Bezpieczne i wydajne SOA

Radzimy jak wybrać najlepiej dopasowane do potrzeb firmy urządzenie typu XML Security Appliance.

Radzimy jak wybrać najlepiej dopasowane do potrzeb firmy urządzenie typu XML Security Appliance.

Firmy wykorzystujące lub planujące wykorzystanie architektury usługowej SOA (Service Oriented Architecture) z reguły stają przed problemem, jak zapewnić bezpieczeństwo systemu przy zachowaniu jego wymaganej wydajności. Dość często stosowanym rozwiązaniem może być wykorzystanie specjalizowanych urządzeń typu XML Security Appliance. Zdaniem niektórych ekspertów, w praktyce bez tego rodzaju dedykowanego sprzętu - wyposażonego w odpowiednie oprogramowanie - prawie niemożliwe jest uporanie się z atakami DoS i zapewnienie wysokiej dostępności usług oraz bezpieczeństwa i integralności danych w systemach SOA.

Zalety XML appliance

XML Security Appliance zwykle są instalowane w tzw. strefie zdemilitaryzowanej DMZ (DeMilitarized Zone), pomiędzy zaporami firewall, będąc jedynymi systemami bezpośrednio widzianymi w Internecie przez zewnętrznych klientów firmy. Urządzenia te działają tak jak serwery proxy, wykonując praktycznie wszystkie niezbędne dla zapewnienia bezpieczeństwa funkcje identyfikacji i kontroli użytkowników, weryfikacji przesyłanych danych lub obsługi protokołu SSL.

Z zasady XML Security Appliance jest jedynym urządzeniem, któremu zapory firewall umożliwiają nawiązywanie połączeń z wewnętrznymi serwerami świadczącymi usługi. Są dwie podstawowe zalety takiego rozwiązania. Po pierwsze usługi SOA związane z udostępnianiem danych nie muszą być wyposażane we własne, indywidualne mechanizmy zabezpieczeń, a po drugie system bezpieczeństwa może być kontrolowany centralnie, co ułatwia jego zarządzanie.

Młody rynek

Urządzenia XML Security Appliance pojawiły się na rynku już w 2000 r. i oferowane są z reguły przez nowo powstające firmy, które szukały szansy w dopiero tworzącym się segmencie. Niektóre z nich, jak Forum Systems, Vordel lub Layer 7 Technologies, działają do dziś. Inne zostały przejęte przez potentatów, jak choćby Reactivity przez Cisco w 2007 r. lub DataPower przez IBM w 2005 r. Obecnie na rynku jest dość duży wybór różnego typu modeli XML Security Appliance. Ich ceny zawierają się w przedziale od 30 tys. USD do 70 tys. USD, a funkcjonalność może się bardzo różnić w zależności od modelu i producenta.

Jak więc z szerokiej oferty wybrać najlepiej dopasowane do potrzeb firmy urządzenie XML Security Appliance? Igor Khurgin, zajmujący się konsultingiem i specjalizujący się w zakresie systemów SOA w Acumen Solutions, stara się znaleźć odpowiedź na takie pytanie. "Analiza wymagań biznesowych i systemu IT oraz porównanie jej wyników z parametrami i funkcjami XML Security Appliance oferowanymi przez różnych producentów to praktyka określana jako bezpieczne SOA, która umożliwia uzyskanie najlepszych efektów pod względem zarówno efektywności i uniwersalności inwestycji, jak i bezpieczeństwa systemu" - twierdzi.

Ważne funkcje

Igor Khurgin sądzi, że decyzje o wyborze konkretnego rozwiązania powinny być oparte na znajomości i zrozumieniu funkcji, w które mogą, ale nie muszą być wyposażone urządzenia XML Security Appliance dostępne. Jego zdaniem, najczęściej spotykane i najważniejsze funkcje tych urządzeń, z których warto sobie zdawać sprawę, to zapewnienie bezpieczeństwa w warstwie transportowej. Funkcje obsługujące procesy wysyłania i przyjmowania pakietów SSL/TSL przy wzajemnej lub wykorzystującej zewnętrzny serwer identyfikacji są podstawowym mechanizmem zabezpieczeń transmisji w Internecie i najbardziej rozpowszechnioną metodą zapewniania poufności, integralności i wiarygodności danych.

Kolejną funkcją XML Security Appliance jest zapewnienie bezpieczeństwa aplikacji. Podstawowymi standardami definiującymi, jak należy zabezpieczać usługi WWW są WS-Security Standard Support 1.0 i 1.1. Najnowsza wersja 1.1 wspiera mechanizmy wielu metod i protokołów wykorzystywanych do autoryzacji i zabezpieczania danych, jak hasła, X.509, Kerberos, SAML (funkcje XML umożliwiające autentykację i autoryzację), język umożliwiający definiowanie praw i warunków dostępu do treści REL (Rights Expression Language), a także obsługa wiadomości SOAP wraz z załącznikami. Ważne są także mechanizmy kontroli i weryfikacji przesyłanych w sieci wiadomości. Podstawowe i najczęściej wykorzystywane są funkcje umożliwiające weryfikację XML Schema (definicji dokumentu) oraz filtrowanie wiadomości na podstawie analizy ich parametrów i treści w oparciu o zdefiniowaną wcześniej politykę bezpieczeństwa.

Nie mniej ważne dla Igora Khurgina są mechanizmy zabezpieczeń przed zagrożeniami XML. Standardowe techniki ataków wykorzystują techniki iniekcji SQL, zatrute wrogim kodem pakiety XML Schema czy też przeciążenie systemu przez nadmiarowe lub powtarzające się zapytania. Urządzenia XML Security Appliance powinny więc chronić system przed takimi atakami, wykorzystującymi luki w webowych interfejsach usług.

Na końcu konsultant Acumen Solutions wśród ważnych funkcji urządzeń XML Security Appliance wymienia: zarządzanie dostępem do aplikacji - są to funkcje zabezpieczające przed nieautoryzowanym dostępem do aplikacji i usług, wyposażone w mechanizm zapisywania i bezpiecznego przechowywania logów oraz wsparcie dla mechanizmów jednokrotnego logowania (single sign-on) - dają one możliwość przyjmowania i generowania komunikatów SAML/XACML, co ułatwia jednokrotne logowanie przy wykorzystaniu przeglądarki (SAML 1.1) lub profili usług webowych (SAML 2.0).

Pięć elementów do przeanalizowania przed wyborem XML Security Appliance

1. Architektura sprzętowa

W trakcie planowania zakupu XML Security Appliance warto zdawać sobie sprawę, że na rynku można spotkać dwie podstawowe architektury - jedni producenci wykorzystują standardowe platformy serwerowe, a inni własne, specjalnie zaprojektowane i zoptymalizowane konstrukcje, bardziej przypominające routery. W tym drugim wypadku urządzenia mogą być wyposażane w bardziej zaawansowane i zoptymalizowane funkcje, ale wykorzystanie standardowych platform z reguły umożliwia szybszą reakcję i zastosowanie najnowszych, dostępnych na rynku procesorów i chipsetów, a w ten sposób uzyskanie wyższej wydajności nowych modeli sprzętu.

2. Wsparcie dla standardów dotyczących bezpieczeństwa

Warto pamiętać, że poziom zgodności z zestawem popularnych i powszechnie akceptowanych standardów bezpieczeństwa może się bardzo różnić, zależnie od modelu i producenta XML Security Appliance. Dość często można spotkać sytuację, gdy system jest zgodny z jakimś standardem, ale tylko częściowo. Dobrym przykładem jest zgodność z SAML - chyba wszystkie dostępne na rynku urządzenia obsługują komunikaty identyfikacyjne SAML (SAML assertion), ale same często nie mogą ich generować. Oprócz tego producenci różnie traktują zgodność z SAML - z reguły urządzenia umożliwiają autentykację, ale tylko niektóre są wyposażone w mechanizmy pozwalające na autoryzację.

3. Rozszerzalność funkcji i łatwość integracji

Praktycznie żadne urządzenie XML Security Appliance nie zapewni pełnej wymaganej funkcjonalności od razu po jego zainstalowaniu. Dlatego też warto zwracać uwagę na oferowane przez producenta opcje, możliwości skalowania, instalacji rozszerzeń i poziom trudności wykonania rozbudowy lub modyfikacji systemu. Typowe możliwości rozszerzenia funkcjonalności systemu obejmują obsługę nowych źródeł danych, tworzenie przez użytkownika własnych reguł przetwarzania procesów biznesowych lub dodanie wsparcia dla obsługi kolejnego protokołu komunikacyjnego. Przed zakupem urządzenia należy się więc upewnić, czy obsługuje ono wszystkie funkcje i usługi działające w systemie ESB (Enterprise Service Bus), takie jak na przykład routowanie zależne od treści lub agregacja usług webowych. Trafnie dobierając sprzęt, można bowiem istotnie zwiększyć efektywność inwestycji i uniknąć późniejszych problemów i kosztów.

4. Skalowalność i wydajność

Przed wdrożeniem należy się upewnić, że rola którą ma pełnić XML Security Appliance w systemie jest zgodna z jego możliwościami. Przykładowo jeśli urządzenie ma obsługiwać dużą liczbę przychodzących połączeń SSL nawiązywanych za pośrednictwem przeglądarek internetowych, to powinno być przystosowane do realizacji takiego zadania. Ale jeśli jego główną rolą ma być ochrona przed zagrożeniami XML i weryfikacja przesyłanych danych, to warto zastanowić się nad wyborem urządzenia wyposażonego w sprzętowe mechanizmy przetwarzania XML.

5. Integracja z istniejącą infrastrukturą IT

W praktyce każda firma wykorzystuje własny, dopasowany do jej potrzeb zestaw baz danych do przechowywania danych identyfikacyjnych oraz narzędzi do monitorowania infrastruktury i zarządzania systemem. A ponieważ architektura i wsparcie dla różnych rodzajów oprogramowania i usług przez dostępne na rynku XML Security Appliance jest bardzo zróżnicowane, to bez dokładnego sprawdzenia zgodności urządzenia z wymaganiami istniejącej infrastruktury trudno liczyć na łatwe i szybkie wdrożenie.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200