Veiledning for sikker bruk av webtjenester

Sikkerhetsselskapet Netegrity har publisert en "Reference Architecture" for sikre webtjenester.

Sikkerhetsselskapet Netegrity har publisert noe de kaller "Web Services Reference Architecture" og lagt det ut til nedlasting fra sitt nettsted. Hensikten er å "lindre forvirringen skap av overlappende komponenter for sikkerhet og drift av webtjenester". Dokumentet omfatter retningslinjer for å implementere sikkerhet, og inneholder blant anbefalinger knyttet til skalerbarhet, utlegging, og forhold til eksisterende sikkerhetsløsninger. Et viktig tema er hvordan man skal føye sammen løsninger innen forebygging, tilgangskontroll og drift. Netegrity mener at dersom man holder seg til retningslinjene, vil man kunne legge opp en plan for sikker bruk av webtjenester gjennom hele organisasjonen.

Ansvarlig for retningslinjene er Netegritys teknologisjef Prateek Mishra, som også er formann i OASIS-komiteen for sikkerhetstjenester (Security Services Technical Committee). Han har trukket inn nisjeleverandører som er kommet langt med å levere webtjenester orientert mot sikkerhet, autentisering og liknende. Retningslinjene støttes av selskaper som Actional, AmberPoint, Confluent Software, DataPower Technology, Digital Evolution, Forum Systems, Service Integrity og Swingtide.

Netegrity har samtidig kunngjort en ny utgave av sitt produkt TransactionMinder, som tilbyr en regelplassert implementering av referansearkitekturen.

Noe av grunnlaget for referansearkitekturen til Netegrity, er utkastet til standard kalt WS-Security. Dette utkastet hører inn under OASIS-komiteen som Mishra leder, og skal nå være klart for uttesting. Det vil publiseres med de første og gjøres gjenstand for en høringsrunde.

OASIS kunngjorde mandat at SAML 1.1 (Secure Assertion Markup Language) er ratifisert. SAML ligger til grunn for webtjenester som implementerer felles pålogging ("single sign on").

Til toppen