Contextualised security operation deployment through [email protected] architecture

International audienceThe fast development of Cloud-based services and applications have a significant impact on Service Oriented Computing as it provides an efficient support to share data and processes. The de-perimeterised vision involved by these Intelligent Service Clouds lead to new security challenges: providing a consistent protection depending on the business environment conditions and on the deployment platform specific threats and vulnerabilities. To fit this context aware protection deployment challenge, we propose a [email protected] architecture, coupling Model Driven Security (MDS) and [email protected] approaches. By this way, security policies (that can be generated via a MDS process) are interpreted at runtime by a security mediator depending on the context. This proposition is illustrated thanks to a proof of concept prototype plugged on top of the FraSCAti middleware

Gestion contextualisée de la sécurité : implémentation MDS@Runtime avec FraSCAti

National audienceThe development of security policies for information systems is usually based on a systematic risks analysis, reducing them by adopting appropriate countermeasures. These risks analysis approaches are complex and designed for well-known and static environments. To overcome this limit, we propose to extend the Model Driven Security (MDS) approach to a MDS@Runtime vision to set a Security as a Service component. Plugged on the FraSCAti middleware, our security component selects, composes and orchestrates the security services depending on the execution context to avoid both under and over protection

C-business et urbanisation d'entreprise

Les évolutions permanentes du marché ont forcé la plupart des entreprises à se focaliser sur les processus liés à leur coeur de métier. Ce recentrage les conduit alors soit à externaliser certaines parties de leurs processus, soit former temporairement une association avec d autres partenaires. Ces scénarios de collaboration imposent plusieurs contraintes sur la conception et l organisation du système d information à fin de le rendre facilement adaptable pour suivre les changements au niveau d organisation. Pour que le système d information soit facilement adaptable il est possible de restructurer le système d information en respectant les principes de l urbanisation du système d information couplé par une architecture orienté service, toute fois, cette organisation conduit à des systèmes assez rigides ne donnant pas réellement les capacités d initier des processus collaboratifs. Or, la collaboration impose de prendre en compte les contraintes de sécurité car l approche traditionnelle d urbanisation ne prend pas en considération la possibilité de collaboration et forme des îlots de sécurité ce qui s oppose à la nature transversale de la sécurité. En plus,dans un modèle orienté services, les applications distribuées sur plusieurs site ont peu ou pas de visibilité en matière de l information nécessaires pour assurer la sécurité au nouveau globale. C est dans ce contexte que nous avons proposé d adopter une démarche d urbanisation d entreprise qui promeut une organisation transversale du système de production de l entreprise qui permet une construction incrémentale des processus collaboratifs. Nous sommes parvenus à spécifier un modèle de service industriel construit par regroupement de toutes les fonctions nécessaires autour de la fabrication du produit. Ensuite, nous nous somme proposé de construire un middleware supportant ces services industriels. Cela induit d ajouter un niveau sémantique capable de gérer les propriétés fonctionnelles et non fonctionnelles (qualité de service et sécurité) aux bus de services traditionnels (ESB). Dans le cadre du projet ANR SEMEUSE visant à doter un ESB Open source (PETALS) d un niveau sémantique, notre contribution a plus particulièrement portée sur la spécification et la mise en oeuvre des composants permettant d intégrer de manière contextuelle les politiques de sécuritéMarket evolution has lead most of the enterprise to focus on their core business while setting outsourcing and collaborative strategies to be able to propose the best product-service offers. This Collaborative Business environment challenges Information System (IS) re-organisation to set agile, reactive and interoperable IT supports. To fulfil these requirements, one can reorganise the information system according to the urbanisation paradigm. Coupled to Service Oriented Architecture, this approach provides interoperable information systems. Nevertheless, traditional urbanization strategies lead to a partitioned and rather rigid IS organization aligned on the company s functional structure, which hinders initiating collaborative production processes, since production process is transversal and bypasses all enterprise business areas. To overcome these limits, we propose to adopt a new urbanization strategy that combines the transversal production logic with a service orientation to allow incremental production process building, based on goals to be reached. Despite of the advantages of the collaboration, in the dynamic collaboration scenarios, lack of trust can be a braking force while developing collaborative strategies. To this end, we proposed to integrate security needs and constraints into the definitions of business processes, organizational structure and technical components. Hence, the architecture we propose to implement our enterprise urbanization approach is based on a service-oriented model. We extend the traditional IT service to capture semantics associated to the industrial activity so that an industrial service model is proposed. Then security requirements are added in this model to govern access to different interfaces in a composite service. The implementation of this architecture is achieved using an industrial service bus by adding a security module extended with semantic layer on the top of PEtALS , an open source ESBVILLEURBANNE-DOC'INSA-Bib. elec. (692669901) / SudocSudocFranceF

