You are on page 1of 32

UMA ARQUITETURA DE REFERÊNCIA GUIADA A

CONFORMIDADES DE SEGURANÇA PARA WEB
SERVICES BASEADOS EM NUVEM PRIVADA
Aluno: Ricardo Marinho de Melo – rmm@cin.ufpe.br
Orientador: Vinicius Cardoso Garcia – vcg@cin.ufpe.br
3 de Março de 2016

1

Agenda
1

Introdução e Motivação;

2

Definição do Problema;

3

Solução Proposta;

4

Contextualização;

5

Abordagem da Proposta;

6

Avaliação;

7

Conclusão.
2

Introdução e Motivação (1)
• Computação em Nuvem

3

Introdução e Motivação (2)
• Propriedades básicas de segurança:




Confidencialidade
Integridade
Disponibilidade
Não Repúdio
Autenticidade

4

Definição do Problema (1)

5

Definição do Problema (2)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

1.0 Top Threat: Data Breaches

6

Definição do Problema (3)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

2.0 Top Threat: Data Loss

7

Definição do Problema (4)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

3.0 Top Threat: Account or Service Traffic Hijacking

8

Definição do Problema (5)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

4.0 Top Threat: Insecure Interfaces and APIs

9

Definição do Problema (6)

CLOUD SECURITY ALLIANCE The Notorious Nine: Cloud Computing Top Threats in 2013

5.0 Top Threat: Denial of Service

10

Solução Proposta (1)
• Computação em Nuvem;

• Web Services;
• SOA.

11

Solução Proposta (2)
• WS-Security
• XML Signature
• XML Encryption
• WS-Policy
• WS-SecurityPolicy
• SAML

12

Solução Proposta (3)
Objetivo Geral:

• Fornecer uma arquitetura de referência para minimizar os riscos de segurança na implantação de
nuvens privadas;
Objetivos Específicos:

Estudo da plataforma tecnológica de Web Services, com ênfase nas normas de segurança em nível de
serviço e de mensagem;

• Avaliação de um experimento de campo com desenvolvimento de um protótipo para análise da
tecnologia de serviços seguros propostos pelas normas WS-Security, SAML e WS-Policy.
13

Solução Proposta (3)
• Atendimento a Portaria SLTI/MP nº 92, de 24 de dezembro de 2014, no que tange as áreas cobertas
pela EPING (2016);
• Implementar e avaliar a arquitetura de referência através de um experimento de campo com
desenvolvimento de um protótipo para análise da tecnologia de serviços seguros propostos pelas
normas WSS, SAML e WSP.

14

Contextualização

15

Abordagem da Proposta (1)
• Estudo de Caso I
• Security Tokens
• WS-SecurityPolicy
• Estudo de Caso II
• XML Signature
• XML Encryption
• WS-Policy
• Estudo de Caso III
• SAML
• XML Signature
16

Abordagem da Proposta (2)

Estudo de Caso I

Base64(SHA-1(Nonce + Created + Password))
17

Abordagem da Proposta (2)

Estudo de Caso 02

18

Abordagem da Proposta (2)

Estudo de Caso 03

19

Avaliação

Metodologia: GQM [Basili & Caldiera, 1994]

• (GOETTELMANN et al., 2015) e (MOHAPATRA; GULATI; LUTHRA, 2012)

20

Avaliação (2)
• Security Tokens;
• WS-SecurityPolicy.

21

Avaliação (3)
• XML Signature;
• XML Encryption;
• WS-Policy.

22

Avaliação (4)
• XML Signature;
• SAML.

23

Avaliação (5)
• Limitações da Avaliação
- Plenitude nos aspectos abordados;
- Resultados mais quantitativos;
- Limitação da infraestrutura de rede.

24

Conclusão (1)
• A proposta apresentou resultados satisfatórios quando imersa em um experimento de
campo;

• As tecnologias estudadas e analisadas ofereceram a proteção de mensagens: como
proteger o conteúdo das mensagens e dos serviços, garantindo a proteção necessária
para confidencialidade, integridade, disponibilidade, não-repúdio e autenticidade;
• A ferramenta Apache Axis 2, que implementou a arquitetura do protótipo, facilitou o
uso dos principais padrões de seguranças abordados ao longo deste trabalho.

25

Conclusão (2)
• Uma vantagem do WS-Security é o suporte a vários tipos de protocolos e tokens.
Entretanto, ele não oferece informações de como deixar esses protocolos seguros.
Permitiu também prover segurança fim-a-fim para aplicações que necessitam realizar
trocas de dados de forma segura;
• A política descrita no caso de uso é muito importante, pois possibilita a configuração
de segurança utilizada. Desta forma, aumenta o conteúdo da mensagem
consideradamente, tornando-a complexa;
• Nenhuma ferramenta atualmente disponível no mercado permite realizar negociação
de políticas de forma integrada. No protótipo, a negociação de políticas foi efetuada
para exemplos simples e de forma autônoma.
26

Conclusão (3)
• Trabalhos Futuros
• A necessidade de estudar os ataques e vulnerabilidades através das falhas em
aplicações, tratando dos padrões de segurança como agente minimizadores de
riscos;
• Um estudo de mapeamento sistemático aplicando métricas sobre as publicações
disponíveis na literatura que tratam sobre as nove ameaças à segurança na
computação em nuvem com base no relatório da CSA.

