SlideShare una empresa de Scribd logo

Apresentação WSS 52North

Wilian França Costa
Wilian França Costa

Este documento resume uma apresentação sobre tecnologias para imposição de políticas de segurança em serviços web geoespaciais. Discute o padrão XACML e sua extensão GeoXACML para controle de acesso baseado em atributos e regras. Apresenta também a implementação do serviço Web Security Service (WSS) da organização 52 North para aplicar políticas de acesso em serviços OGC como WMS, WFS e SOS. Por fim, descreve um estudo de caso utilizando o WSS para proteger serviços em uma infraestrutura de agricultura

Tecnología
1 de 30
Descargar para leer sin conexión
PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas Tecnologias para Imposição de Politicas (Policy Enforcement) de Segurança para Serviços Web Geoespaciais Wilian França Costa Professor Responsável: Wilson Ruggiero PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 1
Conteúdo • Estrutura da apresentação 1. Introdução 2. O que são Serviços Web Geopespaciais 3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita. 4. Implementação: Web Security Service (WSS) 52° North 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão 6. Considerações e Conclusão Referências PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 2
1. Introdução – Em uma Infraestrutura Orientada a Serviços o acesso autorizado ao recurso é um aspecto importante para a utilização devida dos dados disponíveis ou inseridos. – Em Serviços Web em que a informação geográfica é utilizada, a segurança também deve possuir definições específicas a este tipo de dado. – Aspectos comerciais e políticos demandam de requisitos de proteção a informação (alguns países possuem leis específicas de acesso a dados geográficos que independem de aspectos comerciais). PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 3
1. Introdução  Assim, é necessário a definição de padrões que possam ser aplicados para a imposição (enforcement) de politicas de controle de acesso a infra estruturas de informações geoespaciais, considerando todos os aspectos relevantes a este tipo de dado. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 4
2. O que são Serviços Web Geopespaciais  OGC Web Services (OWS) – Especificação definida utilizando padrões de Internet não-proprietários, a saber: World Wide Web (WWW) sobre o protocolo HTTP, Uniform Resource Locators (URLs), definição de tipos Multipurpose Internet Mail Extensions (MIME) e Extensible Markup Language (XML). – Padrões de Serviços: » WMS (mapas), » WFS (features – vetores, poligonos, pontos) » WCS (raster: imagens – tiff, jpeg, etc) » WPS (Serviços de Geoprocessamento) PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 5
2. O que são Serviços Web Geopespaciais – Sensor Web Enablement (SWE) » Iniciativa da Open Geoespacial Consortiun (OGC) » Interfaces interoperáveis e codificação de metadados » Integração com dados de redes heterogêneas de sensores em tempo real em uma infraestrutura de informação. » Padrões de Serviços: – SOS (Serviços para Observação de Sensores) – SPS (Programação e configuração) – SES (Assinaturas de eventos e alertas) » Padrões atuais SWE para metadados – Observation & Measurements – SensorML – SWE Common PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 6
2. O que são Serviços Web Geopespaciais  OGC Web Services (OWS) e OCG- SWE – Interface comum de funções (GetCapabilities, GetResourceByID) – Padrões definidos para implementações RESTful e SOAP. – Implementações de serviços inicialmente definidos para o padrão RESTFul. – Implementações em SOAP são mais recentes. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 7
3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita.  XACML é um padrão OASIS definido como uma linguagem para descrição tanto de politicas de segurança quanto de decisão de controle de acesso baseado em requisições/resposta escritas em XML. – A linguagem para definição de políticas é utilizada para descrever os requisitos gerais de controle de acesso. – A linguagem de requisições/respostas é utilizada para consultar quais os recursos estão acessíveis. São retornados um dos quatro valores: Permit, Deny, Intermediate (Ex.: quando um erro por falta de parâmetro é informado) ou Not Applicable (o serviço não pode responder a requisição) – Dividido em componentes com responsabilidades diferentes para cada aspecto envolvendo as politicas de segurança, sendo os principais: » Policy Enforcement Point (PEP) – Obtém a requisição e a envia para o PDP. » Policy Decision Point (PDP) – Verifica a existência uma politica que se aplique a requisição PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 8
