v  A Pattern Language for Identity Management (Circle of Trust, Identity Provider, Identity Federation) v  Patterns for the eXtensible Access Control Markup Language (XACML Authorization ., XACML Access Control Evaluation) v  A Pattern-Driven Security Process for SOA Applications v  BPEL Processes for Non-Repudiation Protocols in Web Services v  The Credentials Pattern ü  Patterns for Authentication and Authorization Infrastructures v  Data provenance in SOA-security-reliability-and-integrity ü  Authorization-Based Access Control for the SOA (Identity-based AC vs Authorization-Based AC) ü  Methodology and Tools for End-to-End SOA Security Configurations   Conclusioni Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
Patterns for Authentication and 4 Authorization Infrastructures 1 of 2 Viene proposto un pattern system derivato in grado di esprimere completamente ed esaustivamente una generica “attributed- based Authentication and Authorization Infrastructure”. v  Aspetti fondamentali:   apprendere da altre implementazione  evitare falle di sicurezza e bug per software di business critici;   modularizzazione dei pattern  assegnare uno specifico e accettato security pattern ad ogni singolo modulo. v  La catena di processo e i relativi pattern associati: Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
Patterns for Authentication and 5 Authorization Infrastructures 2 of 2 v  Le relazioni tra i pattern: I risultati ottenuti sono una classificazione e una valutazione completa delle migliori pratiche, nonché degli insegnamenti appresi. SAML è stato utilizzato per la comunicazione, mentre XACML per l’attuazione dell’attribute-based Access Control (ABAC). Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
Authorization-Based Access Control 6 for the Services Oriented Architecture 1 of 2 v  Con l’Identity-based Access Control - IBAC avremo che: ü  Il rapporto di fiducia tra due domini è l’unica cosa che può prevenire violazioni dal parte dei singoli domini è resterebbe comunque il problema della propagazione di tali informazioni tramite intermediari; ü  In caso di cambio di compiti, il dominio di riferimento deve aggiornare tutte le sue ACL e informare tutti gli altri domini è i domini interessati dovranno dunque aggiornare i propri DB è alti costi se i cambiamenti sono frequenti; ü  In caso di delega e/o revoca, il nuovo user delegato non sarà in grado di utilizzare il servizio finché non saranno aggiornati i DB è viceversa potrà continuare ad utilizzare la propria autorità finché la revoca non sarà propagata su tutti i DB; è la mancanza del requisiti di coerenza fra i DB limita fortemente la scalabilità; ü  I certificati emessi da un certo dominio devono essere processati da altri domini è in caso di aggiornamenti il sistema dovrà essere aggiornato in modo coordinato; è ciò comporta un forte limite per chi volesse entrare a far parte del sistema; ü  Ogni programma invoca i servizi presentando le asserzioni SAML dell’identità del principal è le autorità assegnate sono prese dall’ambient del principal; è sono consentiti attacchi informatici incorportati in link fasulli o script su pagine web è è possibile effettuare qualsiasi azione che gli admin hanno concesso al principal nel policy DB; è  Poca flessibilità e scalabilità; è  Difficoltà nell’utilizzo, nell’aggiornamento, nella delegazione e nella gestione nei DB; è  Sensibile ad errori, virus e perdita delle informazioni fra i domini. Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
Authorization-Based Access Control 7 for the Services Oriented Architecture 2 of 2 v  Con l’Authorization-based Access Control - ABAC avremo che: ü  ogni dominio ha informazioni riguardanti il solo principal è risolve il problema delle identità distribuite; ü  se si ha la necessità di cambiare dei compiti fra i vari utenti, si cambiano semplicemente le autorizzazioni dei rispettivi utenti è l’eventuale revoca è immediata; è nessun dominio ha la necessità di essere informato delle modifiche è nessuna perdita di informazioni ; ü  il formato dell’autorizzazione è necessaria soltanto da parte del servizio a cui si fa riferimento è facilita l’unione di nuove aziende al sistema, con il minimo effetto sui loro processi interni ü  Una richiesta deve portare solo le autorizzazioni del solo principal è se un programma ha un errore o contiene un virus, si potrà abusare delle sole autorità del principal e non di tutte come avviene con l’IBAC è  Facilità di scalabilità, di evoluzione, di delega e di gestione; è  Più privato e più sicuro; …per attuare ciò è necessario apportare una “piccola” modifica al modello IBAC ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU relatore Nome ANALISI DI PATTERN DI SICUREZZA PERAPPLICAZIONI BASATE SU SERVIZISERVIZI
