XML Web Services brauchen eine Firewall

Es gibt zwar zwingende Gründe zum Einbau von Anwendungssicherheit in die Netzwerkinfrastruktur, doch bisher war das unrealistisch, weil der Zugang zu diesen wichtigsten Geschäftssystemen nicht über eine konsistente, dehnbare Schnittstelle möglich war. Programmatische Schnittstellen zu Geschäftssystemen wurden über DCOM, CORBA oder sprachspezifische Bibliotheken hergestellt. Allein die Tatsache, dass es verschiedene Schnittstellenmechanismen gab, stellte ein Hindernis dar.

Außerdem waren diese Mechanismen nicht dazu geeignet, wechselseitige Anwendungssicherheit vor Zugriffen zwischen Anforderndem und Service zu gewährleisten. Es wurde stattdessen von einer engen Verbindung ausgegangen, im Gegensatz zum Modell der lockeren Verbindung der XML Web Services. Daher war es schwierig, die Funktionalität des Nachrichtenflusses zu erweitern, ohne einen oder beide der Knoten zu modifizieren.

XML Web Services dagegen bieten eine leicht zu durchdringende Syntax mit gut definierten Schemen und Transformationsmechanismen, die dazwischen liegende Mehrwertdienste unterstützen. Ältere Technologien verwendeten für die Nachrichtenübermittlung noch geschlossene binäre Formate.

Die Übernahme von XML Web Services erhöht einen bestehenden Bedarf erheblich und schafft auch eine neue Gelegenheit, diesem Bedarf zu begegnen. Indem sie Geschäftssysteme für einen viel breiteren Programm-Zugang sowohl intern als auch zwischen verschiedenen Unternehmen öffnen, treiben XML Web Services den Bedarf an sehr funktioneller und erwiesenermaßen konsistenter Sicherheit auf Anwendungsebene voran. Indem sie jedoch einen Standard für die Kommunikation von Programmen untereinander mit lockerer Verbindung bieten, haben XML Web Services die Umgebung geschaffen, die den Einsatz von XML Application Firewalls als diesem Bedarf entsprechende Standardinfrastruktur ermöglicht.

Eine grundlegende Funktion jeder XML Application Firewall ist Authentifizierung und Zugangskontrolle. Dies schließt folgende Fähigkeiten ein:

• die Identität der Einheit (Person, Programm, Organisation) bestätigen, für die dieser Service angefordert wird
• erkennen, zu welcher Zugangsebene der Anfordernde berechtigt ist

Die Methoden, mit denen die Authentizität einer Einheit bestätigt wird, könnten folgende sein:

• Benutzername und Kennwort in einem LDAP-Verzeichnis überprüfen
• Identität eines Zertifikats oder einer digitalen Signatur mit einem PKI bestätigen
• ein SAML-Ticket überprüfen, das von einem Single-Signon-Tool generiert worden ist

Selbst eine einzelne Organisation wird mehrere Mechanismen verwenden müssen. Das hängt von Faktoren ab wie:

• der Sicherheitsstufe, die eine bestimmte Operation erfordert
• dem bevorzugten Mechanismus der Partner und Kunden
• in der Branche vereinbarten Standards und Konventionen
• den Erfordernissen eines Regulierungsschemas, wie z. B. HIPAA, GLBA oder FISMA
• dem Bestreben, die bestehende Infrastruktur zu verbreiten

Es ist ebenfalls sehr wichtig, die Vertrauenswürdigkeit, Integrität und Annahme von Service-Anforderungen und Antworten zu gewährleisten. Organisationen wollen sicherstellen, dass diese kritischen Daten nicht gelesen, modifiziert oder gefälscht werden. Auch dies kann wieder mit mehreren Methoden erreicht werden:

• Verschlüsselung auf der Transportebene (wie z. B. SSL)
• Verschlüsselung auf der Nachrichten-/Elementenebene (wie z. B. XML-Verschlüsselung)
• Hand-Shaking auf Transportebene auf der Basis von Zertifikaten (wie z. B. SSL)
• Digitale Signatur auf Nachrichten-/Elementenebene (wie z. B. XML-Signatur)

Wie bei der Authentifizierung wird ein einzelnes Unternehmen wahrscheinlich mehrere Mechanismen verwenden, abhängig davon, von welcher Einheit die Anforderung kommt, welcher Service-Vorgang aufgerufen wird, welcher bestimmte Nachrichteninhalt weitergegeben wird sowie von anderen Kriterien.

Ein weiterer Einsatzbereich für XML Application Firewalls ist der Schutz vor böswilligen Angriffen wie z. B. Angriffen auf Kennwortverzeichnisse oder Denial-of-Service-Angriffen. Da XML Application Firewalls zusammen mit Netzwerk-Firewalls und der übrigen bestehenden Netzwerkinfrastruktur verwendet werden, muss der Schutz, den diese anderen Tools bereits bieten, nicht von ihnen selbst kommen. Ihre detallierten Kenntnisse der spezifischen Profile einzelner Operationen und Anforderungen kann jedoch genutzt werden, um Schutzvorrichtungen zu errichten, die eine Infrastruktur auf Netzwerkebene nicht bieten kann.

XML Application Firewalls sind für diesen Bedarf die richtigen Technologien und werden letztendlich so weit verbreitet sein wie heute Netzwerk-Firewalls. Kerry Champion ist Präsidentin eines Westbridge Technology-Unternehmens.