Sicher in die Cloud mit Angular 2 und Spring Boot

Werbung
Sicher in die Cloud mit
Angular 2 und Spring Boot
Andreas Falk
German OWASP Day
29.11.2016
DevOps
@agile_security
Sicher in die Cloud mit Angular 2 und Spring
Boot
Java
Kanban
Microservices
andreas.falk@novatec-gmbh.de
Agile Web TDD
Threat Modeling Spring
OAuth2
Architecture Java EE
BDD Scrum
OWASP
Security IoT
SAML
Code Review
Static Analysis
Clean Code
Cloud
Andreas Falk / Germany
NovaTec Consulting GmbH
SSO
2
Sicher in die Cloud mit Angular 2 und Spring
Boot
3
DevOps
Product Owner
Entwicklung
QA
Betrieb
InfoSec
Sicher in die Cloud mit Angular 2 und Spring
Boot
4
DevOps
Product Owner
Entwicklung
QA
Betrieb
InfoSec
Sicher in die Cloud mit Angular 2 und Spring
Boot
5
Architektur / Threat Model
HTTPS
HTTPS
Microservice
JDBC
DB
API Gateway
Microservice
JDBC
DB
Angular 2
HTTPS
HTTPS
Identity Server
HTTPS
Sicher in die Cloud mit Angular 2 und Spring
Boot
7
Angular 2
https://angular.io
Sicher in die Cloud mit Angular 2 und Spring
Boot
8
Angular 1.x
Angular 2
https://angularjs.blogspot.de/2016/09/angular-16-expression-sandbox-removal.html
Sicher in die Cloud mit Angular 2 und Spring
Boot
9
https://github.com/angular/angular/issues/8511
Sicher in die Cloud mit Angular 2 und Spring
Boot
10
Sicherheitseinstufung in Angular 2
Alle Werte
(Alles was ins DOM wandert)
Angular Templates
(Vorsicht: Template-Injection)
Kontextabhängige Sanitization und Escaping
HTML (z.B. Bindings mit „innerHtml“)
Style (CSS Bindings)
URL (URL Eigenschaften wie <a href>
Resource URL (z.B. <image src> oder <script src>)
Sicher in die Cloud mit Angular 2 und Spring
Boot
11
https://angular.io/docs/ts/latest/api/platform-browser/index/DomSanitizer-class.html
Sicher in die Cloud mit Angular 2 und Spring
Boot
12
CSRF Schutz
„Double Submit Cookie“ Support in Angular 2
XSRF-TOKEN Cookie
Client
X-XSRF-TOKEN Header +
XSRF-TOKEN Cookie
Sicher in die Cloud mit Angular 2 und Spring
Boot
Server
13
Backend
https://spring.io/platform
Sicher in die Cloud mit Angular 2 und Spring
Boot
14
Spring Boot
Spring Framework
Spring Security
Spring Data JPA
Sicher in die Cloud mit Angular 2 und Spring
Boot
15
Eine sichere Web-Anwendung in 5 Minuten
Sicher in die Cloud mit Angular 2 und Spring
Boot
16
„Secure By Default“ Konfiguration
Authentifizierung aller URLs
Session Fixation Schutz
Session Cookie (HttpOnly, Secure)
CSRF Angriffschutz
Security Response Header
Sicher in die Cloud mit Angular 2 und Spring
Boot
17
CSRF Konfiguration für Angular 2
@Configuration
public class WebSecurityConfiguration extends
WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
…
http
.csrf().csrfTokenRepository(
CookieCsrfTokenRepository.withHttpOnlyFalse()
);
}
Sicher in die Cloud mit Angular 2 und Spring
Boot
18
Sichere Passwortverschlüsselung
public interface PasswordEncoder {
String encode(CharSequence rawPassword);
boolean matches(
CharSequence rawPassword,
String encodedPassword);
}
Sicher in die Cloud mit Angular 2 und Spring
Boot
19
Sichere Passwortverschlüsselung
Encoder Implementierungen:
BCryptPasswordEncoder
SCryptPasswordEncoder
Pbkdf2PasswordEncoder
BytesEncryptor (BouncyCastle)
Sicher in die Cloud mit Angular 2 und Spring
Boot
20
OAuth2 = Autorisierung
Authorization
Server
Resource
Server
Client
https://oauth.net/2
Sicher in die Cloud mit Angular 2 und Spring
Boot
21
OpenID Connect = Authentifizierung
OpenID Connect
JWT
JWS
JWE
JWK
OAuth 2
https://openid.net/connect
Sicher in die Cloud mit Angular 2 und Spring
Boot
22
Tweetable OAuth2 Application
Sicher in die Cloud mit Angular 2 und Spring
Boot
23