Methodology and Tools for 8 End-to-End SOA Security Configurations 1 of 2 Il pattern in oggetto si pone il problema di come aiutare gli sviluppatori a concentrarsi sulle proprie responsabilità per la configurazione della sicurezza nelle applicazioni SOA-based durante l’intero processo di sviluppo, fornendo oltre al processo di configurazione della sicurezza anche il supporto della tecnologia per gli sviluppatori. v  Criticità nel processo di sviluppo “attuale”: ü  Nel processo di sviluppo non viene chiaramente definito come configurare la sicurezza; ü  I requisiti di sicurezza e le rispettive configurazioni sono determinare e realizzate in downstream phase; ü  Le informazioni richieste per la configurazione della sicurezza non sono disponibili nella fase di downstream; ü  In downstream phase lo sviluppatore non possiede sufficienti informazioni per creare corrette configurazioni di sicurezza; ü  Non vi è modo di sapere quale sicurezza è richiesta dai requisiti di business e se vengano o meno soddisfatti.  Come definire i ruoli dello sviluppatore da un punto di vista delle informazioni disponibili durante le fasi di sviluppo? v  Processo di sviluppo “futuro” proposto:   Il Business Analist definisce i business-level requirement è i requisiti di sicurezza devono essere chiariti come una business-level policy definita dai busines proces;   Il Software Architect crea un service model completo concreto per soddisfare il business è  i requisiti di sicurezza per la composizione devono essere specificati nel service model;   Il Developer (che nell’”attuale” processo di sviluppo, sviluppa e testa gli atomic service) NON ha nessun ruolo èsarà il Deployer attraverso WS-Security a specificare che il servizio verrà garantito dal deploy security configuration file;   Un Assembler crea il file di configurazione di sicurezza per ogni atomic service è i requisiti di sicurezza definiti al passo 2 vengono garantiti;   Il Deployer imposta la piattaforma che dovrà eseguire e gestire i servizi per una esecuzione sicura è  verrà eseguito il deploy della configurazione per la piattaforma. Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
Methodology and Tools for 9 End-to-End SOA Security Configurations 2 of 2 v  Per attuare ciò si propongono due tecnologie: ü  Model-Driven Security – è una tecnologia per generare concretamente in modo semi-automatico, un file di configurazione della sicurezza della model transformation dei requisiti di sicurezza, specificati dal Software architect. ü  Pattern-based Policy Application - supporta il Software architect nello specificare i requisiti (gli intent) di sicurezza della composizione dei servizi attraverso l’applicazione di un pattern che si occuperà di applicare gli intenti per i componenti (anche di basso livello). Nei pattern alcuni vincoli sono specificati, in modo tale che gli intenti non validi, siano individuati e corretti.  Si contribuirà dunque a generare configurazioni complesse in modo corretto, riducendo al contempo il carico di lavoro agli sviluppatori anche quando il dominio di sicurezza è di tipo federato. Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
Conclusioni 10 Si è appreso come la scelta e l’utilizzo di appropriati strumenti (WS-Security; SAML, XACML; X.509, Kerberos, TLS; AES, ecc) e requisiti (Confidentialità; Integrità & non-ripudio; Autenticazione e Autorizzazione) all’interno di pattern di sicurezza per applicazioni basate sul web, siano di fondamentale importanza per il raggiungimento di quegli obiettivi che un SOA da sempre si prepone di raggiungere: v  Scalabilità, Sicurezza e Gestione. Abbiamo inoltre appreso come sia utile e necessario a tale fine: ü  Centralizzare la gestione delle informazioni delle identità; ü  Realizzare una policy unificata di accesso in tutta l’organizzazione; ü  Utilizzare un approccio MDA che renda possibile considerare la sicurezza non più come un aspetto isolato; ü  Utilizzare pattern system derivati; ü  Considerare la provenienza dei dati; ü  Utilizzare un approccio riguardante le decisioni del controllo di accesso basate sull’autorizzazione (ABAC); ü  Utilizzare metodologie per configurazioni di sicurezza di tipo end-to-end per applicazioni SOA; ü  Utilizzare strumenti standard e ben conosciuti; Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI

Recomendados

CloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL Italia
 
SPECS - un cloud sicuro per le PA
SPECS - un cloud sicuro per le PASPECS - un cloud sicuro per le PA
SPECS - un cloud sicuro per le PAAlessandra De Benedictis
 
The Information Assurance Mission at NSA - Hardening Tips for Mac OS X 10.6 "...
The Information Assurance Mission at NSA - Hardening Tips for Mac OS X 10.6 "...The Information Assurance Mission at NSA - Hardening Tips for Mac OS X 10.6 "...
The Information Assurance Mission at NSA - Hardening Tips for Mac OS X 10.6 "...Gianfranco Conti
 
Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017
Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017
Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017Codemotion
 
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...Università degli Studi di Milano - Sede di Crema
 
iVision Software 2.3
iVision Software 2.3iVision Software 2.3
iVision Software 2.3ivisionweb
 
Smau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webSmau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webRegister.it
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
 

Recomendados

CloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL VAM | Vulnerability Management
CloudWALL VAM | Vulnerability ManagementCloudWALL Italia
 
SPECS - un cloud sicuro per le PA
SPECS - un cloud sicuro per le PASPECS - un cloud sicuro per le PA
SPECS - un cloud sicuro per le PAAlessandra De Benedictis
 
The Information Assurance Mission at NSA - Hardening Tips for Mac OS X 10.6 "...
The Information Assurance Mission at NSA - Hardening Tips for Mac OS X 10.6 "...The Information Assurance Mission at NSA - Hardening Tips for Mac OS X 10.6 "...
The Information Assurance Mission at NSA - Hardening Tips for Mac OS X 10.6 "...Gianfranco Conti
 
Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017
Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017
Cyber Security in Multi Cloud Architecture - Luca Di Bari - Codemotion Rome 2017Codemotion
 
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...
Progettazione e sviluppo di un editor per la certificazione di sicurezza dei ...Università degli Studi di Milano - Sede di Crema
 
iVision Software 2.3
iVision Software 2.3iVision Software 2.3
iVision Software 2.3ivisionweb
 
Smau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webSmau 2017. Linee guida per la messa in sicurezza di un server web
Smau 2017. Linee guida per la messa in sicurezza di un server webRegister.it
 
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...
Webinar 23 giugno 2022 - Advanced Cluster Security: come si mette davvero al ...Par-Tec S.p.A.
 
e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)Sabino Labarile
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaMario Gentili
 
Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaBabel
 
Scenari introduzione Application Service Governance in Azienda
Scenari introduzione Application Service Governance in AziendaScenari introduzione Application Service Governance in Azienda
Scenari introduzione Application Service Governance in AziendaConsulthinkspa
 
Sinibaldi soa-28.02.2008
Sinibaldi soa-28.02.2008Sinibaldi soa-28.02.2008
Sinibaldi soa-28.02.2008sinibaldi
 
Microservices architecture & Service Fabric
Microservices architecture & Service FabricMicroservices architecture & Service Fabric
Microservices architecture & Service FabricMassimo Bonanni
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected frameworkRauno De Pasquale
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...IBM Italia Web Team
 
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e RoadmapProfesia Srl, Lynx Group
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingfrancesco pesare
 
Selex Sistemi Integrati - Success Story
Selex Sistemi Integrati - Success StorySelex Sistemi Integrati - Success Story
Selex Sistemi Integrati - Success StoryEmerasoft, solutions to collaborate
 
Microservices power by unikernels
Microservices power by unikernelsMicroservices power by unikernels
Microservices power by unikernelsGabriele Baldoni
 
jValidator
jValidatorjValidator
jValidatoraltimario
 
Brochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management PlatformBrochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management PlatformMultivendor Service (MVS) & Consorzio Laser
 
SOA wonderful World
SOA wonderful WorldSOA wonderful World
SOA wonderful WorldFrancesco Arcieri
 
Architetture.Distribuite
Architetture.DistribuiteArchitetture.Distribuite
Architetture.DistribuiteGiampiero Cerroni
 
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...Par-Tec S.p.A.
 
