View
482
Download
0
Category
Preview:
DESCRIPTION
Andrzej Kowalczyk IBM
Citation preview
© 2013 IBM Corporation
Bezpieczeństwo przesyłu danych finansowych i osobowych, klientów w energetyce
Andrzej Kowalczyk
2
IBM Software
Jakie bezpieczeństwo jest tym właściwym?
2
3
IBM Software
Jak rozpoznać zagrożenie?
4
IBM Software
Zabezpieczanie danych a nie tylko transmisji
5
IBM Software
Przesyłanie danych osobowych i finansowych klientów
Billing1 Billing2 Billing3 Billing4
SAP
Faktury OdczytyDane
Osobowe
Faktury
Faktury
Jan KowalskiARY123567
820512324511982.05.12
Faktury
Odczyty
Dane osobowe
MIM - Man In The Middle
6
IBM Software
Jak się chronić przed atakiem MIM?
Infrastruktura klucza publicznegoSzyfrowanie treści
Podpisywanie treści
Używanie standardów jak:PKCS#7 – dla dowolnego typu
dokumentuWS-Security – dla dokumentów
XML
7
IBM Software
Przesyłanie danych osobowych i finansowych klientów
Billing1 Billing2 Billing3 Billing4
SAP
����������������������������
��������������������
�� ���� ���� ���� ��������������������������
Faktury
����������������������������
☺� ��☺� ��☺� ��☺� ��������������������������������������������������
�� !�"����� !�"����� !�"����� !�"�����#����#����#����#��
$"�$��$"�$��$"�$��$"�$��
����������������������������
Odczyty
Dane osobowe
Faktury OdczytyDane
OsoboweFaktury
Jan KowalskiARY123567
820512324511982.05.12
8
IBM Software
Bezpieczeństwo wymaga:
% Mocnych maszyn (CPU)
% Dużej ilości pamięci (RAM)
% Bezpiecznego przechowywania kluczy (urządzenia HSM)
% W przypadku tworzenia własnego kodu:
– Znajomości dziedziny (ekspertów kryptografii)
– Testów, testów i testów
% W przypadku zakupu komercyjnego rozwiązania software:
– Zakupu maszyn o dużej wydajności obliczeniowej
– Zakupu dużej ilości licencji ( w przypadku licencjonowania per CPU/Core)
9
IBM Software
Rozwiązaniem jest WebSphere DataPower
% Zbudowany do konkretnych zastosowań jak kryptografia
% Sprawdzony w działaniu (klienci)
% Konfigurowalny versus programowalny
% Wbudowany HSM
% Wsparcie PKCS#7 i WS-Security
% Wbudowany akcelerator XML i kryptografii
10
IBM Software
Przesyłanie danych osobowych i finansowych klientów
Billing1 Billing2 Billing3 Billing4
SAP
����������������������������
��������������������
�� ���� ���� ���� ��������������������������
Faktury
����������������������������
Odczyty
Dane osobowe
Faktury OdczytyDane
OsoboweFaktury
Jan KowalskiARY123567
820512324511982.05.12
W przypadku generacji dużej ilości danych
należy rozważyć użycie maszyn DataPower
w systemach generujących dane
11
IBM Software
Model rynku opomiarowania
12
IBM Software
Uogólniona architektura OIP - z systemami zabezpieczeń oraz głównym systemami dziedzinowymi
13
IBM Software
IBM SAFE –referencyjna architektura pomaga zbudowaćpełne środowisko dla sektora Utilities
Security Solutions for Smart Meter / AMI
Asset Management for Distribution
Meter Asset Management
ECM for Asset Operations
Intelligent Meter Network Mgmt
Time Series Data Management
Smart Meter Data & Event Mgmt
Business Agility for Smart Metering
Smart Grid Data Integration
Risk & Compliance Management
Smart Grid Data Integration to zasób
pozwalający wdrożyć „Distribution
Operations„ monitorujący urządzenia i usługi
14
IBM Software
Smart Grid Data Architektura Funkcjonalna
15
IBM Software
DataPower adresuje zarówno wyzwania biznesu jak i technologiczne aspekty
Wyzwania technologiczne
% Web Service’y zwiększają efektywność aplikacji
dzięki reużywalności usług
% XML/Web Services ułatwiają wdrożenie SOA, ale
niosą nowe wyzwania:
– Skalowalność: XML wymaga wydajności,mocno
wykorzystuje CPU oraz pamięć;
– Bezpieczeństwo: integracja systemów via Web
Services stawia wyzwania bezpieczeństwu.
