Logo Cliente o Partner Un modello di sicurezza per servizi bancari!

Transcript

1 SECurity Logo Cliente o Partner Un modello di sicurezza per servizi bancari!

2 Agenda La società SEC Servizi Presentazione generale Numeri chiave e Clienti Il modello di Sicurezza di SEC Servizi Access Control con Soluzioni Enterprise Evoluzioni future 2

3 La Società - Presentazione generale SEC SERVIZI è un consorzio bancario operante sul mercato da oltre 35 anni nella gestione di servizi di outsourcing ICT in ambito bancario LA VISION DI SEC SERVIZI SERVIZI OFFERTI Essere un leader riconosciuto nella erogazione di servizi al settore finanziario e non, che sostiene, sviluppa e promuove la conoscenza tecnologica e finanziaria nell ambito della comunità economica, scientifica e sociale Servizi di outsourcing ICT in ambito bancario, in modalità full outsourcing e/o selettivo/verticale Servizi a Confidi e SGR/SIM (tramite le partecipate Galileo e AMS) Facility management (sistemi mainframe e dipartimentali) Servizi ausiliari (es. stampe), supporto, consulenza 3

4 La Società - Numeri chiave e Clienti SEC SERVIZI è un consorzio bancario operante sul mercato da oltre 35 anni nella gestione di servizi di outsourcing ICT in ambito bancario ALCUNI INDICATORI I NOSTRI CLIENTI Capitale sociale ,00 euro 21 soci Dipendenti a luglio 2010: 302 Oltre 40 clienti attivi Volume della produzione 2009: 105,5 milioni di Euro Operatività oltre 28 milioni di transazioni medie al giorno Circa sportelli collegati, circa postazioni di lavoro, oltre clienti finali Circa promotori finanziari e oltre 300 negozi finanziari Primo outsourcer in italia a ottenere la certificazione GSC 4

5 Agenda La società SEC Servizi Il modello di Sicurezza di SEC Servizi Premesse Il modello organizzativo Framework della Sicurezza Logica Access Control con Soluzioni Enterprise Evoluzioni future 5

6 Il modello di sicurezza di SEC Servizi Premesse Il tema della sicurezza è da sempre di primaria importanza per SEC Servizi allo scopo di definire univocamente i modelli organizzativi e operativi volti a: proteggere i dati garantendone riservatezza, integrità, autenticità e disponibilità; migliorare i processi di gestione delle identità digitali e la sicurezza all'interno dei processi aziendali, seguendo passi logici che coinvolgano tutti i livelli dell'organizzazione. assicurare la continuità del business alle banche clienti; Prevenire e gestire incidenti informatici che possono portare a perdite finanziarie dirette, riduzione della competitività, sanzioni normative, definendo interventi operativi per contrastare effetti e propagazione dei danni informatici; Adempiere agli obblighi legislativi vigenti e alle certificazioni di settore. La sicurezza per SEC Servizi non è solo adozione di strumenti, ma la creazione di un modello di riferimento atto a soddisfare i principali driver. 6

7 Il modello di sicurezza di SEC Servizi Il modello organizzativo Politica di Sicurezza Comitato Sicurezza e Standard SEC Policy di primo Livello Regole di Sicurezza Fisica dei Locali Regole di Sicurezza Logica Regole di Sicurezza dei Servizi Facility Management e Hosting Sicurezza delle Reti di Telecomunicazioni Processi, regole e tecnologie per la protezione della rete e delle sue interconnessioni, dei sistemi e delle applicazioni (AFW, FW, VPN, Sicurezza nello Sviluppo del SW Processi, regole e tecnologie per garantire integrità, confidenzialità, autenticità nello sviluppo SW Management Processi, regole e tecnologie digitale degli utenti dei servizi informatici (autenticazione e autorizzazione) Continuità dei Servizi Processi, regole e tecnologie per garantire la continuità dei servizi di business delle Banche e del sistema informativo SEC Sicurezza Gestione dei Sistemi IT Processi, regole e tecnologie per la gestione della sicurezza del Sistema IT Responsabile di Servizio Policy di Secondo Livello Regole specifiche per Sistema/Unità Organizzativa Responsabile di Ufficio Policy di Terzo Livello 7

