agility made possible

Transcription

1 LIVRE BLANC Solution de gestion de la sécurité Web de CA Technologies Février 2012 Sécurisation des architectures informatiques basées sur les services avec CA SiteMinder Web Services Security agility made possible

2 Table des matières RÉSUMÉ 3 Section 1 : Défi 4 Le défi de la gestion de la sécurité en matière de services Section 2 : Solution 5 Vers une architecture orientée service Présentation de la sécurité SOA Couches de sécurité SOA Que manque-t-il à la sécurité SOA/WS? Section 3 : Avantages 11 CA SiteMinder Web Services Security prend en charge les problématiques de gestion de la sécurité Principaux avantages Architecture du produit CA SiteMinder Web Services Security Principales fonctionnalités de CA SiteMinder Web Services Security Section 4 : 15 Une valeur ajoutée à chaque couche de l environnement SOA Des possibilités d application dans tous les secteurs Section 5 : 18 Conclusion 2

3 Résumé Défi Les architectures orientées services et les services Web (SOA/WS, Service-Oriented Architectures/Web Services) semblent aujourd hui se démarquer, pour devenir les nouvelles architectures d applications populaires au sein des entreprises dont l activité est centrée sur les technologies de l information. Ces entreprises attendent des SOA/WS qu elles améliorent la rapidité et la flexibilité des applications, ainsi que leur coût de conception et de déploiement, pour une utilisation aussi bien externe qu en interne. Toutefois, comme dans le cas de toute nouvelle architecture informatique et en particulier de celles qui sont fortement distribuées, la gestion de la sécurité peut être un problème majeur. Sans une architecture adaptée, la sécurité des applications est souvent organisée en silos. Malheureusement, ceci augmente le risque de fuite d informations, les coûts d administration de la sécurité et la difficulté de mise en conformité vis-à-vis des réglementations ayant une incidence sur les systèmes d information. Solution Grâce à la fonction de gestion centralisée de la sécurité offerte par CA SiteMinder Web Services Security (WSS), les organisations peuvent gérer la sécurité de leurs déploiements SOA/WS métier, quel que soit le nombre de services Web ou de technologies d infrastructure différentes déployés. Intégrer la sécurité à l infrastructure de service SOA/WS, de manière centralisée et sur la base de règles, permet de dissocier la sécurité des services eux-mêmes. Ceci allège les tâches administratives et le coût d une solution de sécurité d entreprise fiable et cohérente pour les SOA/WS. Avantages CA SiteMinder WSS offre une fonctionnalité de sécurité des services Web (Web Services Security) basée sur l identité : authentification, autorisation et audit (AAA). Cette solution permet ainsi de réduire le temps et le coût de développement et de maintenance des services, ainsi que les risques informatiques, par le biais d une surveillance et d un contrôle accrus. En outre, utilisé conjointement à CA SiteMinder, CA SiteMinder WSS constitue une solution de sécurité Web globale efficace, qui permet de sécuriser à la fois les portails/applications Web traditionnels et les services Web XML, en faisant appel à la même architecture d agent et de serveur de règles. 3

4 Section 1 : Défi Le défi de la gestion de la sécurité en matière de services Les architectures orientées service (SOA) constituent l approche la plus récente, et souvent la meilleure, de conception et de déploiement d applications informatiques. Intégrant généralement des normes Internet, par le biais de l utilisation de services Web (WS) basés sur le langage XML, l approche SOA promet une agilité et une flexibilité accrues. Ceci est dû au fait qu elle permet aux organisations de publier leurs services à destination d une multitude de clients potentiels, aussi bien externes qu internes. Cette approche fondée sur les services modifie fondamentalement la manière dont les applications sont conçues et construites. Elle peut supporter une variété infinie de processus métier, mais remet également en question la manière dont les organisations informatiques régissent, gèrent et sécurisent les applications et les données. Tout comme avec l apparition des premiers portails et applications Web sécurisés, dans les années 1990, l arrivée des applications basées sur une architecture SOA/WS engendre différentes problématiques de gestion informatique et de la sécurité, qui doivent être résolues pour qu un déploiement à grande échelle soit possible. Étant donné qu une architecture SOA/WS peut être déployée pour un usage interne, externe ou mixte, il est essentiel dans un tel environnement de définir qui a accès à quoi. Pour simplifier, une architecture SOA/WS a besoin d une fonctionnalité équivalente à celle devenue standard avec les sites Web et les portails : des pare-feux et des systèmes de gestion des accès Web (WAM, Web Access Management) ; en faisant appel à une philosophie et à une approche génériques éprouvées dans la sécurité des sites Web, mais en les adaptant à l orientation service et aux services Web XML. La gestion de la sécurité pour une architecture SOA/WS n implique pas de réinventer la roue, car les exigences en la matière sont largement similaires à celles des applications Web. Par exemple, aussi bien pour les sites Web que pour SOA/WS, il est important de préserver la confidentialité des données privées et de veiller à ce que les messages ne soient pas altérés (intégrité). Il est tout aussi important de déterminer l identité du demandeur (authentification), de décider du niveau d autorisation octroyé à l application ou à l utilisateur demandeur (autorisation) et d assurer le suivi de tout ce qui s est passé et se passe au sein de l environnement, d un point de vue sécurité (audit/reporting). La première phase type d un déploiement SOA/WS aujourd hui combine souvent un déploiement de portail traditionnel en système frontal, pour l utilisateur humain, et un appel de service Web en système principal, agissant au nom de cet utilisateur, pour des services Web hébergés en interne ou en externe par des partenaires. Dans un tel scénario, de nombreuses organisations cherchent à préserver l identité et le contexte de sécurité en toute transparence, dans toutes les étapes de l application. En effet, elles souhaitent que la session utilisateur soit démarrée de manière traditionnelle, c est-à-dire via une connexion utilisateur conservée pour une ou plusieurs transactions de service Web sur le système principal. De même, étant donné que ces sauts de service Web impliquent souvent des domaines de sécurité externes ou séparés, une fonction de sécurisation doit être activée et appliquée (par fédération) sur l ensemble de ces domaines de sécurité, par une approche évolutive et conforme à des normes efficaces. CA SiteMinder Web Services Security a été créé par CA Technologies pour résoudre ces problèmes, avec un logiciel de sécurité SOA/WS centré sur l identité, capable de sécuriser l accès aux services en inspectant les informations de sécurité contenues dans les documents XML envoyés par les clients de ces services. Fondé sur un ensemble de normes SOA/WS clés, CA SiteMinder WSS utilise des règles de sécurité centralisées associées aux identités utilisateur pour offrir des services d authentification, d autorisation, de fédération, de gestion de session et d audit de sécurité. CA SiteMinder WSS s intègre dans un déploiement SOA/WS hétérogène en fournissant des points 4

