IIC_magazine_2009Q4.pdf

(3299 KB) Pobierz
371581347 UNPDF
iic MAGAZINE
iv kwartał 2009
aplikacji www
zarządzanie Bezpieczeństwem
przydział zasoBów
wsparcie dla Bazy oracle 10/11g
sieciami serwerów aplikacji
weBsphere application server wersja 7
transformation extender
transformowanie danych
w rozwiązaniach Bpm
weBsphere cloudBurst
technologiczne
Bezpieczeństwo
dynamiczny
zarządzanie rozproszonymi
iBm weBsphere
appliance
nowinki
371581347.011.png 371581347.012.png 371581347.013.png
drodzy deweloperzy,
spis treŚci
w tym wydaniu IIC Magazine poświęcamy wiele
miejsca rozwiązaniom z rodziny IBM WebSphere,
które umożliwiają m.in. integrację procesów bi-
znesowych oraz dostarczają wysoce efektywną
infrastrukturę aplikacyjną.
l zrozumieć bezpieczeństwo
aplikacji www
3
Marcin Kalas i Andrzej Pasławski w swoim ar-
tykule przedstawiają nowe topologie administra-
cyjne w WebSphere Application Server (wersja 7)
odpowiadające na potrzeby zarządzania rozpro-
szonymi środowiskami serwerów aplikacji.
Zarządzanie bezpieczeństwem aplikacji WWW
l dynamiczny przydział zasobów
8
w serwerach POWER6 wsparciem dla bazy ORACLE 10/11g
Następnie Piotr Dziedzic opisuje narzędzie IBM
WebSphereTransformation Extender, które rozwią-
zuje problemy transformacji pomiędzy heteroge-
nicznymi formatami danych. WTX jest szczególnie
cenny w przypadku integracji z udziałem dużych
ilości danych transakcyjnych.
l zarządzanie rozproszonymi
sieciami serwerów aplikacji
11
Nowe topologie administracyjne
w WebSphere Application Serverze wersja 7
Sekcję związaną z tematyką IBM WebSphere
zamyka materiał Marcina Kubackiego poświę-
cony jednemu z nowych produktów w portfolio
IBM – WebSphere Cloudburst Appliance. Jest to
sprzętowe rozwiązanie, którego podstawowym
zadaniem jest zarządzanie infrastrukturą serwe-
rów aplikacyjnych pracujących w chmurze (ang.
cloud computing ).
l iBm websphere
transformation extender
18
jako uniwersalne narzędzie do transformowania danych
w rozwiązaniach BPM
l websphere cloudburst appliance
23
Zachęcam również do zapoznania się z artyku-
łem Zbigniewa Zarzyckiego pt. „Zrozumieć bezpie-
czeństwo aplikacji WWW”. Autor przedstawia w nim
mechanizmy i procedury związane z ochroną aplika-
cji i serwisów WWW. Znajduje się tam również opis
produktów z rodziny IBM Rational, które ułatwiają
proces tworzenia bezpiecznych aplikacji WWW.
l nowinki technologiczne
26
Z kolei Mariusz Czopiński w swoim artykule
pt. „Dynamiczny przydział zasobów w serwerach
POWER6” prezentuje interesujące funkcjonalno-
ści serwerów POWER irmy IBM, które można
wykorzystać przy planowaniu dynamicznej infra-
struktury w data center.
Nie zapomnijcie także odwiedzić sekcji z no-
winkami technologicznymi oraz odpowiedzieć
na pytanie konkursowe.
Życzę przyjemnej lektury!
monika kamińska
Redaktor prowadząca
2
iBm innovation center FOR BUSINESS PARTNERS
371581347.014.png 371581347.001.png 371581347.002.png
aplikacji www
zarządzanie bezpieczeństwem aplikacji www
firmy w coraz większym stopniu uzależniają swój
rozwój od coraz bardziej złożonych aplikacji www,
co sprawia, że coraz trudniej zapewnić im właściwy
poziom bezpieczeństwa. większość przedsiębiorstw
chroni swoje serwisy www za pomocą irewalli,
szyfrowania komunikacji ssl, zabezpieczeń sie‑
ciowych oraz zabezpieczeń na poziomie serwerów.
jednakże ataki są najczęściej wymierzone w same
aplikacje, a wymienione technologie nie zapewniają
im wystarczającej ochrony.
co sprawia, że aplikacje www są narażone na ataki?
W tym dokumencie skoncentrowaliśmy się
na atakach wymierzonych w aplikacje, przepro-
wadzanych z wykorzystaniem protokołu HTTP,
z którymi tradycyjne irewalle nie radzą sobie zbyt
dobrze. Wielu hakerów wie, w jaki sposób zaka-
mulować swoje żądania HTTP na poziomie sieci,
aby wyglądały na niegroźne, mimo że zawierają
dane, które mogą wyrządzić szkody w systemie.
Ataki przeprowadzane z wykorzystaniem proto-
kołu HTTP mogą umożliwić hakerowi uzyskanie
dostępu do zawartości baz danych (np. danych
osobowych klientów lub pracowników), wyko-
nywanie dowolnych komend systemu, a nawet
zmodyikowanie zawartości serwisu WWW.
