CAS Information Security & Risk Management 2017: Sicherheit von SOA (Service Oriented Architecture) Services

Back-to-School: Aus dem Klassenzimmer des CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI-Grundschutzhandbuch, und die Teilnehmenden bereiten sich begleitend auf die CISSP-Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security: Sicherheit von SOA (Service Oriented Architecture) Services

Sicherheit im SOA Umfeld beinhaltet die Absicherung aller Elemente des SOA Netzwerks und nicht nur die der einzelnen Elemente. Die serviceorientierte Architektursicherheit trägt dazu bei, komplexe Netzwerke oder Systeme mit mehreren Softwareumgebungen umfassender zu schützen.

Eine serviceorientierte Architektur ist in der Regel ein Konzept, bei dem sich die einzelnen Softwareteile durch unterschiedliche Funktionalitäten gegenseitig bedienen. In serviceorientierten Architekturen liefert eine bestimmte Anwendung einen Service an das IT-System, z. B. ein Modul oder eine Anwendung, die dann einen Geschäftsprozess als Ganzes abbildet.

Die SOA Sicherheit bietet Wege, um einzelne komplexe Systeme effektiv abzudecken, indem die Sicherheitsbedürfnisse zwischen den einzelnen Softwarekomponenten überbrückt werden. Elemente der serviceorientierten Architektursicherheit schaffen Kommunikationsfunktionen für Softwareumgebungen, um die Sicherheit zu gestalten, häufig unter Verwendung von XML.

Es wurden mehrere Standards definiert, um SOA-Sicherheitsstandards für Authentifizierung, Vertraulichkeit und Integrität zu schaffen.

XML-Signature
XML-Signaturen sind digitale Signaturen, die für XML-Transaktionen entwickelt wurden. Der Standard definiert ein Schema zur Erfassung des Ergebnisses einer digitalen Signaturoperation, das auf beliebige Daten angewendet wird.

XML-Encryption
XML Encryption ist ein Verfahren zur Verschlüsselung und Entschlüsselung von digitalen Inhalten und eine XML-Syntax zur Darstellung der verschlüsselten Inhalte und Informationen, die es einem ausgewählten Empfänger ermöglichen, diese zu entschlüsseln.

XML-Key Management Encryption
Die XML Key Management Specification (XKMS) definiert Protokolle für Public Key Management-Services. XKMS ist eine grundlegende Spezifikation für sichere Webservices und ermöglicht ihnen, kryptografische Schlüssel für digitale Signaturen und Verschlüsselung zu registrieren und zu verwalten.

SAML
SAML ist ein XML-basierter Standard für Web-Browser-Single-Sign-On (SSO), der anwendungsspezifische Passwörter eliminiert. SAML verwendet digitale “Token” zum Austausch von Authentifizierungs- und Autorisierungsdaten zwischen einem Identitätsprovider und einem Application Service Provider, die über eine Vertrauensbeziehung verfügen.

XACML
Extensible Access Control Markup Language (XACML) ist ein System zur Verwendung von Extensible Markup Language (XML) Konventionen zur Adressierung von Sicherheits- und Zugriffsprotokollen für das Web oder für bestimmte Anwendungen. Es ermöglicht Unternehmen eine fein abgestufte Kontrolle über autorisierte Aktivitäten vom Zugriffsanforderer, welches Protokoll genutzt wird und welcher Inhalt übermittelt wurde.

IBM und Microsoft haben ein gemeinsames Whitepaper mit dem Titel “Security in a Web Services World: A Proposed Architecture and Roadmap” herausgegeben.
Dieses Whitepaper beschreibt eine Reihe von Sicherheitsstandards und -technologien, die einen einheitlichen Ansatz für den Umgang mit der Sicherheit von Webservices schaffen sollen.

WS-Security
Bietet Sicherheit durch die Nutzung vorhandener Standards und Spezifikationen. Damit entfällt die Notwendigkeit, innerhalb von WS-Security eine komplette Sicherheitslösung zu definieren. Es kann auf bestehende Standards wie z. B.  Kerberos und X. 509 Authentifizierung zugegriffen werden. X. 509 nutzt die vorhandene PKI für die Schlüsselverwaltung.

WS-Policy
Beispielsweise kann eine Richtlinie anzeigen, dass ein Webservice nur Anfragen akzeptiert, die eine gültige Signatur enthalten oder festlegen, dass eine bestimmte Nachrichtengrösse nicht überschritten werden darf.

WS-Trust
Das Protokoll ist eine Erweiterung von WS-Security und bietet ein Framework für die sichere Kommunikation zwischen verschiedenen Web-Applikationen. Sie ist auch für die Einrichtung eines sicheren Kanals vor dem Nachrichtenaustausch zwischen den Teilnehmern zuständig.

WS-Privacy
Legt fest wie Integrität und Vertraulichkeit auf Nachrichten durchgesetzt werden können und ermöglicht die Kommunikation verschiedener Sicherheitstokenformate, wie z. B. SAML, Kerberos und X.509.

WS-Federation
Beschreibt die Verwaltung und Vermittlung von Trust-Beziehungen und den Austausch von Sicherheitstokens über Webservices und Organisationsgrenzen hinweg.

WS-Authorisation
Beschreibt, wie die Zugriffsrichtlinien für einen Web Service spezifiziert und verwaltet werden.

WS-Auditing
Standards für das Auditing gibt es für Webservices noch nicht. Nachdem ein Dienst aufgerufen wurde, gibt es keine Möglichkeit festzustellen, wer den Dienst genutzt hat und woher die Anforderung stammt.


Blogpost wurde erstellt von Dirk Suetterlin
im Rahmen vom CAS Information Security & Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (Governance Concept GmbH),
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?
Hier der Link zur Ausschreibung CAS Information Security & Risk Management

Persönliche Beratung für den Lehrgang gewünscht?
Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Captcha loading...