Cloud Computing: La nuvola intelligente 2015
Cloud Computing: La nuvola intelligente 2015Cloud Computing: La nuvola intelligente 2015
Cloud Computing: La nuvola intelligente 2015Lorenzo Carnevale
 
Che cosa sono i microservizi?
Che cosa sono i microservizi?Che cosa sono i microservizi?
Che cosa sono i microservizi?Salvatore Cordiano
 
Deloitte Football Money League 2013
Deloitte Football Money League 2013Deloitte Football Money League 2013
Deloitte Football Money League 2013Gianfranco Conti
 
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”Gianfranco Conti
 

Mais conteúdo relacionado

Semelhante a Presentazione - ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI

e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)Sabino Labarile
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaMario Gentili
 
Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaBabel
 
Scenari introduzione Application Service Governance in Azienda
Scenari introduzione Application Service Governance in AziendaScenari introduzione Application Service Governance in Azienda
Scenari introduzione Application Service Governance in AziendaConsulthinkspa
 
Sinibaldi soa-28.02.2008
Sinibaldi soa-28.02.2008Sinibaldi soa-28.02.2008
Sinibaldi soa-28.02.2008sinibaldi
 
Microservices architecture & Service Fabric
Microservices architecture & Service FabricMicroservices architecture & Service Fabric
Microservices architecture & Service FabricMassimo Bonanni
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected frameworkRauno De Pasquale
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightRedazione InnovaPuglia
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...IBM Italia Web Team
 
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e RoadmapProfesia Srl, Lynx Group
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingfrancesco pesare
 
Microservices power by unikernels
Microservices power by unikernelsMicroservices power by unikernels
Microservices power by unikernelsGabriele Baldoni
 
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...Par-Tec S.p.A.
 
Cloud Computing: La nuvola intelligente 2015
Cloud Computing: La nuvola intelligente 2015Cloud Computing: La nuvola intelligente 2015
Cloud Computing: La nuvola intelligente 2015Lorenzo Carnevale
 

Semelhante a Presentazione - ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI (20)

e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)e-SUAP - General software architecture (Italiano)
e-SUAP - General software architecture (Italiano)
 
Cloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezzaCloud Computing fondamenti di sicurezza
Cloud Computing fondamenti di sicurezza
 
Shell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della SicurezzaShell Control Box - Il Gusto della Sicurezza
Shell Control Box - Il Gusto della Sicurezza
 
Scenari introduzione Application Service Governance in Azienda
Scenari introduzione Application Service Governance in AziendaScenari introduzione Application Service Governance in Azienda
Scenari introduzione Application Service Governance in Azienda
 
Sinibaldi soa-28.02.2008
Sinibaldi soa-28.02.2008Sinibaldi soa-28.02.2008
Sinibaldi soa-28.02.2008
 
Microservices architecture & Service Fabric
Microservices architecture & Service FabricMicroservices architecture & Service Fabric
Microservices architecture & Service Fabric
 
03 azure well architected framework
03 azure well architected framework03 azure well architected framework
03 azure well architected framework
 
Cyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni lightCyber risks impatti, valutazioni e ragioni light
Cyber risks impatti, valutazioni e ragioni light
 
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
05 sicurezza delle applicazioni per le aziende nel settore della pubblica uti...
 
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
 
Tesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computingTesi - L'autenticazione nel cloud computing
Tesi - L'autenticazione nel cloud computing
 
Selex Sistemi Integrati - Success Story
Selex Sistemi Integrati - Success StorySelex Sistemi Integrati - Success Story
Selex Sistemi Integrati - Success Story
 
Microservices power by unikernels
Microservices power by unikernelsMicroservices power by unikernels
Microservices power by unikernels
 
jValidator
jValidatorjValidator
jValidator
 
Brochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management PlatformBrochure 2014 - Unified Management Platform
Brochure 2014 - Unified Management Platform
 
SOA wonderful World
SOA wonderful WorldSOA wonderful World
SOA wonderful World
 
Architetture.Distribuite
Architetture.DistribuiteArchitetture.Distribuite
Architetture.Distribuite
 
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
RHACS: creare, distribuire ed eseguire applicazioni cloud native in modo più ...
 