5 d application des règles (PEP, Policy Enforcement Point) basés sur agent, contrôlés et gérés par des points de décision des règles (PDP, Policy Decision Point) centralisés ou des serveurs de règles. Le présent document explique pourquoi les architectures SOA/WS gagnent aujourd hui du terrain dans les entreprises, puis aborde les problèmes de sécurité qui en découlent et comment CA SiteMinder WSS propose de les résoudre en protégeant et en gérant les déploiements SOA/WS à l échelle de l entreprise. Section 2 : Solution Vers une architecture orientée service Il est estimé que la majorité des grandes entreprises du monde ont déjà commencé à utiliser une approche SOA/WS (architecture orientée service/services Web) ou prévoient de le faire dans un futur proche. De plus, la popularité grandissante des déploiements Cloud renforce encore la tendance de l approche SOA/WS en matière d intégration des applications. L attrait de cette solution repose grandement sur sa capacité à accélérer le développement et le déploiement des applications et à en améliorer la flexibilité et la réutilisabilité, tout en réduisant les coûts informatiques. L approche SOA/WS consolide les bénéfices réalisés en tirant profit des portails et des applications Web traditionnels. Elle reprend le modèle des applications interdomaines, centrées sur le service des utilisateurs humains, et généralise le concept aux applications informatisées qui fonctionnent ou non sous le contrôle direct d une personne. L architecture SOA/WS profite directement d Internet et de la technologie Internet pour offrir une grande flexibilité dans l intégration des applications, que le client du service réside sur Internet ou sur l Intranet/Extranet de son entreprise. Non seulement cette approche facilite l intégration des applications en interne, mais elle tire profit des normes existantes pour ouvrir les mêmes services au plus grand nombre, qu il s agisse de clients, de partenaires ou d organisations tierces. Utiliser l informatique pour créer et accélérer les relations avec les tiers n est pas un phénomène nouveau. Les structures de données à format fixe, comme l échange de données informatisé (EDI, Electronic Data Interchange), sont traditionnellement utilisées pour les échanges de données entre partenaires commerciaux. Pourtant, dans cette nouvelle génération de processus métier mondiaux réellement intégrés, l EDI est un système de communication qui présente des contraintes importantes car il n est pas ouvert à l infinité de types de communications et de transactions dont les organisations ont besoin. Cependant, l EDI est un exemple utile de ce qu il est possible de réaliser et peut être considéré comme la première génération des systèmes d échange de données numériques interentreprises, à plus ou moins grande échelle. Les organisations d aujourd hui ont besoin d interfaces ouvertes et normalisées pour intégrer leurs systèmes métier de manière fiable et sécurisée. Comme avec toute nouvelle technologie, l approche SOA/WS soulève certaines problématiques qui doivent être résolues pour qu une utilisation à grande échelle soit envisagée. Face à la flexibilité et à l évolutivité inhérentes à l approche SOA/WS, toutes les solutions déployées doivent être fiables, disponibles, évolutives, gérables et sécurisées, tout en permettant une surveillance efficace de l environnement. Ces problèmes clés en matière de gestion des systèmes d information exigent une évolution dans les mentalités. Bien que ce dossier soit consacré aux nouveaux défis en gestion de la sécurité représentés par l architecture SOA/WS, il est important de garder en mémoire que la sécurité n est que l une des problématiques de gestion des systèmes d information soulevées par SOA/WS. Par le passé, les menaces provenaient des attaques perpétrées par des acteurs extérieurs à l organisation (déni de service, usurpation de messages et empoisonnement DNS), destinées à altérer le bon fonctionnement des 5

