© 2013 IBM Corporation

Bezpieczeństwo przesyłu danych finansowych i osobowych, klientów w energetyce

Andrzej Kowalczyk

2

IBM Software

Jakie bezpieczeństwo jest tym właściwym?

2

3

IBM Software

Jak rozpoznać zagrożenie?

4

IBM Software

Zabezpieczanie danych a nie tylko transmisji

5

IBM Software

Przesyłanie danych osobowych i finansowych klientów

Billing1 Billing2 Billing3 Billing4

SAP

Faktury OdczytyDane

Osobowe

Faktury

Faktury

Jan KowalskiARY123567

820512324511982.05.12

Faktury

Odczyty

Dane osobowe

MIM - Man In The Middle

6

IBM Software

Jak się chronić przed atakiem MIM?

Infrastruktura klucza publicznegoSzyfrowanie treści

Podpisywanie treści

Używanie standardów jak:PKCS#7 – dla dowolnego typu

dokumentuWS-Security – dla dokumentów

XML

7

IBM Software

Przesyłanie danych osobowych i finansowych klientów

Billing1 Billing2 Billing3 Billing4

SAP

����������������������������

��������������������

�� ���� ���� ���� ��������������������������

Faktury

����������������������������

☺� ��☺� ��☺� ��☺� ��������������������������������������������������

�� !�"����� !�"����� !�"����� !�"�����#����#����#����#��

$"�$��$"�$��$"�$��$"�$��

����������������������������

Odczyty

Dane osobowe

Faktury OdczytyDane

OsoboweFaktury

Jan KowalskiARY123567

820512324511982.05.12

8

IBM Software

Bezpieczeństwo wymaga:

% Mocnych maszyn (CPU)

% Dużej ilości pamięci (RAM)

% Bezpiecznego przechowywania kluczy (urządzenia HSM)

% W przypadku tworzenia własnego kodu:

– Znajomości dziedziny (ekspertów kryptografii)

– Testów, testów i testów

% W przypadku zakupu komercyjnego rozwiązania software:

– Zakupu maszyn o dużej wydajności obliczeniowej

– Zakupu dużej ilości licencji ( w przypadku licencjonowania per CPU/Core)

9

IBM Software

Rozwiązaniem jest WebSphere DataPower

% Zbudowany do konkretnych zastosowań jak kryptografia

% Sprawdzony w działaniu (klienci)

% Konfigurowalny versus programowalny

% Wbudowany HSM

% Wsparcie PKCS#7 i WS-Security

% Wbudowany akcelerator XML i kryptografii

10

IBM Software

Przesyłanie danych osobowych i finansowych klientów

Billing1 Billing2 Billing3 Billing4

SAP

����������������������������

��������������������

�� ���� ���� ���� ��������������������������

Faktury

����������������������������

Odczyty

Dane osobowe

Faktury OdczytyDane

OsoboweFaktury

Jan KowalskiARY123567

820512324511982.05.12

W przypadku generacji dużej ilości danych

należy rozważyć użycie maszyn DataPower

w systemach generujących dane

11

IBM Software

Model rynku opomiarowania

12

IBM Software

Uogólniona architektura OIP - z systemami zabezpieczeń oraz głównym systemami dziedzinowymi

13

IBM Software

IBM SAFE –referencyjna architektura pomaga zbudowaćpełne środowisko dla sektora Utilities

Security Solutions for Smart Meter / AMI

Asset Management for Distribution

Meter Asset Management

ECM for Asset Operations

Intelligent Meter Network Mgmt

Time Series Data Management

Smart Meter Data & Event Mgmt

Business Agility for Smart Metering

Smart Grid Data Integration

Risk & Compliance Management

Smart Grid Data Integration to zasób

pozwalający wdrożyć „Distribution

Operations„ monitorujący urządzenia i usługi

14

IBM Software

Smart Grid Data Architektura Funkcjonalna

15

IBM Software

DataPower adresuje zarówno wyzwania biznesu jak i technologiczne aspekty

Wyzwania technologiczne

% Web Service’y zwiększają efektywność aplikacji

dzięki reużywalności usług

% XML/Web Services ułatwiają wdrożenie SOA, ale

niosą nowe wyzwania:

– Skalowalność: XML wymaga wydajności,mocno

wykorzystuje CPU oraz pamięć;

– Bezpieczeństwo: integracja systemów via Web

Services stawia wyzwania bezpieczeństwu.