8 Il modello di sicurezza di SEC Servizi Framework della Sicurezza Logica Conoscenza e Governance Conoscenza, Gestione, Governance e Compliance della Sicurezza Sistema di gestione delle informazioni che definiscono i sistemi di Sicurezza Informatica Valutazione Investimenti in Sicurezza Modello di valutazione degli investimenti in ambito Sicurezza Gestione e Controllo Infrastruttura ed Implementazioni Sicurezza delle Reti di Telecomunicazioni Infrastruttura di protezione della rete e delle sue interconnessioni, dei sistemi e delle applicazioni (AFW, FW, VPN, IPS, IDS) Monitoraggio Sicurezza Sistema di monitoraggio degli eventi di sicurezza generati dagli apparati di gestione della sicurezza Sicurezza ProcessoSviluppo SW Il sistema di Sicurezza Applicativa, Integrità delle transazioni e dei dati Gestione del Rischio Sistema di analisi, valutazione e gestione dei rischi connessi ai servizi informatici erogati Sicurezza nell Identity Management Tecnologie di gestione dell identità digitale degli utenti dei servizi informatici (autenticazione e autorizzazione non applicativa) Gestione degli Incidenti Struttura, strumenti e processi di gestione degli incidenti di natura informatica Continuità dei Servizi Sistema di Business Continuity Banche e Disaster Recovery per garantire la continuità dei servizi di business delle Banche e del sistema informativo Sicurezza Gestione dei Sistemi IT Realizzazione delle policy, delle procedure e dei processi per l esercizio e la gestione della sicurezza del Sistema Informativo Definizione Modelli organizzativi e operativi 8

9 Agenda La società SEC Servizi Il modello di Sicurezza di SEC Servizi Identity Management Premessa Web Access Manger Integrazione Federata SOA Security Evoluzioni future 9

10 Premessa Identity Management Per il controllo di accessi a risorse Web dei servizi informatici SEC ha scelto di affidarsi a soluzioni enterprise che garantiscano: Authentication Management Policy-based Authorizations Audit & Reporting Services Single sign-on Convenience Verifica dell identità digitale delle applicazioni Web SOA Security dei servizi B2B Integrazione federata tra domini di sicurezza distinti 10

11 Identity Management Web Access Manager CA Siteminder Verifica dell identità digitale delle applicazioni Web SiteMinder Policy Rule or Rule Group Response or Users or Groups Response etelligent In a Directory Group Rule Time IP Address Active Response = + + e Allows or denies access to a resource User, Groups Exclusions, Roles Action that occurs when a rule fires Expression using Contextual Data, Web Services Time when the policy can or cannot fire Option(s) IP address that the policy applies to Dynamic extension of the policy (optional) 11

12 Identity Management Integrazione Federata Integrazione federata tra domini di sicurezza distinti Situazione precedente Ogni integrazione integrazione tra domini di sicurezza distinti richiedeva degli sviluppi applicativi per: Integrazione di SSO e Autenticazione tra sistemi di sicurezza distinti; Scambio dei dati dell utente Caratteristiche Federation Security Assertion Markup Language (SAML) è uno standard informatico per lo scambio di dati di autenticazione e autorizzazione (dette asserzioni) tra domini di sicurezza distinti, tipicamente un identity provider (entità che fornisce informazioni di identita) e un service provider (entità che fornisce servizi). Il formato delle asserzioni SAML e basato su XML. SAML è mantenuto da OASIS Security Services Technical Committee. Il problema principale che SAML cerca di risolvere è quello del Web Single Sign-On (SSO) tra entità appartenenti a organizzazioni e domini di sicurezza distinti. SAML definisce che l'utente (detto "principal") sia registrato presso almeno un identity provider. L'identity provider deve provvedere ad autenticare l'utente. Il service provider a questo punto si affida all'identity provider per identificare il principal. Su richiesta del principal l'identity provider passa una asserzione SAML al service provider sulla base della quale quest'ultimo decide se permettere o negare l'accesso ai propri servizi da parte del principal. Proposta Si vuole utilizzare la Federation per Garantire il Web Single SSO; Assicurare lo scambio dati dell utente tra identity provider e service provider; Avere un meccanismo standard di integrazione tra domini differenti, in cui lo sforzo di integrazione dipenda solo da parametri di configurazione. 12