6 applications. Ce n est plus le cas aujourd hui, car les menaces proviennent de plus en plus de personnes en interne, à la fois clients d une application SOA/WS et vecteurs de menaces légitimes, qui dérobent des données sensibles et interrompent le fonctionnement des processus métier, quelles que soient leurs intentions réelles. Au mieux, le concept de personnes intérieures et extérieures à l organisation devient extrêmement vague lorsqu il est envisagé du point de vue d une architecture SOA/WS. De ce fait, l approche traditionnelle d un déploiement de sécurité sur plusieurs couches, où les différents produits et processus sécurisent le réseau, le data center, les applications et les terminaux, n est plus suffisante. Dans un environnement où les services sont sollicités par un demandeur pouvant être interne ou extérieur à l organisation (ou par une application interne agissant au nom d une personne extérieure), les services de sécurité tels que l authentification et l autorisation sont plus importants que jamais. L approche SOA/WS permet la création d une nouvelle génération d applications ouvertes, intégrées et accessibles, mais exige également l application stricte et permanente d un ensemble de règles d usage, pouvant aller jusqu à la prestation de services de gestion à une échelle et une granularité supérieures à tout ce que le monde informatique a connu jusqu ici. Autre risque de l approche SOA/WS en matière de gestion de la sécurité, la pratique consistant à concevoir une logique de sécurité (confirmation de l identité du demandeur et définition de leurs droits d accès, par exemple) de manière directe et unique dans chaque service, par opposition à un service de sécurité partagé. À mesure que la taille des déploiements SOA/WS continue à croître, cette tendance à la création de silos de sécurité est de plus en plus malaisée pour les organisations disposant de centaines, voire de milliers de services. Les silos de sécurité redondants ne sont pas seulement onéreux à la création et à la maintenance, ils augmentent également les risques et compliquent grandement la mise en conformité réglementaire. Enfin, ils affectent la responsabilisation et le contrôle. Face à la prolifération actuelle des applications SOA/WS, les organisations doivent trouver comment proposer au minimum le même niveau de sécurité (voire un niveau supérieur, si possible) que les applications Web et client/serveur existantes. Leur tâche est compliquée par des exigences réglementaires de plus en plus strictes, qui ont un impact direct sur les systèmes d information et exigent des dirigeants d entreprise qu ils se portent garants de l inviolabilité des transactions et du reporting financier associé, et assurent la protection des informations privées et personnelles. Présentation de la sécurité SOA Lorsque l on cherche à comprendre les besoins en matière de sécurité inhérents à un environnement basé sur une architecture SOA/WS, il est logique de s intéresser à la façon dont les entreprises ont géré (et continuent à gérer) le passage à des applications Web, au cours de la dernière décennie. La première génération d applications Web intégrait la sécurité directement au sein des applications. Ces «silos» de sécurité impliquaient l implémentation d un répertoire d utilisateurs, de listes de contrôle d accès (ACL, Access Control List) et d un ensemble de règles d accès pour chaque application. Pour résumer, chaque application d une architecture en silo gérait individuellement ses propres procédures d authentification, d autorisation et d audit (AAA), à un certain niveau. À mesure que le nombre d applications Web par organisation augmentait, l approche de la sécurité en silo n a su s adapter et s est finalement avérée peu sûre et coûteuse à gérer. Dans les années 1990, un tout nouveau genre d applications de sécurité a donc été créé, pour permettre aux applications d externaliser leurs fonctions d authentification, d autorisation, d audit et d administration des utilisateurs par le biais d une infrastructure de sécurité centralisée, hautement évolutive, pouvant être utilisée par toutes les applications Web de l entreprise. Dans le même temps, une technologie standard appelée LDAP a émergé pour les répertoires d utilisateurs, afin de permettre la création des répertoires centralisés essentiels pour faire évoluer cette infrastructure de sécurité externalisée. 6

7 Il existe de nombreux parallèles entre les applications Web et les applications SOA/WS, notamment le fait qu elles peuvent toutes être déployées sur un intranet (pour une utilisation dans l entreprise), un extranet (pour les partenaires commerciaux) ou un réseau public, comme Internet (pour les clients). La principale différence est que l utilisateur d un environnement SOA peut être une machine parlant le langage XML, WSDL ou SOAP, par opposition à un utilisateur humain regardant une page Web sur son navigateur. Nombre des problématiques de sécurité rencontrées sont les mêmes et peuvent être résolues grâce à une approche similaire en gestion de la sécurité. Mais avant de passer aux solutions possibles, prenons un moment pour étudier plus en détail les exigences de sécurité d une architecture SOA/WS. Bien qu assez similaires aux exigences de sécurité des applications Web traditionnelles, quelques différences méritent d être soulignées. Les exigences des applications SOA/WS en matière de sécurité incluent les éléments suivants. Prévention des menaces/logiciels malveillants. Le trafic XML n est pas différent du trafic Web ou de messagerie électronique, dans le sens où il peut servir à véhiculer des éléments malveillants vers leurs destinataires. Comme il est déjà pratique courante avec les autres trafics de données, il est nécessaire d analyser l ensemble du trafic XML entrant au niveau de la périphérie/zone DMZ, pour s assurer de l absence de tout programme malveillant ou toute autre attaque ciblant les services métier, par exemple des virus, des dénis de service, des messages usurpés, etc. Authentification. Qui tente d accéder à ce service? Que ce tiers soit un processus informatique ou un autre service Web, il est nécessaire de déterminer l identité du demandeur avant de lancer une quelconque action. Personne ne doit pouvoir accéder à une application Web stratégique sans une authentification positive préalable. Les applications SOA/WS ne diffèrent en rien des autres sur ce point. Autorisation. Une fois le client du service authentifié, que peut-il faire à l aide des services Web de l entreprise? À quels services est-il autorisé à accéder? Quelles sont les données accessibles et quelles sont les transactions et les fonctions métier qu il peut utiliser? De même qu un utilisateur se voit octroyer des droits pour l utilisation de certaines fonctions, dans un portail Web, le fournisseur des services Web doit définir des droits au nom du client du service, qu il soit interne à l entreprise ou extérieur. Audit et reporting. Au vu des réglementations strictes, qui imposent de consigner chaque transaction matérielle et de surveiller étroitement les opérations commerciales en cas de divulgation de données ou de tout autre problème, l environnement SOA/WS doit permettre de suivre chaque transaction et de reconstituer chaque activité commerciale en toute transparence. De même, il est essentiel de générer des rapports sur l activité de l ensemble de l entreprise. Administration des identités. Les organisations doivent gérer les identités, les informations d identification et les droits d accès pour les applications SOA/WS, tout comme elles le font aujourd hui pour les architectures informatiques traditionnelles. Étant donné que les services Web agissent au nom des utilisateurs ou d autres applications ou processus technologiques, une authentification unique (SSO) et l octroi d informations d identification et de droits d accès sont essentiels pour permettre à l environnement de se développer en toute sécurité. Gestion des règles centralisée/gestion simplifiée de l entreprise. Face au nombre élevé de services potentiels disponibles via l architecture SOA/WS, comment une organisation peut-elle obtenir une vision globale des centaines, voire des milliers d applications SOA distinctes en cours d exécution? En outre, il est essentiel de pouvoir mettre au point et appliquer une règle de sécurité centralisée afin d appliquer rapidement les modifications nécessaires suivant les fluctuations des exigences métier, sans affecter ni modifier le service métier sous-jacent. 7