– Integracja: podpięcie Web Services’ów do

dawnych aplikacji wymaga różnych formatów.

– Standardy: XML jest „gruby” co może

spowodować problemy wydajnościowe czy być

wąskim gardłem.

E&U wyzwania biznesowe

% Sieci energetyczne, gazownicze oraz wodociągowe

wymagają silnego bezpieczeństwa i skalowalności.

% Wymagają wysokiej skalowalności ze względu na

przetwarzanie millionów transakcji dziennie a

następnie millionów transakcji na godzinę.

– Zaawansowane zarządzanie odczytami: wydajna i

bezpieczna obsługa danych odczytowych we

wspierającej infrastrukturze

– Automatyzacja sieci: integracja bazująca na

standardach danych oraz wsparcie dla systemów

zarządzania awariami

– Generacja danych: konieczność wsparcia dużej

ilości danych z tysięcy urządzeń oraz wsparcie

systemów sprzedażowych

% interoperacyjność jest kluczem do integracji z

istniejącą infrastrukturą.

16

IBM Software

Koszt wydajności przetwarzania XML Wydajność jest kluczem dla bezpieczeństwa & mediacji

Kroki przetwarzania*

Schema Validation

ParsingParsing XPath Filtering

XML Decryption

XML Encryption

SignatureVerification

Schema Validation

XML Transformation

XMLSigning

1 3 5 8 8 1 3 10 6 8

* Representative of software* Representative of software--based systems. based systems.

For demonstration only. Actual processing For demonstration only. Actual processing

time varies depending on application. time varies depending on application.

% Każda funkcja bezpieczeństwa wymaga przetwarzania XML

% Musi być zaimplementowana we wszystkich usługach bez żadnych kompromisów

% Musi posiadać możliwość skalowania względem treści i ilości danych

17

IBM Software

1

7

Urządzenia WebSphere DataPower …

WebSphere DataPower Appliances dają niski koszt początkowy,pomagają klientom zwięęęększyćććć ROI oraz zredukowaćććć TCOdzięki specjalizowanym, dedykowanym urządzeniom które

zapewniają najwyżżżższej wydajnośśśści i wzmocnionemubezpieczeńńńństwu

UPRASZCZA infrastrukturę integracyjną

PRZYSPIESZA „time to value”

ZABEZPIECZA architekturę SOA, Web 2.0, B2B oraz „Cloud”

NADZORUJE ewoluującą architekturę IT

18

IBM Software

SOA Bezpieczeństwo & Integracja

1. Zewnęęęętrzny system wywołłłłuje Web Service

(Web Services = HTTP z danymi w XML’u)

8. Transformuj XML

9. Zmieńńńń protokółłłł (e.g. HTTP to MQ)

10. Route’uj na podstawie treśśśści

Web Services Interfaces

FI włłłłasne SystemyZewnęęęętrzne Systemy

Payment

Interfaces/Protocols

HTTP MQ JMS DB FTP

Agregacjadanych

FakturyPłatności

Broker Portal

Portalkliencki

Zewnętrzne Systemy: różne spółki/oddziały, partnerzy, konsumenckie, itp

14. Wyśśśślij do warstwybezpieczeńńńństwa

13. Transformuj odpowiedźźźź12. Zmieńńńń protokółłłł11. Agreguj odpowiedźźźź

17. Wyśśśślij odpowiedźźźź16. Zaszyfruj & Podpisz

15. Filtruj odpowiedźźźźProtocol switch

Content Routing

Transform XML

Authenticate

Authorize

Audit

Decrypt XML

Verify Sign.