Bez odpowiednich środków, które pozwalają
zarządzać testowaniem zabezpieczeń przez cały
cykl tworzenia aplikacji, zespoły programistów
mogą pozostawić w programach luki umożliwiają-
ce prowadzenie ataków z wykorzystaniem proto-
kołu HTTP. Wynika to z następujących faktów:
• Analitycy i projektanci postrzegają bezpieczeń-
stwo jako problem dotyczący sieci lub infra-
struktury informatycznej, w wyniku czego tylko
kilku specjalistów ds. bezpieczeństwa zdaje
sobie sprawę z istnienia zagrożeń na poziomie
aplikacji.
• Zespoły formułują wymagania dotyczące bez-
pieczeństwa aplikacji w postaci niejasnych
oczekiwań lub negacji (np. nie wolno dopuś-
cić do pozostawienia niechronionych punktów
wejścia). Powoduje to trudności przy opraco-
wywaniu testów.
• Zabezpieczenia aplikacji są testowane na
późnym etapie cyklu ich tworzenia, a do tego
sprawdzana jest tylko ich ogólna odporność
na włamania.
przykładowy zakres ataków wymierzonych w aplikacje www
Rozwiązania wykorzystywane do ochrony apli-
kacji WWW powinny być wybierane na podsta-
wie słabych punktów zabezpieczeń właściwych
dla tych aplikacji. Na Rysunku 1 przedstawiono
wiele punktów w systemie, które mogą wyma-
gać zabezpieczenia. Często najlepiej jest zasto-
sować najpierw ogólne środki zapobiegawcze,
aby upewnić się, że wybrano technologię najlepiej
3
zrozumieć bezpieczeństwo
371581347.003.png 371581347.004.png 371581347.005.png 371581347.006.png 371581347.007.png
rysunek 1: Przykładowe
punkty ataku na aplikacje
WWW
dostosowaną do faktycznych potrzeb, a nie tę,
która podobno radzi sobie z najnowszymi tech-
nikami stosowanymi przez hakerów.
Przedsiębiorstwa mogą zastosować wiele
różnych środków zapobiegawczych, aby chronić
aplikacje WWW przed naruszeniami bezpieczeń-
stwa z wykorzystaniem technik podszywania się
pod innego użytkownika, fałszowania danych lub
zacierania śladów.
Środki zapobiegawcze mogą również posłu-
żyć do obrony przed atakami, których celem
jest uzyskanie dostępu do informacji poufnych
i przeciążenie zasobów serwerowych.
Zastosowanie kilku prostych procedur może
pomóc zespołom programistów zabezpieczyć
aplikacje WWW przed najczęstszymi narusze-
niami bezpieczeństwa i jednocześnie obniżyć
koszty usuwania błędów tego rodzaju.
podstawowe wytyczne dotyczące zabezpieczania aplikacji www
Zastosowanie przy tworzeniu aplikacji proce-
sów właściwych dla bezpieczeństwa pozwala
zespołom programistów chronić programy przed
naruszeniami zabezpieczeń.
W szczególności można zastosować kilka
podstawowych wytycznych w odniesieniu do
istniejących, nowych i modyikowanych aplikacji
w całym procesie, co z pewnością pomoże lepiej
zabezpieczyć oprogramowanie i obniżyć koszty
późniejszego usuwania błędów. Poniżej opisano
pokrótce te wytyczne.
ustalenie i określenie podstawowych za‑
łożeń : przeprowadzenie kompletnego spisu
aplikacji i systemów wraz z informacjami tech-
nicznymi (np. IP, DNS, używane systemy ope-
racyjne) oraz biznesowymi (np. kto zezwolił na
wdrożenie aplikacji?, kto powinien zostać po-
wiadomiony w przypadku awarii?). Następnie
należy przeskanować całą infrastrukturę WWW
w poszukiwaniu powszechnych słabych punk-
tów zabezpieczeń i możliwości wykorzystania
błędów w kodzie (exploit). Należy również
sprawdzić serwery list i serwisy śledzące błędy
programów w poszukiwaniu znanych ataków
na używany system operacyjny, serwer WWW
i pozostałe wykorzystywane produkty innych
irm. Przed załadowaniem aplikacji na serwer
należy się upewnić, że serwer został zabezpie-
czony i przeskanowany oraz że zainstalowano
na nim najnowsze poprawki. Następnie należy
przystąpić do skanowania aplikacji w poszu-
kiwaniu słabych punktów zabezpieczeń pod
względem znanych ataków i zwrócić przy tym
szczególną uwagę na żądania HTTP oraz inne
sposoby manipulowania danymi. Na koniec na-
leży przetestować zawarte w aplikacji funkcje
uwierzytelniania i zarządzania uprawnieniami
użytkowników oraz wyłączyć wszystkie niezna-
ne usługi.
ocena i określenie ryzyka : należy określić
ryzyko związane z wykorzystaniem konkret-
nych aplikacji i systemów ze szczególnym
4
iBm innovation center FOR BUSINESS PARTNERS
371581347.008.png
uwzględnieniem składnic danych, kontroli do-
stępu, funkcji i obiektów udostępnianych użyt-
kownikom oraz zarządzania uprawnieniami.
