Web-Services benötigen eine zentrale Sicherheitsstrategie

Solche Sicherheitsvorkehrungen können natürlich für jeden einzelnen Service separat implementiert werden. Kostengünstiger ist aber ein Schutzkonzept, das auf einer unternehmensweiten Sicherheitslösung für alle Web-Services basiert. Sicherheit ist ein komplexes Thema. Kein Unternehmen sollte davon ausgehen, dass der durchschnittliche Software-Entwickler alle potenziellen Bedrohungen für ein Anwendungssystem überschauen kann. Deshalb sollte die Sicherheit nicht der Lust und Laune des Software-Entwicklers überlassen werden, sondern möglichst von Sicherheitsexperten gelenkt, konfiguriert und koordiniert werden. Sicherheit ist nicht nur eine technische Frage. Effiziente Sicherheitsstrategien erfordern einerseits leistungsstarke Technik, anderseits aber auch komplexe Steuerungsprozesse. Sicherheitsvorkehrungen sollten auf die jeweiligen Geschäftsrisiken abgestimmt werden und durchgängig in der gesamten Systemumgebung realisiert werden.
Eine Möglichkeit, die Durchgängigkeit von Sicherheitssystemen zu optimieren und gleichzeitig die dafür anfallenden Kosten im Rahmen zu halten, besteht darin, allgemeine (aber dennoch extrem komplexe) Sicherheitsfunktionen durch die Verwendung einer gemeinsam genutzten Sicherheitsinfrastruktur weitestmöglich vom Anwendungscode zu separieren. Zu solchen allgemeinen Sicherheitsfunktionen zählen Aufgaben wie Authentisierung, Zugriffsberechtigung, Auditierung oder Verschlüsselungsverarbeitung. Mit einer Separierung solcher Sicherheitsfunktionen sind die folgenden Vorteile verbunden:
Kostenreduzierung: Durchschnittlich entfallen auf allgemeine Sicherheitsfunktionen wie Authentisierung, Zugriffsberechtigung oder Auditierung ca.15 Prozent der Kosten für die Entwicklung von Unternehmensanwendungen und des laufenden IT-Betriebs. Durch die Separierung dieser nicht geschäftsrelevanten Funktionsanforderungen vom Anwendungscode könnten größere Unternehmen hunderte von Millionen Euro pro Jahr bei ihren IT-Budgets einsparen.
Geringere Vorlaufzeit: Eine Separierung von Sicherheitsfunktionen reduziert die Komplexität der Anwendung und damit die Zeit, die für die Entwicklung und Erprobung von Anwendungen erforderlich ist.
Konsequentere und zuverlässigere Auditierung: Wenn auf übergreifender Ebene ein einziger Auditierungsprozess statt tausender Auditierungsprozesse (einer pro Anwendung) definiert und implementiert wird, können Komplexität und Risiken enorm verringert werden. Einzelne Anwendungen müssten nur einfache Auditierungsprozesse erfüllen, um die Einhaltung der Unternehmensinfrastruktur zu gewährleisten.
Reduziertes Risiko: Durch Zentralisierung von Sicherheitsaufgaben bei Mitarbeitern mit mehr Wissen und größerer Erfahrung können Sicherheitsvorkehrungen durchgängiger umgesetzt und dem Geschäftsrisiko angepasst werden.
Der wirkungsvollste Weg einer Separierung der Web-Services-Sicherheit besteht in der Nutzung eines XML Security Gateway und einer Web Services Management (WSM)-Lösung. Ein XML Security Gateway bietet einen sicheren, zentralen Zugangspunkt zu einer geschützten Umgebung. Das Gateway erfüllt wichtige Funktionen wie Authentifizierung, Zugriffsberechtigung, Auditierung, Credential Mapping, Message-Validation, Nachrichtenfilterung, Virusprüfung, Message-Transformation und -Routing. Eine WSM-Lösung arbeitet mit flexiblen Lightweight-Agents, die im gesamten Umgebungssystem genutzt werden können, um an jedem Service-Endpunkt zentral koordinierte Sicher-heitsmaßgaben zu implementieren. Gemeinsam bieten diese Produkte einen wirksamen Schutz von Web-Services.

Anne Thomas Manes ist Vice President und Research Director für den Bereich Application Platform Strategies der Burton Group.