"Das Ganze ist größer als die Summe seiner Teile" - SOA und Services
Können wir davon ausgehen, dass ein SOA-basiertes System sicher ist, wenn alle Services auf Sicherheit getestet sind? Wir denken, die Antwort ist NEIN. Deshalb werden wir in diesem Vortrag zusätzliche Sicherheitsaspekte vorstellen, die getestet werden sollten:
Dienste und Web Services
Zunächst geben wir einen kurzen Überblick über sicherheitsrelevante Aspekte einer Service Oriented Architecture (SOA). Außerdem verspricht SOA den heutigen Organisationen erhebliche Vorteile durch eine noch nie dagewesene Flexibilität und Wiederverwendung von Diensten. Diese Systeme sind technisch gesehen nur eine Sammlung von Diensten - intern und extern zu einer Organisation - die miteinander kommunizieren. Die Technologie der Web Services ist die wahrscheinlichste Verbindungstechnologie und basiert stark auf XML, um eine robuste Verbindung zu schaffen.
Webdienste und Sicherheit
Aus zwei Gründen ist es wichtig, sich daran zu erinnern, dass SOA nicht mit Web Services gleichzusetzen ist: Erstens sind serviceorientierte Architekturen nichts Neues; CORBA, DCOM und andere Protokolle bieten seit langem ähnliche Funktionalitäten und Ideen, während andere Technologien zum Aufbau einer serviceorientierten Architektur verwendet werden können. Zweitens, und das wird der Schwerpunkt dieser Präsentation sein, gibt es selbst in einem auf Web Services basierenden System viel mehr Aspekte für Sicherheitstests als das Testen auf XML-, SOAP-, WSDL- und UDDI-Fehler.
Sicherheit und Testen
Erstens werden wir die zugrundeliegenden Sicherheitsmechanismen wie Ver- und Entschlüsselungsalgorithmen, Schlüsselgenerierungsalgorithmen und grundlegende Protokolle zur Sicherung eines Netzwerks unterhalb der Applikation besprechen. Zweitens werden wir darauf hinweisen, dass ein Webdienst auf Standardtechnologien basiert, so dass die Infrastruktur, das Betriebssystem, der Anwendungsserver und alle anderen zugrunde liegenden Technologien auf Sicherheit getestet werden müssen. Wir werden verschiedene Technologien erläutern, um diese Tests durchzuführen. Drittens werden wir verschiedene Aspekte der Identifizierung, Authentifizierung und Autorisierung in SOA-Umgebungen und deren Einfluss auf Sicherheitstests diskutieren. Viertens ist es wichtig, einen Blick auf die Geschäftsprozessebene zu werfen. Die Sicherheit auf der organisatorischen Ebene in Verbindung mit der Einhaltung von gesetzlichen und behördlichen Vorschriften erfordert, dass Sicherheitstests in den gesamten Projektlebenszyklus integriert werden.
Zusammenfassung
SOA wird die Notwendigkeit von Sicherheitstests erhöhen. Das Testen nur der Dienste selbst reicht nicht aus, um die Frage des Managements zu beantworten: "Sind die Daten sicher, wenn sie durch interne und externe Netzwerke laufen?"