8 Gestion de session. Tout comme l authentification unique (SSO) des applications Web, les services Web peuvent être intégrés à des processus métier pour lesquels il est nécessaire de maintenir des sessions entre plusieurs services Web, sur l ensemble d une même transaction. Il s agit là d un type de SSO pour les services Web. Support d une infrastructure hétérogène. L un des principaux avantages du Web, et maintenant des applications basées sur les services Web, est qu il n est pas nécessaire d utiliser du matériel, un réseau ou des applications spécialisés, dans la mesure où ceux-ci sont conformes à un jeu standard de technologies d échange. Les méthodes de déploiement des services Web sont nombreuses, et la plupart sont appliquées dans les grandes organisations. La capacité à protéger ces services de manière homogène, dans un environnement aussi hétérogène, est donc une préoccupation clé. Performances, fiabilité, disponibilité et évolutivité. Ces éléments inhérents à tout environnement informatique professionnel sont évidemment un prérequis. De nombreuses applications Web doivent être capables de s adapter à des millions, voire à des dizaines de millions d utilisateurs avec une disponibilité de «cinq neuf» (99,999 %). De même, les applications SOA, dont l un des principaux avantages est la réutilisabilité, peuvent présenter un niveau d utilisation avec des exigences de disponibilité «cinq neuf» similaires. Enfin, la nature interdépendante des applications SOA/WS implique qu un problème affectant un service de composant peut affecter également de nombreux autres services. Support des normes. Les applications SOA/WS sont fondées sur des normes (XML, WSDL, SOAP, etc.), notamment des normes de sécurité (WS-Security et autres) qui doivent être supportées afin d offrir l interopérabilité nécessaire pour faciliter le déploiement et la gestion des services orientés vers l intérieur et vers l extérieur de l organisation. Les exigences présentées ci-dessus doivent être délivrées dans un environnement métier flexible, capable de concrétiser pour l organisation les promesses de l architecture SOA/WS. Face aux milliers de services Web SOA que les grandes organisations auront à gérer, services eux-mêmes formés de nombreux composants autonomes différents, l idée d intégrer les fonctionnalités de sécurité individuellement dans chaque composant n est tout simplement pas réalisable. C est pourquoi la sécurité SOA (tout comme la gestion des accès Web par le passé) doit être délivrée sous forme d infrastructure ou de service centralisé pour maintenir les hauts niveaux de flexibilité et d efficacité requis. Couches de sécurité SOA La sécurité dans un environnement SOA/WS peut être déployée à différents emplacements, suivant l architecture des applications. La sécurité SOA/WS est souvent mise en œuvre en périphérie du réseau, au sein d une plateforme SOA, ou dans un conteneur d application SOA comme illustré dans le schéma ci-dessous. L intégration entre ces zones de sécurité disparates étant actuellement très faible, il existe un important problème de duplication des fonctionnalités. C est pourquoi les entreprises ont souvent dû gérer des règles de sécurité similaires aux différents emplacements de l architecture SOA/WS. Administrer ces multiples règles de sécurité peut être problématique pour plusieurs raisons. Cela consomme davantage de ressources, peut entraîner des failles de sécurité et dupliquer des défenses similaires. Les meilleures pratiques dictent une défense en couches pour la sécurité SOA, toutefois ces couches doivent être cohérentes, coordonnées et régies par une règle centralisée. 8

9 Illustration A. Couches de sécurité SOA et importance d un audit, d un reporting et d une gestion des règles de sécurité, centralisés. Couches de sécurité SOA Utilisateurs des services SÉCURITÉ PÉRIPHÉRIE ZONE DMZ Fournisseurs de services Menaces XML SÉCURITÉ PLATE-FORME SOA SÉCURITÉ CONTENEUR Menaces XML GESTION DES RÈGLES, AUDIT ET REPORTING CENTRALISÉS Fournisseurs de services Utilisateurs des services Enfin, une solution de sécurité SOA/WS doit assister les développeurs d applications et non les encombrer de détails sur la sécurisation de chaque service de composant. Mais elle doit constituer en même temps un moyen centralisé et structuré pour l application des règles organisationnelles à l ensemble des services Web déployés, qui garantit qu un reporting de bout en bout adapté est également critique. C est cet équilibre qui pousse de nombreuses organisations à choisir un système de sécurité SOA/WS capable d offrir la flexibilité dont elles ont besoin, tout en permettant une gestion centralisée hautement efficace. Découvrons à présent plus en détail chaque couche de ce modèle. Sécurité en périphérie (périmètre). Installés sous forme logicielle ou matérielle au sein de la zone démilitarisée du réseau de l organisation, ces systèmes de périphérie (communément appelés passerelles de sécurité XML ou pare-feux XML) constituent la première ligne de défense des applications SOA/WS. Ils sont généralement déployés en tant que proxy inverses pour le trafic XML, afin que tous les messages entrants soient inspectés et traités, conformément à la règle de sécurité en vigueur. Ces passerelles de sécurité XML recherchent les menaces et programmes malveillants XML potentiels dans le trafic entrant, notamment les virus et les attaques de déni de service. Une traduction de protocole peut également avoir lieu en périphérie, pour assurer la compatibilité avec les applications déployées et autres normes en vigueur. 9

