Universidade Federal de Sergipe – Campus Itabaiana Núcleo de Sistemas de Informação Análise de estratégias para implantação de segurança em arquiteturas orientadas a serviços Israel Meneses Santos [email protected] Dezembro/2010 Itabaiana/SE AGENDA • • • • • • Introdução Problema Solução Proposta Contribuições EAI Arquitetura Orientada a Serviços AGENDA • Segurança em Arquitetura Orientadas a Serviço • Análise das Abordagens para Segurança • Análise das Abordagens no CPD/UFS • Conclusão Introdução • Devido ao grande número de sistemas que são desenvolvidos dentro das organizações e à necessidade de integração entre os mesmos, é indispensável à definição de uma metodologia de desenvolvimento de software que permita integrá-los de maneira simples e flexível. Problema • Disponibilizar informações garantindo a segurança na manipulação desses dados é um grande desafio. • Para isso deve-se definir entre as diversas abordagens existentes, aquela que melhor se adéqua ao contexto e às necessidades de segurança e desempenho da aplicação. • O CPD/UFS precisa definir uma solução de segurança. Solução Proposta • Analisar diversas abordagens para implementação de segurança em arquiteturas orientadas a serviço com o uso de Web Services. • 5 versões implementadas. • O CPD foi usado como estudo de caso para avaliar as cinco propostas. Contribuições • A implementação de uma aplicação utilizando a arquitetura orientada a serviços dividida em cinco versões, cada uma usando mecanismos de segurança diferentes. Contribuições • Análise dessas versões em relação às necessidades de segurança, desempenho e disponibilidade da solução. • Utilização das análises obtidas para definição de uma solução para ser implantada no Centro de Processamento de Dados da Universidade Federal de Sergipe Enterprise Application Integration (EAI) Sistema de processamento de pedidos Cria Pedido Envia Pedido Sistema de estoque Atualiza Estado do pedido Envia Nota Web Site Sistema de Faturamento Realiza Compra Cliente Enterprise Application Integration (EAI) • Tipos • Segundo Ruh (2001), a integração pode ocorrer em três pontos de uma aplicação: – Apresentação – Funcionalidade – Dados Enterprise Application Integration (EAI) • Arquitetura • Segundo Ruh (2001), os blocos que formam a estrutura da arquitetura EAI são: – Modelo de comunicação – Métodos de Integração – Middlewares – Serviço Arquitetura Orientada a Serviços • Conceito – Segundo JOSUTTIS (2007) SOA é uma abordagem arquitetural corporativa que permite a criação de serviços de negócio interoperáveis que podem facilmente ser reutilizados e compartilhados entre aplicações e empresas. Serviços Serviço Processo Processo Serviço Processo Processo Serviço Processo Web Services – XML – SOAP – WSDL – UDDI Web Services • XML Web Services • Como Funciona um Web Service Segurança em Arquitetura Orientadas a Serviço • Criptografia – Chaves Simétricas – Chaves Assimétricas Segurança em Arquitetura Orientadas a Serviço • Aplicação Centralizada Segurança em Arquitetura Orientadas a Serviço • Aplicação descentralizada Segurança em Arquitetura Orientadas a Serviço • Chaves Simétricas Segurança em Arquitetura Orientadas a Serviço • Chaves Assimétrica Segurança em Arquitetura Orientadas a Serviço • Assinatura e Certificados digitais Segurança em Arquitetura Orientadas a Serviço – Normas de segurança para XML • XML Signature • XML Encryption • Norma de segurança para Web Services – WS-Security Análise das Abordagens para Segurança em Serviço • A implementação de uma aplicação usando mecanismos de segurança diferentes. • Relação entre necessidades de segurança, desempenho e Viabilidade da solução. • Uma solução para ser implantada no Centro de Processamento de Dados da Universidade Federal de Sergipe Ferramentas Software Livres usados para implementação dos protótipos. • Jboss 5.1.0.GA • Eclipse • NetBeans 6.8 Protótipo Tela da aplicação cliente responsável pela manipulação dos registros de produtos Versões • • • • • Sem segurança Segurança em transporte Segurança em transporte com Autenticação Segurança em mensagem Segurança em mensagem com Autenticação Sem segurança Servidor Cliente Mensagem em texto plano Serviço Sem segurança – Vantagens • Fácil implementação • Desempenho – Desvantagens • Não tem Segurança Segurança em transporte Servidor Cliente Canal seguro com uso de SSL Serviço Segurança em transporte – Vantagens • Garante Integridade e confidencialidade no transporte de mensagens em transporte • Tem um bomSegurança desempenho – Desvantagens • Sozinho não garante a autenticidade do cliente • Não garante a integridade e confidencialidade das mensagens a passar dentro de Web Services Intermediarios Segurança em transporte com Autenticação Servidor Cliente Canal seguro com uso de SSL Serviço Segurança em transporte com Autenticação – Vantagens • Garante Integridade e confidencialidade no transporte de mensagens • Tem um bom desempenho • Garante um nível razoável de autenticação – Desvantagens • Não garante a integridade e confidencialidade das mensagens a passar dentro de Web Services Intermediários Segurança em mensagem Servidor Cliente Mensagem criptografada Serviço Segurança em mensagem – Vantagens • Garante Integridade confidencialidade das mensagens mesmo em situações onda haja serviços intermediários – Desvantagens • Mensagem maiores devido a criptografia • Menor desempenho devido ao uso de algoritmos de criptografia com chaves Assimétricas Segurança em mensagem com Autenticação Servidor Cliente Mensagem criptografada Serviço Segurança em mensagem com Autenticação – Vantagens • Garante Integridade confidencialidade das mensagens mesmo em situações onda haja serviços intermediários • Garante a autenticidade de cada mensagem com o uso de assinaturas digitais – Desvantagens • Mensagem maiores devido a criptografia • Menor desempenho devido ao uso de algoritmos de criptografia com chaves Assimétricas Análise das Abordagens no CPD/UFS • Segurança em transporte com Autenticação • Segurança em mensagem com Autenticação Conclusões • SOA com uso de Web Servis é uma boa solução para integração de aplicações • A segurança tem que ser uma das principais preocupação na implantação de projetos com Arquitetura Orientada a serviços • A abordagem que se encaixaria melhor no cenário do CPD no momento seria Segurança em transporte com Autenticação Trabalhos Futuros • Avaliação de desempenho entre as abordagens implementadas • Estudo de mecanismo para uma autenticação única entre diferentes serviços disponível na UFS. Universidade Federal de Sergipe – Campus Itabaiana Núcleo de Sistemas de Informação Análise de estratégias para implantação de segurança em arquiteturas orientadas a serviços Israel Meneses Santos ([email protected])