Mise en oeuvre des architectures orientées services pour les systèmes d'information industriels

Pour faire face aux contraintes économiques (demande de plus en plus importante pour de la personnalisation de masse, globalisation et réduction des coûts ), le développement de stratégies de production Juste À Temps , ou Lean Manufacturing impose la réorganisation de l entreprise sur les activités génératrices de valeur en suivant une logique de chaîne de valeur pour éviter tout gaspillage. Cette stratégie conduit de fait à un recentrage métier et une extension de la chaîne de valeur. L entreprise est donc amenée à développer des stratégies de collaboration (Bare et Cox, 2008 ; Davis, 1987) et doit disposer d un SI Lean (réponse au plus juste), agile pour réagir aux fluctuations et aléas, ouvert pour assurer un partenariat avec ses fournisseurs, ses clients et ses partenaires et, enfin, interopérable pour faciliter la communication entre les différents systèmes et concilier ces différentes facettes métiers. Or, le SI de l entreprise est constitué d une multiplicité de logiciels (l ERP (Enterprise Resource Planning), le MES (Manufacturing Execution System), le PLM (Product Life-cycle Management), le SCM (Supply Chain Management) ). Chaque système vise à répondre à un objectif donné pour une facette métier, et est développé selon des spécifications métier propres échappant le plus souvent à toute standardisation. Ceci engendre une redondance, une hétérogénéité et une augmentation du volume d information, d où des risques d incohérence, de rigidité du SI et notamment une grande difficulté de communication dans le cadre de collaboration interentreprises. Pour répondre à ces aléas, il importe de définir un SI agile et interopérable et de réorganiser les processus pour supporter la chaîne de valeur de l entreprise. C est dans cet objectif que nous proposons de développer un Lean ESB (Enterprise Service Bus), socle d une Architecture Orientée Services, doté d une couche sémantique métier. Nous avons défini quatre modules du Lean ESB : Le module de médiation définit les échanges d information entre les différents métiers et entre le métier et la technologie pour assurer le fonctionnement des autres modules. Le module de chorégraphie dynamique permet de composer les services industriels pour définir les processus selon les besoins de production spécifiés par le client. Le module de routage intelligent organise les ressources de l atelier pour définir des processus en flux tirés. Le module de monitoring et gouvernance permet de contrôler la performance de la production et la qualité des produits.To meet the economic constraints (growth of mass customization demands, globalization and cost reducing), the development of new strategies forms as a Just In Time production strategy or Lean Manufacturing needs to reorganize the enterprise taking into account the activities which generates value (following the value-chain logic) in order to avoid wastefulness. This strategy leads to a business refocusing and a value-chain extension. The enterprise has to develop collaboration strategies (Bare and Cox, 2008 ; Davis, 1987) and has to have a Lean (just in time response) Information Systems (IS), agile IS to react fluctuations, open IS to support a partnership with suppliers, customers and partners and interoperable IS to make easier the communication between systems and business views. However, the enterprise IS contains multiple systems: ERP (Enterprise Resource Planning), MES (Manufacturing Execution System), PLM (Product Life-cycle Management), SCM (Supply Chain Management) Each system is designed to meet a particular business view, and is developed according to specific business requirementswithout any standardization which cause redundancy, heterogeneity and increase the volume of information including an inconsistency, a rigidity of the IS and a difficulty of inter-enterprise collaboration. To face theses disadvantages we have to define an agile and interoperable IS and to reorganize processes to support the enterprise value-chain. Therefore, we propose to develop a Lean ESB (Enterprise Service Bus) which is a Service Oriented Architecture middleware, improved by a business semantic layer. We defined four modules of Lean ESB: The mediation module defines information exchange between a business layers and IS and insures other modules operating. The dynamic choreography module enables industrial services composition to define processes in accordance with customer demands. The intelligent routing module organizes workshop resources in order to reorganize processes in a pull flow strategy. The monitoring and governance module enables the control of production performance and products quality.VILLEURBANNE-DOC'INSA-Bib. elec. (692669901) / SudocSudocFranceF

