Suchen

SOA Layer Model hilft bei der Kontrolle von Webservices Klarer Fokus sichert erfolgreiche Lösungsstrategie

| Autor / Redakteur: Lothar Lochmaier / Peter Schmitz

Der Wildwuchs an Webservices und Web 2.0-Tools läßt sich heute strategisch im Unternehmen kaum noch bewältigen. Einige praktische Ratschläge zeigen, wie sich allzu große Turbulenzen vermeiden lassen. Als Kernelement gilt das SOA Layer Model, mit dessen Hilfe Unternehmen eine möglichst klare und strikte Trennung zwischen Geschäfts- und Applikationsdiensten bewerkstelligen.

Firmen zum Thema

Bei der Kontrolle von Webservices kann das SOA-Konzept Komplexität reduzieren, die Sicherheit darf dabei aber nicht außen vor bleiben.
Bei der Kontrolle von Webservices kann das SOA-Konzept Komplexität reduzieren, die Sicherheit darf dabei aber nicht außen vor bleiben.
( Archiv: Vogel Business Media )

Im Rahmen einer Service-orientierten Architektur sind die Spezialisten mit der konkreten Ausgestaltung von geschäftsorientierten Diensten mehr als gefordert, oftmals auch überfordert. Denn diese Services sind abhängig von den jeweiligen Geschäftsprozessen individuell gestaltet und haben damit meistens einen geringen Wiederverwendungsgrad. „Entsprechend resultiert daraus eine hohe Anzahl an Webservices (WS)in den einzelnen Unternehmen“, betont Detlef Sturm, Senior Manager Product Technology Beta Systems Software AG.

Und dieser oft ausufernde Wildwuchs, indem sich IT- und Fachabteilungen häufig in die Quere kommen, weil sie gelegentlich den Überblick verlieren, gelingt es mit einem klaren Lösungskonzept ins Visier zu nehmen. Zwar kümmern sich Tools wie Service Registries und Repositories um die unternehmensweite Verwaltung der zahlreichen Webservices und bieten mit Governance-Vorgaben auch konkrete Möglichkeiten, das ungebremste Chaos einzudämmen, noch bevor es sich wie eine Krake auf viele Bereiche ausdehnen kann.

Bildergalerie
Bildergalerie mit 5 Bildern

„Der Ansatz generische und applikationsorientierte Webservices zu entwickeln, wird dabei aber oftmals vernachlässigt“, gibt Sturm zu bedenken. Damit ließen sich nach Auffassung des Experten aber genau jene häufig wieder verwendbare Webservices bereitstellen, wodurch sich die Anzahl der Webservices stark reduziere.

Fokussieren auf die zentralen Bedrohungen

Bevor dieses komplexe Unterfangen jedoch erfolgreich justiert werden kann, muss sich das jeweilige Unternehmen erst einmal auf die zentralen Bedrohungen fokussieren, die mit den zahlreichen unverbundenen Webinseln einher gehen. Eine hohe Anzahl an eigenständigen Webservices bedeute auch eine hohe Anzahl an (neuralgischen) Stellen, in denen Security zu realisieren und zu überprüfen sei, so der Experte von Beta Systems Software weiter.

Mit den sensiblen Nahtstellen gemeint sind so genannte Policy Enforcement Points. Dabei benötigen Service-übergreifende Geschäftsprozesse ebenfalls eine Service-übergreifende Security. Entsprechend sei ein konsistentes Verhalten mit Blick auf die Sicherheitsanforderungen dringend nötig, führt der Experte weiter aus.

„Das heißt aber auch, bei einer hohen Anzahl an Webservices erhöht sich der Aufwand diese einheitlich zu konfigurieren und hier gilt: die Kette ist so schwach wie das schwächste Glied“, gibt Detlef Sturm die Marschrichtung vor. Wie also müsste eine entsprechend leistungsfähige „Informationsarchitektur“ aufgestellt sein? Erstens: Entscheidende Dienste wie Authentifizierung und Zugriffskontrolle müssen zentral bereitgestellt werden bzw. zentral gesteuert werden können.

Anstelle von Anwendungs-spezifischen Security-Implementierungen sollten hier eher Ansätze wie Security-as-Infrastructure oder Security-as-a-Service verwendet werden. Ein typischer Vertreter ist der OASIS-Standard XACML (Extended Access Control Markup Language), der sowohl eine Architektur als auch ein Processing-Modell für die Auslagerung der Zugriffskontrollentscheidungen vorgibt.

Seite 2: Ohne Security keine SOA in geschäftskritischen Bereichen!

(ID:2020685)