3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita.  Geospatial eXtensible Access Control Markup Language (GeoXACML) – Extensão da XACML com suporte a declarações e enforcement de restrições de acesso a informações geográficas. – São definidos para o GeoXACML: » Valores para atributos geometricos. » Funções de teste para relações topológicas entre geometrias. » Open GIS Web Service e designadores específicos para atributos CRS (Datum). PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 9
3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita. PAP Policy Administration Point PDP Policy Decision Point PEP Policy Enforcement Point PIP Policy Information Point PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 10
3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita. • São primariamente um sistema ABAC (Attribute Based Access Control) no qual atributos associados a usuários /ações/recursos são entradas do PDP. • Implementam os modelos RBAC0 e RBAC1 (Role- Based Access Control) definidos pelo NIST como uma especialização do ABAC. • RBAC0 é o modelo base, definido através de usuários, papéis e permissões. • RBAC1 incluí as definições de RBAC0 e incorpora hierarquias como relação de ordem parcial entre papéis. http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html http://www.opengeospatial.org/standards/geoxacml http://csrc.nist.gov/groups/SNS/rbac/faq.html PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 11
3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 12
4. Implementação: Web Security Service (WSS) 52° North  O WSS faz parte dos projetos desenvovidos pela comunidade Security & Geo-Rights Management [http://52north.org/communities/security/index.html] – Esta comunidade tem por objetivo prover protótipos e softwares para utilização em infraestruturas compostas de serviços e dados geoespaciais. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 13
4. Implementação: Web Security Service (WSS) 52° North – É parte de uma infraestrutura de segurança composta pelos serviços: » WAS (Web Authentication Service): Responsável pela autenticação de usuários e retorno de tickets SAML. » WSS (Web Security Service): Restringe acesso aos Serviços Web OGC. » WSC.Web (Web Security Client Web: Integração com Portal para acesso a serviços protegidos) e WSC.Desktop (Cliente para aplicações Desktop) PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 14
4. Implementação: Web Security Service (WSS) 52° North O WSS é um Serviço Web criado para enforcement de políticas de acesso a serviços OGC. A validação do acesso é feita através de: – Tickets enviados em Security Assertion Markup Language (SAML) – (padrão aberto para troca de informações de autenticação e autorização) enviados por uma aplicação autenticadora externa. » Ex.: Serviço WAS 52° North [http://52north.org/communities/security/was/2.0/index.html] – Via HTTP Basic Authentication. – Protocolo WSS (proprietário) via WSC. – Sem autenticação (usuário anônimo) PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 15
4. Implementação: Web Security Service (WSS) 52° North Cada serviço OGC possui seu próprio interceptador implementado (WMS, WFS, SOS, WPS) http://52north.org/communities/security/api/2.0/interceptors.html Fonte: http://52north.org/communities/security/wss/2.2/index.html PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 16
4. Implementação: Web Security Service (WSS) 52° North Arquitetura Básica 52N WSS Fonte: http://52north.org/communities/security/wss/2.2/index.html Politicas podem ser especificadas em: • 52n-proprietary Simple Permissions XML format (aqui utilizado como exemplo) • XACML files using the XACML 1.0/1.1 format. • dedicated Policy Decision Service (PDP) that supports the XACML 1.0/1.1 Context "protocol" over SOAP. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 17
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão Arquitetura de referência para um sistema de informação baseado em serviços para a integração de dados obtidos a partir de RSSF especificada para o Projeto FINEP/MCT PROSENSAP desenvolvido pelo Laboratório de Automação Agrícola da Poli-USP em parceria com o Laboratório de Agricultura de Precisão da ESALQ-USP e Jacto Máquinas Agrícolas. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 18
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão  Servidor WSS – http://10.0.10.1:8080/wss  Serviços a serem protegidos via WSS – manga_wms: http://10.0.10.2:8080/geoserver/wms – sos_eko: http://10.0.10.3:8080/52nSOSv3_WAR/sos PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 19
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão http://10.0.10.1:8080/wss/site/manage.html 10.0.10.2 10.0.10.3 PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 20
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão  Testes de acesso: manga_wms: – http://serverwss.dominio.br:8080/wss/service/manga_wms/httpauth?SERVICE= WMS&REQUEST=GetCapabilities – http://serverwss.dominio.br:8080/wss/service/manga_wms/noauth?SERVICE=W MS&REQUEST=GetCapabilities sos_eko: – http://serverwss.dominio.br:8080/wss/service/sos_eko/httpauth?SERVICE=SOS& REQUEST=GetCapabilities – http://serverwss.dominio.br:8080/wss/service/sos_eko/noauth?SERVICE=SOS&R EQUEST=GetCapabilities PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 21
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão  Testes de acesso: Usuários e Papéis criados: Usuário: wilian Papel: admin Usuário: allan Papel: main (mantenedor) Usuário: guest Papel: guest (usuário padrão utilizado pelo acesso noauth) PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 22
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão  Testes de acesso: Direitos de acesso: wilian: sem restrição de acesso allan: somente acesso a layers começando pela palavra agroportal. executa apenas as operações: GetMap, GetFeatureInfo e GetCapabilities guest: Somente layers começando com a palavra topp. executa apenas as operações: GetMap, GetFeatureInfo e Get Capabilities Com restrição de visualizar dados apenas da região delimitada pelos pontos (-74.0130,40.7070,-74.0097,40.7100) EPSG:4326 (WGS84). PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 23
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão users.xml: PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 24
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais permissions.xml: para Agricultura de Precisão PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 25
5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 26
6. Considerações e Conclusão Considerações  As implementações das especificações ainda encontram-se em versões beta, portanto ainda possuem alguns problemas.  A documentação ainda é um pouco incompleta e são necessários tutoriais, principalmente sobre especificação de políticas em GeoXACML.  Na versão utilizada para este teste, o servidor WSS necessitava ser reiniciado para toda e qualquer modificação nas definições de usuários (user.xml) e politicas de acesso (permissions.xml)  A aplicação WSC.Web não conseguiu autenticar no Serviço WSS.  As aplicações Cliente WMS e WFS uDig e QuantumGIS necessitam serem reiniciadas para se efetuar o acesso aos serviços com usuários diferentes. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 27
6. Considerações e Conclusão Conclusão  Os serviços desenvolvidos para gerenciamento de políticas de segurança desenvolvidos pela comunidade 52North fornecem uma boa a solução para proteção básica de serviços Web OGC.  A adoção destas ferramentas em uma infraestrutura de serviços Web baseada em portais só é possível com desenvolvimento específico pois devido a características de implementação estas soluções precisam ser adaptadas para funcionarem com inserção dinâmica de usuários, papéis e políticas. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 28
Referências RISSANEN E. Xacml v3.0 core and hierarchical role based access control (rbac) profile version 1.0. Oasis committee specification, Organization for the Advancement of Structured Information Standards (OASIS), August 2010. HERRMANN J. AND MATHEUS A. Geospatial extensible access control markup language (geoxacml), version 3.0. Ogc implementation standard, document stage: Working draft, Open Geospatial Consortium (OGC), Oct 2011. HERRMANN J. “Administration of (Geo)XACML policies for spatial data infrastructures”, in Proceedings of the 4th ACM SIGSPATIAL International Workshop on Security and Privacy in GIS and LBS, New York, NY, USA, 2011, p. 53–59. OGC. “OGC Reference Model (ORM) ”. [Online]. Available: http://www.opengeospatial.org/standards/orm. [Accessed: 15-maio-2012]. 52NORTH. “52°North WSS User Guide”. [Online]. Available: http://52north.org/communities/security/general/user_guide_intro.html. [Accessed: 28-ago-2012]. ________ “52°North Security & GeoRM Community”. [Online]. Available: http://52north.org/communities/security/index.html. [Accessed: 28-ago-2012]. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 29
OBRIGADO wilianfc@gmail.com PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 30

