agility made possible

Transcrição

1 WHITE PAPER Solução de gerenciamento de segurança na Web da CA Technologies fevereiro de 2012 proteção para arquiteturas de TI baseadas em serviços com o CA SiteMinder Web Services Security agility made possible

2 sumário RESUMO EXECUTIVO 3 SEÇÃO 1: desafio 4 O desafio do gerenciamento da segurança para os serviços SEÇÃO 2: oportunidade 5 A jornada rumo à arquitetura orientada a serviços Compreendendo a segurança do SOA Camadas de segurança do SOA O que está faltando na segurança do SOA/WS? SEÇÃO 3: benefícios 11 O CA SiteMinder Web Services Security volta-se para os desafios do gerenciamento da segurança Principais benefícios Arquitetura do produto CA SiteMinder Web Services Security Principais recursos do CA SiteMinder Web Services Security SEÇÃO 4: 15 Agregando valor em cada camada do ambiente de SOA Aplicabilidade entre setores Seção 5: 18 Conclusão 2

3 resumo executivo Desafio Arquiteturas orientadas a serviços e serviços Web (SOA/WS) estão surgindo como a próxima grande onda de arquiteturas de aplicativo para empresas que usam TI intensivamente. As organizações estão se voltando para o SOA/WS para aprimorar a velocidade, a flexibilidade e o custo de criação e implantação de aplicativos para uso interno e externo. Entretanto, como ocorre com todas as novas arquiteturas de TI e particularmente aquelas que são altamente distribuídas, o gerenciamento da segurança pode representar um desafio significativo. Sem uma arquitetura apropriada, a segurança dos aplicativos geralmente é criada em silos. Isso leva ao aumento do risco de vazamento de informações, do custo de administração de segurança e da complexidade da conformidade com as regulamentações que afetam a TI. Oportunidade Com o CA SiteMinder Web Services Security (WSS), as organizações podem gerenciar a segurança de suas implantações corporativas de SOA/WS de forma centralizada, independentemente de quantos serviços Web ou diferentes tecnologias de infraestrutura tenham sido implantados. O fornecimento de segurança centralizada com base em diretivas como parte integral da infraestrutura de WS/SOA ajuda a viabilizar a externalização da segurança dos próprios serviços. Isso atenua a carga administrativa e o custo do fornecimento de segurança corporativa consistente e confiável para WS/SOA. Benefícios O CA SiteMinder WSS oferece segurança para serviços Web com base na identidade autenticação, autorização e auditoria (AAA). Essa solução pode reduzir o tempo e o custo dedicados ao desenvolvimento e manutenção do serviço, e contribuir para reduzir o risco da TI por meio de um maior controle e monitoramento. Além disso, quando o CA SiteMinder WSS é usado em conjunto com o CA SiteMinder, a combinação proporciona uma ampla solução de segurança na Web. Essa solução protege tanto os portais/aplicativos da Web tradicionais quanto serviços Web com base em XML, utilizando a mesma arquitetura de servidor de diretivas e agentes. 3

4 Seção 1: desafio O desafio do gerenciamento da segurança para os serviços As arquiteturas orientadas a serviços (SOA) surgiram como a mais nova e frequentemente considerada como a melhor abordagem para criar e implantar aplicativos de TI. Geralmente adotando padrões da Internet através do uso de serviços Web com base em XML, a abordagem SOA acena com a promessa de maior flexibilidade e agilidade para a TI. Isso porque ela permite que as organizações publiquem seus serviços para uma infinidade de possíveis consumidores de serviços internos e externos. Essa abordagem com base no serviço muda fundamentalmente a maneira como os aplicativos são projetados e construídos. Ela pode fornecer suporte para uma variedade infinita de processos de negócios, mas simultaneamente cria um desafio para a maneira como as organizações de TI regem, gerenciam e protegem os aplicativos e os dados. Assim como ocorreu quando os portais e aplicativos da Web seguros chegaram, na década de 90, a chegada dos aplicativos de SOA/WS gera diversos desafios de gerenciamento de segurança e TI que devem ser resolvidos para que eles possam ser implantados em escala. Considerando que o SOA/WS pode ser implantado para uso interno, externo ou uma combinação de ambos, quem tem acesso ao quê tem uma importância intrínseca para o SOA/WS. Em suma, o SOA/WS precisa de funcionalidade equivalente à que se tornou padrão para sites e portais firewalls e sistemas de gerenciamento do acesso à Web (WAM), aproveitando a abordagem geral e a filosofia de benefícios comprovados para a segurança dos sites, mas adaptando-as particularmente à orientação aos serviços e aos serviços Web com base em XML. O gerenciamento da segurança para SOA/WS não requer uma reinvenção da roda, já que os requisitos de segurança de SOA/WS são em grande parte iguais aos dos aplicativos com base na Web. Por exemplo, nos sites e no SOA/WS, é importante manter os dados particulares confidenciais e garantir que as mensagens não tenham sido violadas (integridade). É igualmente importante confirmar a identidade do solicitante (autenticação), decidir o nível de direito concedido ao aplicativo ou usuário solicitante (autorização) e acompanhar o que acontece no ambiente sob o ponto de vista da segurança (auditoria/geração de relatórios). Uma implantação típica de primeira fase do SOA/WS atualmente costuma combinar um portal tradicional no front-end para o usuário humano e uma chamada de serviço Web no back-end, atuando em nome desse usuário em serviços Web hospedados internamente ou por parceiros externamente. Considerando esse cenário, muitas organizações querem preservar a identidade e o contexto de segurança de forma integrada em todas as etapas desse aplicativo. Na verdade, as organizações querem que a sessão do usuário iniciada da maneira tradicional através de um logon do usuário seja mantida para uma ou mais transações de serviços Web no back-end. Na mesma linha de pensamento, como muitos desses "saltos" dos serviços Web frequentemente envolvem domínios de segurança interna ou externa separados, a confiabilidade precisa ser ativada e aplicada (através da federação) em todos esses domínios de maneira expansível e com base em padrões. O CA SiteMinder Web Services Security foi desenvolvido pela CA Technologies para resolver esses problemas, fornecendo um produto de software de segurança de SOA/WS centrada na identidade que protege o acesso aos serviços, inspecionando as informações de segurança contidas nos documentos XML enviados pelos consumidores do serviço. Utilizando um conjunto central de padrões de SOA/WS, o CA SiteMinder WSS usa diretivas de segurança centralizadas vinculadas às identidades dos usuários para fornecer serviços de autenticação, autorização, federação, gerenciamento de sessão e auditoria de segurança. O CA SiteMinder WSS se adapta a implantações de WS/SOA heterogêneas, fornecendo pontos de aplicação de diretivas (PEPs) 4