Validate

6. Wstaw token bezpieczeńńńństwa (SAML, Kerberos)

7. Wyśśśślij żążążążądanie do warstwy integracyjnej

Identity Mgmt System (Tivoli, LDAP, itp)

Systemy korporacyjneUsługiDla kont

ERPHRCRM Karty kredytowe

DataPower Integration Appliance (XI52 lub XG45 + DIM)

2. Sprawdźźźź podpis cyfrowy

3. Deszyfruj & waliduj dokument

4. Podłąłąłąłącz Identity Mgmt System

5. Uwierzytelnij & autoryzuj

Żądanie

Odpowiedź

Płatności

inne

MQ, JMS, FTP, HTTP, itp.

HTTP

Warstwa bezpieczeństwa

Warstwa integracji

HTTP

DataPower Service Gateway (XG45)

19

IBM Software

WS-Security

20

IBM Software

WSRR Tworzenie polityk

WS-Policy Attachment

WSDL

WS-SecurityPolicyAssertion 1: basicAuth requiredAssertion 2: sig required

% WSRR dostarcza kompletne narzędzia dla tworzenia dokumentów WS-Policy. Obejmuje to:

– Web Services Policy 1.5 - Framework (WS-Policy).

– Web Services Policy 1.2 - Attachment (WS-PolicyAttachment).

% WSRR także dostarcza przeglądarkowy edytor dla dokumentów.

21

IBM Software

Stosowanie Polityk BezpieczeństwaPolityki w działaniu

User

WSRR

klientDocelowy adres

PolicyPolityka Szyfrowania

Wymagane Zaszyfrowanie

AttachmentPolityka Szyfrowania

CustomerInfoService:updateHistory updateHistory

getHistory

updateAddress

getAddress

CustomerInfoService

updateHistory

[czyste]

updateHistory

[zaszyfrowany]

updateHistory

Uwaga: dobra praktyka wymaga bezpieczeństwa tzw „ostatniej mili”.

22

IBM Software

Service Gateway XG45Service Gateway XG45

22

WebSphere DataPower Appliance Portfolio

Integration Appliance XI52/XI50B/XI50zIntegration Appliance XI52/XI50B/XI50z

B2B Appliance XB62B2B Appliance XB62

% Konfigurowalny hardware SOA/ESB

% Dowolna Konwersja z „wire-speed”

% Inteligentny LoadBalancing i Dynamiczny Routing

% Web services security% Uwierzytelnienie i autoryzacja% Scentralizowane zarządzanie politykami% Opcjonalny Hardware Security Module (XI52)

% Wysoka B2B wydajność% Bezpieczne B2B (EDIINT AS1, AS2, AS3)% Zarządzanie profilami partnerów handlowych% Opcjonalnie Hardware Security Module (HSM)

% Pogląd transakcji i możliwość ich ponowienia% Wsparcie dla EDI i ebXML% Integracja z MQ FTE

% Elastyczny i modyfikowalny – Entry-level SOA% Rozmiar 1U % Opcjonalny Hardware Security Module (HSM)% DMZ XML Firewalling & Threat Protection

% JMS, MQ, TAM - wbudowane% Opcjonalnie moduł „Data Integration” dla nie-

XML, PKCS7, ODBC% Webapp, Web Services, Web 2.0 Security

23

IBM Software

% XML/SOAP Firewall – Filtruje dowolną treść, metadane czy sieciowe zmienne

% Walidacja Danych – sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą

% Kryptografia - PKCS#7,WS-Security

% Field Level Security- WS-Security, szyfrowanie & podpisywanie konkretnych pól,

niezaprzeczalność

% XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.

% Wielokrokowe reguły - zaawansowane wielokrokowe przetwarzanie reguł

% Zarządzanie Web Services - Service Level Management, Wirtualizacja usług,

Zarządzanie zasadami

% Obsługa różnych warstw transportowych - HTTP, HTTPS, SSL

% SSL Termination/Acceleration – Akceleruje SSL ze sprzętową wydajnością

% Prosta Konfiguracja & Zarządzanie- WebGUI, CLI, IDE oraz Eclipse dla różnych

grup potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)

% Możliwość obsługi różnych protokołów dodatkowych - WMQ, JMS, TAM

Service Gateway XG45

24

IBM Software

% DataGlue “Any-to-Any” Silnik transformacji% Routing bazujący na treści

%Wzbogacanie treści komunikatu

% Konwersja protokołów (HTTP, WMQ, TIBCO EMS, JMS, FTP, SFTP…)% Request-response oraz synchroniczne-asynchroniczne łączenia

% Obsługa baz danych (ODBC)

% XML/SOAP Firewall – Filtruje dowolną treść, metadane oraz zmienne sieciowe

% Walidacja Danych - sprawdza we/wy dokumenty XML oraz SOAP ze sprzętową mocą

% Field Level Security- WS-Security, szyfrowanie & podpisywanie konkretnych pól,

niezaprzeczalność

% XML Web Services Access Control/AAA - SAML, LDAP, RADIUS, etc.

% Wielokrokowość - zaawansowane wielokrokowe przetwarzanie reguł

% Zarządzanie Web Services - Service Level Management, Wirtualizacja usług, Zarządzanie

zasadami

% Prosta Konfiguracja & Zarządzanie- WebGUI, CLI, IDE oraz Eclipse dla różnych grup

potrzeb(Architekci, Deweloperzy, Sieciowcy, Departamenty Bezpieczeństwa)

% Występuje w wersji Z „mainframe”, B „blade”

XML Integration Appliance XI52

25

IBM Software

25

Konfiguracyjne podejście przyspiesza „time-to-market”

% Zapewnia standardy bezpieczeństwa - zero kodowania

% Intuicyjne przetwarzanie „strumienia komunikatów”

% Import/export konfiguracji pomiędzy środowiskami

% Próbniki pozwalają debbugować dane pomiędzy węzłami

26

IBM Software

Zyski w implementacji Wartość

Uproszczenie architektury IT

Centralny punkt stosowania polityk

Adresacja ryzyka dla wymagań dotyczących bezpieczeństwa

Krótki czas wdrożenia

Szybsza adopcja SOA

Zmniejszone koszty operacyjne poprzez użycie wielu wbudowanych cech urządzenia

Minimize expense of new applications – using DataPower to extend and modernize legacy systems

Redukcja wydatków w przyszłości poprzez ponowne użycie czy redukcję wymagań na sprzęt

Redukcja całkowitego kosztu „software maintenance”

Redukcja kosztów IT poprzez usunięcie redundantnegooprogramowania i sprzętu

Sprawdzony, bezpieczny - Policy Enforcement Point

DataPower Zyski i Wartość

27

IBM Software

27

Referencyjna Architektura

&

Przykłady

28

IBM Software

WebSphere DataPower wzorce użycia dla „Utilities”

Smart Grid Aplikacje

Secure gatewayAkceleracja XML &

wysoka wydajnośćSystemy

sprzedażowe

Zarządzanie odczytami

Sieć komunikacyjna

Aplikacje zarządzająceSmart Grid

HMCHMC

ES

B *)

*) Warstwa ESB zależy od protokołu i wymagań funkcjonalnych:• WebSphere Message Broker• lub DataPower XG45 + DIM + AO• lub DataPower XI52 + ODBC + AO

29

IBM Software

29

WebSphere DataPower Appliances

Internet Zaufana Domena

Konsument

Konsument

4 Wewnętrzne bezpieczeństwo

5 Enterprise Service Bus

6 SOA Governance

7 Web Service Management

8 „Legacy” integracja3 B2B Partner Gateway

1 Secure Gateway

(Web Services, Web Applications)

2 Inteligentny Load

Balancing

Aplikacja

Aplikacja

Aplikacja

DMZ