10 Sécurité par plate-forme SOA. Au vu du grand nombre de services déployés dans les grandes entreprises, celles-ci choisissent majoritairement de mettre en œuvre une plate-forme SOA/WS qui agit comme intermédiaire pour la connexion, la médiation et la gestion des services disponibles. Les développeurs SOA/WS ont la possibilité d utiliser certaines des fonctionnalités de sécurité intégrées aux plates-formes SOA, au risque toutefois de dupliquer les défenses, de laisser des failles de sécurité et de créer des silos de sécurité. Ces difficultés viendraient alors s ajouter aux défis de gestion et de conformité à venir déjà identifiés. Les plates-formes SOA tendent à utiliser les normes de sécurité SOA/WS (y compris WS-*) pour émettre les droits d accès et supporter la fédération entre les différents systèmes, aussi bien internes qu extérieurs à l organisation. Sécurité par conteneur SOA. Les applications SOA/WS sont déployées au sein de conteneurs, généralement conçus selon la spécification Java J2EE ou Microsoft.NET. Les applications SOA/WS étant basées sur des normes, l environnement de développement n est pas subordonné au déploiement des services eux-mêmes, mais cela fait tout de même une différence lors de la sécurisation de l environnement. Comme avec les plates-formes SOA, J2EE et.net offrent certaines fonctionnalités de sécurité pouvant être intégrées directement à l application, à la discrétion du développeur ; cela implique toutefois les mêmes risques de duplication de fonctions et de création de silos de sécurité, qui viennent s ajouter aux problèmes de gestion et de conformité déjà identifiés, et entraîne des failles de sécurité potentielles au sein de l application. Que manque-t-il à la sécurité SOA/WS? Comme nous l avons mentionné précédemment, la duplication des fonctions de sécurité entre les différents domaines SOA (périphérie, plate-forme et conteneur) est clairement inefficace et exige des ressources supplémentaires significatives en termes de gestion et de développement, avec l augmentation des coûts informatique que cela implique. Outre ce chevauchement, il est difficile de mettre en œuvre une règle de sécurité SOA cohérente sur l ensemble des couches et des applications disparates exécutées au sein de l environnement. Le parallèle peut être fait avec la gestion des accès Web, qui présentait aussi initialement de nombreux niveaux de sécurité disparates (périphérie, conteneur, intégration à l application) ; ces niveaux ont par la suite été regroupés en une infrastructure de sécurité commune, à la fois pour améliorer le niveau de sécurité global et pour diminuer le temps et les ressources nécessaires pour sécuriser ces applications. La bonne nouvelle est que ce problème a été résolu dans le domaine d application Web et que nombre de ces mêmes techniques sont directement applicables aux environnements SOA/WS. Les applications SOA connaîtront donc certainement la même évolution que les applications Web avant elles. Ceci ouvre la voie pour une nouvelle génération de solutions de sécurité SOA/WS, qui permettront d appliquer une sécurité centralisée à l ensemble des couches de l application, réunissant le meilleur des deux mondes. Les applications SOA/WS exigeantes d aujourd hui ont besoin d une sécurité efficace au niveau de chaque couche, tout en utilisant une interface de gestion commune, une application homogène des règles et un reporting d audit et de conformité intégré, sur l ensemble de l écosystème SOA. 10

11 Section 3 : Avantages CA SiteMinder Web Services Security prend en charge les problématiques de gestion de la sécurité CA SiteMinder WSS est bien positionné pour offrir une sécurité de bout en bout pour les applications SOA/WS, tout en offrant une gestion centralisée des règles, l application des règles aux différentes couches de sécurité et une fonction d audit centrale, pour le déploiement d un environnement SOA/WS d entreprise. En dissociant la sécurité des services eux-mêmes, CA SiteMinder WSS vous aide à réduire de manière significative les tâches d administration et les autres coûts associés à la sécurité des services Web/SOA. CA SiteMinder WSS contrôle les informations de sécurité contenues dans les documents XML envoyés par les clients du service et utilise ces informations pour définir les droits d accès. Il offre une fonctionnalité de niveau entreprise pour les services Web/SOA exposés en interne et en externe, favorisant la protection contre les menaces XML tout en contrôlant l accès pour les clients légitimes du service. Tout comme avec la gestion des accès Web par le passé, CA SiteMinder WSS dissocie largement la sécurité de la sphère de travail du développeur d applications, permettant à celui-ci de se concentrer sur la logique d application et le professionnel de sécurité de se consacrer à la sécurité et à l atténuation des risques. CA SiteMinder WSS apporte une vision de la sécurité en partage de services, par opposition aux silos de sécurité SOA disparates précédemment utilisés. Construit au-dessus d un serveur de règles centralisé, il vérifie chaque message en appliquant les règles d authentification et d autorisation. Les messages entrants et sortants peuvent en outre être transformés et sécurisés conformément aux règles de l entreprise. Avec des agents exécutés sur les serveurs d applications majeurs, dans les principaux conteneurs SOA, CA SiteMinder WSS offre un modèle de bout en bout pour sécuriser les services Web/SOA, de la périphérie au conteneur. Principaux avantages Une sécurité homogène. À l inverse de la sécurité disparate mise en œuvre dans de nombreuses entreprises, sans règles communes, CA SiteMinder WSS offre un point unique pour l audit et le contrôle des accès, permettant une application homogène des règles de sécurité de l entreprise. Des coûts de développement réduits. Les développeurs n ont plus à intégrer la sécurité dans les composants respectifs de leurs applications SOA/WS. L externalisation de la sécurité améliore ainsi la productivité des développeurs et diminue les délais de commercialisation pour les services métier. Une création simplifiée des règles de sécurité. La nouvelle interface utilisateur ciblée sur les services Web simplifie la création des règles de sécurité, à l aide d un fichier WSDL. Cette interface d administration peut se connecter à de multiples serveurs de règles, vous permettant de gérer la totalité de vos composants à partir d un unique serveur d administration partagé. Un audit centralisé des règles de sécurité SOA. Les règles de sécurité mises en œuvre sur les serveurs de règles centralisés sont contrôlées à chaque étape de la transaction, pour garantir que les contrôles appliqués à chacune de ces étapes sont adaptés. Ceci permet également au reporting centralisé de gérer les besoins en termes d audit et de conformité. 11