5 com base em agente, controlados e gerenciados por pontos de decisão de diretiva (PDPs) ou servidores de diretivas centralizados. Este documento discute os motivos pelos quais o SOA/WS está ganhando força nas empresas, quais problemas de segurança resultam de seu uso e, por fim, como o CA SiteMinder WSS resolve os problemas inerentes à proteção e ao gerenciamento de implantações de SOA/WS de escala corporativa. Seção 2: oportunidade A jornada rumo à arquitetura orientada a serviços Estima-se que a maioria das grandes organizações em todo o mundo tenha começado a usar arquiteturas orientadas a serviços/serviços Web (SOA/WS) ou esteja planejando fazê-lo em um futuro próximo. A migração para implantações com base na nuvem só acrescenta mais ênfase ao uso do SOA/WS para integração de aplicativos. A atratividade do SOA/WS está em grande parte em sua capacidade de aumentar a velocidade do desenvolvimento e da implantação dos aplicativos, a reutilização e a flexibilidade, ao mesmo tempo reduzindo os custos de TI. Ampliando os ganhos já obtidos com o aproveitamento dos portais e aplicativos Web tradicionais, o SOA/WS pega o modelo de aplicativos interdomínios com foco em atender aos usuários humanos e generaliza esse conceito para aplicativos voltados ao computador, que podem ou não atuar sob o controle direto de uma pessoa. O SOA/WS aproveita diretamente o benefício da tecnologia da Internet para fornecer flexibilidade na integração dos aplicativos, independentemente de o consumidor do serviço residir na Internet ou na Intranet/Extranet da empresa. A abordagem do SOA/WS facilita a integração dos aplicativos internos e aproveita os padrões para abrir os mesmos serviços ao mundo, seja para clientes, parceiros ou organizações terceiras. O uso da TI para viabilizar e acelerar esses relacionamentos com terceiros não é um fenômeno novo. Estruturas de dados de formato fixo como o intercâmbio de dados eletrônicos (EDI) têm sido tradicionalmente usadas para troca de dados entre parceiros comerciais. Porém, nesta nova geração de processos de negócios globais verdadeiramente integrados, o EDI é um sistema de comunicação altamente restrito, que não está aberto à infinidade de tipos de comunicações e transações de que as organizações precisam. Entretanto, o EDI constitui um exemplo útil do que é possível e pode ser considerado como a primeira geração de intercâmbio de informações digitais entre organizações em relativamente larga escala. O que é necessário é um conjunto de interfaces abertas com base em padrões que qualquer organização possa usar para integrar sistemas de negócios de maneira segura e confiável. Como ocorre com todas as novas tecnologias, existem desafios no SOA/WS a serem resolvidos antes que essa tecnologia possa ser largamente usada. Devido à escala maciça e à flexibilidade inerente ao SOA/WS, qualquer solução implantada deve ser confiável, disponível, expansível, gerenciável e segura, além de ajudar a garantir que o ambiente possa ser monitorado com eficácia. Esses importantes problemas de gerenciamento de TI requerem uma evolução no pensamento. Embora este documento se concentre nos novos desafios de gerenciamento da segurança que o SOA/WS coloca no nosso radar, é importante lembrar que a segurança é apenas uma parte dos desafios de gerenciamento de TI apresentados pelo SOA/WS. Historicamente, os vilões eram de fora da nossa organização, tentando iniciar ataques como DOS (negação de serviço), falsificação de mensagens e infecção de DNS para afetar a capacidade de funcionamento do aplicativo. Essa não é mais uma premissa correta, pois em meio às pessoas "de dentro" vemos cada vez mais tanto 5

