White paper - La sécurisation des web services

La sécurisation des Web Services

Livre Blanc

Le parefeu XML sécurise les échanges entre applications

Livre Blanc

L’entreprise gagne à soigner l’interopérabilité de ses applications si elle veut croiser ses informations, enrichir ses analyses et conquérir de nouveaux marchés. Dans ce contexte, l’infrastructure Web Services devient un enjeu crucial. Elle figure au centre de l’interconnexion des systèmes d’informations et des migrations actuelles vers le cloud computing. De nouveaux moyens de protection sont nécessaires pour fournir des interactions continues, des échanges fiables et sécurisés de Web Services, qu’ils soient destinés aux partenaires de l’entreprise ou aux salariés.

S avez-vous qui exploite réellement vos Web Services ? Lorsque la direction informatique donne le feu vert pour déployer ces composants applicatifs,

c’est pour industrialiser des échanges commerciaux avec des partenaires, sans intervention humaine. La DSI provoque des interactions entre deux applications hétérogènes, par exemple pour consulter le stock d’un fournisseur et répondre à une commande en ligne avec une date de livraison pertinente.

En coulisse, cette implémentation repose sur plusieurs pro-tocoles et standards, issus du Web et respectant, le plus souvent, l’architecture orientée services SOA (les standards "WS-*"). Les données fournies en réponse à l’invocation du service sont structurées et représentées en langage XML, là où une page HTML répond à une requête HTTP de l’utilisateur d’un navigateur Web.

Le hacker, de son côté, cherche à se faire passer pour une ressource applicative, par exemple via un contenu malicieux encapsulé dans un message. Il tente ainsi de sonder les Web Services exposant des données sensibles, pour récupérer des mots de passe ou des références bancaires. D’où l’impor-

tance d’identifier soigneusement le deman-deur comme le fournisseur de services.

A présent, de nombreux mécanismes d’intrusions se répandent sur Inter-net ; des boîtes à outils détectent les dernières vulnérabilités applicatives.

D’autres défis attendent l’exploitant des Web Services. Qu’il soit hébergeur des serveurs d’applications ou responsable de la production informatique interne, il doit garantir une disponi-bilité continue de chaque module communicant. Il s’organise donc pour diminuer les interventions en cas d’attaque malveil-lante, de maladresse d’un développeur ou d’un administrateur. Comment ? En sélectionnant les outils et les procédures rédui-sant les délais de maintenance, en anticipant les intrusions, en filtrant les messages et en corrigeant les erreurs.

garantir la disPonibilité du serviceLa sécurisation des flux de machine à machine devient une priorité pour tous ceux qui exposent des Web Services à leurs partenaires. Ils doivent garantir un niveau de disponibilité et un niveau de conformité constant, le plus élevé possible. Or, les défenses actuelles suivent un schéma dépassé, sur trois niveaux. La plupart offrent un périmètre renforcé, nécessaire mais insuffisant. Il faut passer du correctif logiciel à une ré-flexion architecturale, prévenir le déni de service, anticiper les attaques, détecter l’origine précise du problème, puis le résoudre rapidement.

Naturellement, on ne va pas demander aux yeux humains de surveiller chaque flux de données émis par le Web Service. Une nouvelle automatisation doit intervenir au sein d’un équi-pement intelligent, fiable, simple à configurer et évolutif. •

Sans surveillance, les Web Services restent vulnérablesLes hackers ne se contentent pas d’infiltrer les réseaux. Ils découvrent de nouvelles failles applicatives chaque jour. Et ils en profitent pour intercepter des données sensibles.

Parmi les attaques répandues sur le niveau applicatif, l’injection de requêtes SQL permet de de dérober des données confidentielles. L’injection de requêtes sur l’annuaire LDAP peut servir à usurper les droits de l’administrateur, pour prendre la main sur une res-source partagée, un équipement ou un WebService. Les scripts d’interception de données figurent dans de nombreux kits d’attaques. Certains exploitent le format, l’enveloppe, ou le message XML. D’autres ciblent le parseur XML qui analyse les messages transmis. Une infrastructure web non sécurisée expose les serveurs à de multiples vulnérabilités comme le déni de service, le détournement de service, la prise de contrôle à distance, le vol ou l’effacement de données.Il faut protéger les web services tout comme on a protégé en leur temps les applications web. Un outil comme le pare-feu applicatif doit avoir son pendant dans le référentiel des web services. Agile, polyvalent, ce « pare-feu XML » permet d’analyser les messages XML et leur contexte, tout comme les pare-feu l’ont fait pour les requêtes HTTP standard.