– Integracja: podpięcie Web Services’ów do
dawnych aplikacji wymaga różnych formatów.
– Standardy: XML jest „gruby” co może
spowodować problemy wydajnościowe czy być
wąskim gardłem.
E&U wyzwania biznesowe
% Sieci energetyczne, gazownicze oraz wodociągowe
wymagają silnego bezpieczeństwa i skalowalności.
% Wymagają wysokiej skalowalności ze względu na
przetwarzanie millionów transakcji dziennie a
następnie millionów transakcji na godzinę.
– Zaawansowane zarządzanie odczytami: wydajna i
bezpieczna obsługa danych odczytowych we
wspierającej infrastrukturze
– Automatyzacja sieci: integracja bazująca na
standardach danych oraz wsparcie dla systemów
zarządzania awariami
– Generacja danych: konieczność wsparcia dużej
ilości danych z tysięcy urządzeń oraz wsparcie
systemów sprzedażowych
% interoperacyjność jest kluczem do integracji z
istniejącą infrastrukturą.
16
IBM Software
Koszt wydajności przetwarzania XML Wydajność jest kluczem dla bezpieczeństwa & mediacji
Kroki przetwarzania*
Schema Validation
ParsingParsing XPath Filtering
XML Decryption
XML Encryption
SignatureVerification
Schema Validation
XML Transformation
XMLSigning
1 3 5 8 8 1 3 10 6 8
* Representative of software* Representative of software--based systems. based systems.
For demonstration only. Actual processing For demonstration only. Actual processing
time varies depending on application. time varies depending on application.
% Każda funkcja bezpieczeństwa wymaga przetwarzania XML
% Musi być zaimplementowana we wszystkich usługach bez żadnych kompromisów
% Musi posiadać możliwość skalowania względem treści i ilości danych
17
IBM Software
1
7
Urządzenia WebSphere DataPower …
WebSphere DataPower Appliances dają niski koszt początkowy,pomagają klientom zwięęęększyćććć ROI oraz zredukowaćććć TCOdzięki specjalizowanym, dedykowanym urządzeniom które
zapewniają najwyżżżższej wydajnośśśści i wzmocnionemubezpieczeńńńństwu
UPRASZCZA infrastrukturę integracyjną
PRZYSPIESZA „time to value”
ZABEZPIECZA architekturę SOA, Web 2.0, B2B oraz „Cloud”
NADZORUJE ewoluującą architekturę IT
18
IBM Software
SOA Bezpieczeństwo & Integracja
1. Zewnęęęętrzny system wywołłłłuje Web Service
(Web Services = HTTP z danymi w XML’u)
8. Transformuj XML
9. Zmieńńńń protokółłłł (e.g. HTTP to MQ)
10. Route’uj na podstawie treśśśści
Web Services Interfaces
FI włłłłasne SystemyZewnęęęętrzne Systemy
Payment
Interfaces/Protocols
HTTP MQ JMS DB FTP
Agregacjadanych
FakturyPłatności
Broker Portal
Portalkliencki
Zewnętrzne Systemy: różne spółki/oddziały, partnerzy, konsumenckie, itp
14. Wyśśśślij do warstwybezpieczeńńńństwa
13. Transformuj odpowiedźźźź12. Zmieńńńń protokółłłł11. Agreguj odpowiedźźźź
17. Wyśśśślij odpowiedźźźź16. Zaszyfruj & Podpisz
15. Filtruj odpowiedźźźźProtocol switch
Content Routing
Transform XML
Authenticate
Authorize
Audit
Decrypt XML
Verify Sign.