12 Une gestion de session et une authentification unique. La gestion centralisée de la sécurité permet également une authentification unique (SSO), pour les demandes de service Web service déjà authentifiées qui n ont pas besoin d être réauthentifiées, à mesure que les transactions passent par les différentes étapes de service (définies par l entreprise ou par une tierce partie) qui composent un processus métier standard. Les sessions peuvent être configurées pour rester valides pendant un temps donné, ce qui offre davantage de flexibilité. Des services Web à fiabilité et à disponibilité élevées. Les services Web sont disponibles en permanence, et il en est de même pour CA SiteMinder WSS, qui offre une fiabilité et un temps utile incomparables pour les processus métier à puissance de production la plus élevée, 24 heures/24 et 7 jours/7. Des normes appliquées dans un environnement ouvert, indépendant de toute plate-forme. CA SiteMinder WSS supporte les normes de services Web en vigueur, y compris XML, SOAP, REST, WSDL, SSL, WS-Security et chiffrement/signatures XML. Une mise à profit de l environnement de gestion des accès Web existant. Construit sur la même architecture basée sur les agents et le même serveur de règles que CA SiteMinder, la solution de gestion des accès Web de CA Technologies, leader du marché, CA SiteMinder WSS profite du même environnement de déploiement. Cette combinaison permet une sécurité Web complète, à la fois pour les applications et sites Web et pour les services Web. L externalisation des fonctions de sécurité SOA dans une infrastructure commune réduit de façon spectaculaire les coûts de développement et offre un point unique pour l administration et le contrôle des accès des centaines (voire des milliers) de services distincts mis en place dans les plus grandes entreprises. CA SiteMinder WSS offre une fonctionnalité de sécurité complète, de la périphérie aux conteneurs SOA. Architecture du produit CA SiteMinder Web Services Security Serveur de règles - Point de décision des règles (PDP). Le serveur de règles CA SiteMinder WSS fournit le point de décision des règles (PDP, Policy Decision Point) pour CA SiteMinder WSS et constitue la pierre angulaire de la plate-forme de gestion centralisée, basée sur les règles. Il a été conçu sur la base du serveur de règles de CA SiteMinder, auquel il ajoute diverses fonctions conçues pour le support des normes de sécurité et des traitements spécifiques XML. Le serveur de règles peut utiliser les agents SOA de CA SiteMinder WSS et une passerelle de sécurité XML en option comme points d application des règles (PEP, Policy Enforcement Point) pour les services Web, où qu ils soient hébergés. 12

13 Illustration B. CA SiteMinder Web Services Security et son architecture PEP/PDP/PAP. Architecture CA SiteMinder Web Services Security DEMANDEUR SERVICE WEB SERVICES WEB AGENT SOA J2EE CLIENT AGENT AGENT SOA ESB AGENT SOA MAINFRAME PARTENAIRE AGENT SOA.NET PDA SERVEUR DE RÈGLES SÉCURITÉ ADMINISTRATEUR PASSERELLE SÉCURITÉ XML APPLICATION RÉFÉRENTIEL DE RÈGLES MAGASIN DE CLÉS MAGASIN D UTILISATEURS REPORTING/ AUDIT PARE-FEU PARE-FEU Architecture de déploiement de référence CA SiteMinder WSS. CA SiteMinder WSS peut être déployé dans une architecture hautement distribuée offrant une combinaison de points d application des règles distribués (via les passerelles de sécurité XML en option et les agents SOA) et de points de décision des règles basés sur un serveur de règles centralisé. 1. Les demandes de service Web provenant de l extérieur de votre réseau peuvent être sécurisées à l aide d une passerelle de sécurité XML en option, fonctionnant dans la zone DMZ. L utilisateur peut également accéder au serveur de portail, qui lance à son tour une demande pour un service Web hébergé derrière la zone DMZ. 2. Les services Web déployés au sein d une entreprise peuvent également s envoyer mutuellement des demandes, dans le cadre d un processus métier particulier. Cette opération est sécurisée par les agents SOA dans le dernier maillon de la sécurité SOA/WS. 3. Le serveur de règles commun centralisé sécurise à la fois le trafic des services Web et le trafic des sites Web lorsque CA SiteMinder et CA SiteMinder WSS sont utilisés conjointement. 13

14 Grâce à la construction sur une architecture extensible et évolutive, des services de sécurité peuvent être ajoutés et améliorés à mesure que les besoins en gestion et en sécurité évoluent pour les services Web. Grâce à l intégration à des répertoires LDAP aux normes du secteur, à des systèmes de base de données relationnelle et à des référentiels d identités mainframe pour la gestion centralisée des informations de droits d accès et d identité des utilisateurs, vous disposez d une flexibilité optimale pour mettre en œuvre CA SiteMinder WSS conformément à vos exigences métier et étendre votre infrastructure informatique existante, et non l inverse. Agents SOA - Points d application des règles (PEP). CA SiteMinder WSS propose différents points d application des règles, pour aider à garantir une sécurité de bout en bout, sur l ensemble de l infrastructure d entreprise SOA/WS. Des agents sont disponibles pour les principaux conteneurs.net et J2EE. De nouveaux agents SOA sont régulièrement mis au point, notamment pour les plates-formes ESB et SOA supplémentaires. SOA Security Manager SDK - Pour les PEP personnalisés. Cette API Java permet aux partenaires et aux clients d écrire des agents SOA personnalisés pour leur environnement. Cette API ouverte permet aux partenaires et aux clients de CA d étendre leurs intégrations existantes avec la solution SOA Security Manager, dans laquelle les plates-formes SOA, les pare-feux XML et les autres appareils utilisent CA SiteMinder WSS pour offrir un environnement d autorisation et d autorisation à gestion centralisée. Principales fonctionnalités de CA SiteMinder Web Services Security CA SiteMinder WSS offre des fonctionnalités très intéressantes, notamment : Une gestion centralisée des règles de sécurité SOA. Grâce à la mise en œuvre d un modèle de services partagé, CA SiteMinder WSS dissocie la sécurité du service Web sous-jacent, ce qui donne la possibilité d appliquer les règles de sécurité de manière homogène à toutes les couches du service Web, y compris en périphérie (périmètre), au niveau de la plate-forme SOA et dans le conteneur SOA. Des services Web fondés sur l identité. CA SiteMinder WSS lie le flux XML à une identité d utilisateur (que cet utilisateur soit humain ou une autre application), garantissant qu une authentification, une autorisation et des droits appropriés sont maintenus tout au long de la transaction. Une gestion de session synchronisée et une authentification unique (SSO) sécurisée. CA SiteMinder WSS gère l état de la session et élimine la réauthentification des messages XML lors des transactions fédérées et multiétapes s étendant sur plusieurs services de composant et frontières organisationnelles. Un mappage des informations d identification. CA SiteMinder WSS authentifie et autorise les demandes de service Web, mais supporte également la génération d un nouveau jeton de sécurité pour le même demandeur, qui mappe l identité d un jeton sur un autre jeton, jouant ainsi le rôle d un service de jeton de sécurité. En outre, les jetons SMSESSION de CA SiteMinder peuvent être mappés sur des assertions SAML WS-Security normalisées, pour améliorer encore la transparence et l interopérabilité du système. La création de règles de sécurité via WSDL. Une nouvelle interface utilisateur Web simplifie la création des règles de sécurité à partir du fichier WSDL. Le fichier WSDL peut être chargé à partir d un fichier ou d une adresse URL. Une fois le fichier chargé, l interface utilisateur du produit affiche toutes les opérations de service Web et permet à l administrateur de sécuriser très facilement ces opérations, à l aide d un ou de plusieurs schémas d authentification. 14

15 Le support de la fédération. Grâce au support de la norme WS-Security pour les informations de sécurité contenues dans les documents XML/SOAP, les transactions interentreprises couvrant plusieurs domaines de sécurité peuvent être gérées à l aide d une authentification unique. Un cas d utilisation type de CA SiteMinder WSS est d ailleurs de fournir un service d authentification basé sur un service Web, pouvant être utilisé comment service d authentification partagé pour l entreprise. Une autorisation dynamique basée sur le contenu XML de la demande. Dans le cadre du processus d autorisation, une règle de sécurité peut être créée pour comparer de manière dynamique le contenu XML aux attributs utilisateur stockés dans le référentiel des utilisateurs. Une grande flexibilité de déploiement pour les points d application. CA SiteMinder WSS fournit des agents pour les principaux conteneurs J2EE et.net et offre une interopérabilité totale avec les solutions des autres fournisseurs SOA, notamment.net, J2EE et IBM, Microsoft, Oracle, etc. La conformité aux normes en vigueur. CA SiteMinder WSS supporte toutes les normes importantes en matière de services Web, aidant ainsi à garantir l interopérabilité et l évolutivité du système ; ces normes incluent XML, SOAP, REST, WS-Security (SAML, Username, X509), chiffrement/signature XML, WSDL et SSL. Une extension de la plate-forme CA SiteMinder éprouvée. CA SiteMinder WSS s intègre parfaitement à la plate-forme de sécurité Web CA SiteMinder, afin de profiter de son référentiel de règles et d offrir une authentification unique pour les services Web et les applications protégées par CA SiteMinder. Section 4 : Une valeur ajoutée à chaque couche de l environnement SOA CA SiteMinder WSS offre une valeur ajoutée à chaque étape de l environnement SOA/WS. Comme nous l illustrerons dans les cas d utilisation suivants, la véritable valeur d un environnement SOA/WS sécurisé peut être révélée uniquement en utilisant des règles de sécurité, ainsi que des fonctions de reporting et de journalisation centralisées, qui offrent également des services de sécurité complets, à l échelle de l entreprise. 15

16 Illustration 3. Cas d utilisation d authentification unique (SSO, Single Sign-On). Authentification unique du portail aux services Web internes et externes NAVIGATEUR CLIENT PORTAIL BANQUE SERVICE WEB TRAITEMENT DEMANDE CARTE CRÉDIT INTERNET NOM D UTILISATEUR : GEORGE 5 4 REQUÊTE XML/SOAP + JETON MOT DE PASSE : AGENT WEB SÉCURITÉ AGENT SOA SERVEUR DE STRATÉGIE COMMUN POUR CA SOA SECURITY MANAGER ET CA SITEMANAGER INTERNET REQUÊTE XML/SOAP + WS-SECURITY SAML SERVICE WEB CONTRÔLE CRÉDIT SERVICE SÉCURITÉ COMPATIBLE WS-SECURITY 1. Un utilisateur se connecte au portail bancaire à l aide de CA SiteMinder et fait une demande de carte de crédit. 2. L application basée sur le portail lance un appel SOAP pour le service de carte de crédit interne, en utilisant le contexte de sécurité de l utilisateur. 3. La session de l utilisateur est validée et autorisée par le PEP de l agent SOA/le PDP du serveur de règles qui protège le service de carte de crédit. 4. CA SiteMinder WSS génère ensuite un jeton WS-Security/SAML et l ajoute à l en-tête SOAP de la demande, pour l étape suivante du service Web (dans cet exemple, le service Web de vérification de crédit). 5. Le service de carte de crédit envoie la demande SOAP accompagnée du jeton SAML au service externe de vérification de crédit, sous-traité à un partenaire. 6. Le service de vérification de crédit authentifie le demandeur à l aide de la norme WS-Security SAML et envoie une réponse au service de carte de crédit, qui à son tour envoie l accord ou le refus de carte de crédit à l utilisateur, sur l application de portail. Principaux avantages de ce cas d utilisation L utilisateur s authentifie uniquement au niveau du portail bancaire ; le reste de la transaction reste invisible à ses yeux. Cependant, le contexte de l utilisateur est conservé à chaque étape. Le portail bancaire et le service Web en première étape (interne) sont sécurisés par un service basé sur une seule règle, régi conjointement par CA SiteMinder WSS et CA SiteMinder. Ceci permet de réduire les coûts de développement et d administration de la sécurité (temps et argent). Chaque application/service est protégé(e) jusqu au dernier maillon (à l aide d agents) et ne reçoit pas de protection d un service de sécurité distant qui serait ou non utilisé. Il est impossible de contourner la sécurité mise en œuvre par CA SiteMinder WSS. 16