6 consumidores de aplicativos de SOA/WS como também vetores de ameaças legítimas, roubando dados confidenciais e derrubando processos de negócios, independentemente da verdadeira intenção da pessoa. Na melhor das hipóteses, o conceito de pessoas "de fora" e "de dentro" torna-se extremamente vago sob a perspectiva do SOA/WS. Por causa dessa imprecisão, a abordagem tradicional de implantar segurança em várias camadas, onde diferentes produtos e processos protegiam a rede, o datacenter, os aplicativos e os pontos de extremidade não é mais suficiente. Em um ambiente no qual os serviços são solicitados por uma pessoa interna ou externa à organização (ou por um aplicativo interno atuando em nome de uma pessoa de fora), serviços de segurança como autenticação e autorização são mais importantes do que nunca. O SOA/WS possibilita uma nova geração de aplicativos abertos, integrados e acessíveis, mas também exige um conjunto de diretivas de uso consistentemente aplicado, que possa ser expandido para fornecer serviços de gerenciamento em uma escala e granularidade além da vista no mundo da TI até a data. Outro risco ao gerenciamento da segurança para o SOA/WS é a prática de incorporar lógica de segurança (confirmando a identidade do solicitante e o que ele pode acessar, por exemplo) direta e exclusivamente em cada serviço, ao contrário de fornecer isso como um serviço de segurança compartilhado. Conforme as implantações de SOA/WS continuam a se expandir, essa tendência de construir silos de segurança torna-se cada vez mais impraticável para organizações que têm serviços que poderiam chegar facilmente à casa das centenas ou possivelmente milhares. Silos de segurança redundantes não só são caros de criar e manter, como também aumentam o risco e tornam a conformidade com as regulamentações mais difícil de atingir. Em última análise, chegamos à questão da responsabilidade e do controle. À medida que os aplicativos com base em SOA/WS proliferam, as organizações precisam descobrir como fornecer no mínimo um nível de segurança igual (e, se possível, melhor) ao disponível para a geração atual de aplicativos cliente/servidor e com base na Web. Isso se torna mais complicado devido aos requisitos de regulamentações cada vez mais rigorosos, que afetam diretamente a TI e exigem que os executivos corporativos atestem a idoneidade das transações e relatórios financeiros relacionados, bem como forneçam proteção para as informações pessoais privadas. Compreendendo a segurança do SOA Na tentativa de compreender os requisitos de segurança inerentes a um ambiente de SOA/WS, é interessante ver como as empresas lidaram (e ainda lidam) com o movimento em direção aos aplicativos Web na última década. A primeira geração de aplicativos Web incorporava a segurança diretamente nos próprios aplicativos. Esses silos de segurança envolviam a implementação de um diretório de usuários, listas de controle de acesso (ACLs) e conjuntos de diretivas de acesso para cada aplicativo. Basicamente, cada aplicativo em uma arquitetura de silo literalmente cuidava de sua própria autenticação de usuários, autorização e auditoria (AAA) em algum nível. Conforme as organizações foram deixando de ter apenas um punhado de aplicativos Web, essa abordagem de silo para a segurança não se expandiu e acabou se tornando insegura e cara de gerenciar. Assim, na década de 90, uma nova classe de aplicativos de segurança foi lançada para permitir que os aplicativos externalizassem a autenticação, a autorização, a auditoria e as funções de administração do usuário para uma infraestrutura de segurança altamente expansível e gerenciada centralmente, que pudesse ser usada por todos os aplicativos Web da empresa. Ao mesmo tempo, uma tecnologia padrão para diretórios de usuários chamada LDAP começou a proliferar, fornecendo os repositórios centralizados críticos para a expansão dessa infraestrutura de segurança externalizada. 6

7 Existem muitos paralelos entre os aplicativos Web e os aplicativos com base em SOA/WS, incluindo o fato de que ambos podem ser implantados em uma intranet (para uso corporativo), em uma extranet (para parceiros de negócios) ou mesmo na Internet pública (para consumidores). A principal diferença está no fato de que o usuário em um mundo SOA pode ser outra máquina conversando na linguagem de XML, WSDL e SOAP, em oposição a uma pessoa vendo uma página da Web renderizada em um navegador. Mas muitos dos desafios de segurança são basicamente os mesmos e podem ser atenuados usando uma abordagem de gerenciamento da segurança semelhante. Antes de passarmos às possíveis soluções, vamos dar uma olhada mais detalhada nos requisitos de segurança do SOA/WS. Embora estes sejam em sua maioria consistentes com os requisitos de segurança dos aplicativos Web tradicionais, existem algumas diferenças que também serão destacadas. Os requisitos de segurança dos aplicativos de SOA/WS incluem: Prevenção contra ameaças/malware. O tráfego XML não é diferente do tráfego da Web ou de , no sentido de que pode ser usado para transportar uma carga mal-intencionada para seu destino. Da mesma forma que constitui melhor prática com outros tipos de tráfego, há uma necessidade de fazer uma triagem de todo o tráfego XML de entrada na borda/dmz, a fim de garantir que não haja malware ou outros ataques direcionados para serviços de negócios, incluindo vírus, negação de serviços, mensagens falsificadas etc. Autenticação. Quem é a outra parte que está tentando acessar um serviço? Independentemente de a outra parte ser um processo de computador ou outro serviço Web, antes que qualquer coisa possa ser feita, a identidade do solicitante precisa ser confirmada. Ninguém deixa alguém ter acesso a um aplicativo Web importante sem uma autenticação positiva. No caso dos aplicativos de SOA/WS, isso não deve ser diferente. Autorização. Uma vez que o consumidor do serviço tenha sido autenticado, o que ele pode fazer com os serviços Web da organização? Quais serviços ele tem permissão de acessar? Quais dados podem ser acessados e quais transações e funções de negócios podem ser usadas? Assim como os usuários obtêm direitos de uso de determinadas funções em um portal da Web, o provedor do serviço Web precisa conceder direitos semelhantes em nome de um consumidor de serviço, seja ele de dentro ou de fora. Auditoria e geração de relatórios. Em vista dos requisitos de regulamentações que exigem o registro em log de cada transação e o monitoramento rigoroso de operações de negócios em caso de violação de dados ou outro problema, o ambiente de SOA/WS deve fornecer a capacidade de acompanhar cada transação e reconstituir as atividades de negócios de maneira pericial. Similarmente, é crucial poder fornecer relatórios de atividades de toda a empresa. Administração de identidades. As organizações precisam gerenciar identidades, credenciais e direitos para os aplicativos de SOA/WS, da mesma forma que o fazem hoje em arquiteturas de TI tradicionais. Como os serviços Web frequentemente atuam em nome de usuários ou outros aplicativos ou processos de tecnologia, o logon único e o provisionamento de credenciais e direitos de acesso são fundamentais para permitir que o ambiente se expanda com segurança. Capacidade de gerenciamento corporativa/gerenciamento centralizado de diretivas. Com tamanho número de serviços em potencial disponíveis através de uma abordagem de SOA/WS, como uma organização pode obter uma visão em toda a empresa do que está acontecendo, com potencialmente centenas ou milhares de aplicativos de SOA distintos em execução? Além disso, é crucial poder criar e aplicar uma diretiva de segurança centralizada que possa mudar rapidamente dependendo dos requisitos dos negócios, sem afetar ou alterar o serviço de negócios subjacente. 7

