Interconnecting systems in a service oriented architecture (SOA) pose no solution to security auditors. Quite the contrary.
System logging is a very important mechanism for documenting what has actually happened – also called non-repudiation. In the old days when an application exclusively handled a particular task without much integration to other systems, it was sufficient to examine that system’s log.
Now, let’s consider an Intranet portal. The
portal consists of, say, 5 portlets which collects data from various backend systems
such as HR, mail, corporate news, education etc. This means that logs will be
spread on all the visited systems thus making it very difficult to resolve the
audit trail of a suspected user and determining what the user actually did on
the systems.
Recently I’ve been on two engagements with
customers who had identified the need for such a clear audit trail. IBM’s
solution for this is called Tivoli Compliance Insight Manager (TCIM) and is
basically a system that consolidates logs from various systems (windows, unix,
z/OS, etc.) as well as applications and network boxes.
TCIM is a step in the right direction and can be used within the internal perimeter. In an external SOA we once again stumble upon the need for standard ways to communicate logs. A standard approach is important because otherwise the cost of integrating would be too high, and probably not all information would be made available.
… and when that information is there we need to consider which info to share.
From the first of April I've transferred to IBM's Tivoli Security Sales department. My role will be highly technical as I'll be implementing most of our security products. I.e.
Tivoli Access Manager
Tivoli Identity Manager
Tivoli Compliance Insight Manager
Tivoli Federated Identity Manager
Combined, as well as separate system components, these products supports end-to-end security in a service oriented architecture and, especially in the identity field, ensuring effective provisioning of user profiles and roles.
In the past two years I've been working as an It-architect and despite the changed focus in this new role, my long term aim is still to become a security architect with a focus in SOA Security.
Tivoli Access Manager
Tivoli Identity Manager
Tivoli Compliance Insight Manager
Tivoli Federated Identity Manager
Combined, as well as separate system components, these products supports end-to-end security in a service oriented architecture and, especially in the identity field, ensuring effective provisioning of user profiles and roles.
In the past two years I've been working as an It-architect and despite the changed focus in this new role, my long term aim is still to become a security architect with a focus in SOA Security.
I've finally finished migrating the old blog-posts from Xoops system to MT... This will hopefully minimize the harrasment of evil blog-spammers.
I'm quoting the script-code if anybody should need to migrate. Use it on your own risc.
xoops2mt.txt
I'm quoting the script-code if anybody should need to migrate. Use it on your own risc.
xoops2mt.txt
Welcome to my new blog powered by Movable Type. This is the first post on my blog and was created for me automatically when I finished the installation process. But that is ok, because I will soon be creating posts of my own!
Well it seems that my thesis gets to live on a bit longer. Last thursday I presented my work to the security-community at IBM. Despite early forecasts of 50 people attending the presentaion not alot turned up but I actually think that helped the discussion.
Because the ones that did turn up were very dedicated and the community had a lot of good discussions about some of the topics I chose to present.
Hot topics were especially: Semantic model; Perimeter model; and to what extend we should expect to see a "real time" SOA.
I learned something and I'm sure they also did!
You can get the presentation Here
Because the ones that did turn up were very dedicated and the community had a lot of good discussions about some of the topics I chose to present.
Hot topics were especially: Semantic model; Perimeter model; and to what extend we should expect to see a "real time" SOA.
I learned something and I'm sure they also did!
You can get the presentation Here
Having dispersed pieces of information stored around the internet is one thing, but having crucial information like address and telephone numbers is another one. How should we make sure that these are always true? Also as systems become integrated companies start facing a problem: Who keeps the master of identity data? - as long as data is kept within the company's control they can throw it into one single address-repository... but what happens when e.g. HR wants to communicate with Unions? - who has the correct data then?
