Sicherheit bei Web Services

Bei der Integration in Unternehmensprozesse spielt das Thema Sicherheit von Web Services zwangläufig eine entscheidende Rolle. Zwar enthält die SOAP-Spezifikation selbst nichts zum Thema Sicherheit. Doch eine Reihe von Konzepten und Lösungsansätzen versucht, die Lücke zu schließen.

Bei Web Services fallen zwangsläufig kritische, sicherheitsrelevante Daten an. Schon sehr einfache, unbedachte Handlungen öffnen dabei Angreifern Tür und Tor: Ein Befehl oder eine Enterprise Java Bean wird als Web Service veröffentlicht und kann direkt verwendet werden. Ein Klick mit der Maus, und eine Datenbank ist für jeden zugänglich, ohne mühsam Schnittstellen implementieren zu müssen. Wird HTTP als Transportprotokoll verwendet, so können die meisten Firewalls ohne großen Aufwand durchdrungen werden.

Mehrere kritische Punkte stellen im Umfeld von Web Services ein Sicherheitsrisiko dar: So verwenden die meisten Web Services zum Nachrichtenaustausch SOAP und als Transportmedium HTTP. SOAP als Kommunikationsprotokoll und HTTP als Transportprotokoll unterstützen in ihrer Basisform keinerlei Sicherheits-Forderungen, weil beide sehr einfach gehalten werden sollten. Der Nachteil: Sämtliche Daten werden damit im Klartext übermittelt.

Grundlagenserie: Serviceorientierte Architekturen

Teil 1

Serviceorientierte Architekturen – Grundlegende Konzepte

Teil 2

Web Services – Grundlagen, Aufbau und Struktur

Teil 3

Nachrichten verschicken mit SOAP - Die SOAP-Spezifikation

Teil 4

Web Services implementieren mit WSDL

Teil 5

Verzeichnisdienste für Web Services

Teil 6

Sicherheit bei Web Services