Gestion de la sécurité dans une infrastructure de services dynamique (Une approche par gestion des risques)

Les changements de contexte économiques imposent de nouvelles stratégies organisationnelles aux entreprises : recentrages métier et développement de stratégies de collaboration interentreprises. Ces tendances du marché laissent prévoir une croissance exponentielle d écosystèmes de service accessibles à la fois aux clients finaux et aux partenaires. Tout laisse prévoir que ces écosystèmes s appuieront largement sur les architectures orientées services permettant de construire des systèmes d information capable d avoir l agilité requise et de supporter l interconnexion des processus métier collaboratifs en composant dynamiquement les processus à partir de services distribués. Ce type d architecture qui permet d assurer l alignement du système d information sur les besoins métier de l entreprise, rend indispensable la prise en compte des contraintes de sécurité tant au niveau individuel des services qu au niveau de la composition. Dans un environnement de services distribués et dynamiques, la sécurité ne doit pas se limiter à fournir des solutions technologiques mais à trouver une stratégie de sécurité prenant en compte les dimensions métier, organisationnelle et technologique. En outre, la sécurité doit être appréhendée comme un processus continu qui vise l optimisation des investissements de sécurité et assure la pérennité des mesures de sécurité mises en œuvre. Or les modèles et architectures de référence du domaine des services ont sous-estimé la définition des besoins en termes de sécurité, les biens à protéger et l identification des risques pesant sur ces biens. Pour cela, nous proposons d aborder la problématique de la sécurité par une approche de gestion des risques permettant d identifier les différents types de risques et de proposer les mesures de sécurité les plus adéquates au contexte. Toutefois, la gestion des risques s avère un vrai défi dans un environnement ouvert de services collaboratifs. En effet, les méthodes de gestion des risques développées dans le cadre des systèmes d information ne répondent pas aux exigences de sécurité dans un environnement ouvert et ne sont pas adaptées aux environnements dynamiques. Pour pallier ces limites, nous proposons un cadre méthodologique de gestion de la sécurité portant sur les phases préparation, conception, exécution et supervision du cycle de vie des services. Nous proposons un modèle de services sécurisés permettant de définir des patrons de sécurité, un modèle de classification des biens à protéger et une ontologie pour définir les concepts associés à ces biens. En outre, nous développons une méthodologie de conception d une architecture orientée services sécurisée puis abordons la construction de processus métier sécurisés avant de proposer un service de gestion des vulnérabilités de l infrastructure.Changes in economic environment impose new organizational strategies to companies: refocusing business and creating collaboration strategies. These trends point to an exponential growth of service ecosystems accessible to both end users and partners. All foreshadows that these ecosystems rely heavily on service-oriented architectures that can build information systems having the required agility and supporting the interconnection of collaborative business processes by composing processes dynamically from distributed services. This type of architecture that ensures business and information systems alignment, makes it essential to take into account security constraints at the services and the composition s levels. In a distributed and dynamic services environment, security should not be limited to providing technological solutions but to find a security strategy taking into account the business, organizational and technological dimensions. Besides, the security must be considered as an ongoing process that aims to optimize security investments and ensures the sustainability of implemented security measures. However, the models and reference architectures in the services domain have underestimated the definition of security requirements, assets to protect and the identification of risks to those assets. Therefore, we propose to address the security management issues by a risk management approach to identify the different types of risks and propose the most appropriate security measures to the context. Nevertheless, risk management is a real challenge in an open collaborative services environment. The methods of risk management developed in the context of information systems do not meet the security requirements in an open environment and are not suitable for dynamic environments. To overcome these limitations, we propose a methodological framework for security management covering the phases: preparation, design, execution and supervision of the services lifecycle. We propose a model of secure services to identify security patterns, an assets classification model and an ontology defining the concepts associated with those assets. Moreover, we develop a methodology for designing secure service oriented architectures, we address the development of secure business processes then we propose a security service for managing and supervising the infrastructure components vulnerabilities.VILLEURBANNE-DOC'INSA-Bib. elec. (692669901) / SudocSudocFranceF