https://github.com/IdentityServer/IdentityServer3
Sicher in die Cloud mit Angular 2 und Spring
Boot
24
Input Validierung
Typisierung und Bean Validation
(REST Interface UND in JPA Entity)
@Entity
public class Person extends AbstractPersistable<Long> {
@NotNull
@Pattern(regexp = "^[A-Za-z0-9- ]{1,30}$")
private String lastName;
@NotNull
@Enumerated(EnumType.STRING)
private GenderEnum gender;
...
}
Sicher in die Cloud mit Angular 2 und Spring
Boot
25
SQL Injection Schutz
Prepared Statements mit Spring Data JPA
@Query(
"select u from User u where u.username = "
+ " :username and u.password = :password"
)
User findByUsernameAndPassword(
@Param("username") String username,
@Param("password") String password);
Sicher in die Cloud mit Angular 2 und Spring
Boot
26
Autorisierung der REST API
Rollen- oder Rechtebasiert
public class UserBoundaryService {
@PreAuthorize("hasRole('ADMIN')")
public List<User> findAllUsers() {…}
}
------------------------------------public class TaskBoundaryService {
@PreAuthorize("hasPermission(#task.getProject().getId(),
@permissionTargetType.PROJECT, @accessType.WRITE)")
public Task createTask(Task task) {…}
}
Sicher in die Cloud mit Angular 2 und Spring
Boot
27
Test der REST API
Serverseitige Tests (mit Security)
public class AuthorizationIntegrationTest {
@WithMockUser(roles = "ADMIN")
@Test
public void verifyFindAllUsersIsAuthorized() {…}
@WithMockUser(roles = "USER")
@Test(expected = AccessDeniedException.class)
public void verifyFindAllUsersIsUnauthorized() {…}
…
}
Sicher in die Cloud mit Angular 2 und Spring
Boot
28
Cloud Plattform
https://www.cloudfoundry.org/
Sicher in die Cloud mit Angular 2 und Spring
Boot
29
Rotate
Repair
Repave
Justin Smith, Pivotal
https://www.youtube.com/watch?v=NUXpz0Dni50
Sicher in die Cloud mit Angular 2 und Spring
Boot
30
Repave
“
What if every server inside my data center had a
maximum lifetime of two hours?
This approach would frustrate malware writers,
because it limits the amount of time to exploit
known vulnerabilities before they are patched.
Justin Smith, Pivotal
Sicher in die Cloud mit Angular 2 und Spring
Boot
“
31
Rotate
Microservice
JDBC
Service Binding
Credentials
Sicher in die Cloud mit Angular 2 und Spring
Boot
DB
32
Repair
Spring Boot + Spring Platform
CloudFoundry Java Buildpack
CloudFoundry OPS Manager
AWS
Azure
OpenStack
Sicher in die Cloud mit Angular 2 und Spring
Boot
33
Summary (1)
Verify for Security
Early and Often
DevOps / Code Reviews
Parameterize Queries
Spring Data JPA
Encode Data
Angular 2 Kontext-Sanitizer
Validate All Inputs
Typisierte Eingaben /
Bean Validation
https://www.owasp.org/index.php/OWASP_Proactive_Controls
Sicher in die Cloud mit Angular 2 und Spring
Boot
34
Summary (2)
Implement Identity and
Authentication Controls
OAuth2 + OpenID Connect
Implement Access Controls
Spring Security
Autorisierung
Protect Data
Spring Security Password
Encoder
https://www.owasp.org/index.php/OWASP_Proactive_Controls
Sicher in die Cloud mit Angular 2 und Spring
Boot
35
Summary (3)
Implement Logging and
Intrusion Detection
Slf4J Logger, Splunk,
Auditing, (AppSensor)
Leverage Security Frameworks
and Libraries
Spring Security
Spring Boot + Spring Platform
Error and Exception Handling
Spring Error Controller
Java Exception Handling
https://www.owasp.org/index.php/OWASP_Proactive_Controls
Sicher in die Cloud mit Angular 2 und Spring
Boot
36
Andreas Falk / Germany
NovaTec Consulting GmbH
andreas.falk@novatec-gmbh.de
@agile_security
Sicher in die Cloud mit Angular 2 und Spring
Boot
37
Herunterladen
Random flashcards
Medizin

5 Karten Sophia Gunkel

Erstellen Lernkarten