Sicherheitsprobleme vermeiden

Sieben Faktoren für mehr SOA-Sicherheit

28.09.2007
Von Nina Gut

2. Personen: In den SOA-Lebenszyklus sind viele Personen einbezogen, und jede Person und jede Personengruppe muss aus der Sicherheitsperspektive beleuchtet werden. Identitäts-Management-Systeme können leicht einbezogen werden, um Menschen zu authetifizieren. Sie können für interne und externe User verschieden sein. Alle Personen sollten nicht nur durch Zugangsservices ermittelt werden. Auch das Verhalten sollte durchleuchtet werden, genauso wie der Kontext, in dem eine Person einen Service in Anspruch nimmt.

In diesen Fällen reicht eine Aufgaben-basierte Sicherheit in den Standard-Identitäts-Management-Systemen nicht aus. Denn der Kontext des Verbrauchers kann sich durch verschiedene Unter-Services ändern. Angriffe können vermieden werden, wenn Applikationen vor Sicherheitslücken durch Chiffrierung, Netzwerk-Schutz und Rechte-Management geschützt sind.

SOAs sorgen für Komplexität

3. Plattformen: Die Plattform, auf der eine Anwendung läuft, kann verwundbar sein. SOAs fügen der Plattform einige Schichten an Komplexität hinzu, da viele SOAs wahrscheinlich in einer virtuellen Umgebung existieren. Es gibt zwei Fälle: Entweder läuft ein einziger Service auf mehreren Plattformen, oder eine einzige Plattform setzt auf mehreren Diensten auf. Weitere Komplikationen treten auf, wenn die verschiedenen Services, die auf derselben Plattform laufen, auf verschiedenen virtuellen Teilbereichen mit unterschiedlichen Trust Leveln laufen.

Die meisten Sicherheitsprodukte haben bisher noch nicht auf diese zusätzlichen Schichten an Komplexität reagiert. IT-Entscheider sollten davon ausgehen, dass die Hacker hart daran arbeiten, diese "Nähte" auszunutzen, und die Sicherheitsanbieter dazu drängen, Schutz für virtuelle Domains und Mechanismen zum Aufspüren von Bedrohungen zu erstellen. Die CIOs müssen ständig schauen, wo sich virtuelle und reale SOA-Services verwundbar zeigen.

4. Produkte: Angebote für die Sicherheit von SOAs entstehen gerade erst. Darum sollten die Entscheider genau auf die Entwicklungen in diesem Bereich achten. Die meisten großen Management-Anbieter haben angekündigt, die SOA-Sicherheit zu unterstützen, darunter BMC und IBMIBM. Zum einen müssen sich Produkte für die SOA-Security in ein allgemeines Sicherheitskonstrukt integrieren lassen, zum anderen haben SOAs spezifische Bedürfnisse. Dazu gehören die Analyse von XML-Dokumenten und SOA-spezifischen Sicherheitsprotokollen. Die IT sollte dabei auch die SOA-Sicherheitslösungen, die sie vorschlägt und ausgibt, als "Produkte" betrachten und fördern: mit geeigneten Marketing- und Verkaufsbemühungen sowie den nötigen Ressourcen. Alles zu IBM auf CIO.de

Zur Startseite