IT-Sicherheit

5 Maßnahmen für mehr SOA-Sicherheit

21.09.2009 von Andreas Schaffry
Der Aufbau einer Service-orientierten Architektur (SOA) stellt Unternehmen auch bei der IT-Sicherheit vor neue Anforderungen. In fünf Schritten können sie eine Strategie für SOA-Security effizient umsetzen: von der Spezifikation der Anforderungen, über die Auswahl der Produkte sowie deren Konfiguration bis zur Integration.

Obwohl es absolute Sicherheit in einer Service-orientierten Architektur (SOA) nicht gibt, setzen 30 Prozent der Firmen bereits auf die Vernetzung mit Partnern und Kunden via Services. Jedoch ist es für Unternehmen nicht leicht den richtigen Mix aus Produkten, Industriestandards, Integrationen und Architekturen für eine SOA-Sicherheit zu finden und umzusetzen.

Forrester-Analyst Randy Heffner hat für unsere US-Schwesterpublikation CIO.com aufgeschrieben, wie Firmen ein effektives Lösungskonzept für die SOA-Sicherheit entwickeln und in folgenden fünf Schritten effektiv umsetzen können.

Sicherheitsanforderungen identifizieren

Beim Aufbau einer Sicherheitslösung in einer serviceorientierten Anwendungslandschaft sind viele Bausteine und Funktionen zu integrieren.

Bevor Unternehmen mit dem Aufbau einer Sicherheitslösung beginnen, sollten sie ihren Sicherheitsbedarf einschätzen und diese mit einer Maximalliste möglicher Sicherheitsfunktionen abgleichen. Das schafft die Grundlage für einen strategischen Ansatz beim Aufbau einer Lösung für die SOA-Sicherheit.

Die wichtigsten Sicherheitsanforderungen sollten in ein erstes Modelldesign für eine SOA-basierte Sicherheitslösung einfließen. Es umfasst unter anderem Lieferanten und Konsumenten von Services, Abfrage- und Rückmeldevorgänge sowie die vorhandene IT-Sicherheits-Umgebung.

Der einfachste Weg, um eine servicebasierte Kommunikation mit externen Partnern abzusichern, ist, diese innerhalb eines Virtual Private Networks (VPN) ablaufen zu lassen. Am häufigsten verwendet wird heute eine Zwei-Wege-Verschlüsselung über Secure Socket Layer (SSL). Damit kann in einer SOA jeder Kommunikationspartner den anderen sofort identifizieren. Weitere Alternativen sind, die in einer servicebasierten Umgebung vorhandenen Sicherheitsfunktionen in einem Enterprise Service Bus oder einer anderen Lösung für das Management von Web Services zu konzentrieren.

Anforderungen für SOA-Sicherheit spezifizieren

Im nächsten Schritt werden die Anforderungen detailliert und die entsprechenden Spezifikationen für Web-Services-Sicherheit ausgewählt. Dabei ist darauf zu achten, dass die einzelnen Spezifikationen von der IT-Infrastruktur unterstützt werden. Das schließt vorhandene Produkte, aber auch neue, die für den Aufbau einer SOA benötigt werden, ein.

SOA-Sicherheit gleicht einem Puzzle. Zahlreiche Produkte und Spezifikationen müssen zusammenpassen.
Foto: Rene Schmöl

Wichtig sind Spezifikationen für Web-Services-Sicherheit, XML-Verschlüsselungen und -Signaturen sowie ein WS-I Basic Security Profile. Dieses besteht aus Klarstellungen, Verfeinerungen, Interpretationen und Verstärkungen von sicherheitsrelevanten Web Service Basisspezifikationen.

Erweiterte Spezifikationen sind WS-Trust für eine sichere Kommunikation, WS-Security-Policy für den Aufbau von Firewalls für Web Services sowie WS-Federation ermöglichen Nutzern den nahtlosen Zugang über Web Services in unterschiedlichen Sicherheitsdomänen, ohne sich jedes Mal neu identifizieren zu müssen.

Die richtigen Produkte auswählen

Innerhalb einer SOA-Sicherheitslösung gibt es zahlreiche Funktionen, etwa zur Authentifizierung, die von unterschiedlichsten Software-Produkten ausgeführt werden können. Dies muss bereits im Design-Prozess berücksichtigt werden, um anschließend das passende Produkt oder ein Set von Produkten auswählen, die diese Funktionen für eine SOA-Sicherheit unterstützen. Das können SOA-Appliances, SOA-Management-Lösungen oder Server für Security Tokens oder Lösungen für das Identitäts- und Zutritts-Management sein.

Produkte konfigurieren und integrieren

Meist werden mehrere Produkte eingesetzt, die genau eine Sicherheitsfunktion innerhalb einer SOA ausführen. Unternehmen müssen daher sicherstellen, dass die einzelnen Produkte miteinander integrierbar sind und dadurch kohärent zusammenarbeiten können.

In der Regel lässt sich die Integration bereits über die in den einzelnen Produkten enthaltenen Konfigurationsmöglichkeiten abdecken. Zum Beispiel kann eine SOA-Appliance so eingestellt werden, dass sie Authentifizierungen automatisch an eine Single-Sign-On-Lösung weiterleitet. In allen anderen Fällen ist der Aufbau von Integrations-Komponenten auf der Basis vorhandener Schnittstellen erforderlich.

Security-Funktionen ergänzen

Der Aufbau einer Sicherheitslösung im SOA-Umfeld ist ein iterativer Prozess. Nachdem die Integrationsarbeit abgeschlossen ist, kann es hilfreich sein, ein Hilfe-Framework für die Anwendungsentwicklung aufzubauen. Das verhindert, dass diese zusätzlich benötigte Sicherheits-Codes innerhalb servicebasierter Applikationen schreiben müssen.

Mit Hilfe eines Frameworks lassen sich neue Sicherheits-Funktionen einfach hinzufügen und ergänzen – und zwar ohne in jeder einzelnen Applikation Codezeilen zu ergänzen. Das ermöglicht den sukzessiven Aufbau einer effizienten Sicherheits-Lösung in einem servicebasierten Applikations-Umfeld.