Você está na página 1de 32

UMA ARQUITETURA DE REFERNCIA GUIADA A

CONFORMIDADES DE SEGURANA PARA WEB


SERVICES BASEADOS EM NUVEM PRIVADA
Aluno: Ricardo Marinho de Melo rmm@cin.ufpe.br
Orientador: Vinicius Cardoso Garcia vcg@cin.ufpe.br
3 de Maro de 2016

Agenda
1

Introduo e Motivao;

Definio do Problema;

Soluo Proposta;

Contextualizao;

Abordagem da Proposta;

Avaliao;

Concluso.
2

Introduo e Motivao (1)


Computao em Nuvem

Introduo e Motivao (2)


Propriedades bsicas de segurana:

Confidencialidade
Integridade
Disponibilidade
No Repdio
Autenticidade

Definio do Problema (1)

Definio do Problema (2)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

1.0 Top Threat: Data Breaches

Definio do Problema (3)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

2.0 Top Threat: Data Loss

Definio do Problema (4)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

3.0 Top Threat: Account or Service Traffic Hijacking

Definio do Problema (5)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

4.0 Top Threat: Insecure Interfaces and APIs

Definio do Problema (6)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

5.0 Top Threat: Denial of Service

10

Soluo Proposta (1)


Computao em Nuvem;

Web Services;
SOA.

11

Soluo Proposta (2)


WS-Security
XML Signature
XML Encryption
WS-Policy
WS-SecurityPolicy
SAML

12

Soluo Proposta (3)


Objetivo Geral:

Fornecer uma arquitetura de referncia para minimizar os riscos de segurana na implantao de


nuvens privadas;
Objetivos Especficos:

Estudo da plataforma tecnolgica de Web Services, com nfase nas normas de segurana em nvel de
servio e de mensagem;

Avaliao de um experimento de campo com desenvolvimento de um prottipo para anlise da


tecnologia de servios seguros propostos pelas normas WS-Security, SAML e WS-Policy.
13

Soluo Proposta (3)


Atendimento a Portaria SLTI/MP n 92, de 24 de dezembro de 2014, no que tange as reas cobertas
pela EPING (2016);
Implementar e avaliar a arquitetura de referncia atravs de um experimento de campo com
desenvolvimento de um prottipo para anlise da tecnologia de servios seguros propostos pelas
normas WSS, SAML e WSP.

14

Contextualizao

15

Abordagem da Proposta (1)


Estudo de Caso I
Security Tokens
WS-SecurityPolicy
Estudo de Caso II
XML Signature
XML Encryption
WS-Policy
Estudo de Caso III
SAML
XML Signature
16

Abordagem da Proposta (2)

Estudo de Caso I

Base64(SHA-1(Nonce + Created + Password))


17

Abordagem da Proposta (2)

Estudo de Caso 02

18

Abordagem da Proposta (2)

Estudo de Caso 03

19

Avaliao

Metodologia: GQM [Basili & Caldiera, 1994]

(GOETTELMANN et al., 2015) e (MOHAPATRA; GULATI; LUTHRA, 2012)

20

Avaliao (2)
Security Tokens;
WS-SecurityPolicy.

21

Avaliao (3)
XML Signature;
XML Encryption;
WS-Policy.

22

Avaliao (4)
XML Signature;
SAML.

23

Avaliao (5)
Limitaes da Avaliao
- Plenitude nos aspectos abordados;
- Resultados mais quantitativos;
- Limitao da infraestrutura de rede.

24

Concluso (1)
A proposta apresentou resultados satisfatrios quando imersa em um experimento de
campo;

As tecnologias estudadas e analisadas ofereceram a proteo de mensagens: como


proteger o contedo das mensagens e dos servios, garantindo a proteo necessria
para confidencialidade, integridade, disponibilidade, no-repdio e autenticidade;
A ferramenta Apache Axis 2, que implementou a arquitetura do prottipo, facilitou o
uso dos principais padres de seguranas abordados ao longo deste trabalho.

25

Concluso (2)
Uma vantagem do WS-Security o suporte a vrios tipos de protocolos e tokens.
Entretanto, ele no oferece informaes de como deixar esses protocolos seguros.
Permitiu tambm prover segurana fim-a-fim para aplicaes que necessitam realizar
trocas de dados de forma segura;
A poltica descrita no caso de uso muito importante, pois possibilita a configurao
de segurana utilizada. Desta forma, aumenta o contedo da mensagem
consideradamente, tornando-a complexa;
Nenhuma ferramenta atualmente disponvel no mercado permite realizar negociao
de polticas de forma integrada. No prottipo, a negociao de polticas foi efetuada
para exemplos simples e de forma autnoma.
26

Concluso (3)
Trabalhos Futuros
A necessidade de estudar os ataques e vulnerabilidades atravs das falhas em
aplicaes, tratando dos padres de segurana como agente minimizadores de
riscos;
Um estudo de mapeamento sistemtico aplicando mtricas sobre as publicaes
disponveis na literatura que tratam sobre as nove ameaas segurana na
computao em nuvem com base no relatrio da CSA.