Recomendados

Corba
CorbaCorba
CorbaClaudio Sergio
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Venture Capitals: Motor de Innovación e Intraemprendimiento
Venture Capitals: Motor de Innovación e IntraemprendimientoVenture Capitals: Motor de Innovación e Intraemprendimiento
Venture Capitals: Motor de Innovación e IntraemprendimientoClub de Innovación
 
Rumo à Integração da Sustentabilidade no Sistema de Gestão Empresarial
Rumo à Integração da Sustentabilidade no Sistema de Gestão EmpresarialRumo à Integração da Sustentabilidade no Sistema de Gestão Empresarial
Rumo à Integração da Sustentabilidade no Sistema de Gestão EmpresarialLucas Amaral Lauriano
 
Trabajo Final Ondas Mecanicas
Trabajo Final Ondas MecanicasTrabajo Final Ondas Mecanicas
Trabajo Final Ondas Mecanicasdanyva
 
ASI aula2
ASI aula2ASI aula2
ASI aula2rodrigopinto77
 
Guia rio+20
Guia rio+20Guia rio+20
Guia rio+20Deboramaia12
 

Recomendados

Corba
CorbaCorba
CorbaClaudio Sergio
 
Seguranca e Criptografia de Dados
Seguranca e Criptografia de DadosSeguranca e Criptografia de Dados
Seguranca e Criptografia de DadosFelipe Plattek
 
Segurança em banco de dados
Segurança em banco de dadosSegurança em banco de dados
Segurança em banco de dadosCIJUN
 
Venture Capitals: Motor de Innovación e Intraemprendimiento
Venture Capitals: Motor de Innovación e IntraemprendimientoVenture Capitals: Motor de Innovación e Intraemprendimiento
Venture Capitals: Motor de Innovación e IntraemprendimientoClub de Innovación
 
Rumo à Integração da Sustentabilidade no Sistema de Gestão Empresarial
Rumo à Integração da Sustentabilidade no Sistema de Gestão EmpresarialRumo à Integração da Sustentabilidade no Sistema de Gestão Empresarial
Rumo à Integração da Sustentabilidade no Sistema de Gestão EmpresarialLucas Amaral Lauriano
 
Trabajo Final Ondas Mecanicas
Trabajo Final Ondas MecanicasTrabajo Final Ondas Mecanicas
Trabajo Final Ondas Mecanicasdanyva
 
ASI aula2
ASI aula2ASI aula2
ASI aula2rodrigopinto77
 
Guia rio+20
Guia rio+20Guia rio+20
Guia rio+20Deboramaia12
 
Entendendo a computação em nuvem
Entendendo a computação em nuvemEntendendo a computação em nuvem
Entendendo a computação em nuvemLeonardo Grandinetti Chaves
 
Utilização de políticas de serviços na plataforma Microsoft
Utilização de políticas de serviços na plataforma MicrosoftUtilização de políticas de serviços na plataforma Microsoft
Utilização de políticas de serviços na plataforma MicrosoftMiguel Pardal
 
Microservices & Service Mesh Pattern presentation
Microservices & Service Mesh Pattern presentationMicroservices & Service Mesh Pattern presentation
Microservices & Service Mesh Pattern presentationClaudio Acquaviva
 
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...Clavis Segurança da Informação
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOS
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOSCST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOS
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOSOs Fantasmas !
 
Projeto ATMOSPHERE: objetivos e resultados parciais
Projeto ATMOSPHERE: objetivos e resultados parciaisProjeto ATMOSPHERE: objetivos e resultados parciais
Projeto ATMOSPHERE: objetivos e resultados parciaisATMOSPHERE .
 
Bd rel
Bd relBd rel
Bd rel12122803
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Sistemas de proteção de perímetro
Sistemas de proteção de perímetroSistemas de proteção de perímetro
Sistemas de proteção de perímetroRodrigo Campos
 
Projetos Estruturados de Redes - Parte 4
Projetos Estruturados de Redes - Parte 4Projetos Estruturados de Redes - Parte 4
Projetos Estruturados de Redes - Parte 4José Wagner Bungart
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
Semac
SemacSemac
SemacMario Dantas - Federal University of Juiz de Fora (UFJF)
 
Artigo - GR
Artigo - GRArtigo - GR
Artigo - GR987123987123
 
Keynote nuvem estaleiro_ics
Keynote nuvem estaleiro_icsKeynote nuvem estaleiro_ics
Keynote nuvem estaleiro_icsHoracio Ibrahim
 
Apresentação Final - Redes e Telecomunicações
Apresentação Final - Redes e TelecomunicaçõesApresentação Final - Redes e Telecomunicações
Apresentação Final - Redes e TelecomunicaçõesBruno Lins Alves
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxSQLServerRS
 

Más contenido relacionado

Similar a Apresentação WSS 52North

Utilização de políticas de serviços na plataforma Microsoft
Utilização de políticas de serviços na plataforma MicrosoftUtilização de políticas de serviços na plataforma Microsoft
Utilização de políticas de serviços na plataforma MicrosoftMiguel Pardal
 
Microservices & Service Mesh Pattern presentation
Microservices & Service Mesh Pattern presentationMicroservices & Service Mesh Pattern presentation
Microservices & Service Mesh Pattern presentationClaudio Acquaviva
 
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...Clavis Segurança da Informação
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvemCarlos Goldani
 
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOS
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOSCST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOS
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOSOs Fantasmas !
 