13 Identity Management Siteminder Federation Security Services Integrazione federata tra domini di sicurezza distinti <UserCredentials> <samlp:response xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol" Destination=" ID="s242ebfsdsdsdds8ecsssea287f1b8c" IssueInstant=" T15:41:38Z" Version="2.0"> <saml:issuer xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion"> <samlp:status xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol"> <samlp:statuscode Value="urn:oasis:names:tc:SAML:2.0:status:Success" xmlns:samlp="urn:oasis:names:tc:saml:2.0:protocol"> </samlp:statuscode> </samlp:status> <saml:assertion xmlns:saml="urn:oasis:names:tc:saml:2.0:assertion" ID="s228f199657adbcdsdsd3307eb9262f23cb" IssueInstant=" T15:41:38Z" Version="2.0"> <saml:issuer> <saml:subject> <saml:nameid Format="urn:oasis:names:tc:SAML:2.0:nameid-format:transient" NameQualifier=" SPNameQualifier="SECSERVIZI">k4Nf6wNmgHa4OQul2imGF0jh/3Fz</saml:NameID> <saml:subjectconfirmation Method="urn:oasis:names:tc:SAML:2.0:cm:bearer"> <saml:subjectconfirmationdata NotOnOrAfter=" T15:51:38Z" Recipient=" Identity Provider fornisce i /> </saml:subjectconfirmation> </saml:subject> <saml:conditions NotBefore=" T15:31:38Z" NotOnOrAfter=" T15:51:38Z"> <saml:audiencerestriction> <saml:audience>secservizi</saml:audience> artifact </saml:audiencerestriction> </saml:conditions> <saml:authnstatement AuthnInstant=" T15:41:38Z" SessionIndex="s27e2d0fascd48956b44dddd3aff98eccd1901"> <saml:authncontext> <saml:authncontextclassref>urn:oasis:names:tc:saml:2.0:ac:classes:unspecified</saml:authncontextclassref> </saml:authncontext> </saml:authnstatement> <saml:attributestatement> <saml:attribute Name="UID"> <saml:attributevalue xmlns:xs=" xmlns:xsi=" xsi:type="xs:string">myuserid</saml:attributevalue> </saml:attribute> <saml:attribute Name="NDG"> <saml:attributevalue xmlns:xs=" xmlns:xsi=" xsi:type="xs:string"> </saml:attributevalue> </saml:attribute> </saml:attributestatement> </saml:assertion> </samlp:response> <Binding>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact</Binding> <AssertionConsumerServiceURL> </UserCredentials> 13

14 SOA Security Identity Management SOA Security servizi B2B Situazione precedente C era un erogatore di web service di SEC la cui sicurezza era garantita da uno strato di sicurezza applicativa che permetteva di verificare: l autenticazione del chiamante attraverso il calcolo di un MAC basato su dati applicativi fra cui una stringa segreta (chiave simmetrica); l autorizzazione del chiamante attraverso un censimento che si basa su istituto, applicazione e funzione richiesta. Caratteristiche WS-Security Lo standard WS-Security descrive principalmente tre meccanismi: 1. Come firmare un messaggio SOAP per garantirne l integrità. La firma del messaggio garantisce inoltre il non ripudio. 2. Come cifrare un messaggio SOAP per assicurarne la confidenzialità. 3. Come agganciare al messaggio quantità di sicurezza (token). Per far ciò, le specifiche permettono una serie di formati per la firma, algoritmi di cifratura e security token, fra cui: Certificati X.509; Ticket Kerberos; Credenziali UserID/Password; SAML-Assertion; Token custom. Le feature di sicurezza sono incorporate nell header del messaggio SOAP. Proposta Si vuole utilizzare WS-Security per Verificare l identità del chiamante; Assicurare l integrità dei dati (XML Signing); Garantire la non ripetibilità della chiamata (Timestamp firmato); attraverso l uso di certificati X.509. Integrare la WS-Security su l erogatore B2B significa sostituire l attuale autenticazione, lasciando applicativa l autorizzazione. 14