The answer is pretty clear - you and I do... That is why good news today appeared that IBM, along with Novell, IBM, Parity Communications and Harvard University's Berkman Center for Internet & Society had come up with a possible solution which can enable us to manage our own identity. Higgins isn't an application, nor is it a service or a protocol. Rather, it's a description of an architecture - a framework - that, if implemented would provide an abstraction layer to make it easy to manage identity information (including rich profiles, presence, etc.) and social networks across multiple heterogeneous (new or existing) computer mediated "contexts." This allows interested parties to tap into every individual's identity profile to gather updated information. This way we change our identity management situation from a PUSH to a PULL situation, we also regain control of which information we want to retain control over.
There are a few drawbacks though - one is the need for critical mass - we really need to have people. as well as software suppliers backing this thing to make it work. Another is the illusion that this will give us total control over our identity information. This information can still be aggregated on the web and it only takes one dubious company to get your updated information before it's spread to a all it's affiliated - knowing the behaviour-pattern related to phishing this is not an unlikely idea.
The answer is pretty clear - you and I do... That is why good news today appeared that IBM, along with Novell, IBM, Parity Communications and Harvard University's Berkman Center for Internet & Society had come up with a possible solution which can enable us to manage our own identity. Higgins isn't an application, nor is it a service or a protocol. Rather, it's a description of an architecture - a framework - that, if implemented would provide an abstraction layer to make it easy to manage identity information (including rich profiles, presence, etc.) and social networks across multiple heterogeneous (new or existing) computer mediated "contexts." This allows interested parties to tap into every individual's identity profile to gather updated information. This way we change our identity management situation from a PUSH to a PULL situation, we also regain control of which information we want to retain control over.
There are a few drawbacks though - one is the need for critical mass - we really need to have people. as well as software suppliers backing this thing to make it work. Another is the illusion that this will give us total control over our identity information. This information can still be aggregated on the web and it only takes one dubious company to get your updated information before it's spread to a all it's affiliated - knowing the behaviour-pattern related to phishing this is not an unlikely idea.
Så blev det min tur til at annoncere at være kommet i arbejde.
Jeg er blevet ansat af IBM med start i januar - hvilket vil sige straks efter at være kommet hjem fra Thailand (hvor jeg er nede på et, synes jeg selv, 70% arbejds og 30% ferie ophold).
Jeg har brugt en del tid på at overveje min beslutning da begge de virksomheder jeg var i kontakt med, sidder med meget interessante opgaver, som ligger i forlængelse af mit speciale. Det som jeg dog har lagt vægt på ved IBM er de langsigtede karrieremuligheder og dét faktum at processen bliver fuldt lidt mere til dørs hos IBM samt at IBM har en enddog meget overbevisende position indenfor føderal identitet ligesom jeg kan lide deres holdning indenfor åbne standarder og open source.
Jeg glæder mig enormt meget til at komme i gang og jeg regner stadig med at holde liv i denne BLOG dog med nogle få ændringer - mere om det senere.
Jeg er blevet ansat af IBM med start i januar - hvilket vil sige straks efter at være kommet hjem fra Thailand (hvor jeg er nede på et, synes jeg selv, 70% arbejds og 30% ferie ophold).
Jeg har brugt en del tid på at overveje min beslutning da begge de virksomheder jeg var i kontakt med, sidder med meget interessante opgaver, som ligger i forlængelse af mit speciale. Det som jeg dog har lagt vægt på ved IBM er de langsigtede karrieremuligheder og dét faktum at processen bliver fuldt lidt mere til dørs hos IBM samt at IBM har en enddog meget overbevisende position indenfor føderal identitet ligesom jeg kan lide deres holdning indenfor åbne standarder og open source.
Jeg glæder mig enormt meget til at komme i gang og jeg regner stadig med at holde liv i denne BLOG dog med nogle få ændringer - mere om det senere.
I dag var jeg oppe til eksamen hvor mit speciale blev evalueret med en karakter på 10.
Det er jeg søreme godt tilfreds med! Og jeg jeg ikke mindst glad for at specialet er afsluttet og jeg nu kan kalde mig candidatus informationis technologiae (e-buss) :-D . Hvorvidt arbejdet med specialet stopper her eller om jeg tager det videre, vil jeg bruge den næste tid til at beslutte.