27

Referncias (1)
APACHE. Apache Axis2 Architecture Guide. Acessado em fevereiro de 2014, Disponvel em:
https://axis.apache.org/axis/java/architecture-guide.html/.
BERKELEY, U. of California at (Ed.). Above the Clouds: a berkeley view of cloud. [S.l.: s.n.], 2009.
ELSEVIRE (Ed.). Web Services, Service-Oriented Architectures, and Cloud Computing: the savvy managers
guide. [S.l.: s.n.], 2013.
BASILI V.; CALDEIRA, G. Goal Question Metric Paradigm. In: ENCYCLOPEDIA OF SOFTWARE
ENGINEERING. Anais. . . [S.l.: s.n.], 1994.
SPRINGER PUBLISHING COMPANY, I. (Ed.). Security for Web Services and Service-Oriented Architectures.
[S.l.: s.n.], 2010.
28

Referncias (2)
CSA. Security Guidance for Critical Areas of Focus in Cloud Computing V3.0. [Acesso em: fevereiro-2015],
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf.
CSA. The Notoriuous Nine Cloud Computing Top Threats in 2013. [Acesso em: fevereiro-2015],
https://goo.gl/yHqONF.
Cser, A., Ferrara E. The Forrester Wave: public cloud platform service providers security, q4 2014. [Acesso
em: novembro-2015], https://goo.gl/CvUiYk.
Fixya. Cloud Storage Report. [Acesso em: dezembro-2015], http://www.fixya.com/reports/cloud-storage.
NURCAN, S.; PIMENIDIS, E. (Ed.). Information Systems Engineering in Complex Environments: caise forum
2014, thessaloniki, greece, june 16-20, 2014, selected extended papers. Cham: Springer International
Publishing, 2015. p.319.

29

Referncias (3)
STANDARDS, N. I. of; TECHNOLOGY (Ed.). The NIST Definition of Cloud Computing. [S.l.: s.n.], 2011.
ITU, G. (Ed.). Web Service Security-Vulnerabilities and Threats Within the Context of WS-Security. In:
proceedings of the 4th conference on standardization and innovation in information technology. [S.l.: s.n.],
2005.
27002:2005, I. (Ed.). Information technology - Security techniques - Code of practice for information security
management. [S.l.: s.n.], 2005.
LADAN, M. Web services: security challenges. In: INTERNET SECURITY (WORLDCIS), 2011 WORLD
CONGRESS ON. Anais. . . [S.l.: s.n.], 2011. p.160163.
ACM (Ed.). Cloud api issues: an empirical study and impact. in: proceedings of the 9th international acm
sigsoft conference on quality of software architectures. [S.l.: s.n.], 2013. COMPUTAO, S. B. de (Ed.).
30
Segurana em Servios Web. Minicursos do SBSeg. [S.l.: s.n.], 2006.

Referncias (4)
MOHAPATRA, A. K.; GULATI, A.; LUTHRA, R. Article: a novel approach to secured network
selection. International Journal of Computer Applications, [S.l.], v.47, n.3, p.711, June 2012. Full text available.
OASIS. UDDI Spec Technical Committee Specification Draft. UDDI Version 3.0.2. [Acesso em: novembro-2013],
http://www.uddi.org/pubs/uddi-v3.0.2-20041019.htm.
OASIS. Security Assertion Markup Language (SAML) V2.0 Technical Overview. [Acesso, em: novembro-2013],
https://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf.
OASIS.Web Services Security: soap message security version 1.1.1. [Acesso em: novembro-2014],
http://docs.oasis-open.org/wss-m/wss/v1.1.1/os/wss-SOAPMessageSecurity-v1.1.1-os.html.
OASIS. WS-SecurityPolicy 1.3. [Acesso
securitypolicy/v1.3/ws-securitypolicy.pdf.

em:

Novembro-2015],

http://docs.oasis-open.org/ws-sx/ws31

Obrigado!
Aluno: Ricardo Marinho de Melo rmm@cin.ufpe.br
Orientador: Vinicius Cardoso Garcia vcg@cin.ufpe.br
3 de Maro de 2016

32