XML und Web Services — Herausforderung für die Unternehmens-IT-Sicherheit
Sebastian Staamann, CEOXtradyne Technologies AG
Schönhauser Allee 6-7 D-10119 Berlin
Copyright © 2003 XTRADYNE Technologies AG- 2 -
Technologiekontext: Web Services (Projektkontext)
Relevanz Erster allgemein und weit akzeptierter
Standard für die Interaktion von Unternehmens-Applikationen über das Internet
Technologieentwicklung und Marktdurchdringung getrieben von:IBM, Microsoft, SUN, BEA ...
Unterstützung durch SAP, Oracle ...
Technik Web Services sind Software-
Komponenten oder Funktionen, auf die über einen standardisierten Satz aus Protokollen und Datenformaten zugegriffen werden kann.
Wichtige Formate (Technologiekern): XML, SOAP, WSDL, UDDI, HTTP
Perspektive Nutzung von Daten und Applikationen
über alle Applikationsgrenzen und Schnittstellen hinweg.
Standardtechnologie für die IT-gestützte Integration von Geschäftsprozessen im Unternehmen mit anderen Unternehmen
Web Services-Produkte in jedem Unternehmen (wie Datenbanken)
gegenwärtiger Stand Marktdurchdringung hat begonnen:
Technologie-Evaluierung bei großenIT-Nutzern in 2002 und 2003
Erste Produktentwicklungen mit WebService-Technologie (v.a. Microsoft Visual Studio .NET)
Einführung in der Breite: 2004(Giga, Gartner, Forrester)
Copyright © 2003 XTRADYNE Technologies AG- 3 -
Technologiekontext: Web Services - ein Anwendungsbeispiel -
Modellentwicklung in der Automobilindustrie: parallele Designprozesse
Problem/Aufgabe: verfügbare Kontextdaten für die Entwickler müssen aktuell/synchron sein.
Entwickler beim Zulieferer vonLichtmaschinen entwirft Teile
Entwickler beim Zulieferer vonKühlungssystem entwirft Teile
... auch mit Zulieferernüber die Firewall hinweg
Entwickler arbeiten gleichzeitig am Design verschiedener Teile und Aspekte eines neuen Modells
zentraler Server mitApplikation für die Integrationder Teil-Designs hat jederzeit
die globale, aktuelle, integrierte Datensicht
Web Services-Technologie ermöglicht Real-Time-Integration
(ständiger Abgleich der Kontextdaten)
Entwickler beimKarosserieteil-fertiger fein-designen Einzelteile
... auch Server-zu-Server
Copyright © 2003 XTRADYNE Technologies AG- 4 -
Web Services-Sicherheit
Relevanz Sicherheit ist Sorge Nr.1 der IT-
Verantwortlichen, die Web Services-Technologie einführen wollen(Forrester, Gartner, 2002, 2003)
Ohne Sicherheit kommt Web Services-Technologie nicht aus dem Back-Office-Bereich hinaus
Einsetzbarkeit von Web Services in der Praxis hängt ab von Sicherheit.
Technik Web Services-Sicherheitsprodukte
müssen Applikationssicherheit und Firewallsicherheit leisten
Realisierung der Technik erfordert Innovation und ist hochkomplex
Wichtige Formate (Standards): SAML, XML Encryption, XML Signature, XKMS, SSL/TLS, HTTP, WS Security
Perspektive Web Services-Applikationen werden
gebaut von Entwicklern ohne Sicherheits-Knowhow (Technologie für Massen, nicht für Experten). Produkte müssen dies ermöglichen.
Die Mehrheit der neuen Anwendungs-projekte wird Web Services über die Unternehmensfirewall hinaus anbieten.
gegenwärtiger Stand Application Server-Hersteller (IBM, BEA,
Oracle u.ä.) bieten proprietäre Lösungenverschiedener Mächtigkeit
Standards für Web Services-Sicherheit sind in der Phase der Ausarbeitung
Anwender und AppServer-Hersteller beginnen, nach Web Services-Firewall-Produkten zu suchen
Copyright © 2003 XTRADYNE Technologies AG- 5 -
Sicherheit für Web Services - herkömmliches Vorgehen -
herkömmliches Vorgehen:in alle Softwareteile werden mitSecurity APIs und Programm-bibliotheken Sicherheitsfunktionenvon Hand integriert
Firewallswerdenpartielldurchlässig
Copyright © 2003 XTRADYNE Technologies AG- 6 -
Web Services Security Gateway- Kundennutzen -
Sicherheit für alle Web-Services-Applikationen
(Supply Chain Management, Banking, Logistik, Buchungssysteme, Abrechnungssysteme ...)
