SOA ist keine reine Architektur der IT-Systeme, sondern ein Konzept, das IT-Prozesse eines Unternehmens konsequent an den ihnen zu Grunde liegenden betrieblichen Abläufen ausrichtet. Bei der Einführung einer SOA sind auch Aspekte bei der IT-Sicherheit zu beachten.
Dazu hat der ITK-Branchenverband Bitkom einen herstellerneutralen Leitfaden herausgegeben. Dieser räumt mit dem Vorurteil auf, Service-orientierte Architekturen stellten ein erhöhtes Sicherheitsrisiko dar. Generell erfordert eine SOA keine gesonderten oder neuen Techniken bzw. Konzepte zur Sicherstellung von Informationssicherheit.
Erst Sicherheitsstruktur überprüfen, dann SOA aufsetzen
Allerdings sollten bei der Überführung von Anwendungslandschaften in eine SOA auch die Maßnahmen zur Informationssicherheit überprüft werden. Auf diese Weise lassen sich Sicherheitsanforderungen einer SOA frühzeitig erkennen und die einschlägigen IT-Sicherheitsstandards erfüllen. Zu den wichtigsten gehören die Authentifizierung der Benutzer, die Autorisierung beim Zugriff auf Daten, Services und Identitäten sowie die Protokollierung der Zugriffe. Hinzu kommen allgemeine Usability-Anforderungen wie ein Single Sign-On für sämtliche Geschäftsprozesse.
Aus den Sicherheitsanforderungen in einer SOA werden zudem wichtige Bausteine für eine übergreifende Security Policy abgeleitet und in so genannten Policy-Systemen umgesetzt. Damit sich Geschäftsprozesse sicher abwickeln lassen, ist in einer SOA an mehreren Stellen die Aufstellung von Policy Enforcement Points erforderlich. Diese gewährleisten die Sicherheit und Qualität eines IT-Systems. Darüber hinaus sorgt ein zentrales Policy Management dafür, dass die für eine SOA festgelegten Sicherheitsrichtlinien eingehalten werden.
Der Bitkom-Leitfaden "SOA und Security" kann auf der Internet-Plattform www.SOA-know-how.de gelesen, kommentiert und bewertet werden.