8 Gerenciamento de sessões. De maneira semelhante ao logon único de aplicativos Web (Web SSO), os serviços Web podem fazer parte de processos de negócios nos quais sessões precisam ser mantidas em vários serviços Web para uma transação inteira. Isso pode ser considerado um tipo de logon único para serviços Web. Suporte para infraestrutura heterogênea. Uma importante vantagem dos aplicativos Web e agora dos aplicativos com base em serviços Web está no fato de que eles não precisam de hardware, rede ou aplicativos específicos, contanto que adotem um conjunto padrão de tecnologias de intercâmbio. Os serviços Web podem ser implantados de muitas maneiras diferentes e, sem dúvida, o serão em muitas organizações de grande porte. Assim, a capacidade de protegê-los de forma consistente, face a esse mundo heterogêneo, é crucial. Desempenho, confiabilidade, disponibilidade e escalabilidade. Ter todos esses aspectos de um ambiente de computação de categoria corporativa dispensa qualquer comentário. Muitos aplicativos Web precisam poder se expandir para milhões ou dezenas de milhões de usuários com disponibilidade de cinco noves (99,999%). Da mesma forma, os aplicativos com base em SOA, nos quais a capacidade de reutilização é um benefício importante, podem ter um nível de uso muito mais alto com os mesmos requisitos de disponibilidade de cinco noves. Além disso, a natureza interdependente dos aplicativos de SOA/WS implica que um problema em um serviço componente poderia afetar negativamente muitos outros serviços. Suporte para padrões. O SOA/WS é orientado por padrões (como XML, WSDL, SOAP etc.), incluindo um conjunto de padrões de segurança (WS-Security e outros), que precisam ter suporte como meio de oferecer a interoperabilidade necessária para facilitar a implantação e o gerenciamento tanto dos serviços internos quanto dos voltados para a parte externa. Os requisitos de segurança acima devem ser cumpridos em um ambiente de categoria corporativa que seja flexível e permita à organização alcançar a promessa do SOA/WS. Levando em conta que muitas organizações de grande porte acabarão tendo milhares de serviços Web com base em SOA com muitos componentes autocontidos diferentes, a ideia de incorporar recursos de segurança em cada componente não é prática. Assim, a segurança do SOA (da mesma forma que o gerenciamento do acesso à Web antes dele) precisa ser fornecida como uma infraestrutura ou serviço centralizado, a fim de manter o mais alto nível de flexibilidade e eficiência. Camadas de segurança do SOA A segurança para o SOA/WS pode ser implantada em vários lugares, dependendo da arquitetura do aplicativo. A segurança do SOA/WS é frequentemente implementada na borda (ou perímetro) da rede, em uma plataforma SOA, ou em um contêiner de aplicativo SOA, conforme representado no diagrama abaixo. Devido ao fato de que até então tem havido pouca integração entre essas áreas de segurança distintas, isso resultou em uma quantidade enorme de funcionalidades duplicadas. Assim, muitas vezes as empresas têm de gerenciar diretivas de segurança semelhantes em diferentes partes da arquitetura de SOA/WS. O gerenciamento dessas múltiplas diretivas de segurança pode ser problemático por diversas razões. Ele requer um uso mais intensivo de recursos, pode resultar em brechas na segurança e também pode duplicar defesas similares. As melhores práticas indicam uma defesa em camadas para a Segurança do SOA, mas essas camadas devem ser consistentes, coordenadas e gerenciadas dentro de uma diretiva centralizada. 8

9 Figura A. Camadas de segurança do SOA e a importância do gerenciamento centralizado, auditoria e geração de relatórios de diretivas de segurança. Camadas de segurança do SOA Ameaças em XML Consumidores dos serviços SEGURANÇA NA BORDA DMZ SEGURANÇA DA PLATAFORMA SOA Provedores de serviços SEGURANÇA DO RECIPIENTE Ameaças em XML Provedores de serviços AUDITORIA CENTRALIZADA DO GERENCIAMENTO DE DIRETIVAS, RELATÓRIOS Consumidores dos serviços Por fim, uma solução de segurança de SOA/WS deve fornecer suporte para os desenvolvedores de aplicativos sem sobrecarregá-los com os detalhes de como cada serviço componente deve ser protegido. Mas ao mesmo tempo, uma maneira centralizada e estruturada de aplicar a diretiva organizacional em todos os serviços Web implantados, que ajude a assegurar uma geração de relatórios apropriada de ponta a ponta, também é crucial. É esse equilíbrio que está levando muitas organizações a buscarem um sistema de segurança de SOA/WS que possa proporcionar a flexibilidade necessária, ao mesmo tempo oferecendo gerenciamento centralizado de classe mundial. Vamos ver cada camada de forma um pouco mais detalhada. Segurança de borda (perímetro). Oferecida através de fatores de forma de hardware ou software que residem dentro de uma zona de rede desmilitarizada de uma organização, esses sistemas com base em borda (também conhecidos como gateways de segurança XML ou firewalls XML) concentram-se em ser a primeira linha de defesa para os aplicativos de SOA/WS. Esses sistemas são geralmente implantados como proxies reversos para tráfego XML, de forma que todas as mensagens de entrada sejam inspecionadas e processadas, a fim de ajudar a assegurar a conformidade com a diretiva de segurança. 9

