Sicherheitsprobleme vermeiden

Sieben Faktoren für mehr SOA-Sicherheit

28. September 2007
Von Nina Gut
Service-orientierte Architekturen (SOAs) sind zwar wichtig für die unternehmerische Anpassungsfähigkeit. Sie bringen aber auch neue Sicherheitsprobleme mit sich, wenn die sehr speziellen Security-Anforderungen einer SOA nicht bedacht werden. Bereits am Anfang des Applikationslebenszykluses sollte die IT Sicherheitspläne erstellen und sie regelmäßig überprüfen. Die Experton Group hat dafür "sieben Ps" ausgemacht, angefangen von "Prozesse" bis "Portfolios".
Der Planungshorizont: 20 Gebiete von Ad bis Ut.
Der Planungshorizont: 20 Gebiete von Ad bis Ut.

Die Analysten sind sich sicher: Auch wenn neue Sicherheitsstandards speziell für SOA entwickelt werden, so sind doch individuelles Wissen, Richtlinien und Prozesse nötig, damit die Sicherheitsvorkehrungen für SOA effektiv durchgesetzt werden können. Die zusätzlichen Schichten mit erforderlichen Services erhöhen allerdings die Komplexität noch weiter. Damit wiederum können auch Sicherheitslecks im Unternehmen leichter ausgenutzt werden. Um eine potenzielle Gefährdung dieser lose gekoppelten, föderierten Systeme zu mindern, wurden Sicherheitsspezifikationen aufgestellt, anhand derer Web-Service-Informationen zwischen einzelnen Elementen sicher ausgetauscht werden können.

Die Experton Group rät IT-Verantwortlichen, einen Blick auf die "sieben Ps" zu werfen, die das Herzstück eines jeden Projekts oder Services im Unternehmen bilden. Diese sieben Faktoren sind bei Überlegungen zur SOA-Sicherheit von ausschlaggebender Bedeutung. Sie lauten: Prozesse, Personen, Plattform, Produkte, Planung, ProjekteProjekte und Portfolios. Alles zu Projekte auf CIO.de

1. Prozesse: Die SOA-Sicherheit muss während des ganzen Lebenszykluses des SOA-Projekts berücksichtigt werden. Die Sicherheitsstrategie muss sich auf die SOA genauso wie auf alle anderen Infrastruktur-Elemente beziehen. Aufgrund der zusammengefügten Natur der SOAs, wobei jeder Service dynamisch jeden anderen Service aufrufen kann, sollte die Sicherheit für jeden Prozess eigens bedacht werden - sowohl als eigenes Element als auch als rekursiver Teil eines jeden potenziellen Geschäftsprozesses.

Besonderes Augenmerk sollte die IT auf die Kommunikation und die Authentifikation zwischen Trust Domains legen. Schließlich ist es wahrscheinlich, dass verschiedene Dienste mit anderen Services in verschiedenen Trust Domains interagieren. Diese sich entwickelnden Anwendungen müssen als integrierter Prozess innerhalb des Software-Enwicklungslebenszykluses auf Sicherheit getestet werden.