Suchen

SOA Layer Model hilft bei der Kontrolle von Webservices

Klarer Fokus sichert erfolgreiche Lösungsstrategie

Seite: 2/4

Firmen zum Thema

Ohne Security keine SOA in geschäftskritischen Bereichen

Doch damit allein ist die Arbeit längst noch nicht getan. Wo liegen die Herausforderung bei der Klammer zwischen SOA und Security? Auch die Service-orientierten Architekturen werden von traditionellen Security-Themen wie Authentifizierung, Zugriffskontrolle, Nachrichtenschutz, Auditing oder Key-Management bestimmt. „Diese Themen unterliegen aber aufgrund der SOA-spezifischen Merkmale besonderen Herausforderungen“, räumt der Experte von Beta Systems Software ein.

Eine dieser spezifischen Hürden ist etwa der hohe Grad der Verteilung von verschiedenen Komponenten (Distribution). Des Weiteren ist die große Heterogenität aufgrund des Zusammenspiels von unterschiedlichen Produkten, Herstellern und Systemen zu nennen. Dies erfordere wiederum ein hohes Maß an Standardisierung, um eine Interoperabilität zu gewährleisten. Zudem erfolge die Integration (Composition) der einzelnen Komponenten erst auf Kundenseite und lasse sich daher nicht - wie sonst bei monolithischen Anwendungen der Fall - vorab ausreichend im Entwicklungslabor testen.

Bildergalerie
Bildergalerie mit 5 Bildern

Das Zusammenspiel von unterschiedlichen Anwendungs- und Security-Domänen erfordert also neue „föderierte Lösungen“, wie die Experten dies im Fachjargon bezeichnen. Dies bedeute, dass ohne Security eine SOA in geschäftskritischen Bereichen nicht betrieben werden könne, betont Sturm. Dabei sei der Aspekt IT-Sicherheit nicht nur als reine technologische Domäne zu verstehen, sondern zunehmend auch als geschäftskritisches Element zu betrachten. „Composition und Federation sind dabei Key-Treiber in einer SOA und somit im Security-Kontext zu unterstützen“, so der Experte.

Welche Lösungsansätze bereit stehen, um die komplexe Thematik sowohl technisch als auch organisatorisch bis hin zur Sensibilisierung und Bewusstseinsbildung (Awareness) zu dominieren, auch für diesen „Link“ kann Sturm eine klare Zielrichtung vorgeben. Technische Optionen gilt es zunächst unter einem besonderen Blickwinkel zu evaluieren. Mittlerweile gibt es am Markt bereits eine große Anzahl an Spezifikationen, die die besonderen Facetten der SOA-Security behandeln und entsprechende interoperable Lösungsvarianten vorgeben.

In vielen Fällen ist nach Auffassung von Detlef Sturm der Reifegrad für einen Praxiseinsatz ausreichend. „Leider fehlt im organisatorischen Umfeld nach wie vor das Verständnis für die SOA-spezifische Security.“ Die gute Nachricht lautet aber: Diesen latenten Missstand haben mittlerweile auch die großen Hersteller von SOA-Plattformen bereits erkannt. Sie stellen neben ihren Anwendungen zusätzlich umfangreiche Best Practices bereit, mit Blick auf das jeweils präferierte Vorgehensmodell.

Seite 3: Noch viel Arbeit für die Spezialisten

(ID:2020685)