Cloud Computing: La nuvola intelligente 2015
Cloud Computing: La nuvola intelligente 2015Cloud Computing: La nuvola intelligente 2015
Cloud Computing: La nuvola intelligente 2015
 
Che cosa sono i microservizi?
Che cosa sono i microservizi?Che cosa sono i microservizi?
Che cosa sono i microservizi?
 

Mais de Gianfranco Conti

Deloitte Football Money League 2013
Deloitte Football Money League 2013Deloitte Football Money League 2013
Deloitte Football Money League 2013Gianfranco Conti
 
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”Gianfranco Conti
 
Sicurezza-delle-centrali-nucleare-intervista-ing-v-romanello
Sicurezza-delle-centrali-nucleare-intervista-ing-v-romanelloSicurezza-delle-centrali-nucleare-intervista-ing-v-romanello
Sicurezza-delle-centrali-nucleare-intervista-ing-v-romanelloGianfranco Conti
 
Libro "Bianca" TG3 - La zarina fa, ma non si dice
Libro "Bianca" TG3 - La zarina fa, ma non si diceLibro "Bianca" TG3 - La zarina fa, ma non si dice
Libro "Bianca" TG3 - La zarina fa, ma non si diceGianfranco Conti
 
Aci airport traffic report february 2011
Aci airport traffic report february 2011Aci airport traffic report february 2011
Aci airport traffic report february 2011Gianfranco Conti
 
Contratto di programma ENAC - SEA Piano Investimenti 2011 - 8 febbraio 2011
Contratto di programma ENAC - SEA Piano Investimenti 2011 - 8 febbraio 2011Contratto di programma ENAC - SEA Piano Investimenti 2011 - 8 febbraio 2011
Contratto di programma ENAC - SEA Piano Investimenti 2011 - 8 febbraio 2011Gianfranco Conti
 
Mxp schede c_d_parte_prima
Mxp schede c_d_parte_primaMxp schede c_d_parte_prima
Mxp schede c_d_parte_primaGianfranco Conti
 
Mxp schede c_d_parte_terza
Mxp schede c_d_parte_terzaMxp schede c_d_parte_terza
Mxp schede c_d_parte_terzaGianfranco Conti
 
Mxp schede c_d_parte_seconda
Mxp schede c_d_parte_secondaMxp schede c_d_parte_seconda
Mxp schede c_d_parte_secondaGianfranco Conti
 
Programma lavori interventi_mxp
Programma lavori interventi_mxpProgramma lavori interventi_mxp
Programma lavori interventi_mxpGianfranco Conti
 
12 estadisticas diciembre_2010
12 estadisticas diciembre_201012 estadisticas diciembre_2010
12 estadisticas diciembre_2010Gianfranco Conti
 
Pr 061210 october_2010_stats_final
Pr 061210 october_2010_stats_finalPr 061210 october_2010_stats_final
Pr 061210 october_2010_stats_finalGianfranco Conti
 
Pr 050111 november_stats_final
Pr 050111 november_stats_finalPr 050111 november_stats_final
Pr 050111 november_stats_finalGianfranco Conti
 
Ballondor award men_player_finalx
Ballondor award men_player_finalxBallondor award men_player_finalx
Ballondor award men_player_finalxGianfranco Conti
 
Dati di traffico_2009_completa
Dati di traffico_2009_completaDati di traffico_2009_completa
Dati di traffico_2009_completaGianfranco Conti
 

Mais de Gianfranco Conti (20)

Deloitte Football Money League 2013
Deloitte Football Money League 2013Deloitte Football Money League 2013
Deloitte Football Money League 2013
 
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”
AEROPORTO DI MILANO MALPENSA NUOVO “MASTER PLAN AEROPORTUALE”
 
Sicurezza-delle-centrali-nucleare-intervista-ing-v-romanello
Sicurezza-delle-centrali-nucleare-intervista-ing-v-romanelloSicurezza-delle-centrali-nucleare-intervista-ing-v-romanello
Sicurezza-delle-centrali-nucleare-intervista-ing-v-romanello
 
Libro "Bianca" TG3 - La zarina fa, ma non si dice
Libro "Bianca" TG3 - La zarina fa, ma non si diceLibro "Bianca" TG3 - La zarina fa, ma non si dice
Libro "Bianca" TG3 - La zarina fa, ma non si dice
 
