Bezpieczeństwo podstawowym problemem usług webowych

Brak skutecznej ochrony i zawodność okazują się główną przeszkodą w funkcjonowaniu usług webowych poza obszarem chronionym przez zapory ogniowe.

Brak skutecznej ochrony i zawodność okazują się główną przeszkodą w funkcjonowaniu usług webowych poza obszarem chronionym przez zapory ogniowe.

Panuje przekonanie, że technologia web services może ułatwiać integrację aplikacji wewnętrznych. Natomiast w przypadku integracji systemów typu business-to-business (B2B) technologii tej brakuje kluczowych standardów dla prowadzenia elektronicznych transakcji.

Zobacz również:

Prace projektowe nad odpowiednimi protokołami zapewniającymi mechanizmy bezpieczeństwa, niezawodności i przepływu zadań dla web services są co prawda w toku, ale część ekspertów uważa, iż mogą być one niekompletne i spowodują problemy współdziałania i integracyjne.

Technologia usług webowych jest zachęcająca z powodu możliwości transformacji logiki aplikacyjnej, obecnej w różnorodnych systemach, w komponenty wyposażone w interfejsy oparte na XML. Mogą one integrować się lub agregować w kompletne aplikacje lub procesy biznesowe. Wizja docelowa. to usługi webowe z dowolnej liczby źródeł, łączące się dynamicznie przez Internet w hybrydowe aplikacje w relacjach handlowych B2B.

W relacjach B2B, które często sprowadzają się do komunikacji maszyna-maszyna, wymagane są pewne procedury postępowania: konieczne są zabezpieczenia gwarantujące, że wiadomości są dostarczane raz i tylko raz, oraz to, że procesy biznesowe są kompletne.

Specyfikacje usług webowych, które mają na celu rozwiązanie tych problemów, są obecnie w fazie projektów. Są to m.in.: XACML (Extensible Access Control Markup Language), SAML (Security Assertions Markup Language), XKMS (XML Key Management), XML Encryption, Web Services Flow Language, XML Digital Signature, Business Transaction Protocol i rozszerzenia do SOAP (Simple Object Access Protocol).

W międzyczasie IBM zaproponował HTTP-R dla bezpiecznego transportu wiadomości SOAP, a Microsoft pracuje nad Global XML Architecture, która obejmuje propozycje standardów o nazwach WS-Security i WS-Routing. Z kolei organizacja OASIS (Organisation for Advancement of Structured Information Standard) opracowuje ebXML, który obejmuje modele ochrony i standaryzację procesów elektronicznego biznesu.

Inicjatywy te nie rozwiewają jednak wszystkich wątpliwości. Wielu analityków uważa, że nie tworzą kompletnego modelu ochrony usług webowych. Protokoły te dotyczą odrębnych zagadnień, ale brak jest specyfikacji obejmującej problem całościowo.

Na okres przejściowy szereg firm, w tym IBM i Microsoft, używa różnorodnych standardów i własnych rozwiązań na poziomie warstwy pośredniczącej lub usług, używających bezpiecznych i niezawodnych metod dostarczania wiadomości i zapewniających integralność transakcji w procesach biznesowych opartych na usługach webowych. Trzeba jednak podkreślić, że większość tych technik stosowana jest między instytucjami, które mają od dawna ustanowione zaufane powiązania.