Planen Sie die Sicherheit Ihrer Web Services

Für die Nutzung von Sicherheitsfunktionen über den Kanal muss der Entwickler nichts über die jeweilige Implementierung wissen. Mit auf Standards basierenden Verfahren lässt sich ganz einfach eine sichere Kommunikation zwischen zwei Systemen einrichten, wobei deren jeweilige Web Services verwendet werden. Diese Methode hat den Vorteil, dass sie an Standards gebunden ist, so dass zwei beliebige Plattformen unabhängig vom Betriebssystem die gleichen Sicherheitsverfahren benutzen können. Ein weiterer großer Vorteil besteht darin, dass die Sicherheit auf Kanalebene lediglich die Konfigurationseinstellungen betrifft, so dass die Entwickler keine Änderungen im Code vornehmen müssen.

Gegen diese Methode sprechen drei Aspekte. Zum einen wird die Performance beeinträchtigt, wenn die Verbindung zwischen zwei Systemen zu ihrer Absicherung über die Hard- oder Software verändert wird. So bewirkt z.B. der Einsatz von SSL (Secure Sockets Layer) einen Leistungsabfall von 30 bis 40 %. Zum anderen ist diese Art von Absicherung vom verwendeten Protokoll abhängig. Beide Seiten der Verbindung müssen in der Lage sein, über das ausgewählte Protokoll zu kommunizieren. Und schließlich müssten viele Unternehmen erst in zusätzliche Infrastrukturen investieren, um eine effiziente Implementierung von Sicherheitsfunktionen auf Kanalebene zu ermöglichen.

Implementierung von Sicherheitsfunktionen auf Kanalebene

Im Wesentlichen gibt es drei Möglichkeiten zur Einrichtung von Sicherheitsfunktionen auf Kanalebene. Mit Berechtigungsnachweisen und SSL kann der IIS so konfiguriert werden, dass nur bestimmte User-IDs und Passwörter auf die URL-Adresse für den Web Service zugreifen können, wobei diese dann mit einem SSL-Zertifikat geschützt werden. Indem die verwendeten Methoden mit deklarativen Sicherheitsattributen versehen werden, die die Ausführung der Web Services-Methoden nur diesen User-IDs und Passwörtern erlauben, kann das System zusätzlich abgesichert werden.

Die zweite Möglichkeit besteht darin, einen lokalen Zertifikatsserver zu konfigurieren (in Windows 2000 enthalten und optional installierbar). Danach werden an die Unternehmen, die Zugriff auf die Web Services erhalten sollen, Zertifikate verschickt. Mit dem IIS wird dann das virtuelle Verzeichnis der Web Services so konfiguriert, dass nur Anfragen von Systemen akzeptiert werden, die diese Zertifikate benutzen. Und schließlich können Sie Ihr System so konfigurieren, dass Web Service-Anfragen ausschließlich über eine sichere PPTP- oder IPSec-Verbindung zugelassen werden. Sie können natürlich auch die genannten Verfahren kombinieren, um die Sicherheit zu erhöhen. Dabei sollte man jedoch bedenken, dass die Performance unter zusätzlichen Layern auf dem Kanal leidet.