Projeto ATMOSPHERE: objetivos e resultados parciais
Projeto ATMOSPHERE: objetivos e resultados parciaisProjeto ATMOSPHERE: objetivos e resultados parciais
Projeto ATMOSPHERE: objetivos e resultados parciaisATMOSPHERE .
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosRodrigo Felipe Betussi
 
Sistemas de proteção de perímetro
Sistemas de proteção de perímetroSistemas de proteção de perímetro
Sistemas de proteção de perímetroRodrigo Campos
 
Projetos Estruturados de Redes - Parte 4
Projetos Estruturados de Redes - Parte 4Projetos Estruturados de Redes - Parte 4
Projetos Estruturados de Redes - Parte 4José Wagner Bungart
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdfDimas Francisco
 
Keynote nuvem estaleiro_ics
Keynote nuvem estaleiro_icsKeynote nuvem estaleiro_ics
Keynote nuvem estaleiro_icsHoracio Ibrahim
 
Apresentação Final - Redes e Telecomunicações
Apresentação Final - Redes e TelecomunicaçõesApresentação Final - Redes e Telecomunicações
Apresentação Final - Redes e TelecomunicaçõesBruno Lins Alves
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensicsederruschel
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxSQLServerRS
 

Similar a Apresentação WSS 52North (20)

Entendendo a computação em nuvem
Entendendo a computação em nuvemEntendendo a computação em nuvem
Entendendo a computação em nuvem
 
Utilização de políticas de serviços na plataforma Microsoft
Utilização de políticas de serviços na plataforma MicrosoftUtilização de políticas de serviços na plataforma Microsoft
Utilização de políticas de serviços na plataforma Microsoft
 
Microservices & Service Mesh Pattern presentation
Microservices & Service Mesh Pattern presentationMicroservices & Service Mesh Pattern presentation
Microservices & Service Mesh Pattern presentation
 
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
V SEGINFO: “Utilizando padrões abertos para Coleta de informações e Assessmen...
 
Tech segurança na nuvem
Tech segurança na nuvemTech segurança na nuvem
Tech segurança na nuvem
 
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOS
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOSCST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOS
CST EM ANÁLISE E DESENVOLVIMENTO DE SISTEMAS IFPB 5º PERÍODO SEGURANÇA DE DADOS
 
Projeto ATMOSPHERE: objetivos e resultados parciais
Projeto ATMOSPHERE: objetivos e resultados parciaisProjeto ATMOSPHERE: objetivos e resultados parciais
Projeto ATMOSPHERE: objetivos e resultados parciais
 
Bd rel
Bd relBd rel
Bd rel
 
Segurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e RiscosSegurança na Nuvem: Conformidades e Riscos
Segurança na Nuvem: Conformidades e Riscos
 
Sistemas de proteção de perímetro
Sistemas de proteção de perímetroSistemas de proteção de perímetro
Sistemas de proteção de perímetro
 
Projetos Estruturados de Redes - Parte 4
Projetos Estruturados de Redes - Parte 4Projetos Estruturados de Redes - Parte 4
Projetos Estruturados de Redes - Parte 4
 
3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf3a Web Aula - Gestão de Tecnologia da Informação.pdf
3a Web Aula - Gestão de Tecnologia da Informação.pdf
 
Semac
SemacSemac
Semac
 
Artigo - GR
Artigo - GRArtigo - GR
Artigo - GR
 
Keynote nuvem estaleiro_ics
Keynote nuvem estaleiro_icsKeynote nuvem estaleiro_ics
Keynote nuvem estaleiro_ics
 
Apresentação Final - Redes e Telecomunicações
Apresentação Final - Redes e TelecomunicaçõesApresentação Final - Redes e Telecomunicações
Apresentação Final - Redes e Telecomunicações
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Sociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud ForensicsSociedade da Informação e Cloud Forensics
Sociedade da Informação e Cloud Forensics
 
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_soxAuditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
Auditoria de banco_de_dados_sql_server_em_conformidade_com_a_sox
 

Apresentação WSS 52North

  • 1. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas Tecnologias para Imposição de Politicas (Policy Enforcement) de Segurança para Serviços Web Geoespaciais Wilian França Costa Professor Responsável: Wilson Ruggiero PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 1
  • 2. Conteúdo • Estrutura da apresentação 1. Introdução 2. O que são Serviços Web Geopespaciais 3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita. 4. Implementação: Web Security Service (WSS) 52° North 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão 6. Considerações e Conclusão Referências PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 2
  • 3. 1. Introdução – Em uma Infraestrutura Orientada a Serviços o acesso autorizado ao recurso é um aspecto importante para a utilização devida dos dados disponíveis ou inseridos. – Em Serviços Web em que a informação geográfica é utilizada, a segurança também deve possuir definições específicas a este tipo de dado. – Aspectos comerciais e políticos demandam de requisitos de proteção a informação (alguns países possuem leis específicas de acesso a dados geográficos que independem de aspectos comerciais). PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 3
  • 4. 1. Introdução  Assim, é necessário a definição de padrões que possam ser aplicados para a imposição (enforcement) de politicas de controle de acesso a infra estruturas de informações geoespaciais, considerando todos os aspectos relevantes a este tipo de dado. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 4
  • 5. 2. O que são Serviços Web Geopespaciais  OGC Web Services (OWS) – Especificação definida utilizando padrões de Internet não-proprietários, a saber: World Wide Web (WWW) sobre o protocolo HTTP, Uniform Resource Locators (URLs), definição de tipos Multipurpose Internet Mail Extensions (MIME) e Extensible Markup Language (XML). – Padrões de Serviços: » WMS (mapas), » WFS (features – vetores, poligonos, pontos) » WCS (raster: imagens – tiff, jpeg, etc) » WPS (Serviços de Geoprocessamento) PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 5
  • 6. 2. O que são Serviços Web Geopespaciais – Sensor Web Enablement (SWE) » Iniciativa da Open Geoespacial Consortiun (OGC) » Interfaces interoperáveis e codificação de metadados » Integração com dados de redes heterogêneas de sensores em tempo real em uma infraestrutura de informação. » Padrões de Serviços: – SOS (Serviços para Observação de Sensores) – SPS (Programação e configuração) – SES (Assinaturas de eventos e alertas) » Padrões atuais SWE para metadados – Observation & Measurements – SensorML – SWE Common PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 6
  • 7. 2. O que são Serviços Web Geopespaciais  OGC Web Services (OWS) e OCG- SWE – Interface comum de funções (GetCapabilities, GetResourceByID) – Padrões definidos para implementações RESTful e SOAP. – Implementações de serviços inicialmente definidos para o padrão RESTFul. – Implementações em SOAP são mais recentes. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 7
  • 8. 3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita.  XACML é um padrão OASIS definido como uma linguagem para descrição tanto de politicas de segurança quanto de decisão de controle de acesso baseado em requisições/resposta escritas em XML. – A linguagem para definição de políticas é utilizada para descrever os requisitos gerais de controle de acesso. – A linguagem de requisições/respostas é utilizada para consultar quais os recursos estão acessíveis. São retornados um dos quatro valores: Permit, Deny, Intermediate (Ex.: quando um erro por falta de parâmetro é informado) ou Not Applicable (o serviço não pode responder a requisição) – Dividido em componentes com responsabilidades diferentes para cada aspecto envolvendo as politicas de segurança, sendo os principais: » Policy Enforcement Point (PEP) – Obtém a requisição e a envia para o PDP. » Policy Decision Point (PDP) – Verifica a existência uma politica que se aplique a requisição PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 8