La problématique

les Web services évoluent en milieu hostile. Que fait-on Pour les sécuriser ?

<?xml version=»1.0» encoding=»UTF-8»?> <kml xmlns=»http://earth.google.com/kml/2.0»> <Response> <name>rue de la chimie, saint martin d’hères</name> <Status> <code>200</code> <request>geocode</request> </Status> <Placemark id=»p1»> <address>rue de la chimie, 38400 Saint martin d’hères, France</address> <AddressDetails Accuracy=»6» xmlns=»urn:oasis:names:tc:ciq:xsdschema:xAL:2.0»> <Country> <CountryNameCode>FR</CountryNameCode> <CountryName>France</CountryName> <AdministrativeArea> <AdministrativeAreaName>Rhône-Alpes</AdministrativeAreaName> <SubAdministrativeArea> <SubAdministrativeAreaName>Isère</SubAdministrativeAreaName> <Locality> <LocalityName>Saint martin d’hères</LocalityName> <Thoroughfare> <ThoroughfareName>Chemin de Malanot</ThoroughfareName> </Thoroughfare> <PostalCode> <PostalCodeNumber>38400</PostalCodeNumber> </PostalCode> </Locality> </SubAdministrativeArea> </AdministrativeArea> </Country> </AddressDetails> <Point> <coordinates>5.761291,45.217229,0</coordinates> </Point> </Placemark> </Response> </kml>


L e portefeuille applicatif de l’entreprise évolue vers un univers de services hétérogènes. Il se compose d’un nombre croissant d’applications SaaS (Software as

a Service) accessibles à la demande. Les développements intranet et les applications métiers cohabitent fréquemment derrière un portail Web. Au final, un nombre croissant de Web Services sont consommés en interne.

D’autres composants semblables sont exposés aux partenaires de l’entreprise. Cette tendance s’accentue avec la dématéria-lisation des procédures, avec le commerce électronique, avec les réseaux sociaux et les places de marché sur Internet.

relever des défis critiQuesLe rôle du parefeu XML est donc critique. D’une part, pour garantir la disponibilité et la conformité des flux XML, et d’autre part pour alerter l’administrateur avant et pendant une attaque, une panne ou une défaillance de Web Services.

Prenons un exemple concret. Lorsqu’un internaute commande un produit sur le site web de l’entreprise, l’application mar-chande lui présente un bon de commande dont les informations proviennent de plusieurs modules intégrés. En arrière-plan, les serveurs d’applications invoquent plusieurs Web Services. Dès qu’elle procède aux premiers échanges automatisés, l’entre-prise doit maintenir une chaîne cohérente, stable et sécuri-sée. Elle doit analyser les comportements de chaque module applicatif, sonder plusieurs niveaux de protocoles réseaux et

web, inspecter les fichiers retournés par chaque composant, indépendamment du langage de développement.

Le sas de sécurité historique - la DMZ - n’est plus l’unique point de contrôle nécessaire et suffisant. De même, le pare-feu réseau perd de son intérêt lorsque les communications basculent vers le protocole HTTP sur SSL, court-circuitant tout filtrage de bas niveau pour l’accès aux ressources réseau.

Le pare-feu XML et ses nombreuses fonctionnalités apportent une instrumentation adaptée aux besoins actuels de sécurisa-tion des interactions. Il filtre ainsi de façon simple et efficace tous les flux de données. Conscient de l’état du réseau, cet équipement matériel facilite le dialogue entre administrateurs (applicatif, système, réseaux) et RSSI (responsable de la sécu-rité du système d’information).

Les analyses fournies par le pare-feu XML mettent fin aux contentieux éventuels. L’entreprise y gagne une disponibilité de services continue. Elle peut garantir la conformité de ses échanges automatisés, de machine à machine. Ses incidents applicatifs ne se reproduisent plus sans fin. •

Anticiper l’attaque, inspecter les flux, délivrer les preuvesAvant, pendant et après l’incident, le parefeu XML surveille, filtre et trace les flux de données. Ses algorithmes d’inspection et d’analyse procurent une défense et un reporting précieux.

