La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Sécurité des Web Services

Publié parAnaïs Georgette Fortier Modifié depuis plus de 9 années

Présentations similaires

Présentation au sujet: "Sécurité des Web Services"— Transcription de la présentation:

1 Sécurité des Web Services

2 Sommaire

3 Sommaire Introduction 1. Vulnérabilités des web services
2. Sécurisation des web services 2.1 Sécurité et XML Signature XML Encryption XML Protocoles de sécurité XML 2.2 WS-Security Sécurisation des accès aux WS Confidentialité des messages Intégrité des messages Conclusion

4 Vulnérabilités des web services

5 Vulnérabilités des web services
Héritent des vulnérabilités des application web traditionnelles: Saisie de données hostiles Contournement de l’authentification Vulnérabilité des navigateurs Possédent leurs propres vulnérabilités: Envoi de données xml malformés ou XML overflow Injection de XML dans les champs XML changement de la signification des fichiers.

6 Sécurisation des web services

7 Signature XML

8 Sécurité et XML Signature XML:
Objectif: signature numérique d’un document XML Garantir l’authenticité l’intégrité la non répudiation des données signées

9 Encryption XML

10 Sécurité et XML Encryption XML:
Objectif: chiffrement d’un document XML Garantir la confidentialité de bout en bout du document Possibilité d’encrypter tout ou partie du document, avec 1 ou différentes clés. Chiffrement symétrique!

11 Sécurité et XML Encryption XML: Cryptage XML: Décryptage XML:
Choix d’un algorithme (3DES ou AES) Obtention ou génération de la clé Sérialisation des données à crypter Cryptage Décryptage XML: Identifier l’algorithme et la clé utilisés Obtenir la clé Déchiffrer les données Intégrer les données déchiffrées dans le document

12 Protocoles de sécurité XML

13 Sécurité et XML SAML: XKMS:
SAML permet l'échange sécurisé d'informations IL définit le format du message XML… XKMS: Fournir un protocole de validation et d'enregistrement des clef publique entre les applications Web et les service Web.

14 WS Security

15 Sécurisation des accès aux WS
Authentification des utilisateurs (ou des autres applications) Login / mot de passe (le moins sécurisé) Niveau transport ou message (transmission à d'autres WS) Jeton de session de type HTTP (mais on n'est plus sans état) Lorsque rien de tout cela n'est possible: au minimum, filtrage sur les adresses IP sources des serveurs clients. Contrôle d'accès aux fonctionnalités du Web Service Gestion des permissions d'accès des utilisateurs en fonction de leur profil

16 Sécurisation des accès aux WS
Passerelle XML Filtrage User1 User2 User3 WS1 WS2 WS3

17 Protection des données échangées:
Chiffrement du flux HTTPS (SSL/TLS), IPSec Chiffrement des champs XML Assure la confidentialité des données Signature des champs XML Assure l'intégrité des données (+non répudiation) Attention: le chiffrement ne protège pas contre les intrusions!

18 Durcissement applicatif:
Changer les mots de passe par défaut Ne pas faire confiance aux données XML reçues Filtrage des données coté serveur validation du schéma XML et du contenu des champs Analyse du contenu Des relais filtrants ("firewalls XML" ou "firewalls applicatifs") sont spécialisés dans la validation de données XML Ex: IBM DataPower, DenyAll, BeeWare Sous forme d'appliances ou de services à installer sur un serveur Assurent aussi l'authentification et le chiffrement SSL

19 Tracabilité des actions
Les actions effectuées doivent être tracées C'est parfois une obligation légale (ex: accès Internet pour un FAI) Sinon, cela permet de couvrir en cas d'enquête Gestion de journaux d'événements / de logs Enregistrement pour chaque appel à un Web Service Utilisateur Action effectuée Données sensibles manipulées Si pas de possibilité de logs applicatifs Logs du serveur HTTP (requêtes GET / POST, utilisateur, adresse IP source, ...) Logs des firewalls Logs des proxies HTTP Logs des firewalls applicatifs XML

20 Conclusion La sécurisation des Web Services est un sujet complexe
Mais du fait du succès des Web services, leur sécurisation est de plus en plus incontournable dans la plupart des SI La protection des données échangées est souvent une obligation légale. C'est indissociable de la prise en compte de la sécurité dans les projets informatiques Un grand nombre d'acteurs sont impliqués, de bout en bout dans les processus de l'entreprise.

Télécharger ppt "Sécurité des Web Services"

Présentations similaires

Sécurité informatique

Sécurité informatique
L’Essentiel sur… La sécurité de la VoIP

L’Essentiel sur… La sécurité de la VoIP
1 Utilisation dICP pour le recensement GSIS 2004, Genève Mel Turner, Lise Duquet Statistique Canada.

1 Utilisation dICP pour le recensement GSIS 2004, Genève Mel Turner, Lise Duquet Statistique Canada.
Les Web Services Schéma Directeur des Espaces numériques de Travail

Les Web Services Schéma Directeur des Espaces numériques de Travail
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix

Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Sécurité du Réseau Informatique du Département de l’Équipement

Sécurité du Réseau Informatique du Département de l’Équipement
Alain AINA AFNOG VI MAPUTO, Avril 2005

Alain AINA AFNOG VI MAPUTO, Avril 2005
M2: Fondements de la Sécurité :authentification

M2: Fondements de la Sécurité :authentification
Une solution personnalisable et extensible

Une solution personnalisable et extensible
La sécurité en toute simplicité Solution daccès logique By ADDEXA.

La sécurité en toute simplicité Solution daccès logique By ADDEXA.
Stéphanie CLAPIÉ Antoine RENARD

Stéphanie CLAPIÉ Antoine RENARD
DUDIN Aymeric MARINO Andrès

DUDIN Aymeric MARINO Andrès
Conception de la sécurité pour un réseau Microsoft

Conception de la sécurité pour un réseau Microsoft
Guillaume CACHO Pierre-Louis BROUCHUD

Guillaume CACHO Pierre-Louis BROUCHUD
Audit technique et analyse de code

Audit technique et analyse de code
Vue d'ensemble Implémentation de la sécurité IPSec

Vue d'ensemble Implémentation de la sécurité IPSec
Réseaux Privés Virtuels

Réseaux Privés Virtuels
La politique de Sécurité

La politique de Sécurité
Août 2010 Présentation de NetIS Une plate-forme complète de publication électronique.

Août 2010 Présentation de NetIS Une plate-forme complète de publication électronique.

Présentations similaires

Annonces Google