Oracle Senior IT

Welche Security-Technologie ist die richtige?

SOA-Architekturen sicher umsetzen

Dr. Klaus Manhart hat an der LMU München Logik/Wissenschaftstheorie studiert. Seit 1999 ist er freier Fachautor für IT und Wissenschaft und seit 2005 Lehrbeauftragter an der Uni München für Computersimulation. Schwerpunkte im Bereich IT-Journalismus sind Internet, Business-Computing, Linux und Mobilanwendungen.
Die große Anzahl an möglichen Technologien und Standards macht die Absicherung von Service-Orientierten Architekturen hochkomplex. Ein Teletrust-Dokument bewertet verfügbare Sicherheitsmechanismen und empfiehlt bestimmte SOA-Security-Technologien.
SOA-Services sollten nur eingesetzt werden, wenn sie auch bestimmten Sicherheitskriterien genügen.
SOA-Services sollten nur eingesetzt werden, wenn sie auch bestimmten Sicherheitskriterien genügen.
Foto: fotolia.com/Argus

Service-Orientierte Architekturen (SOA) werden heute vermehrt in organisationsübergreifenden Projekten umgesetzt. Die Idee, Funktionalität als lose gekoppelte, unabhängige Services über standardisierte Schnittstellen anzubieten, ermöglicht Unternehmen Dienste nach ihren Bedürfnissen zu orchestrieren und im Bedarfsfall gegeneinander auszutauschen. Die Anwender können damit flexibler auf sich ändernde Geschäftsprozesse reagieren und sich den Marktbedingungen anpassen.

Volle Flexibilität und damit verbundene Kostenersparnisse können jedoch nur erreicht werden, wenn SOA-Services bestimmten Sicherheitsanforderungen genügen. Dabei gelten im Grunde für SOA die gleichen Security-Kriterien wie für herkömmliche, monolithische Systeme. Zusätzlich existieren durch die Verteilung von Systemen und Prozessen jedoch SOA-spezifische Sicherheitsrisiken, die entsprechend zu berücksichtigen sind.

Basierend auf einer Vorgabe von Sicherheitsanforderungen und einer Bewertung verfügbarer Sicherheitsmechanismen empfiehlt der IT-Sicherheitsverbands TeleTrust die Nutzung bestimmter SOA-Security-Technologien. Die Publikation entstand aus der Motivation heraus, die unterschiedlichen Ansätze, Technologien und Methoden im SOA-Bereich in einem Pattern- oder Entwurfsmusterkatalog zusammenzufassen. Entwicklern und Security-Verantwortlichen soll es damit erleichtert werden, SOA in verschiedenen Szenarien sicher einzusetzen. Geordnet nach den Sicherheitszielen Authentizität, Integrität, Vertraulichkeit, Nichtabstreitbarkeit und Autorisierung werden verschiedene Entwurfsmuster vorgestellt und mit Anwendungsfällen, Architekturen und verwendbaren Technologien beschrieben.