SOA-Management und -Sicherheit

Zugriff, Integrität und Compliance

Eine serviceorientierte Architektur zeichnet sich durch ein hohes Maß an Offenheit aus, die Sicherheitsrisiken nach sich zieht. Dafür muss eine Lösung gefunden werden. Da die Anwendungen neuen Zwecken zugeordnet und wiederverwendet werden können, besteht die Möglichkeit, sie für neue Benutzer- und Mitarbeitergruppen einzusetzen, die ursprünglich nicht vorgesehen waren. Dadurch ergeben sich Sicherheitslücken und -risiken. Traditionell ressourcenorientierte Sicherheitslösungen sind zwar weiterhin notwendig, eignen sich aber nicht mehr für dynamische SOA-Umgebungen. Bei SOA-Sicherheitslösungen müssen eine benutzerorientierte Sicherheitsstufe – das so genannte Trust-Management – und eine nachrichtenorientierte Sicherheitsstufe in die Systemumgebung aufgenommen werden. Außerdem muss sichergestellt sein, dass diese Komponenten jederzeit überprüfbar bleiben. IBM bietet Produkte an, die Unternehmen folgende Möglichkeiten bieten:

• Serviceübergreifendes Einbinden von ID- und Zugriffssteuerung
• Schutz von Services und Anwendungen
• Einheitliche Umsetzung und Prüfung von Sicherheitsrichtlinien für Services

Serviceübergreifendes Einbinden von ID- und Zugriffssteuerung

IBM Tivoli Federated Identity Manager (TFIM) ermöglicht ein effizientes und effektives Management und Bereitstellen von Benutzer-IDs in der gesamten SOA-Umgebung. Die Software gewährleistet, dass jeder Benutzer auf der Grundlage der zugehörigen Sicherheitsberechtigungsnachweise und Zugriffsebenen auf Anwendungen, Daten und Informationen zugreifen kann, unabhängig davon, um welche Anwendungen, Daten und Informationen es sich handelt.

IBM Tivoli Federated Identity Manager kann darüber hinaus zu Kosteneinsparungen beim ID-Management beitragen, da Prozesse für das ID-Management in der gesamten SOA-Umgebung optimiert und eingebunden werden. Weil die Berechtigungsnachweise für Benutzer-IDs für alle erforderlichen Anwendungen transparent eingebunden werden, müssen sich die Benutzer nicht mehrmals bei unterschiedlichen Anwendungen anmelden. Dies sorgt für einen verbesserten und vereinfachten SSO-Zugriff (Single Sign-on).

Schutz von Services und Anwendungen

Sicherheitsfunktionen auf Nachrichtenebene gewährleisten, dass der Hauptteil einer Nachricht – in dem die Informationen zu Daten/Anforderungen aufgeführt sind – während der Übertragung der Nachricht jederzeit geschützt bleibt. Dies ist unabhängig vom Übertragungsweg, einschließlich nicht vertrauenswürdiger Punkte, wie z. B. Router oder Switches. Während beim integrierten ID-Management vertrauenswürdige IDs über verteilte Sicherheitsdomänen hinweg unterstützt werden (z. B. Schutz auf Nachrichtenebene), ist eine zusätzliche Sicherheitsstufe erforderlich, über die Daten syntaktisch analysiert, Schemas geprüft, Nachrichten verschlüsselt und entschlüsselt und digitale Signaturen für XML-basierte Web-Service-Transaktionen bereitgestellt werden können. Dies steht häufig im Rahmen einer dedizierten SOA-Appliance innerhalb der Firewall zur Verfügung. Idealerweise handelt es sich hierbei um eine Appliance, die eine für reale Anwendungen erforderliche Performance bietet. Der IBM WebSphere DataPower XML Security Gateway XS40 fängt Web-Service-Anforderungen ab, analysiert diese syntaktisch und prüft, filtert und entschlüsselt sie.

Einheitliche Umsetzung und Prüfung von Sicherheitsrichtlinien für Services

Die integrierte IBM Compliance-Management-Lösung versetzt Unternehmen in die Lage, die Überprüfbarkeit in der gesamten SOA-Umgebung aufrechtzuerhalten, damit die Integrität unternehmensweiter Sicherheitsrichtlinien gewährleistet ist und gesetzliche Bestimmungen eingehalten werden. IBM Tivoli Federated Identity Manager ermöglicht das Erstellen umfassender Prüf- und Zugriffsberichte zu Aktivitäten, die nach Transaktion, nach Benutzer oder nach Zugriff auf Anwendungen und Daten sortiert sind. Die Consul Insight Suite (US) enthält ein zuverlässiges Dashboard und Funktionen zur Berichterstellung, über die Daten aus IBM Tivoli Federated Identity Manager und andere zugehörige Sicherheitsdaten angezeigt werden können. Die Software speichert, korreliert und analysiert kritische Sicherheitsdaten und Daten privilegierter Benutzer im Hinblick auf Prüfungen und die Einhaltung gesetzlicher Bestimmungen.