10 Esses gateways de segurança XML verificam se há malware no XML e outras ameaças no tráfego de entrada, incluindo vírus e ataques de negação de serviço. A conversão de protocolos também pode acontecer no perímetro, para possibilitar a compatibilidade com os aplicativos implantados e outros padrões. Segurança da plataforma SOA. Devido ao grande número de serviços que são implantados em uma empresa de grande porte, muitas implementaram uma plataforma SOA/WS que atua como intermediário para conectar, mediar e gerenciar os serviços disponíveis. Os desenvolvedores de SOA/WS têm a opção de usar alguns dos recursos integrados de segurança nas plataformas SOA, mas com o risco de duplicar defesas, possivelmente deixar brechas e criar silos de segurança, aumentando os desafios de gerenciamento e conformidade no futuro. As plataformas SOA tendem a usar padrões de segurança de SOA/WS (incluindo o WS-*) para poder emitir direitos e fornecer suporte para federação entre diferentes sistemas internos ou externos à organização. Segurança do contêiner de SOA. Os aplicativos de SOA/WS são implantados em contêineres, que geralmente são criados usando a especificação Java J2EE ou.net da Microsoft. Como o SOA/WS é baseado em padrões, o ambiente de desenvolvimento não é significativo para a implantação dos serviços em si, mas faz diferença quando se tenta proteger o ambiente. Como ocorre com as plataformas SOA, o J2EE e o.net oferecem determinados recursos de segurança que podem ser incorporados diretamente ao aplicativo a critério do desenvolvedor, mas têm os mesmos riscos de duplicar funções e criar silos de segurança, o que contribui para o aumento dos desafios de gerenciamento e conformidade e possivelmente deixa brechas na segurança do aplicativo. O que está faltando na segurança do SOA/WS? Como mencionamos anteriormente, a duplicação das funções de segurança nos diferentes domínios do SOA (Borda, Plataforma e Contêiner) é claramente ineficiente e exige recursos adicionais de gerenciamento e desenvolvimento significativos, que resultam no aumento dos custos de TI. Além da sobreposição, é difícil implementar uma diretiva de segurança de SOA consistente em todas as camadas e todos os diferentes aplicativos executados no ambiente. Pode-se traçar um paralelo com o gerenciamento do acesso à Web, onde inicialmente havia muitos níveis diferentes de segurança implementados (borda, contêiner, dentro do aplicativo), que foram então consolidados em uma infraestrutura de segurança comum, a fim de aumentar o nível de segurança e reduzir o tempo e os recursos necessários para proteger esses aplicativos. A boa notícia é que esse problema foi resolvido no âmbito do aplicativo Web, e muitas das mesmas técnicas podem ser aplicadas diretamente no mundo do SOA/WS. Os aplicativos de SOA provavelmente seguirão o mesmo caminho evolutivo que os aplicativos Web antes deles. Isso prepara o cenário para o surgimento de uma nova geração de soluções de segurança de SOA/WS para aplicar segurança centralizada em todas as camadas do aplicativo, reunindo o melhor de ambos os mundos. Os exigentes aplicativos de SOA/WS da atualidade requerem segurança eficaz em cada camada, ao mesmo tempo usando uma interface de gerenciamento comum, aplicação de diretivas consistente e geração de relatórios integrada para auditoria e conformidade em todo o ecossistema de SOA. 10

11 Seção 3: benefícios O CA SiteMinder Web Services Security volta-se para os desafios do gerenciamento da segurança O CA SiteMinder WSS está bem posicionado para oferecer segurança de ponta a ponta para o SOA/WS, como gerenciamento centralizado de diretivas, aplicação de diretivas para diferentes camadas de segurança e auditoria central para uma implantação corporativa de SOA/WS. Ao abstrair a segurança dos serviços em si, o CA SiteMinder WSS ajuda a reduzir significativamente a sobrecarga administrativa e outros custos associados ao fornecimento de segurança para SOA/serviços Web. O CA SiteMinder WSS inspeciona as informações de segurança contidas em documentos XML enviados pelos consumidores do serviço e usa essas informações para determinar o acesso. Ele oferece funcionalidade de nível corporativo para SOA/serviços Web que são expostos interna e externamente, ajudando a eliminar ameaças em XML e, ao mesmo tempo, controlando o acesso para consumidores legítimos do serviço. Assim como o gerenciamento do acesso à Web antes dele, o CA SiteMinder WSS em grande parte abstrai a segurança da esfera do desenvolvedor, possibilitando assim que ele se concentre na lógica do aplicativo, e o profissional de segurança se concentre na segurança e na atenuação dos riscos. O CA SiteMinder WSS traz uma visão de segurança de serviços compartilhados aos silos de segurança do SOA. Trata-se de uma solução criada sobre um servidor de diretivas centralizado, na qual cada mensagem é verificada para a aplicação de diretivas de autenticação e autorização. Além disso, as mensagens de entrada e saída podem ser transformadas e protegidas, dependendo da diretiva da organização. Com agentes executados nos mais importantes servidores de aplicativos, dentro dos principais contêineres de SOA, o CA SiteMinder WSS viabiliza um modelo de proteção do SOA/serviços Web de ponta a ponta, desde a borda até o contêiner. Principais benefícios Segurança consistente. Ao contrário da segurança implementada em muitos lugares diferentes sem diretivas comuns, o CA SiteMinder WSS oferece um único ponto para controle de acesso e auditoria, aplicando as diretivas de segurança da sua organização de forma consistente. Custos de desenvolvimento reduzidos. Os desenvolvedores não precisam mais incorporar a segurança nos respectivos componentes de seus aplicativos de SOA/WS. A externalização da segurança proporciona uma eficiência significativa ao desenvolvedor e resulta em mais agilidade no lançamento dos serviços de negócios no mercado. Criação simplificada de diretivas de segurança. A nova interface do usuário centrada nos serviços Web simplifica a criação das diretivas de segurança, usando um arquivo WSDL. Essa interface administrativa também pode se conectar a vários servidores de diretivas, para que você possa gerenciar todos os seus componentes em um único servidor de administração compartilhado. Auditoria centralizada da diretiva de segurança do SOA. As diretivas de segurança implementadas em servidores de diretivas centralizados são verificadas em cada estágio da transação, a fim de ajudar a garantir que os controles apropriados sejam implementados em cada etapa do processo. Isso também possibilita a geração de relatórios central para atender aos requisitos de auditoria e conformidade. 11

