Sicherheitsalbtraum serviceorientierte Architektur? Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


28.08.2009 Ansgar Dodt*

Sicherheitsalbtraum serviceorientierte Architektur?

Mit den richtigen Vorkehrungen nutzen Unternehmen die Vorteile von Webdiensten in SOA und verhindern, an Sicherheitshürden zu straucheln.

IInternetbasierte Transaktionen und Prozesse sind aus der Geschäftswelt nicht mehr wegzudenken, und serviceorientierte Architekturen bieten zahlreiche Vorteile – vorausgesetzt, ein hieb- und stichfestes Sicherheitskonzept schützt vor unliebsamen Überraschungen. Mit dem schwindelerregenden Wachstum an Aktionen, die über öffentliche Netzwerke ausgeführt werden, stellt sich Organisationen und Unternehmen zunehmend die Herausforderung, sich auf die eigene Infrastruktur zu konzentrieren. Übergeordnetes Ziel: die Optimierung der Geschäftsperformance. Um in diesem Rennen mithalten zu können, wenden sich viele den serviceorientierten Architekturen (SOA) zu. Auf dem Weg zum webbasierten Geschäftsumfeld gilt es jedoch, diverse Sicherheitsfallstricke zu beachten. Denn wer seine Web Services SOA nicht umfassend absichert und auf Compliance-Vorgaben eingeht, kehrt die Vorteile des serviceorientierten Ansatzes schnell ins Gegenteil um.

Eine SOA-Anwendung ist an den Anforderungen der Geschäftsprozesse ausgerichtet und fordert die strikte Trennung von Prozesslogik und -funktionen. Einzelne Services werden wie Programmmodule bedarfsgerecht zusammengefügt. Ein besonderer Reiz von SOA ist dabei die Unterstützung von Web Services: Anwendungen können effektiver und effizienter auch über heterogene Netzwerke zusammenarbeiten. E-Government, das Finanzwesen oder Service-Zentren sind Beispiele, wo derzeit bereits auf SOA gesetzt wird. Doch die Internetdienste bergen auch zahlreiche Risiken. So besteht bei einer Web Services SOA immer die Gefahr, dass wichtige Daten nicht ausreichend geschützt sind, wenn sie sich über öffentliche Netzwerke und unter Einsatz standardisierter Web-Technologien wie HTTP oder XML bewegen.

Wichtige Basis für den Schutz vertraulicher Daten ist die Chiffrierung sowie der Einsatz eines kryptografischen Hardware Security Moduls (HSM), um die Verschlüsselungsschlüssel abzusichern. Das verlässliche und sichere Schlüsselmanagement spielt vor allem bei webbasierten Transaktionen wie beispielsweise der Übermittlung von Kreditkarteninformationen eine wesentliche Rolle. Denn im Hintergrund von SOA stehen auch immer entsprechende Geschäftsprozesse, die kritisch und deshalb besonders schutzbedürftig sein können.

Neben der Absicherung einzelner Service-Anfragen in Bezug auf Vertraulichkeit oder Authentizität sind daher Aspekte wie Transaktionssicherheit von großer Bedeutung. Was passiert beispielsweise dann, wenn eine serviceorientierte Architektur nicht nur innerhalb einer Institution genutzt, sondern auch nach außen geöffnet wird? In diesen Fällen müssen sich Organisationen und Unternehmen zusätzlichen Sicherheitsherausforderungen wie etwa Denial-of-Service-Angriffen stellen.