17 La fonction de mappage des informations d identification permet de mapper le contexte de sécurité sur des jetons de sécurité normalisés (dans ce cas précis, avec la norme WS-Security SAML), afin de finaliser la transaction. Les services Web ou le portail lui-même n ont pas à prendre en charge le mappage des informations d identification, car c est le système de sécurité mis en place par CA SiteMinder WSS qui s en charge. L utilisation de normes de sécurité est particulièrement importante, comme dans le cas présenté, lorsqu il est nécessaire d intégrer des services tiers de manière sécurisée. Des possibilités d application dans tous les secteurs Un nombre quasi infini de situations professionnelles pourraient être améliorées par l utilisation d une approche SOA/WS et de sa fonction de sécurité, qui rend possible un échange flexible des informations numériques interentreprises. Nous vous présentons ci-dessous quelques courts scénarios supplémentaires, qui vous donneront peut-être des idées sur la manière d appliquer SOA/WS à votre propre organisation. Dans chaque cas, vous verrez comment un système de sécurité centralisé, basé sur des règles, tel que CA SiteMinder WSS, peut rationaliser de manière spectaculaire la protection des applications critiques. Santé. Une application SOA/WS peut être utilisée pour fournir en temps réel des autorisations et des orientations patient pour les rendez-vous avec un spécialiste. Un portail Web utilisé par le médecin traitant peut envoyer une demande de services Web du système principal au service Web du référent, afin de vérifier si celui-ci est autorisé ou non, suivant les informations fournies par le médecin et le parcours de soin du patient. Une règle de sécurité homogène peut être appliquée à toutes les étapes de la transaction, même si chaque partie utilise une solution de sécurité différente, et ce grâce à l utilisation de normes communes qui facilitent l interopérabilité. Dans ce cas précis, CA SiteMinder WSS peut être utilisé de chaque côté. Cependant, si l on part du principe qu il est utilisé pour protéger le service du référent, CA SiteMinder WSS peut non seulement contrôler la validité des informations de sécurité contenues dans la demande, à des fins d authentification, mais peut également participer au processus de décision d autorisation à plusieurs niveaux. Finance. Une application «épaisse» exécutée sur le poste de travail d un trader peut appeler plusieurs services Web à l aide de plusieurs protocoles et formats, afin d exécuter des services d opérations de change et d actions. CA SiteMinder WSS, qui joue le rôle de service d authentification partagé, peut fournir une assertion SAML WS-Security au client du poste de travail, qui peut être réutilisé pour accéder à ces services et à d autres services Web sécurisés, qu ils soient hébergés à l intérieur ou à l extérieur de l entreprise. CA SiteMinder WSS peut également être utilisé pour sécuriser ces services Web, particulièrement et plus probablement ceux qui sont hébergés en interne, au dernier maillon du service lui-même. Transport. Une société de transport peut exposer ses informations de suivi des marchandises en temps réel, via un service Web, pour l intégration avec les applications spécialisées de ses clients. Fabrication. Un fabricant automobile mondial peut proposer des services d information novateurs, que ses clients recevront en continu dans leur voiture. Ces services peuvent être proposés au forfait ou dans le cadre d un pack de produits à valeur ajoutée. Ainsi, l accès aux services peut être déterminé en partie par l identité de la voiture et inclure une surveillance en continu des performances du véhicule, le suivi des révisions et la prestation de services premium non souscrits ou non disponibles au moment de l achat initial. Si vous imaginez tous les services pouvant être utiles à un conducteur dans sa voiture, vous verrez que les possibilités sont nombreuses dans le cadre d une approche SOA/WS. CA SiteMinder WSS pourrait jouer un rôle important en protégeant ces différents services de toute attaque directe ou utilisation frauduleuse. 17

18 Section 5 : Conclusion Les architectures orientées service et les services Web (SOA/WS) semblent aujourd hui se démarquer, pour devenir les nouvelles architectures d applications populaires au sein des entreprises. Leur objectif est d améliorer la rapidité et la flexibilité des applications, ainsi que leur coût de conception et de déploiement, pour une utilisation aussi bien externe qu en interne. Cependant, les architectures et les stratégies de sécurité doivent être planifiées à l avance, pour ne pas risquer de répéter les erreurs passées, lorsque la sécurité était toujours à la traîne et déployée par l agglomération de technologies et de processus disparates. Il n est pas suffisant aujourd hui de gérer les problématiques de sécurité SOA/WS abordées dans ce document en adoptant une approche traditionnelle, c est-à-dire en déployant de nombreuses couches de sécurité hétérogènes, incompatibles et se chevauchant. La sécurité doit faire l objet d une architecture spécifique intégrée à l environnement en tant que service d infrastructure, permettant un déploiement flexible et rentable, de la périphérie au conteneur. La bonne nouvelle est que les problèmes de sécurité rencontrés avec les applications SOA/WS sont très semblables à ceux qui avaient émergé lorsque les applications Web traditionnelles se sont popularisées. Les entreprises doivent donc gérer de manière centralisée la sécurité de leurs déploiements SOA/WS, comme elles le font actuellement pour leurs sites Web et leurs portails, quel que soit le nombre de services Web ou de technologies d infrastructure différents déployés. Il suffit pour ce faire de proposer une sécurité centralisée basée sur des règles, totalement intégrée à l infrastructure SOA/WS, ce qui permet de dissocier la sécurité des services eux-mêmes. CA SiteMinder WSS vient étendre l architecture CA SiteMinder éprouvée en offrant la plate-forme de sécurité SOA/ WS la plus complète du marché, qui propose une sécurité des services Web fondée sur l identité et des fonctions d authentification, d autorisation et d audit (AAA). En outre, CA SiteMinder WSS peut être utilisé conjointement à CA SiteMinder pour créer une solution de sécurité Web globale et complète, qui permet de sécuriser aussi bien les portails/applications Web traditionnels que les services Web XML, en partageant les mêmes agents, proxy et architecture sur serveur de règles. Pour en savoir plus sur CA SiteMinder Web Services Security, rendez-vous sur le site ca.com/siteminder-wss. CA Technologies est un éditeur de logiciels et de solutions intégrées de gestion des systèmes d information dont l expertise couvre tous les environnements informatiques, du mainframe au Cloud et des systèmes distribués aux infrastructures virtuelles. CA Technologies gère et sécurise les environnements informatiques et permet à ses clients de fournir des services informatiques plus flexibles. Grâce aux produits et aux services innovants de CA Technologies, les organisations informatiques disposent de la connaissance et des contrôles nécessaires pour renforcer l agilité métier. La majorité des sociétés du classement «Fortune 500» s appuient sur CA Technologies pour gérer leurs écosystèmes informatiques en constante évolution. Pour plus d informations, suivez l actualité de CA Technologies sur ca.com. Copyright 2012 CA. Tous droits réservés. Tous les noms et marques déposées, dénominations commerciales, ainsi que tous les logos référencés dans le présent document demeurent la propriété de leurs détenteurs respectifs. CS2138_0212