Security-Choreografie von Web Services

Vortrag von Detlef Sturm, Chief Compliance Architect, Beta Systems Software AG

28.05.2009

Zweites BITKOM Anwender-Forum SOA

Ohne eine adäquate Security kann eine SOA in geschäftskritischen Bereichen nicht betrieben werden. Dabei unterliegen die traditionellen Security-Themen besonderen Anforderungen, wie beispielsweise die Realisierung einer End-to-End-Security. Aufgrund der starken Heterogenität und der notwendigen Interoperabilität der beteiligten Systeme, ergibt sich die Notwendigkeit, ein hohes Maß an Standardisierung zu erreichen. Als Basistechnologie für die Security hat sich mittlerweile der OASIS-Standard WS-Security etabliert, der in der Praxis mit zahlreichen anderen Spezifikationen gebündelt wird.

Damit Client und Service nicht nur fachlich sondern auch sicherheitstechnisch miteinander kommunizieren können, ist neben einer konformen Implementierung der einzelnen Security-Mechanismen auch eine korrespondierende Security-Choreografie erforderlich. Die in WS-Security fehlenden Aussagen bezüglich allgemeiner Security-Choreografien werden von WS-SecurityPolicy mit Hilfe der Assertion-basierten Beschreibungssprache nachgeliefert. Die Policy-Beschreibung wird somit zu einem weiteren elementaren Baustein in einer sicheren SOA.

Der Vortrag beleuchtet die typischen Kombinationsmöglichkeiten und die daraus resultierenden Patterns bezüglich der Choreografie zwischen Client und Service.

Referenz: Artikel „Choreografie der Webservice-Security“, LANLine 12/2008

• Vollständiger Vortrag 

Web Service Security & Policy - Basis für eine sichere SOA

Vortrag von Detlef Sturm, Senior Manager Product Technology, Beta Systems Software AG

29.10.2008 
SOA-Kongress 2008

 

Die Kommunikation in einer SOA beruht vorrangig auf Nachrichten, die zwischen den Akteuren ausgetauscht werden. Um die Vertraulichkeit und Integrität der Nachricht zu gewährleisten sowie die Authentifizierung des Senders und Empfängers zu ermöglichen, sind entsprechende Sicherheitsmaßnahmen erforderlich. WS-Security bietet dazu die notwendigen kryptografischen Security-Mechanismen wie beispielsweise Verschlüsselung, Signaturen und Security Tokens.

Im Vortrag werden folgende Themen angesprochen:

• Bedrohungsszenarien im Rahmen einer nachrichtenbasierten Kommunikation
• Grundmechanismen und Authentifizierungsunterstützung von WS-Security
• Design-Prinzipien und Architekturpattern für Security-Implementierungen
• Prozessmodell von WS-SecurityPolicy
• Varianten des Policy-Provisionings zur Verteilung der Policy-Informationen an die Clients 
• Patterns von Security-Choreografien und deren Abbildung mittels Policy-Assertions
• Ansätze und Formate für die Policy-Konfiguration 
• Ausblick auf ein unternehmensweites Policy-Management
  
   
• Vollstäniger Vortrag

WS-Security & WS-Policy – Lösungsansätze für die Security-Anforderungen in einer SOA

Vortrag von Detlef Sturm, Senior Manager Product Technology, Beta Systems Software AG

24.09.2008

CONQUEST iSQI - Tutorial (Potsdam)

Ohne eine adäquate Security kann eine SOA in geschäftskritischen Bereichen nicht betrieben werden, wobei die Security durch SOA nicht neu definiert wird. Vielmehr unterliegen die traditionellen Security-Themen besonderen Anforderungen, die sich u.a. aus der starken Heterogenität und der notwendigen Interoperabilität der beteiligten Systemen ergeben. Eine Folge davon ist die Notwendigkeit, ein hohes Maß an Standardisierung zu erreichen. Als Basistechnologie für die Security hat sich mittlerweile der von OASIS verabschiedete Standard WS-Security etabliert. WS-Security besteht aus einem ganzen Paket von Spezifikationen und zahlreichen Mechanismen, die abhängig vom Einsatzszenario verschiedenartig kombiniert werden können. Des Weiteren ist es wichtig, dass die Beschreibung der Security-Anforderungen (Policy) in einer standardisierten Art zur Verfügung gestellt werden. Entsprechend ist die Spezifikation WS-SecurityPolicy von OASIS ein weiterer wichtiger Baustein in einer SOA.

 

Das Tutorial soll die Grundmechanismen und Prinzipien von WS-Security und WS-SecurityPolicy vermitteln und damit die Wahrnehmung hinsichtlich der Notwendigkeit für einen ganzheitlichen und standardisierten Security-Ansatz erhöhen. Zudem wird ein einfaches Referenzmodell für Security vorgestellt, welches für die Einordnung der Themen in den Kontext einer SOA dient. Darüber hinaus werden allgemeine Design-Prinzipien und Architekturpattern erläutert. Neben der Darstellung von allgemeinen Anwendungsszenarien werden Beispiele aus den Frameworks WCF (Microsoft) und WSIT (Sun) gezeigt. 
 

• Vollständiger Vortrag

Überblick Policy-Management - Baustein einer business-orientierten Security innerhalb einer SOA

Vortrag von Detlef Sturm, Senior Manager Product Technology, Beta Systems Software AG sowie Herrn Waller (IBM)

23.09.2008
Bitkom Arbeitskreis Professional Service / SOA-Technologies (Darmstadt)
 

 

Der Trend im Rahmen einer „Business Technology“ die Geschäftsprozesse  mit Hilfe einer modulare Modellierung auf service-orientierten IT-Komponenten (Web Services) abzubilden, ruft neue Anforderungen bezüglich der Security und deren unternehmensweiten Verwaltung hervor. Bisher hatten die Anwendungen zumeist einen monolithischen Charakter und benutzten ihren eigenen Security-Kontext. Da sich innerhalb einer SOA die Business-Prozesse über eine Vielzahl von Services unterschiedlicher Hersteller und Plattformen spannen werden, benötigt man u.a. ein Single-Sign-On auf Prozessebene sowie eine einheitliche Zugriffsberechtigung. Ebenso ist die Absicherung der Nachrichten für die verschiedenen Services konsistent zu gestalten. Um eine unternehmensweite und konsistente Policy-Einstellung zu ermöglichen, sind zentrale Managementansätze notwendig.

Der Vortrag beleuchtet im ersten Teil die Architektur von solchen Policy-Systemen und beschreibt die entscheidenden Aufgaben der Basiskomponenten Policy Decision Point (PDP), Policy Enforcement Point (PEP), Policy Administration Point (PAP) und Policy Information Point (PIP). Im zweiten Teil des Vortrags wird die Verwaltung der Policies betrachtet. Insbesondere wird auf Teile des Policy-Lifecycles und auf existierende Technologien und Standards eingegangen.

• Vollständiger Bericht

SOA - Ein Überblick

Vortrag von Dr. Achim Schmidt, Director Product Technology, Beta Systems Software AG

2. Juni 2008

Testing & Finance 2008 

Identity Management: Strukturen und Erfahrungen

Vortag von Axel Kern, Manager Development Applications, Beta Systems Software AG

8. Mai 2008

GSE, Arbeitskreis Software Engineering

Identity-Management (IdM)-Systeme verwalten Benutzer und ihre Berechtigungen in den IT-Systemen von Unternehmen und Organisationen. Ihre Bedeutung nimmt stark zu, nicht zuletzt wegen steigender Anforderungen an die Agilität der Unternehmen sowie als Basis für die Sicherstellung der Konformität mit einer zunehmenden Anzahl von Gesetzen und Verordnungen (z.B. Basel II, Sarbanes-Oxley).

Dieser Vortrag stellt Funktion und Architektur eines IdM-Systems vor. Schwerpunktmäßig werden dabei die zugrunde liegenden Datenstrukturen betrachtet. Zentrale Entität ist dabei die Rolle, die eine weitgehende Automatisierung der Rechtevergabe erst ermöglicht. Es werden Erweiterungen des NIST-Rollenmodells diskutiert, die im IdM-Produkt SAM Jupiter von Beta Systems eingesetzt werden. Diese ermöglichen eine deutliche Vereinfachung der Administration von Rollen sowie eine Skalierbarkeit für sehr große Benutzerzahlen. Abschließend werden Erfahrungen aus der Einführung und dem praktischen Einsatz von IdM-Systemen präsentiert. 

 

Java-basierte WS-Security Implementierung

Vortrag von Detlef Sturm, Senior Manager Product Technology, Beta Systems Software AG

12. März 2008

BITKOM, Arbeitskreis SOA Technologies

SOA ist ein Managementkonzept für die Ausrichtung der IT an den Anforderungen der Geschäftsprozesse. Eine Grundvoraussetzung für das Erreichen einer SOA ist die Bereitstellung von Prozessfunktionen in Form von lose gekoppelten Services. Diese lose Kopplung zwischen Services und Konsumenten erreicht man u.a. durch einen hohen Grad an Standardisierung der Schnittstellen. Entsprechend ist es nicht verwunderlich, dass SOAP-basierte Web Services, flankiert von einer Vielzahl von Standards, die häufigste Form von Services in einer SOA darstellen.

In der Entwicklungsphase von Web Services, aber auch während der Laufzeit, sind neben funktionalen Gesichtspunkten zunehmend die Quality-of-Service Eigenschaften von Bedeutung. Dabei ist die Sicherheit von Web Service Aufrufen mit Mechanismen wie Authentifizierung, Verschlüsselung und Signaturen eines der Hauptthemen. Um auch bei nichtfunktionalen Eigenschaften eine lose Kopplung aufrecht zu erhalten, müssen Standards definiert, akzeptiert und verwendet werden. Das von Microsoft, IBM und Verisign entwickelte und von OASIS als offiziellen Standard abgestimmte und verabschiedete WS-Security Konzept, ist die Basistechnologie für die Absicherung von Web Services.

Der Vortrag behandelt die Aspekte einer Implementierung von Web Service Security. Der erste Teil beinhaltet eine kurze Einführung in die Grundmechanismen von Web Service Security und deren Bestandteile. Das Zusammenspiel der einzelnen Mechanismen wird anhand eines Szenarios verdeutlicht. Dabei wird insbesondere genauer auf die Aufgaben von Signaturen eingegangen. Bei einer Implementierung und Konfiguration von WS-Security ist es wichtig zwischen Outbound- und Inbound-Security zu unterscheiden. Die daraus resultierenden Anforderungen sind übersichtlich dargestellt. Im ersten Teil werden darüber hinaus allgemeine Design-Prinzipien und Architekturpattern für die Implementierung von WS-Security erläutert. Zudem werden die Themen Granularität von Security und Interoperabilität angesprochen.

Im zweiten Teil des Vortrages stehen Betrachtungen über Java-basierte Security-Frameworks im Vordergrund. Neben der Darstellung der grundsätzlichen Konfigurationsansätzen werden die konkreten Frameworks XWSS und WSIT kurz vorgestellt.