Vordel-CTO O’Neill weist zudem darauf hin, dass der Einsatz von Web-Services eine Herausforderung für Firewalls darstellt. Derzeit können diese nur so konfiguriert werden, dass sie Soap-Messages entweder komplett blocken oder aber durchlassen. In einer Situation, in der Web-Services über die Grenzen von Unternehmensnetzen hinweg miteinander kommunizieren, sollten Firewalls aber Soap-Messages tatsächlich verstehen können, um von Fall zu Fall über ihre Zulässigkeit entscheiden zu können.

Im Rahmen eines Projekts mit dem US-Provider Qwest hat sich auch Microsoft eingehender mit den drängenden Sicherheitsfragen beschäftigt, die nicht unbedingt durch WS-Security gelöst werden. Qwest bietet bereits eine große Anzahl von Web-Services, die zunehmend auch wichtige Geschäftsabläufe unterstützen. 48 Programmierer haben innerhalb von drei Monaten mit Qwest das Common Services Framework (CSF) erarbeitet, das unter anderem eine Möglichkeit bieten soll, eine einheitliche Sicherheitslösung für die eingesetzten Web-Services bereitzustellen.

Wie Frederick Chong, Software Design Engineer bei Microsoft, beschreibt, stellt CSF eine Art Vermittlungsstelle für Web-Services dar. Diese werden dort zusammen mit individuellen Zugriffsregeln registriert. Kunden von Qwest, die einen Web-Service abonnieren wollen, müssen sich zunächst ebenfalls registrieren lassen. Über eine CSF-Laufzeitumgebung können die Web-Services genutzt werden: Sie setzt die zuvor festgelegten Sicherheitsregeln durch, protokolliert und überwacht die Transaktionen und ist für das Routing der Nachrichten zuständig.

Aus Sicht von Chong handelt es sich bei CSF um ein „sehr flexibles Modell“, das es Qwest erlaubt, das bestehende LDAP-Directory weiter zu nutzen und zudem die vorhandenen „RSA-Cleartrust“-Produkte einzubinden. Ungelöst blieben Aspekte wie die Ende-zu-Ende-Vertraulichkeit oder Integrität der Übertragungen. Auch ist die Unabstreitbarkeit der Transaktionen zum jetzigen Zeitpunkt noch nicht umgesetzt. Ob Microsoft CSF als Produkt auch anderen Anwendern bereitstellen wird, ist unklar.

Aus Sicht von Andrew Nash, Director of Technology and Standards bei RSA Security, könnte eine separate Sicherheitslösung viele Probleme lösen, ohne die Komplexität unnötig zu erhöhen. Ähnlich wie Firewalls, die Geräte innerhalb eines Unternehmensnetzes absichern, vermöchte so ein System zwischen Web-Services innerhalb einer vertrauten Umgebung und solchen in unsicheren Zonen zu vermitteln. „Das würde Unternehmen die Möglichkeit geben, Regeln zu definieren, die gleichermaßen für alle Web-Services gelten“, erläutert der Spezialist.

So wäre denkbar, dass eine bestimmte Gruppe von Web-Services untereinander mit relativ geringer Sicherheit kommuniziert. Sobald eine Transaktion jedoch einen definierten vertrauten Bereich oder sogar das Unternehmensnetz verlässt, greift die Komponente ein und fügt auf Basis bestimmter Regeln Sicherheitsmerkmale ein, ein Kerberos-Ticket oder Ähnliches. Aus Sicht von Nash würde diese Vorgehensweise vieles vereinfachen, weil sich die Entwickler der jeweiligen Anwendungen um Sicherheit überhaupt nicht zu kümmern bräuchten.