  • 9. 3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita.  Geospatial eXtensible Access Control Markup Language (GeoXACML) – Extensão da XACML com suporte a declarações e enforcement de restrições de acesso a informações geográficas. – São definidos para o GeoXACML: » Valores para atributos geometricos. » Funções de teste para relações topológicas entre geometrias. » Open GIS Web Service e designadores específicos para atributos CRS (Datum). PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 9
  • 10. 3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita. PAP Policy Administration Point PDP Policy Decision Point PEP Policy Enforcement Point PIP Policy Information Point PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 10
  • 11. 3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita. • São primariamente um sistema ABAC (Attribute Based Access Control) no qual atributos associados a usuários /ações/recursos são entradas do PDP. • Implementam os modelos RBAC0 e RBAC1 (Role- Based Access Control) definidos pelo NIST como uma especialização do ABAC. • RBAC0 é o modelo base, definido através de usuários, papéis e permissões. • RBAC1 incluí as definições de RBAC0 e incorpora hierarquias como relação de ordem parcial entre papéis. http://docs.oasis-open.org/xacml/3.0/xacml-3.0-rbac-v1-spec-cd-03-en.html http://www.opengeospatial.org/standards/geoxacml http://csrc.nist.gov/groups/SNS/rbac/faq.html PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 11
  • 12. 3. XACML e GeoXACML: Controle de acesso baseados em papéis, regras e reescrita. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 12
  • 13. 4. Implementação: Web Security Service (WSS) 52° North  O WSS faz parte dos projetos desenvovidos pela comunidade Security & Geo-Rights Management [http://52north.org/communities/security/index.html] – Esta comunidade tem por objetivo prover protótipos e softwares para utilização em infraestruturas compostas de serviços e dados geoespaciais. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 13
  • 14. 4. Implementação: Web Security Service (WSS) 52° North – É parte de uma infraestrutura de segurança composta pelos serviços: » WAS (Web Authentication Service): Responsável pela autenticação de usuários e retorno de tickets SAML. » WSS (Web Security Service): Restringe acesso aos Serviços Web OGC. » WSC.Web (Web Security Client Web: Integração com Portal para acesso a serviços protegidos) e WSC.Desktop (Cliente para aplicações Desktop) PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 14
  • 15. 4. Implementação: Web Security Service (WSS) 52° North O WSS é um Serviço Web criado para enforcement de políticas de acesso a serviços OGC. A validação do acesso é feita através de: – Tickets enviados em Security Assertion Markup Language (SAML) – (padrão aberto para troca de informações de autenticação e autorização) enviados por uma aplicação autenticadora externa. » Ex.: Serviço WAS 52° North [http://52north.org/communities/security/was/2.0/index.html] – Via HTTP Basic Authentication. – Protocolo WSS (proprietário) via WSC. – Sem autenticação (usuário anônimo) PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 15
  • 16. 4. Implementação: Web Security Service (WSS) 52° North Cada serviço OGC possui seu próprio interceptador implementado (WMS, WFS, SOS, WPS) http://52north.org/communities/security/api/2.0/interceptors.html Fonte: http://52north.org/communities/security/wss/2.2/index.html PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 16
  • 17. 4. Implementação: Web Security Service (WSS) 52° North Arquitetura Básica 52N WSS Fonte: http://52north.org/communities/security/wss/2.2/index.html Politicas podem ser especificadas em: • 52n-proprietary Simple Permissions XML format (aqui utilizado como exemplo) • XACML files using the XACML 1.0/1.1 format. • dedicated Policy Decision Service (PDP) that supports the XACML 1.0/1.1 Context "protocol" over SOAP. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 17
  • 18. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão Arquitetura de referência para um sistema de informação baseado em serviços para a integração de dados obtidos a partir de RSSF especificada para o Projeto FINEP/MCT PROSENSAP desenvolvido pelo Laboratório de Automação Agrícola da Poli-USP em parceria com o Laboratório de Agricultura de Precisão da ESALQ-USP e Jacto Máquinas Agrícolas. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 18
  • 19. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão  Servidor WSS – http://10.0.10.1:8080/wss  Serviços a serem protegidos via WSS – manga_wms: http://10.0.10.2:8080/geoserver/wms – sos_eko: http://10.0.10.3:8080/52nSOSv3_WAR/sos PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 19