Validate
6. Wstaw token bezpieczeńńńństwa (SAML, Kerberos)
7. Wyśśśślij żążążążądanie do warstwy integracyjnej
Identity Mgmt System (Tivoli, LDAP, itp)
Systemy korporacyjneUsługiDla kont
ERPHRCRM Karty kredytowe
DataPower Integration Appliance (XI52 lub XG45 + DIM)
2. Sprawdźźźź podpis cyfrowy
3. Deszyfruj & waliduj dokument
4. Podłąłąłąłącz Identity Mgmt System
5. Uwierzytelnij & autoryzuj
Żądanie
Odpowiedź
Płatności
inne
MQ, JMS, FTP, HTTP, itp.
HTTP
Warstwa bezpieczeństwa
Warstwa integracji
HTTP
DataPower Service Gateway (XG45)
19
IBM Software
WS-Security
20
IBM Software
WSRR Tworzenie polityk
WS-Policy Attachment
WSDL
WS-SecurityPolicyAssertion 1: basicAuth requiredAssertion 2: sig required
% WSRR dostarcza kompletne narzędzia dla tworzenia dokumentów WS-Policy. Obejmuje to:
– Web Services Policy 1.5 - Framework (WS-Policy).
– Web Services Policy 1.2 - Attachment (WS-PolicyAttachment).
% WSRR także dostarcza przeglądarkowy edytor dla dokumentów.
21
IBM Software
Stosowanie Polityk BezpieczeństwaPolityki w działaniu
User
WSRR
klientDocelowy adres
PolicyPolityka Szyfrowania
Wymagane Zaszyfrowanie
AttachmentPolityka Szyfrowania
CustomerInfoService:updateHistory updateHistory
getHistory
updateAddress
getAddress
CustomerInfoService
updateHistory
[czyste]
updateHistory
[zaszyfrowany]
updateHistory
Uwaga: dobra praktyka wymaga bezpieczeństwa tzw „ostatniej mili”.
22
IBM Software
Service Gateway XG45Service Gateway XG45
22
WebSphere DataPower Appliance Portfolio
Integration Appliance XI52/XI50B/XI50zIntegration Appliance XI52/XI50B/XI50z
B2B Appliance XB62B2B Appliance XB62
% Konfigurowalny hardware SOA/ESB
% Dowolna Konwersja z „wire-speed”
% Inteligentny LoadBalancing i Dynamiczny Routing
% Web services security% Uwierzytelnienie i autoryzacja% Scentralizowane zarządzanie politykami% Opcjonalny Hardware Security Module (XI52)
% Wysoka B2B wydajność% Bezpieczne B2B (EDIINT AS1, AS2, AS3)% Zarządzanie profilami partnerów handlowych% Opcjonalnie Hardware Security Module (HSM)
% Pogląd transakcji i możliwość ich ponowienia% Wsparcie dla EDI i ebXML% Integracja z MQ FTE
% Elastyczny i modyfikowalny – Entry-level SOA% Rozmiar 1U % Opcjonalny Hardware Security Module (HSM)% DMZ XML Firewalling & Threat Protection
% JMS, MQ, TAM - wbudowane% Opcjonalnie moduł „Data Integration” dla nie-
XML, PKCS7, ODBC% Webapp, Web Services, Web 2.0 Security
23
IBM Software
% XML/SOAP Firewall – Filtruje dowolną treść, metadane czy sieciowe zmienne
% Walidacja Danych – sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą
% Kryptografia - PKCS#7,WS-Security
% Field Level Security- WS-Security, szyfrowanie & podpisywanie konkretnych pól,
niezaprzeczalność
% XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.