12 Gerenciamento de sessões e logon único. O gerenciamento centralizado da segurança também possibilita o logon único (SSO), com o qual, uma vez autenticadas, as solicitações de serviços Web não precisam ser reautenticadas conforme as transações passam pelas várias etapas do serviço (sejam fornecidas pela organização ou por um terceiro) que compõem um processo de negócios típico. As sessões podem ser configuradas para serem válidas por uma determinada duração, proporcionando mais flexibilidade. Confiabilidade e alta disponibilidade para os serviços Web. Assim como os serviços Web, o CA SiteMinder WSS está sempre disponível, oferecendo confiabilidade e disponibilidade inigualáveis até para os processos de negócios mais ininterruptos, 24 horas por dia, 7 dias por semana. Aproveita os padrões em um ambiente aberto, independente de plataforma. O CA SiteMinder WSS fornece suporte para os padrões dos serviços Web aplicáveis, incluindo XML, SOAP, REST, WSDL, SSL, WS-Security, criptografia XML e Assinatura em XML. Pode fazer uso de um ambiente existente de gerenciamento do acesso à Web. Criado sobre a mesma arquitetura de agente e servidor de diretivas que o CA SiteMinder, o produto da CA Technologies líder de mercado para gerenciamento do acesso à Web, o CA SiteMinder WSS pode aproveitar o mesmo ambiente de implantação do CA SiteMinder. Assim, em combinação, proporciona segurança abrangente na Web, para sites, aplicativos e serviços Web. A externalização das funções de segurança de SOA em uma infraestrutura comum reduz drasticamente os custos de desenvolvimento e oferece um único ponto de controle de acesso e administração para as centenas (ou até milhares) de serviços distintos que entrarão em operação na maioria das empresas de grande porte. O CA SiteMinder WSS oferece funcionalidade de segurança abrangente, desde a borda até os contêineres de SOA. Arquitetura do produto CA SiteMinder Web Services Security Servidor de diretivas ponto de decisão de diretiva (PDP). O servidor de diretivas fornece o ponto de decisão de diretiva (PDP) para o CA SiteMinder WSS e é a peça central da plataforma centralizada de gerenciamento com base em diretivas. O servidor de diretivas foi criado sobre o servidor de diretivas do CA SiteMinder, acrescentando recursos desenvolvidos para fornecer suporte aos padrões de segurança e processamento específicos do XML. O servidor de diretivas pode usar os agentes de SOA do CA SiteMinder WSS e um gateway de segurança XML opcional como pontos de aplicação de diretivas (PEPs) para os serviços Web, onde quer que sejam hospedados. 12

13 Figura B. CA SiteMinder Web Services Security e sua arquitetura com base em PEP/PDP/PAP. Arquitetura do CA SiteMinder Web Services Security SOLICITANTE DE SERVIÇO WEB SERVIÇOS WEB AGENTE SOA J2EE CLIENTE AGENTE AGENTE SOA ESB AGENTE SOA MAINFRAME PARCEIRO SOA AGENT.NET PDA SERVIDOR DE DIRETIVA SEGURANÇA ADMINISTRADOR GATEWAY DE SEGURANÇA XML APLICATIVO RELATÓRIOS/ AUDITORIA ARMAZENAMENTO ARMAZENAMENTO ARMAZENAMENTO DE DIRETIVAS DE CHAVES DE USUÁRIOS FIREWALL FIREWALL Arquitetura de implantação de referência do CA SiteMinder WSS. O CA SiteMinder WSS pode ser implantado em um ambiente altamente distribuído que ofereça uma combinação de pontos de aplicação de diretivas distribuídos (por meio de gateways de segurança XML opcionais e agentes de SOA) e pontos de decisão de diretiva com base em servidores de diretivas centralizados. 1. As solicitações de serviços Web provenientes de fora para a sua rede podem ser protegidas por um gateway de segurança XML opcional executado na DMZ. Alternativamente, o usuário também pode acessar o Servidor do Portal, que por sua vez faz uma solicitação a um serviço Web hospedado atrás da DMZ. 2. Os serviços Web implantados em uma empresa também podem fazer solicitações entre si como parte de um determinado processo de negócios. Isso é protegido por Agentes de SOA como parte do estágio final da segurança de SOA/WS. 3. O servidor de diretivas central comum protege o tráfego dos serviços Web e do site quando o CA SiteMinder e o CA SiteMinder WSS são usados juntos. 13

14 Criados sobre uma arquitetura extensível e expansível, os serviços de segurança podem ser adicionados e aprimorados de acordo com a evolução das necessidades de segurança e gerenciamento dos serviços Web. Integrando-se com diretórios LDAP padrão do setor, sistemas de bancos de dados relacionais e repositórios de identidades de mainframe para gerenciamento centralizado de informações de direitos e identidades de usuários, você conta com o máximo em flexibilidade para implementar o CA SiteMinder WSS, atendendo aos requisitos dos seus negócios e estendendo sua infraestrutura de TI existente, não o contrário. Agentes de SOA pontos de aplicação de políticas (PEPs). O CA SiteMinder WSS oferece diferentes pontos de aplicação de diretivas para ajudar a garantir a segurança de ponta a ponta de toda a infraestrutura corporativa de SOA/WS. Há agentes disponíveis para os principais contêineres.net e J2EE. Novos Agentes de SOA estão sendo desenvolvidos regulamente, como os para plataformas ESB e SOA adicionais. SDK do gerenciador de segurança de SOA para PEPs criados de forma personalizada. Com esta API Java, parceiros e clientes podem desenvolver Agentes de SOA personalizados para seu ambiente. Essa API aberta permite que parceiros e clientes da CA estendam suas integrações existentes com o SOA Security Manager, no qual as plataformas SOA, Firewalls de XML ou outros appliances usam o CA SiteMinder WSS para fornecer um ambiente de autenticação e autorização gerenciado de forma centralizada. Principais recursos do CA SiteMinder Web Services Security O CA SiteMinder WSS traz muitos recursos importantes ao mercado, incluindo: Gerenciamento centralizado de diretivas de segurança do SOA. Implementando um modelo de serviços compartilhado, o CA SiteMinder WSS externaliza a segurança do serviço Web subjacente, fornecendo a capacidade de aplicar a diretiva de segurança de forma consistente em todas as camadas do serviço Web, incluindo a borda/perímetro, na plataforma SOA, e dentro do contêiner de SOA. Serviços Web com reconhecimento de identidade. O CA SiteMinder WSS associa o fluxo de XML a uma identidade de usuário (seja ele humano ou outro aplicativo), ajudando a garantir que a autenticação, a autorização e os direitos apropriados sejam mantidos em toda a transação. Logon único seguro e gerenciamento de sessões sincronizado. O CA SiteMinder WSS gerencia o estado da sessão e elimina a reautenticação de mensagens em XML durante transações federadas e de várias etapas por múltiplos serviços componentes e limites organizacionais. Mapeamento de credenciais. O CA SiteMinder WSS não só autentica e autoriza solicitações de serviços Web, como também fornece suporte para a geração de um novo token de segurança para esse mesmo solicitante, mapeando a identidade em um token de segurança para outro e geralmente atuando como um Serviço de Token de Segurança. Além disso, os tokens SMSESSION do CA SiteMinder podem ser mapeados para Asserções SAML WS-Security com base em padrões, a fim de proporcionar mais abertura e interoperabilidade. Criação de diretivas de segurança usando WSDL. Uma nova interface do usuário com base na Web simplifica a criação de diretivas de segurança fora do arquivo WSDL. O arquivo WSDL pode ser carregado de um arquivo ou de um local de URL. Depois de carregado o arquivo, a interface do usuário do produto exibe todas as operações de serviços Web e torna muito fácil para o administrador proteger diferentes operações com um ou mais esquemas de autenticação. 14