Première étape, le parefeu XML intervient, de façon préventive, en orchestrant les moyens de sécurité mis à sa disposition. Il aide à préparer, puis à valider des règles d’accès sécurisés. Il recense les Web Services puis procède au diagnostic de niveau de sécurité de chaque composant. Il permet aux développeurs de s’assurer, de manière transparente, que leur travail est conforme à la politique de sécurité des Web Services de l’entreprise.Une fois déployé, conscient du contexte, il filtre les messages échangés en temps réel. S’il détecte un incident ou une intrusion, il bloque à temps les conte-nus suspects, même si le type d’attaque n’a jamais été rencontré jusque là. Il surveille les performances des Web Services, s’assure que ceux-ci sont disponibles et vont le demeurer.En cas d’alerte, ou suite à une dégradation de perfor-mances, ses réponses sont également précieuses. Le parefeu XML apporte une analyse qui aide à comprendre pourquoi un WebService ne répond plus ou bien trop lentement. Grâce aux rapports qu’il délivre, l’administra-teur peut remonter la trace des échanges jusqu’à trouver l’origine du problème.

La méthodologie

« Le parefeu XML enrichit considérablement la sécurité des Web Services, en particulier pour les transactions financières, les échanges de données privées ou relatives à la propriété intellectuelle » (source : Gartner 2011)

une Protection en trois Phases

L e parefeu XML renforce les ressources applicatives et les interactions entre applications. De son côté, le parefeu réseau filtre les accès aux équipements du

réseau. Les deux dispositifs sont complémentaires. L’un comme l’autre doivent être configurés pour faire respecter la politique de sécurité de l’entre-prise, chacun à leur niveau.

Les Web Services délivrent des données à l’intérieur de l’entreprise aussi bien que vers l’extérieur. Par conséquent, le parefeu XML Bee Ware applique des règles de sécurité distinctes, selon l’emploi, interne ou externe, des modules appli-catifs surveillés. Conscient de la topologie du réseau physique, il sait communiquer avec les dispositifs actifs de l’infrastruc-ture, pour révéler, en cas d’indisponibilité du service, l’origine du dysfonctionnement.

des Web services intégralement suivisUne fois installé, l’équipement dédié surveille les flux échangés entre les serveurs d’applications Web, le contenu des mes-sages (XML/SOAP, REST) et des attachements. Conforme aux derniers standards, le parefeu XML Bee Ware protège chaque WebService en examinant tout son éco-système. En cas d’interruption ou de dégradation de service, il prévient l’ad-ministrateur que le niveau de service est altéré, précisant le module en cause et le segment de réseau concerné. Les fonctions de reporting et de suivi visuel de l’activité apportent

une visibilité nouvelle aux responsables de l’exploitation et de la sécurité informatique. Le boîtier analyse, à la volée, les scripts encapsulés et propose une réaction immédiate. Il

bloque ainsi les attaques en déni de service et garan-tit que les données fournies par le WebService sont

toujours intactes et conformes au format attendu.

L’exécution de règles de sécurité contribue à détecter les comportements suspects et les scripts malicieux. Chaque Web Service est pro-

tégé dans son contexte d’utilisation. L’appliance Bee Ware se déploie de manière adaptable, en mode

reverse proxy ou transparent proxy. Cela permet un routage applicatif granulaire vers les applications autorisées, internes comme externes. Bee Ware renforce ainsi les canaux de communication intra-entreprise et inter-entreprises.

En pratique, le parefeu XML Bee Ware rejoint très rapidement le site de production informatique ou bien le datacenter de l’hébergeur lorsque les traitements sont externalisés. Il n’y a pas de plateforme serveur à commander ni à configurer, aucune installation ni aucune mise à niveau manuelle à gérer pour renforcer les Web Services. En option, le parefeu XML Bee Ware est disponible sous forme d’appliance virtuelle VMware. •

Le parefeu XML Bee Ware apporte une visibilité nouvelleConforme aux derniers standards des Web Services, simple à porter et à exploiter, le parefeu XML Bee Ware rejoint tous les sites sensibles. Il protège les applications internes et externes.

Un flux de données XML peut concerner plusieurs par-tenaires à la fois, chacun exigeant son propre niveau de sécurité. De l’authentification à la signature électronique, en passant par les fichiers attachés, le parefeu XML Bee Ware garantit que toutes les informations sensibles sont sécurisées, chiffrées avec le bon algorithme, conformé-ment aux applications et aux politiques de sécurité des partenaires. « Des portions de message peuvent être chiffrées différemment, car chaque application du par-tenaire captera une partie seulement du message. Notre parefeu XML assure le suivi et la conformité de telles interactions », précise Jérôme Clauzade, le responsable produit de Bee Ware.

