Absicherung der Web Services-Anwendungen
- Sicherheitsalbtraum SOA?
- Vorteile und Gefahren durch Web Services
- Wie begegnen SOA-Nutzer den Risiken
- Absicherung der Web Services-Anwendungen
- Schutzschild aus physikalischer Sicherheit und Key Management
Da Sicherheitsbrüche jedoch jederzeit auftreten können – sowohl durch gewollte oder ungewollte, externe oder interne Handlungen – müssen Unternehmen strenge Sicherheitsrichtlinien für ihre Netzwerke initiieren und forcieren. Dies gilt sowohl während als auch nach den Transaktionen. Um dieses abgesicherte Umfeld zu schaffen, gilt es, auf zentralisierte und standardisierte Sicherheit auf Applikationsebene zu setzen. Standard-Firewalls und Intrusion Detection-Systeme können Bedrohungen aufspüren, die sich gegen die Betriebssystem- und Netzwerkebene richten. Auf der Anwendungsebene aber, auf der die Web Services agieren, können sie nichts ausrichten. Darüber hinaus verstehen diese Security Tools weder HTTP Sessions noch XML oder HTML. Die Gefahr: Die Applikation ist ungeschützt gegenüber Bedrohungen wie Replay-Attacken, Session Hijacking, Denial-of-Service-Attacken, Buffer Overflow, SQL Injection und Cross-Site Scripting.
Um Web Services-Anwendungen direkt und von innen abzusichern, bieten sich verschiedene Standards wie XML Encryption, XML Signature, WS-Security, WS-Policy, WS-Trust, WS-Privacy, WS-SecureConversation, WS-Federation, WS-Authorization oder SAML an. Nur Verschlüsselung kann Daten umfassend und verlässlich absichern. Gleichzeitig ist diese Security-Taktik durch ihre Leistung, die einfache Implementierung und das problemlose Management sowie ihre Kosteneffektivität die ideale Lösung für die Absicherung von Anwendungen und Daten in Online-Diensten. Doch damit nicht genug: Verschlüsselung erfüllt auch behördliche und industrielle Vorgaben in Bezug auf Compliance und Vertraulichkeit. Insbesondere Firmen, die E-Commerce-Transaktionen durchführen, unterliegen hier einem besonderen Druck. So legt der Payment Card Industry Data Security Standard (PCI-DSS) großer Kreditkartenunternehmen wie Visa und MasterCard einheitliche Sicherheitsanforderungen fest. Doch obwohl Verschlüsselung einen großen Schritt in Richtung Datenschutz darstellt, kann sie nur wirksam greifen, wenn die Verschlüsselungsschlüssel ebenfalls sicher sind. Werden diese Schlüssel nämlich aufgedeckt, können Eindringlinge sensible Informationen ohne weiteres kopieren, modifizieren oder löschen. Ein Albtraum, handelt es sich hierbei um Handelsgeheimnisse, Finanzinformationen, interne Abmachungen, Verträge, Mitarbeiter- oder Kundendaten wie Kreditkarten- oder Kontonummern.