15 Suporte para federação. Ao fornecer suporte para o padrão WS-Security de informações de segurança contidas nos documentos XML/SOAP, transações entre empresas podem ser gerenciadas nos vários domínios de segurança com uma única autenticação. De fato, um caso de uso típico para o CA SiteMinder WSS é o fornecimento de um serviço de autenticação com base em serviço Web que pode ser utilizado como o serviço de autenticação compartilhado da empresa. Autorização dinâmica com base no conteúdo XML da solicitação. Como parte do processo de autorização, uma diretiva de segurança pode ser criada para comparar dinamicamente o conteúdo XML com os atributos do usuário armazenados no repositório de usuários. Flexibilidade na implantação para pontos de aplicação. O CA SiteMinder WSS fornece agentes para os principais contêineres J2EE e.net, e é totalmente interoperável com soluções de outros fornecedores de SOA, como.net, J2EE e grandes fornecedores incluindo IBM, Microsoft, Oracle e muitos outros. Compatível com padrões. O CA SiteMinder WSS fornece suporte para todos os padrões de serviços Web mais importantes, ajudando a garantir a interoperabilidade e o preparo para o futuro, incluindo XML, SOAP, REST, WS-Security (SAML, Nome de usuário, X509), Assinatura em XML, criptografia XML, WSDL e SSL. Estende a comprovada plataforma CA SiteMinder. O CA SiteMinder WSS oferece total integração com a plataforma CA SiteMinder de segurança na Web, aproveitando o mesmo repositório de diretivas e oferecendo logon único para serviços Web e aplicativos protegidos pelo CA SiteMinder. Seção 4: Agregando valor em cada camada do ambiente de SOA O CA SiteMinder WSS agrega valor a cada estágio do ambiente de SOA/WS. Como ilustram os casos de uso a seguir, o verdadeiro valor de um ambiente de SOA/WS seguro só pode ser alcançado com a utilização de uma diretiva de segurança centralizada e registro em log e geração de relatórios também centralizados, que também forneçam serviços de segurança abrangentes e de escala corporativa. 15

16 Figura 3. Caso de uso de logon único (SSO). SSO desde o portal até serviços Web internos e externos NAVEGADOR DO CLIENTE PORTAL DO BANCO SERVIDOR COMUM DE DIRETIVAS DO CA SOA SECURITY MANAGER E DO CA SITEMANAGER SERVIÇO WEB DE PROCESSAMENTO DE APLICATIVO DE CARTÃO DE CRÉDITO INTERNET NU: GEORGE 5 4 SOLICITAÇÃO XML/ SOAP + TOKEN SN:89676 AGENTE WEB DE SEGURANÇA AGENTE SOA INTERNET SOLICITAÇÃO XML/SOAP + SAML WS-SECURITY SERVIÇO WEB DE VERIFICAÇÃO DE CRÉDITO SERVIÇO DE SEGURANÇA WS-SECURITY COMPLAINT 1. O usuário faz logon no portal do banco usando o CA SiteMinder e solicita um cartão de crédito. 2. O aplicativo do portal faz uma chamada SOAP ao serviço interno de cartão de crédito usando o contexto de segurança do usuário. 3. A sessão do usuário é validada e autorizada pelo PEP do Agente de SOA/PDP do Servidor de Diretivas que está protegendo o serviço de cartão de crédito. 4. O CA SiteMinder WSS então gera um token SAML/WS-Security e o adiciona ao Cabeçalho SOAP da solicitação para a próxima etapa do serviço Web neste exemplo, para o serviço Web de verificação de crédito. 5. O serviço de cartão de crédito envia a solicitação SOAP com o token SAML para o serviço externo de verificação de crédito fornecido por um parceiro. 6. O serviço de verificação de crédito autentica o solicitante usando o padrão SAML WS-Security e fornece a resposta ao serviço de cartão de crédito, que por sua vez retorna a aprovação ou recusa do cartão de crédito ao usuário no aplicativo do portal. Principais benefícios desse caso de uso O usuário só precisa se autenticar no portal do banco, e o resto da transação não fica visível para ele. Entretanto, o contexto do usuário é mantido em cada etapa. O portal do banco e o serviço Web da primeira etapa (interno) são protegidos por um único serviço com base em diretiva, ativado por uma combinação do CA SiteMinder WSS e do CA SiteMinder. Isso poupa tempo e dinheiro para o desenvolvimento e a administração da segurança. Cada aplicativo/serviço é protegido até o estágio final (usando agentes), não recebendo proteção de alguns serviços de segurança distantes que podem ou não ser usados. Com o CA SiteMinder WSS, não há meio de contornar a segurança fornecida. 16

17 O recurso de mapeamento de credenciais permite que o contexto de segurança seja mapeado para tokens de segurança com base em padrões, como o SAML WS-Security, nesse caso, para concluir a transação. Os serviços Web ou o portal em si não precisaram se preocupar com o mapeamento de credenciais, pois o sistema de segurança fornecido pelo CA SiteMinder WSS cuidou disso. O uso de padrões de segurança é particularmente importante, como nesse caso, em que a integração segura com serviços de terceiros é desejável. Aplicabilidade entre setores Praticamente um número infinito de cenários de negócios pode ser melhorado com o uso de SOA/WS e a segurança que possibilita o intercâmbio de informações digitais flexível entre empresas. Alguns outros breves cenários são fornecidos aqui com informações suficientes para que você possa ter uma ideia de como o SOA/WS poderia se aplicar à sua organização. Em cada caso, você pode ver a importância de um sistema centralizado de segurança com base em diretivas, como o CA SiteMinder WSS, para agilizar radicalmente a proteção desses aplicativos críticos. Saúde. Um aplicativo de SOA/WS pode ser usado para fornecer referências em tempo real e autorizações para consultas com especialistas. Um portal da Web usado pelo clínico geral pode enviar uma solicitação de serviços Web no back-end para o serviço Web de referência, a fim de verificar se a referência é permitida ou não com base nas informações do médico e do plano de saúde do paciente. Uma diretiva de segurança consistente pode ser aplicada em todos os estágios da transação, embora cada lado use uma solução de segurança diferente devido ao uso de padrões comuns que facilitam a interoperabilidade. Nesse caso, o CA SiteMinder WSS pode ser usado em qualquer um dos lados desse cenário. Entretanto, assumindo que o CA SiteMinder WSS seja usado para proteger o serviço de referência, ele não só examinará a validade das informações de segurança da solicitação para fins de autenticação, como também poderá participar da decisão de autorização em vários níveis. Financeiro. Um aplicativo executado no desktop de um corretor pode chamar vários serviços Web usando vários protocolos e formatos para executar serviços monetários e de negociação de opções. O CA SiteMinder WSS, atuando como serviço de autenticação compartilhado, pode fornecer uma Asserção SAML WS-Security ao cliente desktop, que pode ser reutilizada para obter acesso a esses e outros serviços Web seguros, hospedados dentro ou fora da organização. O CA SiteMinder WSS também pode ser usado para proteger qualquer um desses serviços Web, em particular e mais provavelmente aqueles hospedados internamente, no estágio final do serviço em si. Remessas. Uma empresa de remessas pode expor informações de rastreio de remessas em tempo real através de um serviço Web para integração com os aplicativos de seus clientes. Manufatura. Uma montadora de veículos global pode implementar serviços informativos inovadores de forma contínua diretamente para seus clientes finais em seus automóveis, seja mediante uma taxa por serviço ou como parte de um pacote de valor agregado. Dessa forma, o acesso aos serviços pode ser determinado em parte pela identidade do próprio automóvel e pode incluir monitoramento contínuo do desempenho do automóvel, necessidade de manutenção e provisionamento de serviços premium que não foram adquiridos no ato da compra do automóvel ou que não estavam disponíveis na época. Quando você imaginar todos os serviços que poderiam ser úteis ao viajar com seu carro, poderá ver que existem muitos que uma abordagem com base em SOA/WS poderia fornecer. O CA SiteMinder WSS poderia adotar a importante função de proteger esses vários serviços contra uso incorreto ou ataque direto. 17

18 Seção 5: Conclusão Arquiteturas orientadas a serviços e serviços Web estão surgindo como a próxima grande onda das arquiteturas de aplicativo. O SOA/WS tem como objetivo aprimorar a velocidade, a flexibilidade e o custo de criação e implantação de aplicativos para público interno e externo. Entretanto, as arquiteturas e estratégias de segurança precisam ser planejadas com antecedência, ou as organizações correrão o risco de repetir os erros do passado, com a segurança tendo de "correr atrás do prejuízo" e sendo implantada como uma colagem de tecnologias e processos. Não basta resolver os problemas de segurança do SOA/WS discutidos neste documento com base na abordagem tradicional de implantar muitas camadas de segurança inconsistentes, incompatíveis e sobrepostas. A segurança deve ser projetada no ambiente como um serviço de infraestrutura, viabilizando uma implantação flexível e econômica, desde a borda até o contêiner. A boa notícia é que os problemas de segurança que enfrentamos para os aplicativos de SOA/WS são muito semelhantes àqueles com os quais lidamos quando os aplicativos tradicionais baseados na Web se disseminaram. As organizações precisam gerenciar a segurança de suas implantações corporativas de SOA/WS de forma centralizada, assim como fazem hoje para seus sites e portais, independentemente de quantos serviços Web ou diferentes tecnologias de infraestrutura tenham sido implantados. Isso pode ser realizado com o fornecimento de segurança centralizada com base em diretivas como parte integral da infraestrutura de WS/SOA, possibilitando a abstração da segurança dos serviços em si. O CA SiteMinder WSS amplia a arquitetura CA SiteMinder, oferecendo a plataforma de segurança de SOA/WS mais abrangente do setor, com segurança para serviços Web com base na identidade autenticação, autorização e auditoria (AAA). Além disso, quando usado em conjunto com o CA SiteMinder, o CA SiteMinder WSS oferece uma solução abrangente de segurança na Web que protege tanto os portais/aplicativos da Web tradicionais quanto serviços Web com base em XML, utilizando a mesma arquitetura de servidor de diretivas, proxy e agentes. Para saber mais sobre o CA SiteMinder Web Services Security, visite ca.com/siteminder-wss A CA Technologies é uma empresa de software e soluções de gerenciamento de TI com experiência em todos os ambientes de TI de mainframes e sistemas distribuídos a implementações virtualizadas e na nuvem. A CA Technologies gerencia e protege os ambientes de TI e permite que os clientes forneçam serviços de TI mais flexíveis. Os produtos e serviços inovadores da CA Technologies fornecem a visão e o controle essenciais para as organizações de TI aumentarem a agilidade dos negócios. A maioria das empresas que compõe a lista Global Fortune 500 conta com a CA Technologies para gerenciar seus ecossistemas de TI em constante evolução. Para obter informações adicionais, visite o site da CA Technologies em ca.com. Copyright 2012 CA. Todos os direitos reservados. Todas as marcas comerciais, nomes de marcas, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas. CS2138_0212