La réponse technologique

Jérôme ClauzaderesPonsable Produitbee Ware france

une insPection fine et Précise des messages



UnE ConfIGUrATIon ADAPTéE AU ConTEXTE DE CHAQUE LIEn

QoS

R

Réseaux privés

Internet

Applications internes

R&DUtilisateur

Partenaire

Fournisseur

Entreprise

1

2

2

3

4

1adoPtion des standards de sécurité L’intégration de la sécurité dans l’envi-ronnement de développement des Web Services permet de réduire les délais de publication. La R&D et la Production parlent le même langage sécurité •

2Protection et routage Les Web Services publiés vers l’entre-prise ou vers Internet requièrent une analyse en profondeur des messages, tant les technologies employées sont diverses et potentiellement exploitables. Le support des standards est indispen-sable (XML, RESTful, JSON, etc.) pour l’inspection et le routage applicatif •

3Qualité de service Les messages en direction des par-tenaires sont validés par le pare-feu XML afin de s’assurer que leur format et leur fréquence ne vont pas acciden-tellement perturber le Web Service du partenaire •

4continuité de service Le pare-feu XML garantit la disponibi-lité des Web Services pour les parte-naires en les assurant qu’un incident de production de l’un d’entre eux (bug, surcharge accidentelle) ne va perturber l’ensemble du service •

Le déploiement

S oftware AG est un éditeur Européen spécialisé dans l’intégration des partenaires et dans la modernisa-tion du système d’informations. Sa suite de logiciels

prend en charge la modélisation et l’exécution des processus métiers de l’entreprise en s’appuyant sur une architecture SOA, un bus de services et un référentiel unique : l’annuaire de services.

C’est autour de cet annuaire, précieux pour l’ouverture du système aux partenaires, que démarre la relation avec l’équi-pementier Français Bee Ware. Il s’agit de sécuriser les Web Services exposés, de protéger le système contre les attaques et les risques principaux, qu’ils viennent de l’extérieur comme de l’intérieur de l’entreprise et qu’ils impliquent une maladresse ou une malveillance.

« On doit être certain d’invoquer ou d’exposer des Web Services sûrs, observe Fabrice Hugues, directeur avant-ventes de Software AG pour la France et l’Italie. La mise en place de contrats de services impose des moyens de sécurisation adap-tés, une gestion de tokens d’authentification et des outils de suivi des protocoles, à plus bas niveau. Bee Ware éradique le déni de service, quel que soit le protocole. Grâce au parefeu XML, on sait qu’aucun code d’injection SQL n’est embarqué dans un message. WebMethods agit, pour sa part, au niveau fonctionnel : tel message est-il autorisé à passer ? L’adéqua-tion des deux solutions nous confère une position unique sur le marché. »

Avec des règles de sécurité positionnées en un seul et unique point, l’entreprise gagne une vision centralisée de ses compo-sants applicatifs. L’annuaire de services est partagé entre le parefeu XML Bee Ware, la suite WebMethods de Software AG et l’infrastructure : « l’annuaire est un repère essentiel, un point focal pour tous les objets que l’on veut exposer à l’extérieur. Le propriétaire d’un WebService - un responsable CRM par exemple - peut ainsi exposer un service de création de client avec toutes ses contraintes, fonctionnelles et techniques », illustre Fabrice Hugues.

des règles de sécurité regrouPéesL’équipement de protection des Web Services de Bee Ware intègre une suite complète de logiciels incluant, le cas échéant, la partie sécurité de WebMethods : « le parefeu XML Bee Ware se présente sous la forme d’une appliance matérielle. Le hard-ware est facile à déployer, très performant. Les mises à jour et l’exploitation sont très simples. C’est intéressant en terme de souplesse et de TCO (coût total de possession), surtout dans un vaste datacenter », note Fabrice Hugues.

La gouvernance de l’architecture SOA passe par celle des composants applicatifs. Ainsi, même lorsqu’ils sont déployés chez un prestataire, les Web Services appartiennent toujours à leur propriétaire. Par conséquent, « c’est à l’entreprise de gérer ses propres règles de sécurité, techniques et fonctionnelles, quand bien même l’hébergeur serait impliqué, au niveau de la sécurisation des protocoles », recommande-t-il. •

Aligner le socle technique sur la sécurité fonctionnelleL’éditeur de WebMethods a choisi Bee Ware comme expert pour la sécurité des Web Services. Cette association renforce les interactions des clients communs, des protocoles aux processus.