Aci airport traffic report february 2011
Aci airport traffic report february 2011Aci airport traffic report february 2011
Aci airport traffic report february 2011
 
Contratto di programma ENAC - SEA Piano Investimenti 2011 - 8 febbraio 2011
Contratto di programma ENAC - SEA Piano Investimenti 2011 - 8 febbraio 2011Contratto di programma ENAC - SEA Piano Investimenti 2011 - 8 febbraio 2011
Contratto di programma ENAC - SEA Piano Investimenti 2011 - 8 febbraio 2011
 
Mxp schede c_d_parte_prima
Mxp schede c_d_parte_primaMxp schede c_d_parte_prima
Mxp schede c_d_parte_prima
 
Mxp schede c_d_parte_terza
Mxp schede c_d_parte_terzaMxp schede c_d_parte_terza
Mxp schede c_d_parte_terza
 
Mxp schede c_d_parte_seconda
Mxp schede c_d_parte_secondaMxp schede c_d_parte_seconda
Mxp schede c_d_parte_seconda
 
Mxp scheda a
Mxp scheda aMxp scheda a
Mxp scheda a
 
Mxp relazione tecnica
Mxp relazione tecnicaMxp relazione tecnica
Mxp relazione tecnica
 
Programma lavori interventi_mxp
Programma lavori interventi_mxpProgramma lavori interventi_mxp
Programma lavori interventi_mxp
 
12 estadisticas diciembre_2010
12 estadisticas diciembre_201012 estadisticas diciembre_2010
12 estadisticas diciembre_2010
 
Apt paris 2010
Apt paris 2010Apt paris 2010
Apt paris 2010
 
Pr 061210 october_2010_stats_final
Pr 061210 october_2010_stats_finalPr 061210 october_2010_stats_final
Pr 061210 october_2010_stats_final
 
Pr 050111 november_stats_final
Pr 050111 november_stats_finalPr 050111 november_stats_final
Pr 050111 november_stats_final
 
Ballondor award men_player_finalx
Ballondor award men_player_finalxBallondor award men_player_finalx
Ballondor award men_player_finalx
 
Pr 041010 aug_stats_final
Pr 041010 aug_stats_finalPr 041010 aug_stats_final
Pr 041010 aug_stats_final
 
Dati di traffico_2009_completa
Dati di traffico_2009_completaDati di traffico_2009_completa
Dati di traffico_2009_completa
 
Pr10 032
Pr10 032Pr10 032
Pr10 032
 

Presentazione - ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI

  • 1. V Facoltà di Ingegneria Corso di Laurea in Ingegneria Informatica Dipartimento di Elettronica e Informazione ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI Relatore: prof. Pierluigi PLEBANI Elaborato di Laurea di: Gianfranco CONTI Matricola: 737296 Anno Accademico 2009-2010
  • 2. Obiettivi & Metodologia 2 v  Obiettivi preposti:   Fornire una panoramica tra gli strumenti e i requisiti di sicurezza;   Osservare come questi strumenti e requisiti vengano gestiti ed utilizzati all’interno di una SOA;   Cogliere gli aspetti salienti e il valore aggiunto che portano all’architettura stessa della SOA;   Evidenziare le peculiarità ed i vantaggi nell’utilizzo di questi strumenti. v  Metodologia seguita: ü  individuare alcune linee di sviluppo di maggiore interesse e approfondirle criticamente. Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
  • 3. Overview 3   Una panoramica tra gli strumenti e i requisiti di sicurezza v  SOA, WS, BPEL, WS-SECURITY, SAML, XACML, Confidenzialità, Integrità e non ripudio, Autorizzazione ecc   Gestione ed utilizzo degli strumenti e dei requisiti di sicurezza in una SOA v  A Pattern Language for Identity Management (Circle of Trust, Identity Provider, Identity Federation) v  Patterns for the eXtensible Access Control Markup Language (XACML Authorization ., XACML Access Control Evaluation) v  A Pattern-Driven Security Process for SOA Applications v  BPEL Processes for Non-Repudiation Protocols in Web Services v  The Credentials Pattern ü  Patterns for Authentication and Authorization Infrastructures v  Data provenance in SOA-security-reliability-and-integrity ü  Authorization-Based Access Control for the SOA (Identity-based AC vs Authorization-Based AC) ü  Methodology and Tools for End-to-End SOA Security Configurations   Conclusioni Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
  • 4. Patterns for Authentication and 4 Authorization Infrastructures 1 of 2 Viene proposto un pattern system derivato in grado di esprimere completamente ed esaustivamente una generica “attributed- based Authentication and Authorization Infrastructure”. v  Aspetti fondamentali:   apprendere da altre implementazione  evitare falle di sicurezza e bug per software di business critici;   modularizzazione dei pattern  assegnare uno specifico e accettato security pattern ad ogni singolo modulo. v  La catena di processo e i relativi pattern associati: Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
  • 5. Patterns for Authentication and 5 Authorization Infrastructures 2 of 2 v  Le relazioni tra i pattern: I risultati ottenuti sono una classificazione e una valutazione completa delle migliori pratiche, nonché degli insegnamenti appresi. SAML è stato utilizzato per la comunicazione, mentre XACML per l’attuazione dell’attribute-based Access Control (ABAC). Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
  • 6. Authorization-Based Access Control 6 for the Services Oriented Architecture 1 of 2 v  Con l’Identity-based Access Control - IBAC avremo che: ü  Il rapporto di fiducia tra due domini è l’unica cosa che può prevenire violazioni dal parte dei singoli domini è resterebbe comunque il problema della propagazione di tali informazioni tramite intermediari; ü  In caso di cambio di compiti, il dominio di riferimento deve aggiornare tutte le sue ACL e informare tutti gli altri domini è i domini interessati dovranno dunque aggiornare i propri DB è alti costi se i cambiamenti sono frequenti; ü  In caso di delega e/o revoca, il nuovo user delegato non sarà in grado di utilizzare il servizio finché non saranno aggiornati i DB è viceversa potrà continuare ad utilizzare la propria autorità finché la revoca non sarà propagata su tutti i DB; è la mancanza del requisiti di coerenza fra i DB limita fortemente la scalabilità; ü  I certificati emessi da un certo dominio devono essere processati da altri domini è in caso di aggiornamenti il sistema dovrà essere aggiornato in modo coordinato; è ciò comporta un forte limite per chi volesse entrare a far parte del sistema; ü  Ogni programma invoca i servizi presentando le asserzioni SAML dell’identità del principal è le autorità assegnate sono prese dall’ambient del principal; è sono consentiti attacchi informatici incorportati in link fasulli o script su pagine web è è possibile effettuare qualsiasi azione che gli admin hanno concesso al principal nel policy DB; è  Poca flessibilità e scalabilità; è  Difficoltà nell’utilizzo, nell’aggiornamento, nella delegazione e nella gestione nei DB; è  Sensibile ad errori, virus e perdita delle informazioni fra i domini. Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
  • 7. Authorization-Based Access Control 7 for the Services Oriented Architecture 2 of 2 v  Con l’Authorization-based Access Control - ABAC avremo che: ü  ogni dominio ha informazioni riguardanti il solo principal è risolve il problema delle identità distribuite; ü  se si ha la necessità di cambiare dei compiti fra i vari utenti, si cambiano semplicemente le autorizzazioni dei rispettivi utenti è l’eventuale revoca è immediata; è nessun dominio ha la necessità di essere informato delle modifiche è nessuna perdita di informazioni ; ü  il formato dell’autorizzazione è necessaria soltanto da parte del servizio a cui si fa riferimento è facilita l’unione di nuove aziende al sistema, con il minimo effetto sui loro processi interni ü  Una richiesta deve portare solo le autorizzazioni del solo principal è se un programma ha un errore o contiene un virus, si potrà abusare delle sole autorità del principal e non di tutte come avviene con l’IBAC è  Facilità di scalabilità, di evoluzione, di delega e di gestione; è  Più privato e più sicuro; …per attuare ciò è necessario apportare una “piccola” modifica al modello IBAC ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU relatore Nome ANALISI DI PATTERN DI SICUREZZA PERAPPLICAZIONI BASATE SU SERVIZISERVIZI
  • 8. Methodology and Tools for 8 End-to-End SOA Security Configurations 1 of 2 Il pattern in oggetto si pone il problema di come aiutare gli sviluppatori a concentrarsi sulle proprie responsabilità per la configurazione della sicurezza nelle applicazioni SOA-based durante l’intero processo di sviluppo, fornendo oltre al processo di configurazione della sicurezza anche il supporto della tecnologia per gli sviluppatori. v  Criticità nel processo di sviluppo “attuale”: ü  Nel processo di sviluppo non viene chiaramente definito come configurare la sicurezza; ü  I requisiti di sicurezza e le rispettive configurazioni sono determinare e realizzate in downstream phase; ü  Le informazioni richieste per la configurazione della sicurezza non sono disponibili nella fase di downstream; ü  In downstream phase lo sviluppatore non possiede sufficienti informazioni per creare corrette configurazioni di sicurezza; ü  Non vi è modo di sapere quale sicurezza è richiesta dai requisiti di business e se vengano o meno soddisfatti.  Come definire i ruoli dello sviluppatore da un punto di vista delle informazioni disponibili durante le fasi di sviluppo? v  Processo di sviluppo “futuro” proposto:   Il Business Analist definisce i business-level requirement è i requisiti di sicurezza devono essere chiariti come una business-level policy definita dai busines proces;   Il Software Architect crea un service model completo concreto per soddisfare il business è  i requisiti di sicurezza per la composizione devono essere specificati nel service model;   Il Developer (che nell’”attuale” processo di sviluppo, sviluppa e testa gli atomic service) NON ha nessun ruolo èsarà il Deployer attraverso WS-Security a specificare che il servizio verrà garantito dal deploy security configuration file;   Un Assembler crea il file di configurazione di sicurezza per ogni atomic service è i requisiti di sicurezza definiti al passo 2 vengono garantiti;   Il Deployer imposta la piattaforma che dovrà eseguire e gestire i servizi per una esecuzione sicura è  verrà eseguito il deploy della configurazione per la piattaforma. Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
  • 9. Methodology and Tools for 9 End-to-End SOA Security Configurations 2 of 2 v  Per attuare ciò si propongono due tecnologie: ü  Model-Driven Security – è una tecnologia per generare concretamente in modo semi-automatico, un file di configurazione della sicurezza della model transformation dei requisiti di sicurezza, specificati dal Software architect. ü  Pattern-based Policy Application - supporta il Software architect nello specificare i requisiti (gli intent) di sicurezza della composizione dei servizi attraverso l’applicazione di un pattern che si occuperà di applicare gli intenti per i componenti (anche di basso livello). Nei pattern alcuni vincoli sono specificati, in modo tale che gli intenti non validi, siano individuati e corretti.  Si contribuirà dunque a generare configurazioni complesse in modo corretto, riducendo al contempo il carico di lavoro agli sviluppatori anche quando il dominio di sicurezza è di tipo federato. Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI
  • 10. Conclusioni 10 Si è appreso come la scelta e l’utilizzo di appropriati strumenti (WS-Security; SAML, XACML; X.509, Kerberos, TLS; AES, ecc) e requisiti (Confidentialità; Integrità & non-ripudio; Autenticazione e Autorizzazione) all’interno di pattern di sicurezza per applicazioni basate sul web, siano di fondamentale importanza per il raggiungimento di quegli obiettivi che un SOA da sempre si prepone di raggiungere: v  Scalabilità, Sicurezza e Gestione. Abbiamo inoltre appreso come sia utile e necessario a tale fine: ü  Centralizzare la gestione delle informazioni delle identità; ü  Realizzare una policy unificata di accesso in tutta l’organizzazione; ü  Utilizzare un approccio MDA che renda possibile considerare la sicurezza non più come un aspetto isolato; ü  Utilizzare pattern system derivati; ü  Considerare la provenienza dei dati; ü  Utilizzare un approccio riguardante le decisioni del controllo di accesso basate sull’autorizzazione (ABAC); ü  Utilizzare metodologie per configurazioni di sicurezza di tipo end-to-end per applicazioni SOA; ü  Utilizzare strumenti standard e ben conosciuti; Nome relatore ANALISI DI PATTERN DI SICUREZZA PER APPLICAZIONI BASATE SU SERVIZI