Suchen

SOA Layer Model hilft bei der Kontrolle von Webservices

Klarer Fokus sichert erfolgreiche Lösungsstrategie

Seite: 3/4

Firmen zum Thema

Noch viel Arbeit für die Spezialisten

Trotz dieser graduellen Fortschritte wartet aber auf die Spezialisten immer noch viel Arbeit. Denn vieles hängt auch mit der Wahrnehmung von neuen Themen im Umfeld der SOA-Security ab. „Die Entwickler von Webservices müssen das Outsourcing von nichtfunktionalen Eigenschaften aus ihrem Code akzeptieren und dafür neue Schnittstellen bereitstellen bzw. nutzen“, bilanziert Sturm. Um zentrale, föderierte Ansätze in der IT-Infrastruktur zu adressieren, gebe es noch viel Aufklärungsarbeit zu leisten, um ein konsistentes Grundverständnis in dieser komplexen Thematik herzustellen.

Praktikable Referenzmodelle und Standards, mit deren Hilfe sich die Verschmelzung zwischen SOA und Security besser bewältigen lässt, können dabei weiter helfen. Immerhin stellen die wichtigen großen Spieler auf dem Markt für SOA-Lösungen bereits jeweils eigene SOA-Security-Referenzmodelle bereit. Standardmäßig kann aber auch die ISO 7498-3 „Information Security Architecture“ herangezogen werden.

Bildergalerie
Bildergalerie mit 5 Bildern

Weiterhin definieren einige WS-Standards bereits eigene Architekturlösungen. Viele SOA-Security-Referenzmodelle sind in die Blöcke „Business-orientierte Security-Services“ bzw. „IT-orientierte Security-Services“ unterteilt. „Die Brücke zwischen den beiden Blöcken wird durch ein Policy-Management realisiert“, so Sturm weiter.

Der Trend, die Geschäftsprozesse mit Hilfe einer „Business Technology“ und einer modularen Modellierung auf Service-orientierten IT-Komponenten (Web Services) abzubilden, bestimme auch das Security-Umfeld. Hierbei nehme das Policy-Management eine maßgebende Rolle ein.

Rolle des CISO im Spagat zwischen Geschäft und Serviceorientierung

Was also müssen die Security-Verantwortlichen (CISOs) zur Orchestrierung der Web Service Security beachten, denn eine Schwalbe macht ja bekanntlich noch keinen Sommer. „Webservices müssen auf Basis von WS-Security abgesichert werden“, bringt Detlef Sturm auf den Punkt. Die Richtlinien (Policies) bezüglich Nachrichtenschutz, Authentifizierung und Zugriffskontrolle sollten demnach vom Unternehmen zentral verwaltet oder zumindest steuerbar sein.

„Ein zentrales Logging ist dabei essenziell“, so Sturm weiter. Dabei müsse die Möglichkeit bestehen, die Log-In-Informationen der verschiedenen Quellen zu korrelieren. Üblicherweise ergebe etwa die Orchestrierung von Webservices - z.B. durch Business Process Execution Language (BPEL) - wiederum einen neuen Webservice. Es sei dabei sicherzustellen, dass dieser neue Webservice den gleichen Security-Anforderungen unterliege wie seine „angezapften“ Datenquellen.

Seite 4: Fazit: SaaS die Lösung für SOA?

(ID:2020685)