En terme d’échanges inter-entreprises (B2B), le mode de communication asynchrone à base de message EDI ou XML a longtemps été retenu. L’essor du e-Commerce puis celui du Cloud computing provoquent de plus en plus d’interactions entre les services. Les applications mobiles sous ioS, Windows Mobile ou Blackberry ouvrent aussi de nouveaux canaux à sécuriser. L’info-gérance des applications professionnelles et les projets SaaS vont accélérer l’adoption du parefeu XML Bee Ware. En effet, ces approches multiplient les échanges avec des tiers, via Internet. L’appliance paramètre, exécute des règles de sécurité puis audite tout ce qui circule. Une fois filtrée, l’information est techniquement valide. Au niveau de l’ESB (Enterprise Service Bus), aucun doute possible : on peut récupérer cette informa-tion.

L’écosystème

fabrice Hugues directeur avant-ventessoftWare ag

Paramétrer, exécuter les règles et auditer tout ce Qui Passe

LEXIQUEesbEnterprise Service Bus. Le bus de service d’entreprise aide les applications d’entreprise d’éditeurs distincts à communiquer entre elles. Il s’appuie sur des standards tels que le langage XML, l’interface de programmation JMS (Java Message Service) et les Web Services.

restRepresentational State Transfer. Ce style d’architecture - orienté ressources - est retenu pour réaliser des applications Web et bâtir des échanges standards entre machines à base de Web Services.

slaService Level Agreement. L’accord de niveau de service précise, dans un contrat établi entre un prestataire et un client, la qualité de service ainsi que les modalités de performances délivrées.

soaService Oriented Architecture. Cette architecture de médiation s’appuie sur des composants logiciels ou Web Services pour intégrer entre elles des applications locales ou distantes.

soaPSimple Object Access Protocol. Ce protocole d’appels de procédures à distance, défini initialement par Microsoft et IBM, est une spécification du W3C, le consortium World Wide Web. Il est utilisée dans le cadre d’architectures SOA pour les WS-*.

WebserviceProgramme à base de standards ouverts fournissant l’interopérabilité entre des logiciels exécutés sur des plateformes distinctes. Le consommateur de WebService utilise la logique implémentée par le fournisseur de ce composant.

WsdlWeb Service Description Language. Interface d’accès au Webservice fondée sur le langage XML pour préciser comment communiquer afin d’utiliser le composant logiciel.

Ws-*Ensemble de spécifications des Web Services. Par exemple, le protocole WS-Security pour appliquer de la sécurité aux Web Services ou encore WS-Policy, WS-Trust...

xmlExtensible Markup Language. Ce langage à balises, textuel et structuré, est extensible. Il vise à automatiser les échanges et entre différents systèmes hétérogènes.

Bee Ware présente son Web Services firewall, conçu pour donner aux équipes de sécurité des SI une visibilité nouvelle sur les Web Services. Disponible sous forme d’appliances ou de machines virtuelles, le Web Services firewall se déploie en mode mandataire ou transparent et permet d’inspecter les flux entrants ou ceux à destination des partenaires. Au delà de son rôle de reconnaissance et d’interception de contenus offensifs, il permet de protéger les fournisseurs et les consommateurs de Web Services contre les aléas qui peuvent perturber la production (incidents réseau, saturation, messages corrompus…) Ses fonctions de monitoring proactif lui permettent d’anticiper les surcharges et de faciliter la continuité des Web Services qu’il protège.

le Parefeu xml bee Ware en détails

Livre BlancPour assurer la continuité et l’évolution des Web Services, quel que soit le mode de consommation (de l’interne ou depuis l’extérieur), il faut instrumenter l’infrastructure. Le parefeu XML rassure les partenaires lors des échanges numériques. Il garantit la conformité des flux entre serveurs, bloque les attaques et contenus malicieux. C’est un outil de conformité, de traçabilité et d’analyse forensique précieux à l’ère du cloud computing et de l’interconnexion des systèmes d’informations.

Pour en savoir plusBEE WARE20 rue Billancourt92100 Boulogne Billancourt - franceTéléphone : +33 (0)1 74 90 50 90fax : +33 (0)4 42 38 28 62Email : [email protected] : www.bee-ware.net

SOFTWARE AG FRANCETour Europlaza - 20 avenue André Prothin - La Défense 4 92927 Courbevoie cedex Téléphone : +33 (0)1 78 99 70 00fax: +33 (0)1 47 76 32 62Email : [email protected] : www.softwareag.com

livr

e bl

anc

réal

isé

Par

- W

WW

.sPe

edfi

re.c

om

White paper - La sécurisation des web services

Technology

Transcript of White paper - La sécurisation des web services