Consciente de la seguridad de aplicaciones

La aplicación de seguridad tanto utiliza la seguridad de programación de aplicaciones (API) para acceder y validar las políticas de seguridad que le sean aplicables. Las aplicaciones de seguridad tanto pueden acceder directamente a funciones de seguridad que permiten a las aplicaciones para realizar comprobaciones de seguridad adicionales y aprovechar al máximo las capacidades de la infraestructura de seguridad.

Sin darse cuenta la seguridad de aplicaciones

La aplicación de seguridad desconocen no se llama explícitamente a los servicios de seguridad, pero sigue siendo garantizados por el medio ambiente de apoyo (un Enterprise Java Bean [EJB] contenedor). La seguridad es generalmente aplicado para aplicaciones de seguridad mediante el uso consciente interceptores, Que de forma transparente llamar a las API de seguridad subyacente en nombre de la aplicación. Este enfoque reduce la carga sobre los desarrolladores de aplicaciones para desarrollar los módulos de seguridad dentro de la aplicación y reduce la probabilidad de fallos de seguridad se están introduciendo.

Otras aplicaciones, llamada seguridad autosuficientes aplicaciones, No utilizar cualquiera de los servicios de seguridad proporcionados por el marco. La seguridad de las aplicaciones autosuficientes no puede utilizar los servicios de seguridad porque no tiene la funcionalidad de seguridad pertinentes y, por tanto, no necesita ser asegurada, o por separado, ya que utiliza funciones de seguridad independientes que no forman parte del marco de seguridad definidos EASI.

API estándar de seguridad

Soporte para las API se basa en estándares abiertos o de la industria de hecho, estándares, como XML (SAML), J2EE,. NET y CORBA. Estos estándares se deberían usar siempre que sea posible, ya que es probable que proporcionan la mayor estabilidad y mayor flexibilidad a través de muchos productos de diferentes fabricantes.

Personalizado API de Seguridad

Personalizado API puede ser aplicado cuando las necesidades de una empresa no puede ser satisfecha por los APIs estándar. API personalizada se requiere sobre todo cuando una empresa utiliza un servicio de seguridad que se adapte a su negocio, por ejemplo, un motor de derechos personalizado basado en normas desarrolladas internamente por un banco de inversión.

Proveedor de la API de Seguridad

Como último recurso, las API propietarias específicas del proveedor se puede utilizar en estándares abiertos no han sido definidos aún. Usted debe evitar el uso de las API propietarias de seguridad en aplicaciones, si es posible. API de propiedad hacen que sea muy difícil para el desarrollador o administrador para cambiar los productos de seguridad. Si bien los vendedores pueden pensar que esto es una gran idea, la tecnología de seguridad está cambiando demasiado rápidamente a limitarse a cualquier producto. Como alternativa, se debe envolver API propietaria de un proveedor con una norma o costumbre de la API.

Autenticación

Verificación de que los directores (los usuarios humanos, las entidades registradas sistema y los componentes) son quienes dicen ser es lo que se conoce como autenticación. El resultado de la autenticación es un conjunto de credenciales, Que describen los atributos (identidad, el papel, el grupo, el despacho) que pueden estar asociados con el director autenticado.

Autorización

Concesión de la autorización para que los directores de acceso a los recursos es lo que se conoce como autorización. La integridad de datos y controles de acceso a la confidencialidad hacer cumplir las restricciones de acceso para impedir el uso no autorizado. controles de integridad de datos asegurarse de que los directores únicos autorizados pueden modificar los recursos. controles de datos confidencialidad garantizar que el contenido de los recursos sólo se revelan a los directores autorizados.

Criptografía

algoritmos criptográficos y protocolos para la protección de datos y mensajes de divulgación y / o modificación es lo que se conoce como la criptografía. Cifrado proporciona confidencialidad de los datos de codificación en una forma incomprensible con un algoritmo reversible que permite al titular de la clave de cifrado (s) para descifrar los datos cifrados. Las firmas digitales se aplican criptografía para asegurar que los datos sean auténticos y no ha sido modificado durante el almacenamiento o transmisión.

Rendición de cuentas

Asegurar que los directores son responsables de sus acciones es lo que se conoce como rendición de cuentas. Una auditoría de seguridad proporciona un registro de eventos relevantes para la seguridad y permite el seguimiento de las acciones de un director en un sistema. No rechazo proporciona una prueba irrefutable del origen de los datos y / o recibo.

Administración de la Seguridad

La administración de seguridad es el proceso de definir y mantener las políticas de seguridad incorporados en los perfiles de usuario, autenticación, autorización y mecanismos de rendición de cuentas. Esto también incluye otros datos pertinentes para el marco de seguridad.

Administrador de perfiles

El gestor de perfiles ofrece una facilidad general para el almacenamiento persistente de datos de las aplicaciones de usuario y perfil. Se permite que los datos a tener acceso a los servicios de otro marco.

Asociación de Seguridad

asociación de Seguridad mangos credenciales del director de seguridad y los controles como se propagan. Durante una comunicación entre un cliente y dos componentes de destino de la aplicación, la asociación de seguridad se establece la confianza en las credenciales de cada partido, y crea el contexto de seguridad que se utilizarán cuando la protección de las solicitudes y respuestas en el tránsito entre el cliente y el objetivo. La asociación de seguridad controla el uso de delegación, Que permite a un delegado intermedios para usar las credenciales de inicio de un director para que el delegado no podrá actuar en nombre del principal de apertura.

Servicios de seguridad de Proxy

Los servicios de seguridad proxy proporcionar interoperabilidad entre diferentes dominios de seguridad de tecnología, actuando como un servidor en el dominio de la tecnología del cliente. Esto también incluye un cliente en el dominio del objetivo.