Eine Web Services SOA ermöglicht den nahtlosen Informationsaustausch zwischen Geschäftseinheiten, Partnern und Kunden. Die Online-Dienste dienen dabei als Verbindungstechnologie, die verschiedene Software-Applikationen auf diversen Plattformen über ein öffentliches Netzwerk wie das Internet zusammenbringen. Der »Service« ist das Resultat eines »Agenten« (Applikation), der die Dienstleistung einem Endanwender zuführt. Einer der Hauptvorteile: Die Anwendung kann geändert werden, der Service bleibt derselbe. Diese Flexibilität der Web-Services-Plattform entstammt dem XML-Protokoll als Basis. Eingebunden in den XML-Standard sind die drei Kerntechnologien der Web-Services-Architektur SOAP (Simple Object Acces Protocol), WSDL (Web Services Description Language) und UDDI (Universal Description Discovery and Integration). Web Services und SOA verdeutlichen die Verlagerung von objektorientierten hin zu serviceorientierten Systemen.

DEN VIELEN SOA-VORTEILEN STEHEN MANIGFALTIGE RISIKEN GEGENÜBER Dieser Ansatz bietet viele Vorteile wie verbesserte IT-Akzeptanz und Anpassungsfähigkeit, den Abgleich zwischen IT und Geschäftsmanagern, reduzierte Kosten für Applikationsentwicklung und Wartung, Interoperabilität mit Alt-Anwendungen, die Möglichkeit einer Just-in-Time-Integration sowie verbesserte Informationen für User und Kunden. Soweit die Chancen, doch wie begegnen SOA-Nutzer den Risiken? Nach Angaben des »Web Hacking Incidents Database Annual Report« (2007) des Web Application Security Consortium (WASC) zielen die meisten der gemeldeten Vorfälle auf vertrauliche Informationen, um mit ihnen Geld zu machen. Die Liste der betroffenen Organisationen führen dabei die Internet-Unternehmen an. Egal, wie sehr sie darauf aus sind, möglichst viel Nutzen aus ihren Web Services zu ziehen, müssen Firmen daher zunächst sicherstellen, dass sie sensitive und geschäftskritische Daten umfassend absichern – der Speicherort spielt keine Rolle. Außerdem sollten sie akribisch darauf achten, dass nur autorisierte Personen Zugriff auf diese Daten erhalten. Damit haben sie die beiden Kernanforderungen einer sicheren Web Services-Strategie bereits erfüllt.

SICHERHEITSBRÜCHE DURCH STRENGE RICHTLINIEN VERHINDERN Da Sicherheitsbrüche jedoch jederzeit auftreten können – sowohl durch gewollte oder ungewollte, externe oder interne Handlungen –, müssen Unternehmen strenge Sicherheitsrichtlinien für ihre Netzwerke initiieren und forcieren. Dies gilt sowohl während als auch nach den Transaktionen. Um dieses abgesicherte Umfeld zu schaffen, gilt es, auf zentralisierte und standardisierte Sicherheit auf Applikationsebene zu setzen. Standard-Firewalls und Intrusion Detection-Systeme können Bedrohungen aufspüren, die sich gegen die Betriebssystem- und Netzwerkebene richten. Auf der Anwendungsebene aber, auf der die Web Services agieren, können sie nichts ausrichten. Darüber hinaus verstehen diese Security Tools weder HTTP Sessions noch XML oder HTML. Die Gefahr: Die Applikation ist ungeschützt gegenüber Bedrohungen wie Replay-Attacken, Session Hijacking, Denial-of-Service-Attacken, Buffer Overflow, SQL Injection und auch Cross-Site Scripting.

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • ITSDONE GRUPPE

    ITSDONE GRUPPE Office Software, Kaufmännische Software (ERP), Datenbanken, Server-Betriebssysteme, Programmiersprachen, Betriebssysteme für PCs, Netzwerk- und Systemüberwachung,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Editel Austria GmbH

    Editel Austria GmbH Supply Chain Management, E-Procurement und Supply Chain Management, Datenkonvertierung, Überwachungssysteme, Trust Center/Zertifizierungssoftware, Digitale Signatur, Datensicherung,... mehr
  • T-Systems Austria GesmbH

    T-Systems Austria GesmbH WLAN-Systeme, VPN, Voice Mail Dienste, Videokonferenz-Systeme, Unified Messaging Dienste, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management,... mehr

Hosted by:    Security Monitoring by: