Testfab - SOA, webservices, security and performance

Säkring av webbtjänster

I owasp.org dokument för utveckling av säkra webbtjänster skriver de följande övergripande riktlinjer kring säkring av webbtjänster:

“Web Service, like other distributed applications, require protection at multiple levels:
• SOAP messages that are sent on the wire should be delivered confidentially and without tampering
• The server needs to be confident who it is talking to and what the clients are entitled to
• The clients need to know that they are talking to the right server, and not a phishing site (see the Phishing chapter for more information)
• System message logs should contain sufficient information to reliably reconstruct the chain of events and track those back to the authenticated callers
Källa: OWASPGuide 2.0.1

Säkerhet är alltså både ur webbtjänstens och ur mottagande systemets perspektiv. Webbtjänsten ska t.ex. bara agera på anrop som är enligt de regler som är uppsatta och mottagande system ska ha möjlighet att kunna verifiera att meddelandet är oförändrat och från rätt avsändare. För att hantera säkerhet listar Barbir et.al. (Test and analysis of web services s. 400) följande krav:

• End-to-end security requirements, tex ömsesidig autentisering, auktorisation för att ha tillgång till källor, data integritet och konfidens, end-to-end integritet och konfidens av meddelanden, loggning och övervakning, kryptering

• Transportlager säkerhet

• Meddelandenivå säkerhet

Detta behöver alltså arkitekter av systemet samt den utvecklingsansvarige ta hänsyn till då systemet utvecklas.  Läs mer på owasp.org