Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat jetzt eine Sicherheitsanalyse der Kommunikationsplattform für Microsoft-Windows-Systeme "Windows Communication Foundation (WCF)" durchgeführt. Zudem wurde eine praxisorientierte Beispielanwendung zur sicheren Nutzung der WCF-Sicherheitsfunktionen erarbeitet und zusätzlich erforderliche Sicherheitsmaßnahmen abgeleitet.
Zusammen mit den WCF-Sicherheitsfunktionen ermöglichen die ergänzenden Handlungsempfehlungen des BSI den sicheren interoperablen Einsatz verteilter Systeme auf .NET 3.0. Interessenten können die Analyseergebnisse, die Handlungsempfehlungen sowie den Quellcode der WCF-Beispielanwendung per E-Mail (os-security@bsi.bund.de) anfordern.
Die Windows Communication Foundation (WCF, Codename Indigo), ist eine dienstorientierte Kommunikationsplattform für verteilte Anwendungen und soll unterschiedliche Kommunikationstechnologien standardisiert mit einer einheitlichen Programmierschnittstelle zusammenführen. Die WCF wurde ursprünglich für Microsoft Windows Vista entwickelt, ist aber auch für Windows XP und Windows Server 2003 verfügbar.
Sicherheit für verteilte Anwendungen
Ein zuverlässiges und sicheres Zusammenspiel der verteilten, Service-orientierten Anwendungen erfordert entsprechende Sicherheitsvorkehrungen, zum Beispiel bei der Verteilung von Lösungen auf Servern oder den Berechtigungskonzepten.
Ausgehend von einer Bedrohungsmodellierung über die konkrete Implementierung einer Beispielanwendung bis hin zu spezifischen Fragen der Verteilung von Anwendungskomponenten auf Zielsystemen untersuchte das BSI die WCF-Sicherheitsfunktionen. In Zusammenarbeit mit der newtelligence AG, Korschenbroich, entwickelte das BSI Handlungsempfehlungen und eine beispielhafte praxisorientierte WCF-Anwendung zur sicheren Nutzung der WCF-Sicherheitsfunktionen sowie zur Umsetzung zusätzlich notwendiger Maßnahmen.
Entscheidend für die Qualität der erzielten Ergebnisse war die intensive Diskussion des BSI mit den WCF-Entwicklern bei Microsoft in Redmond, USA. Die Grundlage für die Zusammenarbeit bildete das "Technology Adoption Program" für WCF, dem das BSI 2005 beigetreten ist. Dadurch erhielt das BSI bereits in der Entwicklungsphase detaillierten Einblick in die WCF. Im Dialog mit den WCF-Entwicklern konnte ein wichtiger Beitrag zur Erhöhung der IT-Sicherheit von verteilten Anwendungen auf der .NET-Plattform erreicht werden.
Interessenten können per E-Mail-Anfrage an os-security@bsi.bund.de die Handlungsempfehlungen des BSI zum sicheren Einsatz der Windows Communication Foundation (WCF) beziehen. Die Empfehlungen umfassen neben den Hinweisen zu WCF-spezifischen Architekturen, zur sicheren Installation, Authentisierung und zur Anbindung von Datenbanken oder der Fehlerbehandlung in verteilten Systemen auch den Quellcode der beispielhaften WCF-Anwendung. (mha)
|
Links zum Thema IT-Sicherheit |
Angebot |
|---|---|
|
Bookshop |
|
|
eBooks (50 % Preisvorteil) |
|
|
Software-Shop |