Контакты
Подписка
МЕНЮ
Контакты
Подписка

Обеспечение безопасности Web-сервисов

Обеспечение безопасности Web-сервисов

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Обеспечение безопасности Web-сервисов

Трудно переоценить важность такой темы, как безопасность Web-сервисов. Они сегодня приобрели огромную популярность и стали одним из главных инструментов интеграции разнородных и распределенных приложений на основе единого Web-интерфейса.
Наталья Слободенюк
генеральный директор компании
"Антивирусный Центр"

Что же такое Web-сервис?

Можно дать следующее определение: это вызываемый удаленно программный компонент, имеющий заданные функциональные возможности, доступный по стандартным протоколам сети Интернет и пригодный для многократного использования. Web-сервисы не зависят ни от программной платформы, ни от языка программирования, поскольку базируются на стандарте XML.

Web-сервис - это вызываемый удаленно программный компонент, имеющий заданные функциональные возможности, доступный по стандартным протоколам сети Интернет и пригодный для многократного использования.

Чтобы понять принцип работы Web-сервисов, давайте рассмотрим типичную схему взаимодействия их поставщиков и клиентов (рис. 1).


Уже приведенная схема демонстрирует нам особенности Web-сервисной среды, которые влияют на специфику их защиты. Назовем эти особенности:

  • высокая доступность данных - Web-сервисы, собственно, и разрабатывались с целью повышения доступности и интегрируемости гетерогенных приложений;
  • соединения с другими Web-сервисами и приложениями не ограничены физическими границами какой-либо защищенной сети;
  • обмен данными происходит через общедоступную сеть Интернет, что предоставляет злоумышленникам расширенные возможности для их перехвата;
  • данные передаются в формате, пропускаемом многими межсетевыми экранами (XML);
  • возможность групповой адресации сообщений, затрудняющая применение средств информационной безопасности, ориентированных на одноадресную передачу;
  • наличие особо уязвимых компонентов архитектуры Web-сервисов, в частности регистров, что позволяет вывести из строя сразу многие Web-сервисы в случае успешной DoS-атаки на уязвимый участок;
  • минимальное участие человека в процессах реализации Web-сервисов - для большинства пользователей они представляются "черными" ящиками.

Согласно мнению аналитиков организации OASIS Web Services Interoperability, главные угрозы, нацеленные на Web-сервисы, - это несанкционированные изменения сообщений, потеря их конфиденциальности и аутентичности отправителей, DoS-атаки, то есть угрозы информационной безопасности Web-сервисов, практически идентичны угрозам, направленным на другие цифровые ресурсы. Обеспечение информационной безопасности Web-сервисов предполагает использование общепринятых технологий информационной безопасности - шифрования, цифровых подписей, парольной защиты и т.д. Можно сказать, что стандарты информационной безопасности Web-сервисов соответствуют специфичной архитектуре ИБ Web-сервисов, но механизмы реализации данной архитектуры вполне традиционны.

В настоящее время разработан целый ряд стандартов и спецификаций информационной безопасности Web-сервисов (рис. 2).


Одним из наиболее популярных стандартов является WS-Security, описывающий процессы аутентификации и авторизации в среде обмена SOAP-сообщениями. WS-Security предусматривает аутентификацию пользователя по средствам пар логин/пароль, сертификатов Х.509 или протокола Kerberos. Эти же технологии реализуют цифровую подпись, позволяющую удостовериться в целостности сообщения. Разработчики WS-Security также позаботились и о шифровании SOAP-сообщений, определив механизмы использования в среде SOAP стандарта XML Encryption.

Защита Web-сервисов должна быть комплексной: от информационных угроз необходимо защищать не только SOAP-сообщения, но также все другие составляющие архитектуры Web-сервисов: их интерфейсы, средства обнаружения сервисов (регистры) и т.д. Например, последняя версия перспективного стандарта UDDI обеспечивает такие немаловажные с точки зрения информационной безопасности функции, как целостность данных и шифрование содержимого регистра Web-сервисов.

В заключение можно сказать, что область стандартизации информационной безопасности Web-сервисов постоянно развивается и совершенствуется, и потому для обеспечения высокого уровня И Б мы рекомендуем использовать самые последние версии стандартов и спецификаций.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2012
Посещений: 12529

Приобрести этот номер или подписаться
  Автор

Наталья Слободенюк

Наталья Слободенюк

Генеральный директор компании
"Антивирусный Центр"

Всего статей:  1

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций