......................................................................................................................................
Livre Blanc de sécurité SOA. v.1.0 Project Documentation
...................................................................................................................................... OpenCap - Ahmed ALAMI
18 January 2006
TABLE OF CONTENTS
i
Table of Contents ......................................................................................................................................
1
Introduction
1.1 Avant Propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
2
La sécurité et SOA
2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 La démarche de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 2.3 Les coûts de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3
Un modèle de sécurite SOA, J2EE, WS-*
3.1 Des Concepts de base . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 3.2 Un modéle de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 3.3 Questions de sécurité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
4
Conclusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5
Annexes
5.1 Où trouver les spécifications? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 5.2 Ressources de documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
TABLE OF CONTENTS
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
ii
1.1 AVANT PROPOS
1.1
1
Avant Propos ......................................................................................................................................
! " # $ % &"' % ( ( ) *+
! " # $
! % & '( ) * La sécurité niveau Transport ) + ' # ( ,-. ', - .#/(
+ 0 * La sécurité niveau Message ) 1 2
3
! * Sécurité niveau application ) 456
! * Sécurité niveau Données ) "0 / ! * Sécurité niveau Environnement ) 7 3 8
! # ! 9 #
! 4 # ! #
' ( ) * % 03 +:+ * %
* " 6 * 4+6 * " * - 03 * ; < 0 03
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
1.1 AVANT PROPOS
2
# ) *
* * * * + 4 03 0 # ! # 8 :
! 1 ! = 2 8 : ! 1 + 8 ' > (! #
) % ? '97@( 03 A !
!
/ ! = # ! B 2
WS-Security
SAML :
! % :
: Kerberos XKMS XACML : / !
+:+ !
!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
2.1 INTRODUCTION
2.1
3
Introduction ......................................................................................................................................
& % CDEF+G!
: ! ! &
3 ! " / ! < ! 2 ) Protéger le référentiel de services ou les domaines de services contre les risques, et ce d’une manière qui est adaptée à l’entreprise, à son environnement et à l’état du référentiel de services.
* - ) " & + ! * ) %
2! " : 03 ! * " ) %
* 9 3 : ) 9 0! * ) %
! * ) %
!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
2.2 LA DéMARCHE DE SéCURITé
2.2
4
La démarche de sécurité ......................................................................................................................................
3 H ! " 03 : & I " : ! " ! 1
2
3 03 ! ) J! %
G! %
K! %
03 D! %
03 L! 9 M! " & + 2 : 03 ! 9N ! 4 O 2 O O ! 9 : O8 : : ! K ) +) Actifs
On se demande d'abord quels processus metier sont vraiment indispensables pour que le système d’information puisse remplir sa mission. En d'autres termes, quels sont les équipements, les applications, le personnel informatique dont l'entreprise.
...................................................................................................................................... Risques
Le risque résulte de la combinaison de menaces et de vulnérabilités. Ici, on privilégie les menaces probables, ainsi que les vulnérabilités les plus pertinentes: • Menaces: la menace majeure vient-elle de l'extérieur de l'entreprise ou de l'intérieur?. Vient-elle d'interventions humaines ? • Vulnérabilités: sont-elles liées à des faiblesses de l'organisation du service informatique ? Sont-elles liées aux techniques informatiques utilisées?
...................................................................................................................................... Contre- mesures
À ce stade, on sait quels sont les vrais risques qui pèsent sur les actifs les plus importants. On sait par où commencer, quoi protéger et contre quoi. Les contre-mesures de sécurité découlent naturellement. Ici–et seulement ici–on entre dans la technique!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
2.2 LA DéMARCHE DE SéCURITé
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
5
2.3 LES COûTS DE LA SéCURITé
2.3
6
Les coûts de la sécurité ......................................................................................................................................
< ? ! " < :
! 4
!
Les Performances
) * "P * "0 * 9 0 *
* * 4 * ,
* * -! " 2 <
3 ! "
! %
2 8
! " 8 !
La veille Technologique #
!
:
$ ! "
!
L’intégration et l’interopérabilité
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
2.3 LES COûTS DE LA SéCURITé
1 8 ) * 4+ 0 8 Q * " 2 Q * +
Q * " 3 Q * " Q %
! "
!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
7
3.1 DES CONCEPTS DE BASE
3.1
8
Des Concepts de base ......................................................................................................................................
L’identité # : 03 ' ( R 8 !
#
! # : & # ! 9 3 ! - S = 0 T
%!
Profile 1 3 : 0 : !
8 ' (
0 8
0 8 - !
Claim (Réclamation) 4
3
A
Jeton de sécurité 1 2 : !
Jeton de sécurité signé 1 2 2 0 '
U!LVE / W (
Signature 1
0 !
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
3.1 DES CONCEPTS DE BASE
9
3 !
STS (Security Token Service) 1 =
2 ' 3
+=(! %
!
Principal = 8 : # !
AS (Attribute Service) 1
' (
!
Realm/Domain 1
!
Trust (Confiance) : !
Trust Domain (Domaine de confiance) 1 8
!
Fédération 1 > !
!
Fournisseur d’identité (Identity Provider) 1
! "
!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
3.1 DES CONCEPTS DE BASE
10
Mapping d’identité (Identity Mapping) " : : : $ # !
Single Sign On (SSO) :
2 ! "
: !
Single Sign Off ou Global Logout : !
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
3.2 UN MODéLE DE SéCURITé
3.2
11
Un modéle de sécurité ......................................................................................................................................
9 3 O
+X 3 + 0 + 5G44!
/
+X! - !
+! -
!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
3.2 UN MODéLE DE SéCURITé
12
O :
O " O ! 4
: ! 2 8
O ! + 3 !
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
3.2 UN MODéLE DE SéCURITé
13
" + J! O : O 0 8 ! 9 + 5G44
O 5 +;-"! G! 1 O 8 3 :
8! : ! -
O : O 3
9 ! K! 9 O : O 0 ' ( : O ! "
! D! O " %3 O
8 0! 4 0 0 O 0 2 O ! L! O O ! M! 1 O 2 3 O ! C! 8 -! % 0 2 : O8 ! 1 0 : O ! F! O O
0 2 O ! 1 ! " + :
!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
3.2 UN MODéLE DE SéCURITé
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
14
3.3 QUESTIONS DE SéCURITé
3.3
15
Questions de sécurité ......................................................................................................................................
2 : ! % 2 ! + : ! " 2 !
Interception des messages 0 ! 1 8 ! 9 8
8 ! " 8 !
3 : 0 !
: 0
!
Usurpation d’identité 2 : 03 ! " 8 !
Attaques de dénis de service 9 - 8 8 0
3 # 8
! " 8 # !
Attaques de Replay "
# 0 ) ; 0 ! " : 2: 0 ! % 0
+ 0! * . ) . 2 3
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
3.3 QUESTIONS DE SéCURITé
16
+ 2 1 =/! 2 8 8 0 ; 0! * = ) = 8 0 ! 4 2 0 ; 0! Y#) Z! Y#) Z! " + )
<S:Envelope xmlns:S="http://www.w3.org/2001/12/soap-envelope"> <S:Header> <wsse:Security> <wsse:UsernameToken"> <wsse:Username>USER <wsse:Password Type="wsse:PasswordDigest">D2A12DFE8D <wsse:Nonce>EFD89F06CCB28C89 <wsu:Created>2005-06-02T07:41:06Z <wsu:Timestamp> <wsu:Created>2005-06-02T07:41:06Z <wsu:Expires>2005-06-02T15:41:06Z
Important : Les éléments timestamp et nonce doivent tous deux être signés. Dans le cas contraire, ils peuvent être facilement modifiés et ne peuvent plus empêcher les attaques de réexécution (replay).
Protection du jeton Nom d'utilisateur avec un mot de passe % 0 : 2 1 =/ ! 9
= U7 + 0 ! : ! =
0 : O : !
Protection des jetons de sécurité % 2 O 2! 9 : O 2 ! 2 O
: O ! O 2 ' O
: ( ! 9
2 O !
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
3.3 QUESTIONS DE SéCURITé
17
Vérification du certificat et l'utilisation de listes de révocation de certificats % O O 2 ! - 2 U!LVE
O O
'";(! %
: O "; "- ' "
- (!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
5.1 Où TROUVER LES SPéCIFICATIONS?
5.1
18
Où trouver les spécifications? ......................................................................................................................................
SAML
http://www.oasis-open.org/committees/security/
XML-Signature
http://www.w3c.org/Signature/
...................................................................................................................................... Security Services TC http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss ...................................................................................................................................... WS-Federation http://www-106.ibm.com/developerworks/webservices/library/ws-fedworld/ ...................................................................................................................................... WS-Security http://www.oasis-open.org/committees/tc_home.php?wg_abbrev=wss ...................................................................................................................................... WS-SecureConversation http://www-106.ibm.com/developerworks/webservices/library/ws-secon/ ...................................................................................................................................... WS-SecurityPolicy http://www-106.ibm.com/developerworks/webservices/library/ws-secpol/ ...................................................................................................................................... WS-Trust http://msdn.microsoft.com/library/en-us/dnglobspec/html/ws-trust.asp ...................................................................................................................................... XML-Encryption http://www.w3c.org/Encryption/2001/ ......................................................................................................................................
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED
5.2 RESSOURCES DE DOCUMENTATION
5.2
19
Ressources de documentation ......................................................................................................................................
" + ! Basic Security Profile Working Group
http://www.ws-i.org/deliverables/workinggroup.aspx?wg=basicsecurity
Public Key Infrastructure (PKI) (Anglais)
http://www.pki-page.org/
Public Key Infrastructure (PKI) (Francais)
http://www.hsc.fr/ressources/cours/pki/index.html.fr
WS-Security Kerberos
http://www.oasis-open.org/committees/download.php/1049/WSS-Kerberos-03.pdf
SAML (Security Assertion Markup Language)
http://www.oasis-open.org/committees/download.php/1048/WSS-SAML-06.pdf
REL (Rights Express Language)
http://www.oasis-open.org/committees/download.php/7347/oasis-____-wss-REL-token-profile-1.0-draft08-clean.pdf
OpenSAML 1.0.1 - an Open Source Security Assertion Markup Language implementation
http://www.opensaml.org/
The XML Apache Security Project
http://xml.apache.org/security/index.html
Ehe Apache Directory Project Kerberos
http://directory.apache.org/subprojects/kerberos.html
La légion de Bouncy Castle
http://www.bouncycastle.org/fr/index.html
AXIS WSSE Security
http://axis-wsse.sourceforge.net/#home
VeriSign Offers Open Source WS-Security Implementation and Integration Toolkit
http://www.verisign.com/verisign-inc/news-and-events/news-archive/us-news-2002/page_000810.html
FIX : Financial Information eXchange protocol
http://www.fixprotocol.org
IIOP : Internet Inter-ORB Protocol
http://www.omg.org
UDDI : Universal Description, Discovery and Integration
http://www.uddi.org
SPEC
SITE
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
©2005 OPENCAP - AHMED ALAMI • ALL RIGHTS RESERVED