At området er interessant og relevant fremgår ret tydeligt af den interesse mit speciale allerede har opnået. To firmaer har rettet henvendelse efter at være blevet gjort opmærksom på specialet og min situation (tak Signe og John!).
Det gode er at som det ser ud nu, så er der gode muligheder for at jeg kan fortsætte med at arbejde indenfor netop det samme område som specialet behandler. Det er netop det jeg ønsker så jeg er fortrøstningsfuld for fremtiden.
Det er jeg søreme godt tilfreds med! Og jeg jeg ikke mindst glad for at specialet er afsluttet og jeg nu kan kalde mig candidatus informationis technologiae (e-buss) :-D . Hvorvidt arbejdet med specialet stopper her eller om jeg tager det videre, vil jeg bruge den næste tid til at beslutte.
At området er interessant og relevant fremgår ret tydeligt af den interesse mit speciale allerede har opnået. To firmaer har rettet henvendelse efter at være blevet gjort opmærksom på specialet og min situation (tak Signe og John!).
Det gode er at som det ser ud nu, så er der gode muligheder for at jeg kan fortsætte med at arbejde indenfor netop det samme område som specialet behandler. Det er netop det jeg ønsker så jeg er fortrøstningsfuld for fremtiden.
Ja - så nåede jeg et godt stykke nærmere vejs ende for dette speciale. Det har været en hård, men utrolig lærerig proces og jeg glæder mig faktisk lidt til at gå op og forsvare opgaven og få noget feedback på den.
Nu skal jeg bare finde et job hvor jeg kan fortsætte med samme emne, men den type niche hænger desværre ikke på træerne. Men jeg vil i hvert fald forsøge.
Specialet er frit tilgængeligt - og kan hentes via linket i venste kolonne. Jeg har dog frivilligt valgt at censurere begrebsafklaringerne fra mine interviews af respekt for mine interviewpersoner.
Konklusionen som er bragt nedenfor skulle give et hurtigt, men forenklet, overblik over opgavens fund.
Nu skal jeg bare finde et job hvor jeg kan fortsætte med samme emne, men den type niche hænger desværre ikke på træerne. Men jeg vil i hvert fald forsøge.
Specialet er frit tilgængeligt - og kan hentes via linket i venste kolonne. Jeg har dog frivilligt valgt at censurere begrebsafklaringerne fra mine interviews af respekt for mine interviewpersoner.
Konklusionen som er bragt nedenfor skulle give et hurtigt, men forenklet, overblik over opgavens fund.
Konklusion
I dette afsnit opsummeres resultaterne af analysen og diskussionen, som blev udarbejdet i et svar på følgende problemformulering:
Hvorledes sker den gensidige påvirkning mellem serviceorienteret arkitektur og it-sikkerhed?
Tidligt i opgaven blev det klarlagt, at it-sikkerhed typisk indgår som et element i it-arkitekturen. Derfor er det grundlæggende arkitekturvalget, som påvirker it-sikkerhed og ikke omvendt. Samtidig blev der påvist et klart mønster, hvor it-arkitekturen bestemmer it-sikkerhedsforanstaltningerne, som dog reflekterer tilbage på it-strategien og efterfølgende påvirker it-arkitekturen, hvorved der opstår en evolutionær cyklus, som langsomt tilpasser og modner de to områder.
Fire vanskeligheder fra Frederick P. Brooks' klassiske essay, No Silver Bullet, blev anvendt til at analysere den nærmere påvirkning imellem it-sikkerhed og SOA. Af disse essentielle vanskeligheder blev kompleksitet fundet som et centralt element i og med at kompleksitet kan være en væsentlig selvforstærkende sikkerhedstrussel samt fordi kompleksitet er et symptom på Brooks' tre resterende vanskeligheder. SOA blev i den forbindelse identificeret som en katalysator til at nedbringe kompleksitet primært gennem genbrug; standarder, abstraktion og gradvis tilbygning af ny funktionalitet. Da kompleksitet blev identificeret som en it-sikkerhedsmæssig risiko, kunne det derfor konkluderes at SOA, under forudsætning af styring, vil styrke it-sikkerheden.
