Teknik --> Säkerhet A A  

Säkerhet

Publik användning av Web Services introducerar nya vägar in till företags källsystem som, om den individ som är inne i systemet är obehörig, kan ställa till med mycket problem både genom allmänt sabotage samt åtkomst av känslig information.

Innehåll:

>> Säkerhetsproblem
Tips och råd
Vidare läsning

 

Säkerhetsproblem

En faktor som är viktig att beakta då det gäller säkerhet för Web Services är de olika roller som samverkar i en Web Service-arkitektur. Det fins tre grundläggande roller (se avsnittet om standarder) : sändare, mottagare samt föremedlare/register. Dessutom finns oftast en eller flera mellanhänder, som kan ses som en specialroll för Web Services. Kommunikationen inom Web Services sker mellan noder som kan sända meddelanden, ta emot meddelanden alternativt både sända och ta emot meddelanden.

Förenklat kan man säga att det finns tre säkerhetsproblem i samband med Web Services:

- Autentisering (identifiering av användare)
- Avlyssning (försök till avlyssning av informationen som skickas)
- Integritet (försök till manipulering av informationen som skickas)

Problemen uppstår främst i de fall där det finns en mellanhand i kommunikationen mellan ändnoderna. Det innebär exempelvis att meddelandet som skickas måste packas upp i klartext. Äldre krypteringstekniker fungerar säkert vid punkt-till-punkt-kommunikation men kan inte hantera säkerheten vid mellanhänder. Men det finns även attacker utifrån som kan utföras av renodlade destruktiva intressen, det vill säga ej ekonomiska. Ett exempel på en sådan attack är en Denial of Service (DoS) attack, som syftar till att belasta en tjänst så mycket att tjänsten inte kan hantera de inkommande förfrågningarna. Detta skulle förstås vara mycket besvärande (om inte förödande) för både den parten som erbjuder tjänsten och de parter som vill använda den.

I dagsläget finns en grundläggande specifikation för att säkra vissa aspekter, främst säker (krypterad) överföring av meddelanden via mellanhänder, av publika Web Services. Specifikationen heter WS Security och hanterar överföringen via mellanhänder genom att utöka SOAP-protokollet. På så sätt kan säkerhetskrav som integritet för meddelande, sekretess och autentisering för enskilda meddelanden uppnås hela vägen mellan sändare och mottagare.

Några tips och råd

Grundtanken med webbaserad tjänstearkitektur, det vill säga ett världsomspännande nätverk av tjänster som kan utnyttjas med relativt enkla medel, är i dagsläget ett rörligt mål. Dock har vissa fundament för Web Service-arkitekturen såsom XML, SOAP och WSDL uppnått rimlig stabilitet. Utvecklingen av Web Service-arkitekturen är fortfarande intensiv vilket borgar för en fortsatt vidareutveckling och komplettering av dess olika delar.

Till företag som överväger att tillägna sig detta arbetssätt och att användas sig av Web Services kan i nuläget följande råd ges:

- Tänk noga igenom vilka säkerhetskrav som krävs om en tjänst skall användas publikt samt om det kommer att finnas mellanhänder inb landade.
- Om ni känner tvivel angående säkerheten runt publik exponering av Web Services, använd punkt-till-punkt kommunikation som bevisligen är säker.
- Tänk på att tekniska lösningar är verkningslösa om individer på ”insidan” av ett företag har möjligheter att komma åt känsliga källsystem.
- Ha i åtanke att Web service-arkitekturen fortfarande är ung, nya brister kommer att upptäckas likaväl som nya fördelar.

upp^

Vidare läsning

Rekommenderas!! Mönsterkatalogen - en katalog över generella lösningar på problem som måste lösas i och med en implementation av SOA. Stor del ägnas åt säkerhetsaspekten av Web Services.

Toms A., 'WS Security-An overview'

Toms A., 'Notes from meeting at SEB regarding Web Service and Security'

Toms A., 'Serviam Literature Survey, Part V, Web Services Security'

Extra material!
SOA & WS i ljud- o bild

Bilder från projektmöte
 

Externa länkar:

www.ssek.org
www.vinnova.se
 
Huvudsponsor:
kontakt: Peter Söderström (IT Plan) | Martin Henkel (Stockholms Universitet) | Web utvecklad av: Milena Haykowska (Stockholms Universitet)