Należy uszeregować wykryte słabe punkty
zabezpieczeń aplikacji według ich priorytetu.
Następnie należy przeanalizować zgodność
aplikacji bądź systemu ze strategiami organi-
zacyjnymi i branżowymi oraz regulacjami praw-
nymi. Ważne jest określenie operacji zarówno
dopuszczalnych, jak i niedopuszczalnych.
zabezpieczenie aplikacji i kontrolowanie
szkód : należy być zawsze na bieżąco ze
znanymi zagrożeniami dla bezpieczeństwa
i bezzwłocznie instalować wszelkie dostępne
poprawki do aplikacji i elementów infrastruk-
tury. Jeśli nie można usunąć problemu z bez-
pieczeństwem, należy zastosować irewall apli-
kacyjny, ograniczyć dostęp, wyłączyć aplikację
lub przemieścić ją w celu zminimalizowania
ryzyka.
nieustanne monitorowanie i przeglądy :
należy określić harmonogram przeglądów
w ramach udokumentowanego procesu za-
rządzania zmianami. Po zakończeniu jednego
etapu analizy należy natychmiast rozpocząć
następny.
testowanie zabezpieczeń w całym cyklu życia aplikacji www
Zastosowanie się do wytycznych sprawdzonego
procesu wytwarzania oprogramowania, np. takiego
jak Rational Uniied Process, pozwala wykryć i usu-
nąć słabe punkty zabezpieczeń już na wczesnym
etapie tworzenia aplikacji WWW – gdy ich uniknięcie
nie jest jeszcze tak kłopotliwe.
W miarę postępu prac programistycznych
i wdrożeniowych błędy w aplikacjach mogą się
nawarstwiać, a ich usunięcie staje się coraz bar-
dziej problematyczne i coraz droższe.
Przykładowo część zespołu odpowiedzialna za
zbieranie wymagań może nie uwzględniać poten-
cjalnych zagrożeń dla bezpieczeństwa aplikacji
WWW, wskutek czego mogą zaniedbać wyma-
gania, które mogłyby zapobiec ich wystąpieniu.
Jeśli na etapie tworzenia nie będzie wyraźnie
określonych wymagań w zakresie bezpieczeń-
stwa, programiści mogą stosować nieoptymalny
pod tym względem kod lub użyć istniejący czy
generowany przez środowiska programistyczne,
który nie uwzględnia w odpowiednim stopniu
kwestii bezpieczeństwa. Następnie przy użyciu
gotowego kodu mogą niewłaściwie sprawdzać
poprawność danych lub źle interpretować opcje
zabezpieczające w strukturze aplikacji. Na etapie
wdrożenia organizacje często zlecają przeana-
lizowanie aplikacji WWW specjalistom ds. bez-
pieczeństwa, którzy starają się wychwycić słabe
punkty zabezpieczeń przed wdrożeniem aplikacji
w środowisku produkcyjnym. Jako że specjalistów
od tych zagadnień jest niewielu, często powstaje
w tym momencie wąskie gardło dopuszczenia
projektów do pracy. Ponadto usunięcie wykry-
tych na tym etapie niedoskonałości i błędów jest
już bardzo kosztowne i pracochłonne, ponieważ
może wymagać modyikacji wszystkich elemen-
tów składowych aplikacji.
Naprawienie błędu w projekcie wykrytego na
etapie wdrożenia jest około 30 razy droższe niż
usunięcie tego samego błędu na etapie projek-
towania. Koszt dla organizacji, jeśli błąd pozo-
stanie w wersji produkcyjnej, jest niemożliwy
do oszacowania. Należy zauważyć, że oprócz
wprost straconych pieniędzy następuje często
utrata udziału w rynku, pogorszenie reputacji czy
spadek poziomu zadowolenia klientów.
cztery strategiczne sprawdzone procedury dotyczące ochrony
aplikacji www
Aby rozwiązać problemy dotyczące bezpie-
czeństwa aplikacji WWW, organizacje mogą za-
stosować cztery obszerne, strategiczne spraw-
dzone procedury.
szkolenia
Obejmuje to coroczne szkolenia z zakresu
bezpieczeństwa dla wszystkich członków ze-
społu tworzącego aplikacje: programistów, spe-
cjalistów ds. kontroli jakości, analityków i mene-
dżerów. W ramach szkoleń należy przedstawić
najnowsze sposoby atakowania aplikacji, podać
zalecany sposób zapobiegania im, a także omó-
wić bieżące procedury dotyczące bezpieczeń-
stwa w organizacji. Należy również wymagać
1. propagowanie wiedzy na temat
bezpieczeństwa
Obejmuje to szkolenia, wymianę informacji
i monitorowanie, najlepiej we współpracy z kon-
sultantem.
5
371581347.009.png 371581347.010.png

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika:

Zgłoś jeśli naruszono regulamin