Den mest grundlæggende påvirkning, som SOA har på it-sikkerhed, er kravet om interoperabel it-sikkerhed, som kan støtte SOA på et overordnet niveau. Til dette blev især standarder og politikker og kontrakter fundet altafgørende. Servicekontrakten blev især fremhævet som det serviceelement, der gør det muligt at implementere it-sikkerhed i SOA, uden at bryde den løse kobling. Kontrakterne besidder den fordel, at de kan aggregeres og nedbrydes på samme måde som services og derfor er fleksible til at indgå i alle servicens led. Kontrakten skal være udgangspunktet for servicen for at sikre en så løs kobling som mulig. Det er vigtigt, da kontrakten således også indgår i en top-down styring, som tager udgangspunkt i overordnede politikker og igennem større og større specialisering sætter rammerne for servicepolitikken.
Usynlighed blev identificeret som en essentiel vanskelighed, hvor SOA vil påvirke it-sikkerhed i en markant anderledes retning. SOA vil således i væsentligt grad forøge usynligheden i it-systemer, hvilket understreger nødvendigheden af en ny tilgang til it-sikkerhed, risikoanalyse og ikke mindst brugerstyring. Derfor blev en markant anderledes brugerstyringsmodel fremlagt - i opgaven præsenteret som 'referencemodellen for agil it-sikkerhed', der understøtter eksternalisering af sikkerhedsservices i et føderalt netværk, hvor der ikke er forskel på interne og eksterne brugere. Særligt tilføjer den nye model sikkerhedselementer såsom tillid og eksterne efterretninger.
Den agile model er oppe imod den traditionelle perimetermodel, som blev fundet fast forankret iblandt danske organisationer herunder også Sundhedsportalen. På baggrund af perimetermodellens infleksibilitet i håndteringen af især meget moden SOA vurderes det at skiftet imod den agile model vil ske evolutionært, men næppe hurtigt. Derfor forventes det, at den perimeterbaserede model i overgangsperioden vil påvirke SOA negativt ved at opstille for restriktive regler. Denne påstand underbygges bl.a. af et eksempel fra statens kommende it-sikkerhedsstandard DS484, der krævede perimetermodellen indført.
På trods af dette påvirker it-sikkerhed, i skikkelse af DS484, også SOA i en positiv retning. Dette sker bl.a. i kraft af DS484's status som kommende it-sikkerhedsstandard for staten, hvilket vurderes at skabe bedre sammenhæng og interoperabilitet igennem en ensartet tilgang til it-sikkerhed. Dog blev fremhævet nødvendigheden af en større bredde, der inkluderer alle offentlige forvaltninger i aftalen og ikke mindst en større konsekvens ved brud på, eller useriøs optagelse af standarden. Sundhedsportalens krav om overholdelse af DS484 overfor sine leverandører blev fremhævet som en god løsning til at udbrede sikkerhedsstandarden, og udgør, på sigt, en mulighed for at it-sikkerhed kan lægge til grund for en større udbredelse af SOA.
Sundhedsportalens rolle i opgaven var at fremstå som en praktisk pendant til den megen teori, der blev behandlet. Vurderingen af Sundhedsportalens brugerstyringstilgang og sikkerhedsmodel endte med at konkludere, at Sundhedsportalens brugerstyringsmodel har hvad der skal til for at kunne indgå i en større sammenhæng, men at den har lavet et kraftigt lock-in på Sundhedsdatanettet, hvilket betyder væsentligt mindre fleksibilitet. Sundhedsportalen blev også identificeret til at være en klar perimetermodel i kraft af en stærk mur udadtil og få interne sikkerhedsforanstaltninger, hvilket blev fremhævet som havende betydning for fleksibilitet og ikke mindst kompleksitet, hvis disse skal tilføjes efterfølgende. Således blev Sundhedsportalen et praktisk eksempel på et scenario, hvor it-sikkerhed kan være med til at påvirke SOA i en negativ retning.
Opgaven afsluttede med konstruktionen af en referencemodel for agil it-sikkerhed. Modellen opstiller syv principper, som blev fundet vigtige i forhold til at understøtte den agile it-sikkerhed. Selve referencemodellen blev opstillet som en udbygning af den traditionelle brugerstyringsmodel, men med den klare distinktion at den agile model vil skulle kunne operere i et føderalt netværk og således ikke være afhængig af en perimeter.
I hvad der kan betegnes som opgavens egen perimeter, blev spørgsmålet omkring borgerens retsstilling i en SOA kort diskuteret. Diskussionen fremhævede at it-arkitekter og jurister bør finde en middelvej hvor borgerens retsstilling ikke lider skade i et it-arkitekturarbejde der stadig har til mål at skabe en så sammenhængende it-arkitektur som muligt. Det blev vurderet at med den rette omtanke, kan det der nu virker som kompleksitetsforøgende faktorer, anvendes til fordel for it-arkitekturarbejdet såvel indenfor det offentlige som det private.
Sidst fandt opgaven en gennemgående forhindring, som er af allerstørste vigtighed. Uden en holdningsændring i processen fra den traditionelle perimeterbaserede, kontrolfikserede model til en tankegang med fuld forståelse for, hvorledes it-sikkerhed skal fungere side om side med SOA, ender man ikke blot op med en SOA's uden agilitet og deraf en række mistede forretningsmuligheder; men også en it-sikkerhedsmodel, som fortsat vil være reaktiv, ufleksibel og usikker. Derfor vurderes oplysning og uddannelse som nøgleelementer i at få spredt viden om, hvad der kræves for at få en sikker tilgang til SOA og en agil tilgang til it-sikkerhed.
TV2 slog nærmest benene væk under mig her til aftes med Top Historien:
Et eksperiment, som it-eksperten Peter Kruse har udført for TV 2, gav ham mulighed for at se alle danskeres medicinoplysninger ved at stjæle lægen Lars Kensmarks digitale signatur. Tyveriet foregik via en forfalsket email med TDC som afsender, der sendte Kensmark til en kopi af TDCs hjemmeside.
Her gik man egentligt og troede at agurketiden var overstået, men det lader til at journalister stadig keder sig så meget, at de er nødt til at ty til gammelkendte phising-historier.
Hvis der ikke er nogen der engang har udtalt at:
"De farligste journalister er de der keder sig" vil jeg gerne melde mig som den første!
Dog lader det også til at VTU har en kommunikations-opgave foran dem.
Ikke bare skal de nu forklare, at det er altså pokkers svært at dæmme op for phishing angreb.
Men de skal også blive bedre til at kommunikere at der ikke er noget 100% sikkert - heller ikke den digitale signatur! Man har nok forsøgt for meget at berolige os danskere ved at overdrive sikkerheden i OCES.
Et eksperiment, som it-eksperten Peter Kruse har udført for TV 2, gav ham mulighed for at se alle danskeres medicinoplysninger ved at stjæle lægen Lars Kensmarks digitale signatur. Tyveriet foregik via en forfalsket email med TDC som afsender, der sendte Kensmark til en kopi af TDCs hjemmeside.
Her gik man egentligt og troede at agurketiden var overstået, men det lader til at journalister stadig keder sig så meget, at de er nødt til at ty til gammelkendte phising-historier.
Hvis der ikke er nogen der engang har udtalt at:
"De farligste journalister er de der keder sig" vil jeg gerne melde mig som den første!
Dog lader det også til at VTU har en kommunikations-opgave foran dem.
Ikke bare skal de nu forklare, at det er altså pokkers svært at dæmme op for phishing angreb.
Men de skal også blive bedre til at kommunikere at der ikke er noget 100% sikkert - heller ikke den digitale signatur! Man har nok forsøgt for meget at berolige os danskere ved at overdrive sikkerheden i OCES.