  • 20. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão http://10.0.10.1:8080/wss/site/manage.html 10.0.10.2 10.0.10.3 PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 20
  • 21. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão  Testes de acesso: manga_wms: – http://serverwss.dominio.br:8080/wss/service/manga_wms/httpauth?SERVICE= WMS&REQUEST=GetCapabilities – http://serverwss.dominio.br:8080/wss/service/manga_wms/noauth?SERVICE=W MS&REQUEST=GetCapabilities sos_eko: – http://serverwss.dominio.br:8080/wss/service/sos_eko/httpauth?SERVICE=SOS& REQUEST=GetCapabilities – http://serverwss.dominio.br:8080/wss/service/sos_eko/noauth?SERVICE=SOS&R EQUEST=GetCapabilities PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 21
  • 22. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão  Testes de acesso: Usuários e Papéis criados: Usuário: wilian Papel: admin Usuário: allan Papel: main (mantenedor) Usuário: guest Papel: guest (usuário padrão utilizado pelo acesso noauth) PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 22
  • 23. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão  Testes de acesso: Direitos de acesso: wilian: sem restrição de acesso allan: somente acesso a layers começando pela palavra agroportal. executa apenas as operações: GetMap, GetFeatureInfo e GetCapabilities guest: Somente layers começando com a palavra topp. executa apenas as operações: GetMap, GetFeatureInfo e Get Capabilities Com restrição de visualizar dados apenas da região delimitada pelos pontos (-74.0130,40.7070,-74.0097,40.7100) EPSG:4326 (WGS84). PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 23
  • 24. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão users.xml: PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 24
  • 25. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais permissions.xml: para Agricultura de Precisão PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 25
  • 26. 5. Estudo de Caso: Segurança em uma Infraestrutura de Serviços Geoespaciais para Agricultura de Precisão PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 26
  • 27. 6. Considerações e Conclusão Considerações  As implementações das especificações ainda encontram-se em versões beta, portanto ainda possuem alguns problemas.  A documentação ainda é um pouco incompleta e são necessários tutoriais, principalmente sobre especificação de políticas em GeoXACML.  Na versão utilizada para este teste, o servidor WSS necessitava ser reiniciado para toda e qualquer modificação nas definições de usuários (user.xml) e politicas de acesso (permissions.xml)  A aplicação WSC.Web não conseguiu autenticar no Serviço WSS.  As aplicações Cliente WMS e WFS uDig e QuantumGIS necessitam serem reiniciadas para se efetuar o acesso aos serviços com usuários diferentes. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 27
  • 28. 6. Considerações e Conclusão Conclusão  Os serviços desenvolvidos para gerenciamento de políticas de segurança desenvolvidos pela comunidade 52North fornecem uma boa a solução para proteção básica de serviços Web OGC.  A adoção destas ferramentas em uma infraestrutura de serviços Web baseada em portais só é possível com desenvolvimento específico pois devido a características de implementação estas soluções precisam ser adaptadas para funcionarem com inserção dinâmica de usuários, papéis e políticas. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 28
  • 29. Referências RISSANEN E. Xacml v3.0 core and hierarchical role based access control (rbac) profile version 1.0. Oasis committee specification, Organization for the Advancement of Structured Information Standards (OASIS), August 2010. HERRMANN J. AND MATHEUS A. Geospatial extensible access control markup language (geoxacml), version 3.0. Ogc implementation standard, document stage: Working draft, Open Geospatial Consortium (OGC), Oct 2011. HERRMANN J. “Administration of (Geo)XACML policies for spatial data infrastructures”, in Proceedings of the 4th ACM SIGSPATIAL International Workshop on Security and Privacy in GIS and LBS, New York, NY, USA, 2011, p. 53–59. OGC. “OGC Reference Model (ORM) ”. [Online]. Available: http://www.opengeospatial.org/standards/orm. [Accessed: 15-maio-2012]. 52NORTH. “52°North WSS User Guide”. [Online]. Available: http://52north.org/communities/security/general/user_guide_intro.html. [Accessed: 28-ago-2012]. ________ “52°North Security & GeoRM Community”. [Online]. Available: http://52north.org/communities/security/index.html. [Accessed: 28-ago-2012]. PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 29
  • 30. OBRIGADO wilianfc@gmail.com PCS5716 - Segurança da Informação: Políticas, Defesas e Sistemas 30