15 15 Identity Management Verificare SOA Security Manager - WSS <SOAP-ENV:Envelope xmlns:soap-enc=" xmlns:soap-env=" xmlns:xsd=" xmlns:xsi=" <SOAP-ENV:Header> <wsse:security xmlns:wsse=" SOAP-ENV:mustUnderstand="1"> <wsse:binarysecuritytoken xmlns:wsu=" EncodingType=" ValueType=" wsu:id="certid- 9AADA35453DEC07B8E ">MIICuzCCAiSgAwIBAgICEAAwDQYJKoZIhvcNAQEFBQAwbzELMAkGA1UEBhMCSVQxDzANBgNVBAgTBkl0YWxpYTEPMA0GA1UEBxMGUGFkb3ZhMRMwEQYDVQQKEwpTZWNTZXJ2aXppMRYwFAYDVQQLEw1TaWN1cmV 6emEgU29hMREwDwYDVQQDEwhDQVNvYVNlYzAeFw0wOTEwMjkwOTAyMTNaFw0xOTEwMjcwOTAyMTNaMFoxCzAJBgNVBAYTAklUMQ8wDQYDVQQIEwZJdGFsaWExEzARBgNVBAoTClNlY1NlcnZpemkxFjAUBgNVBAsTDVNpY3VyZXp6YSBTb2ExDTALBgNVBAMTB HNhbGEwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAL/O4OR6T3ha9oXOOwyafvrKtaIrV9VwEAdKULRvO0ROIQz/IlUhs2jvswvMUVm44VbPd/0Z3dA0PTzocHNndimZ4IJV3TBnrfropgLVGrHjDeDGSLBafr6Ky5Ju3HwgXAOT8CaSPBs1VQpqRdTCyWaCVIzWR9+4hB vywk9tk9djagmbaagjezb5makga1udewqcmaawlayjyiziayb4qgenbb8whu9wzw5tu0wgr2vuzxjhdgvkienlcnrpzmljyxrlmb0ga1uddgqwbbrdbnnukacol1q2uqve336hf7kojzafbgnvhsmegdawgbt6n4niy7laxz3yqdb1ewxtkj65azanbgkqhkig9w0b AQUFAAOBgQBc7OCZVP6UGhK71tgfM/HQ39Alyg933RSRusf/vTDVWPCohCyQ3RHHFROgVn13MwLlIqleZIkC1f7jHorJGpSno/P2l5ThQaLAR0svw/skmgmyrE8P/enecRjngAEE78P9CdsYz5CoLlRYmB9E1QGTZT9k2TVygt437IwEwsardQ==</wsse:BinarySecurityToken> <ds:signature xmlns:ds=" Id="Signature-2"> <ds:signedinfo> <ds:canonicalizationmethod Algorithm=" <ds:signaturemethod Algorithm=" <ds:reference URI="#id-3"> <ds:transforms> <ds:transform Algorithm=" </ds:transforms> <ds:digestmethod Algorithm=" <ds:digestvalue>6tezxwav2jtbjtgr1n5ia1ib42y=</ds:digestvalue> </ds:reference> <ds:reference URI="#Timestamp-1"> <ds:transforms> <ds:transform Algorithm=" </ds:transforms> <ds:digestmethod Algorithm=" <ds:digestvalue>8xkm23476agxnvfqpdn2sadaxt0=</ds:digestvalue> (XML Signing) </ds:reference> </ds:signedinfo> <ds:signaturevalue>jdkuccnvlvo+jaub30zxbvcgfpxznv1b8otyoiynpdb3v0g26istevovqxpztwonckhfhbmiutab lo9agnhns8b4evmx4iiryawm1jju01pnk9ch3tjwkfvcihv9tzbf9h7bszltog+prtw/aay9yahq rzicnql74dj5bdx+g6g=</ds:signaturevalue> <ds:keyinfo Id="KeyId-9AADA35453DEC07B8E "> <wsse:securitytokenreference xmlns:wsu=" wsu:id="strid-9aada35453dec07b8e "> <wsse:reference URI="#CertId-9AADA35453DEC07B8E " ValueType=" </wsse:securitytokenreference> </ds:keyinfo> </ds:signature> <wsu:timestamp xmlns:wsu=" wsu:id="timestamp-1"> <wsu:created> t14:26:40.128z</wsu:created> </wsu:timestamp> </wsse:security> </SOAP-ENV:Header> chiamante (X509) Garantire la non ripetibilità della chiamata (Timestamp firmato) SOA Security servizi B2B

16 Agenda La società SEC Servizi Il modello di Sicurezza di SEC Servizi Identity Management Evoluzioni future 16

17 Evoluzioni future SOA SM fase 2: implementazione SAML, Federazione Web Services Soluzioni di Firma Remota Role Mining, KPI, Transactional Integrity, Behavioural Fraud Prevention 17

18 18 Q&A