Retningslinjer for sikre webtjenester på høring

WS-I har lagt ut på høring et utkast til «Basic Security Profile» for webtjenester (web services).

I går offentliggjorde Web Services Interoperability Organization (WS-I) et utkast til retningslinjer for grunnleggende sikkerhet innen webtjenester (web services) – WS-I Basic Security Profile Working Group Draft. Utkastet er sendt på høring, og WS-I ber om tilbakemelding fra alle som er opptatt av å utnytte webtjenester til sikre nettapplikasjoner. WS-Is nettsted har nærmere detaljer om hvordan høringsuttalelser kan formidles.

WS-I er ingen offisiell standardiseringsorganisasjon, men en sammenslutning av store aktører, blant dem IBM og Microsoft, for å sikre at standarder fra W3C og Oasis samvirker og brukes i praksis.

Målet med Basic Security Profile er å tilby utviklere en veiviser for bruken av vedtatte sikkerhetsstandarder for webtjenester.

– Tidligere offentliggjorte retningslinjer fra WS-I har blitt meget positivt mottatt av det internasjonale IT-miljøet, og har blitt implementert av teknologiselskap som Sun, IBM, Microsoft og Oracle, skriver den norske WS-I-aktivisten, daglig leder Jon Øyvind Eriksen i Kantega, til digi.no.

Offentliggjøringen skjedde i forbindelse med et arrangement av analyseselskapet Gartner i Los Angeles: Gartner Application Integration and Web Services Summit.

Gartners forskningsdirektør for informasjonssikkerhetsstrategier Ray Wagner understreket betydningen av Basic Security Profile.

– Vellykket utrulling av standardbasert sikkerhetsteknologi vil være en kritisk suksessfaktor for at webtjenester får stor utbredelse, sa han.

Basic Security Profile beskrives som en interoperabilitetsprofil som tar opp transportsikkerhet, SOAP meldingssikkerhet og andre sikkerhetshensyn. SOAP-meldinger skal kunne sikres også gjennom flere mellomledd, og det skal være mulig å ha ulike beskyttelsesnivå for forskjellige deler av en og samme melding. Retningslinjene vil bli utvidet etter hvert som flere webtjenesterelaterte sikkerhetsstandarder kommer, blant dem profiler for Kerberos, SAML (Security Assertion Markup Language) og XRML (eXtensible rights Markup Language).

Eriksen sier at Kantega vil arbeide spesielt for å få SAML med i retningslinjene, selv om det er det han beskriver som en «viss uenighet» rundt dette, siden SAML konkurrerer delvis med Microsofts strategi for webtjenester.

Til toppen