EINFACH als EIN Produkt, umfassend und hochsicher deckt interne und externe Nutzer ab mit einer Installation Applikationssicherheit und Firewallsicherheit in einem Produkt extrem einfache Einführung, keine unkalkulierbaren und nicht
planbaren Projektkosten für Web-Services-Sicherheit erweiterbar ohne zusätzliche Projektkosten zentralisiertes und einheitliches Sicherheitsmanagement zuverlässig betreibbar von durchschnittlich qualifiziertem
Administrationspersonal, kein Bedarf für teure Experten
Kostenreduktion von mindestens 50% für Web Services-Sicherheit
Copyright © 2003 XTRADYNE Technologies AG- 7 -
Ein Policy Serversteuert beliebigviele Gateways
Web Services Security Gateway- Aufbau und Funktion -
Applikationsebene (SAML, DSig..)
Darstellungsebene (XML)
Transportebene (TCP, SSL, HTTP)
Netzwerkebene (IP)eingehenderDatenverkehr
(SOAP)
ausgehenderDatenverkehr
(SOAP)
Sicherheitsregeln,Benutzerverwaltung,Rechteverwaltung
Policy Server(Steuerung der Analysen, Autorisierung, ...)
Gateway-Komponente(Unterbrechung des Datenverkehrs und Sicherheitsanalyse auf allen Ebenen)
Web Services SecurityGateway-Lösung bestehtaus zwei Komponenten
Copyright © 2003 XTRADYNE Technologies AG- 8 -
Web Services Security Gateway- Einsatzmöglichkeiten -
Web Services-verfügbare
Unternehmens-applikation
fürinterne
Sicherheit
Sta
nd
ard
-Fir
ew
all-
Pro
du
kt
Sta
nd
ard
-Fir
ew
all-
Pro
du
kt
Firewall Zone
Internet
internerNutzerkannApplikationnutzen
Web ServicesSecurityGateway
Heimarbeiterkann Applikation
sicher von zu Hauseüber Internet nutzen
Web ServicesSecurityGateway
Firewall Zone
Sta
nd
ard
-Fir
ew
all-
Pro
du
kt
Sta
nd
ard
-Fir
ew
all-
Pro
du
kt
Web Services-verfügbare
Unternehmens-applikation
Web-Services-platform
Unter-nehmens-
applikation
Zulieferer kann eigene Applikationensicher über Internet anbinden (z.B. SCM)
ausgehendeZugriffskontrolle,
ausgehendeRollenzuweisungen
eingehendeZugriffskontrolle,
Rollenüberprüfung
Web ServicesSecurityGateway schützt
AppServervor Attackern
aus dem Internet. • kontrolliert die Inhalte
• autorisiert Benutzer en detail• integriert Benutzer- verwaltung
Copyright © 2003 XTRADYNE Technologies AG- 9 -
Beispiel-funktion:Benutzer-
verwaltung
Web Services Security Gateway- Einfache Administration -
Beispiel:für registriertenBenutzer Rees
ist Authentisierungmit Public-Key-
Zertifikaterlaubt
Beispiel:registrierter
Benutzer Young gehört zur
Nutzergruppe„Operators“
Copyright © 2003 XTRADYNE Technologies AG- 10 -
Xtradyne: Kurzprofil
Xtradyne Technologies AG:
Produkthersteller & Dienstleister Spezialist in Internet-, Middleware-
und Anwendungssicherheit (seit 1999)
Standorte: Berlin, Frankfurt a.M. (Berlin: 75% der Unternehmensangehörigen)
Vermarktung global, mit Schwerpunkt Deutschland DACH (überwiegend direkt)
EU, USA (Partnervertrieb)
Orientierung und Erfahrung: Großunternehmen
Know-How & Expertise:
IT-Sicherheit Firewalls Anwendungssicherheit Sicherheitsarchitektur
Application Server (Schwerpunkt Software-Security)
Sicherheits-Integration Einsatz im Unternehmen Produkte (IBM WebSphere,
BEA WebLogic, Borland, Oracle ...)
Internet-Technologie Netzwerkanwendungen
Web-Anwendungen Web Services
Copyright © 2003 XTRADYNE Technologies AG- 11 -
Kunden Partner
weitere Application Server-Hersteller
Anwendungshersteller weitere Sicherheitsberater ...
Xtradyne: Kunden & Partner
Web Services Security Gateway
Vielen Dank für Ihre
Aufmerksamkeit !
Fragen ?
Sebastian Staamann, CEOXtradyne Technologies AG
Schönhauser Allee 6-7 D-10119 Berlin