Abstrakte Sicherheitsschicht
Die Marktforscher von Forrester empfehlen deshalb, eine abstrakte Sicherheitsschicht für Web-Services zu entwickeln: Dazu gehören Sicherheitsregeln für die Firma sowie Sicherheitsdienste, auf die die Web-Services ihrerseits zugreifen können. Da verschiedene Web-Services unter Umständen unterschiedliche Sicherheitsanforderungen haben, sollten die Dienste verschiedene Abstufungen von Authentisierung, Autorisierung und Verschlüsselung erlauben. Auf diese Weise ließen sich Granularität und Einheitlichkeit unter einen Hut bringen. Für die Einführung der neuen Technologie empfiehlt sich ein gesunder Pragmatismus. Es gilt, einen Mittelweg zu finden zwischen der Naivität eines völlig ungesicherten Einsatzes und einem rigiden Verbot nach dem Motto „Ohne Sicherheit keine Applikationen“.
Genauso wie Web-Services unabhängig sind von der darunter liegenden Technologie, sollte das auch für die Sicherheit von Web-Services gelten. Darum ist es sehr wichtig, dass die Sicherheitsprodukte Standards wie WS-Security oder die Security Assertion Markup Language (SAML) unterstützen. Grob gesagt bietet WS Security einen Rahmen für starke Authentisierung und Verschlüsselung, während SAML und XML for Access Control Lists (XACL) starke Autorisierung ergänzen. Noch sind die meisten Spezifikationen nicht fertig - mit Ausnahme von XML Signature.
Im Grunde genommen muss die Standardentwicklung erst weiter fortschreiten, bevor Systeme für die Sicherung von Web-Services entwickelt werden können. Einige proprietäre Lösungen gibt es jedoch bereits am Markt, zum Beispiel den „Traffic Manager“ von Array Networks. Gegenüber den Clients außerhalb der Haus-DV agiert dieser Proxy wie ein Web-Server, gegenüber den Servern drinnen verhält er sich wie ein externer Client. Der Traffic Manager empfängt alle Anfragen und versendet alle Antworten nach draußen. An sicherheitsrelevanten Funktionen bietet das Produkt ein beschleunigtes Verschlüsseln sowie Authentisierung, Autorisierung und die Möglichkeit, Aktionen zurückzuverfolgen (Auditing).
Auch Baltimore Technologies sieht mit dem auf einer Public Key Infrastructure (PKI) basierenden „Unicert“ samt Zertifikaten für die Authentisierung und dem Produkt „Select Access“ für die Autorisierung dem Zeitalter von Web-Services optimistisch entgegen. Nach Angaben von Jan Vekemans, Direktor Benelux Central & Eastern Europe bei Baltimore in Brüssel, sollen die Produkte den Standard XKMS unterstützen. Microsofts „Passport“ dagegen tauge wenig für die Authentisierung von Web-Services, da es keine grundlegenden Sicherheitsfunktionen beinhalte und mehr Wert auf Bequemlichkeit lege. Auch Microsoft selbst schätzt das offenbar ähnlich ein: Passport konzentriere sich gegenwärtig mehr auf die Authentisierung von Endnutzern als von Applikationen oder Computern. Zudem existiere kein sicherer Weg, User ID und Passwort einzugeben.
Bewertung der Standards