IT-Sicherheit

5 Maßnahmen für mehr SOA-Sicherheit

21. September 2009
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Der Aufbau einer Service-orientierten Architektur (SOA) stellt Unternehmen auch bei der IT-Sicherheit vor neue Anforderungen. In fünf Schritten können sie eine Strategie für SOA-Security effizient umsetzen: von der Spezifikation der Anforderungen, über die Auswahl der Produkte sowie deren Konfiguration bis zur Integration.

Obwohl es absolute Sicherheit in einer Service-orientierten Architektur (SOA) nicht gibt, setzen 30 Prozent der Firmen bereits auf die Vernetzung mit Partnern und Kunden via Services. Jedoch ist es für Unternehmen nicht leicht den richtigen Mix aus Produkten, Industriestandards, Integrationen und Architekturen für eine SOA-Sicherheit zu finden und umzusetzen.

Forrester-Analyst Randy Heffner hat für unsere US-Schwesterpublikation CIO.com aufgeschrieben, wie Firmen ein effektives Lösungskonzept für die SOA-Sicherheit entwickeln und in folgenden fünf Schritten effektiv umsetzen können.

Sicherheitsanforderungen identifizieren

Beim Aufbau einer Sicherheitslösung in einer serviceorientierten Anwendungslandschaft sind viele Bausteine und Funktionen zu integrieren.
Beim Aufbau einer Sicherheitslösung in einer serviceorientierten Anwendungslandschaft sind viele Bausteine und Funktionen zu integrieren.

Bevor Unternehmen mit dem Aufbau einer Sicherheitslösung beginnen, sollten sie ihren Sicherheitsbedarf einschätzen und diese mit einer Maximalliste möglicher Sicherheitsfunktionen abgleichen. Das schafft die Grundlage für einen strategischen Ansatz beim Aufbau einer Lösung für die SOA-Sicherheit.

Die wichtigsten Sicherheitsanforderungen sollten in ein erstes Modelldesign für eine SOA-basierte Sicherheitslösung einfließen. Es umfasst unter anderem Lieferanten und Konsumenten von Services, Abfrage- und Rückmeldevorgänge sowie die vorhandene IT-Sicherheits-Umgebung.

Der einfachste Weg, um eine servicebasierte Kommunikation mit externen Partnern abzusichern, ist, diese innerhalb eines Virtual Private Networks (VPN) ablaufen zu lassen. Am häufigsten verwendet wird heute eine Zwei-Wege-Verschlüsselung über Secure Socket Layer (SSL). Damit kann in einer SOA jeder Kommunikationspartner den anderen sofort identifizieren. Weitere Alternativen sind, die in einer servicebasierten Umgebung vorhandenen Sicherheitsfunktionen in einem Enterprise Service Bus oder einer anderen Lösung für das Management von Web Services zu konzentrieren.