% Wielokrokowe reguły - zaawansowane wielokrokowe przetwarzanie reguł
% Zarządzanie Web Services - Service Level Management, Wirtualizacja usług,
Zarządzanie zasadami
% Obsługa różnych warstw transportowych - HTTP, HTTPS, SSL
% SSL Termination/Acceleration – Akceleruje SSL ze sprzętową wydajnością
% Prosta Konfiguracja & Zarządzanie- WebGUI, CLI, IDE oraz Eclipse dla różnych
grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)
% Możliwość obsługi różnych protokołów dodatkowych - WMQ, JMS, TAM
Service Gateway XG45
24
IBM Software
% DataGlue “Any-to-Any” Silnik transformacji% Routing bazujący na treści
%Wzbogacanie treści komunikatu
% Konwersja protokołów (HTTP, WMQ, TIBCO EMS, JMS, FTP, SFTP…)% Request-response oraz synchroniczne-asynchroniczne łączenia
% Obsługa baz danych (ODBC)
% XML/SOAP Firewall – Filtruje dowolną treść, metadane oraz zmienne sieciowe
% Walidacja Danych - sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą
% Field Level Security- WS-Security, szyfrowanie & podpisywanie konkretnych pól,
niezaprzeczalność
% XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.
% Wielokrokowość - zaawansowane wielokrokowe przetwarzanie reguł
% Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie
zasadami
% Prosta Konfiguracja & Zarządzanie- WebGUI, CLI, IDE oraz Eclipse dla różnych grup
potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)
% Występuje w wersji Z „mainframe”, B „blade”
XML Integration Appliance XI52
25
IBM Software
25
Konfiguracyjne podejście przyspiesza „time-to-market”
% Zapewnia standardy bezpieczeństwa - zero kodowania
% Intuicyjne przetwarzanie „strumienia komunikatów”
% Import/export konfiguracji pomiędzy środowiskami
% Próbniki pozwalają debbugować dane pomiędzy węzłami
26
IBM Software
Zyski w implementacji Wartość
Uproszczenie architektury IT
Centralny punkt stosowania polityk
Adresacja ryzyka dla wymagań dotyczących bezpieczeństwa
Krótki czas wdrożenia
Szybsza adopcja SOA
Zmniejszone koszty operacyjne poprzez użycie wielu wbudowanych cech urządzenia
Minimize expense of new applications – using DataPower to extend and modernize legacy systems
Redukcja wydatków w przyszłości poprzez ponowne użycie czy redukcję wymagań na sprzęt
Redukcja całkowitego kosztu „software maintenance”
Redukcja kosztów IT poprzez usunięcie redundantnegooprogramowania i sprzętu
Sprawdzony, bezpieczny - Policy Enforcement Point
DataPower Zyski i Wartość
27
IBM Software
27
Referencyjna Architektura
&
Przykłady
28
IBM Software
WebSphere DataPower wzorce użycia dla „Utilities”
Smart Grid Aplikacje
Secure gatewayAkceleracja XML &
wysoka wydajnośćSystemy
sprzedażowe
Zarządzanie odczytami
Sieć komunikacyjna
Aplikacje zarządzająceSmart Grid
HMCHMC
ES
B *)
*) Warstwa ESB zależy od protokołu i wymagań funkcjonalnych:• WebSphere Message Broker• lub DataPower XG45 + DIM + AO• lub DataPower XI52 + ODBC + AO
29
IBM Software
29
WebSphere DataPower Appliances
Internet Zaufana Domena
Konsument
Konsument
4 Wewnętrzne bezpieczeństwo
5 Enterprise Service Bus
6 SOA Governance
7 Web Service Management
8 „Legacy” integracja3 B2B Partner Gateway
1 Secure Gateway
(Web Services, Web Applications)
2 Inteligentny Load
Balancing
Aplikacja
Aplikacja
Aplikacja
DMZ
Recommended