Bezpieczeństwo web services

Firmy IBM, Microsoft i VeriSign opublikowały specyfikację, która ma uszczelnić potencjalne luki w rodzącej się technologii web services.

Firmy IBM, Microsoft i VeriSign opublikowały specyfikację, która ma uszczelnić potencjalne luki w rodzącej się technologii web services.

Usługi webowe są zbiorem standardowych protokołów opartych na XML, które mogą być używane do integrowania różnorodnych aplikacji i systemów wspierających.

Zobacz również:

Specyfikacja o nazwie WS-Security określa sposób integrowania różnorodnych systemów ochrony, takich jak Kerberos czy PKI, z pomocą zestawu rozszerzeń protokołu SOAP (Simple Object Access Protocol). Specyfikacja wstępna zawiera dwa podstawowe rozszerzenia, a planowanych jest sześć następnych. WS-Security umożliwi usługom webowym przekazywanie bezpiecznych i podpisanych wiadomości (dotychczas proces ten wymagał stosowania własnych, niestandaryzowanych technologii).

Jest to już trzecia propozycja specyfikacji ochronnej dla web services. W styczniu ubiegłego roku IBM i Microsoft przedłożyły pod dyskusję w W3C rekomendację o nazwie SOAP Security. W październiku Microsoft, w ramach inicjatywy Global XML Web Services Architecture (GXA), zapowiedział opracowanie czterech protokołów XML, w tym WS-Security.

Obecne prace są pochodną poprzednich przedsięwzięć. Specyfikacja autoryzowana przez te firmy ma być przedłożona bliżej jeszcze nie określonej organizacji standaryzacyjnej po czterech miesiącach publicznej dyskusji nad nią. WS-Security został utworzony z wykorzystaniem dwóch podstawowych rozszerzeń: szyfrowania i nienaruszalności wiadomości, które mogą zapewniać integralność wiadomości SOAP w czasie transportu.

Wspomniana trójka opracowała także dokument pod tytułem "Security in a Web Services World", zawierający propozycje kierunku ewolucji środków ochrony web services i specyfikujący szczegóły sześciu kolejnych rozszerzeń związanych z bezpieczeństwem. Mają one tworzyć podstawy dla WS-Security w zakresie funkcji, takich jak: wyrażanie reguł polityki ochrony, powiązania zaufane oraz autoryzacje.

Wszystkie trzy firmy, publikujące specyfikację na swoich witrynach webowych, uważają, że WS-Security jest tym brakującym ogniwem, które ma pomóc firmom w bezpiecznym użytkowaniu usług webowych poza granicą wyznaczaną przez zapory ogniowe sieci przedsiębiorstwa. Chociaż bezpieczeństwo nie jest jedynym problemem do rozwiązania - potrzebne są również standardy dla niezawodnego i asynchronicznego messagingu, przepływu procesów biznesowych i integralności transakcji - to jednak jest pierwszym krokiem na drodze opracowywania standardów.

Microsoft i IBM powołały do życia organizację Web Services Interoperability (WS-I), której zadaniem ma być promocja implementacji protokołów web service. Trójka inicjatorów ma nadzieję zachęcić do uczestnictwa w tym przedsięwzięciu szerokie grono dostawców, w tym m.in.: Sun Microsystem, Oracle i BEA System. Uczestniczą oni już, wraz z IBM i Microsoft, w programie partnerskim VeriSign Digital Trust Services Framework.

Sześć kolejnych rozszerzeń protokołów, zaproponowanych w dokumencie "Security in a Web Services World", to:

* WS-Policy - do wyrażania reguł polityki bezpieczeństwa;

* WS-Trust - model bezpośrednich i brokerskich powiązań zaufanych;

* WS-Privacy - definiowanie i implementacja zasad prywatności;

* WS-Secure Conversation - zarządzanie i uwierzytelnianie wymiany wiadomości;

* WS-Federation - zarządzanie i pośrednictwo w tworzeniu powiązań zaufanych pomiędzy różnorodnymi środowiskami.

* WS-Authorization - definiowanie sposobu zarządzania autoryzacją regułami polityki.