27

Referências (1)
APACHE. Apache Axis2 Architecture Guide. Acessado em fevereiro de 2014, Disponível em:
https://axis.apache.org/axis/java/architecture-guide.html/.
BERKELEY, U. of California at (Ed.). Above the Clouds: a berkeley view of cloud. [S.l.: s.n.], 2009.
ELSEVIRE (Ed.). Web Services, Service-Oriented Architectures, and Cloud Computing: the savvy manager’s
guide. [S.l.: s.n.], 2013.
BASILI V.; CALDEIRA, G. Goal Question Metric Paradigm. In: ENCYCLOPEDIA OF SOFTWARE
ENGINEERING. Anais. . . [S.l.: s.n.], 1994.
SPRINGER PUBLISHING COMPANY, I. (Ed.). Security for Web Services and Service-Oriented Architectures.
[S.l.: s.n.], 2010.
28

Referências (2)
CSA. Security Guidance for Critical Areas of Focus in Cloud Computing V3.0. [Acesso em: fevereiro-2015],
https://cloudsecurityalliance.org/guidance/csaguide.v3.0.pdf.
CSA. The Notoriuous Nine Cloud Computing Top Threats in 2013. [Acesso em: fevereiro-2015],
https://goo.gl/yHqONF.
Cser, A., Ferrara E. The Forrester Wave: public cloud platform service providers’ security, q4 2014. [Acesso
em: novembro-2015], https://goo.gl/CvUiYk.
Fixya. Cloud Storage Report. [Acesso em: dezembro-2015], http://www.fixya.com/reports/cloud-storage.
NURCAN, S.; PIMENIDIS, E. (Ed.). Information Systems Engineering in Complex Environments: caise forum
2014, thessaloniki, greece, june 16-20, 2014, selected extended papers. Cham: Springer International
Publishing, 2015. p.3–19.

29

Referências (3)
STANDARDS, N. I. of; TECHNOLOGY (Ed.). The NIST Definition of Cloud Computing. [S.l.: s.n.], 2011.
ITU, G. (Ed.). Web Service Security-Vulnerabilities and Threats Within the Context of WS-Security. In:
proceedings of the 4th conference on standardization and innovation in information technology. [S.l.: s.n.],
2005.
27002:2005, I. (Ed.). Information technology - Security techniques - Code of practice for information security
management. [S.l.: s.n.], 2005.
LADAN, M. Web services: security challenges. In: INTERNET SECURITY (WORLDCIS), 2011 WORLD
CONGRESS ON. Anais. . . [S.l.: s.n.], 2011. p.160–163.
ACM (Ed.). “Cloud api issues: an empirical study and impact”. in: proceedings of the 9th international acm
sigsoft conference on quality of software architectures. [S.l.: s.n.], 2013. COMPUTAçãO, S. B. de (Ed.).
30
Segurança em Serviços Web. Minicursos do SBSeg. [S.l.: s.n.], 2006.

Referências (4)
MOHAPATRA, A. K.; GULATI, A.; LUTHRA, R. Article: a novel approach to secured network
selection. International Journal of Computer Applications, [S.l.], v.47, n.3, p.7–11, June 2012. Full text available.
OASIS. UDDI Spec Technical Committee Specification Draft. UDDI Version 3.0.2. [Acesso em: novembro-2013],
http://www.uddi.org/pubs/uddi-v3.0.2-20041019.htm.
OASIS. Security Assertion Markup Language (SAML) V2.0 Technical Overview. [Acesso, em: novembro-2013],
https://www.oasis-open.org/committees/download.php/27819/sstc-saml-tech-overview-2.0-cd-02.pdf.
OASIS.Web Services Security: soap message security version 1.1.1. [Acesso em: novembro-2014],
http://docs.oasis-open.org/wss-m/wss/v1.1.1/os/wss-SOAPMessageSecurity-v1.1.1-os.html.
OASIS. WS-SecurityPolicy 1.3. [Acesso
securitypolicy/v1.3/ws-securitypolicy.pdf.

em:

Novembro-2015],

http://docs.oasis-open.org/ws-sx/ws31

Obrigado!
Aluno: Ricardo Marinho de Melo – rmm@cin.ufpe.br
Orientador: Vinicius Cardoso Garcia – vcg@cin.ufpe.br
3 de Março de 2016

32