18 Octombrie 2002 Software
Firewall-urile XML - solutia optima pentru protejarea serviciilor web
Desi firewall-urile au asigurat dintotdeauna securitatea de baza pentru companii, acestea nu pot fi utilizate pentru securizarea serviciilor web. Motivul: ele asigura filtrarea doar la nivel de pachet si, deci, nu pot examina continutul mesajelor. Daca luam in considerare faptul ca pana in 2006, traficul de servicii Web va reprezenta 25% din traficul global al companiilor (conform estimarilor emise de firma de consultanta ZapThink), acest lucru nu poate fi decat ingrijorator.
O noua tehnologie insa (firewall-urile XML) promite sa protejeze companiile impotriva potentialelor probleme de securitate inerente serviciilor Web.
Firewall-urile XML pot examina antetele SOAP si tag-urile XML, distingand, pe baza rezultatelor gasite, continutul legitim de cel neautorizat.
Firewall-urile traditionale protejeaza o retea prin blocarea traficului Internet, lucru posibil cu ajutorul mai multor mijloace diferite. Unele dintre acestea blocheaza toate porturile TCP cu exceptia portului 80 (traficul HTTP), portului 443 (traficul HTTPS) si a portului 25 (traficul email). Altele interzic traficul de pe adrese specifice IP sau interzic intrarea datelor in functie de caracteristicile de utilizare ale acestora.
Problema cu aceste firewall-uri este ca, in general, foarte multe servicii Web sunt proiectate pentru a intra prin intermediul portului 80. Deci, chiar daca serviciul este unul malitios, firewall-ul va permite intrarea acestuia. Motivul: firewall-urile traditionale nu pot filtra traficul in functie de continutul acestuia - acestea pot filtra doar la nivel de pachet, si nu la nivel de continut. Spre deosebire de firewall-urile traditionale, firewall-urile XML sunt proiectate pentru a examina si intelege continutul XML al traficului si, in raport cu rezultatele identificate, sa actioneze: sa permita sau sa blocheze intrarea datelor.
Firewall-urile XML functioneaza, de regula, prin examinarea antetelor de mesaje SOAP. Antetul poate contine in mod expres informatii pe care sa le examineze firewall-ul. In acest caz, firewall-ul poate initia actiuni in functie de aceste informatii. Pe de alta parte, chiar daca antetul nu contine aceste informatii, firewall-urile XML pot initia actiuni in functie de continutul antetului. De exemplu, antetul poate contine informatii despre destinatarii mesajului, despre securitatea acestora sau despre cei prin intermediul carora mesajul a fost transmis.
Prin urmare, firewall-urile XML pot patrunde in interiorul continutului mesajului, examinandu-l pana la nivelul de tag. Acestea pot afla daca este vorba despre un mesaj autorizat sau nu. In cazul in care este implicat si un sistem federativ ID, firewall-urile pot examina SAML (Secure Assertion Markup Language), dupa care initiaza actiuni in raport cu informatiile gasite (blocarea traficului, redirectionarea acestuia intr-un mediu securizat pentru a fi examinat mai departe sau intrarea datelor).
Totodata, firewall-urile XML opereaza prin metode de protectie diferite. Acestea inteleg modul de stocare a datelor despre solicitantul serviciilor Web, precum si metadatele despre operatiunea de serviciu Web in sine. Firewall-urile XML furnizeaza, de asemenea, optiuni de autentificare, decriptare, monitorizare si alertare in timp real.
In prezent, exista doua tipuri de firewall-uri XML - cele bazate pe hardware si cele bazate pe software. Conform Jason Bloomberg, analist la ZapThink, cele doua tipuri functioneaza in mod identic. Totusi, "firewall-urile XML bazate pe hardware au ca avantaje viteza si manevrabilitatea. Prin urmare, acestea sunt si mai costisitoare."
Conform afirmatiilor lui Bloomberg, firewall-urile XML sunt, de fapt, un subset al proxy-urilor XML, care, pe langa securitate, furnizeaza si alte servicii (de exemplu, transformare sau accelerare XML). Prin urmare, in cele mai multe cazuri, cei interesati de un firewall XML vor obtine protectia firewall ca parte a unui server proxy XML.
Companiile care distribuie firewall-uri XML sunt Westbridge Technology, Quadrasis, Vordel, Reactivity, Forum Systems, Flamenco Networks si Check Point Software.
In concluzie, daca firma dvoastra opereaza in prezent cu un trafic mare de servicii Web, cu siguranta ca merita sa studiati firewall-urile XML. Trebuie insa sa examinati cat mai multe oferte posibile de la distribuitori. De asemenea, intrucat nu exista mijloace standard prin care functioneaza firewall-urile XML, asigurati-va ca firewall-ul este compatibil cu metoda dvoastra de implementare a serviciilor Web, in special cu standardele de securitate pe care le utilizati (cum ar fi SAML).
Daca insa nu aveti nevoie de un firewall XML acum, cu siguranta ca veti avea nevoie de unul in viitor, motiv pentru care nu strica sa incepeti sa le studiati de pe acum.
Sursa: searchwebservices.techtarget.com
Firewall-urile XML pot examina antetele SOAP si tag-urile XML, distingand, pe baza rezultatelor gasite, continutul legitim de cel neautorizat.
Firewall-urile traditionale protejeaza o retea prin blocarea traficului Internet, lucru posibil cu ajutorul mai multor mijloace diferite. Unele dintre acestea blocheaza toate porturile TCP cu exceptia portului 80 (traficul HTTP), portului 443 (traficul HTTPS) si a portului 25 (traficul email). Altele interzic traficul de pe adrese specifice IP sau interzic intrarea datelor in functie de caracteristicile de utilizare ale acestora.
Problema cu aceste firewall-uri este ca, in general, foarte multe servicii Web sunt proiectate pentru a intra prin intermediul portului 80. Deci, chiar daca serviciul este unul malitios, firewall-ul va permite intrarea acestuia. Motivul: firewall-urile traditionale nu pot filtra traficul in functie de continutul acestuia - acestea pot filtra doar la nivel de pachet, si nu la nivel de continut. Spre deosebire de firewall-urile traditionale, firewall-urile XML sunt proiectate pentru a examina si intelege continutul XML al traficului si, in raport cu rezultatele identificate, sa actioneze: sa permita sau sa blocheze intrarea datelor.
Firewall-urile XML functioneaza, de regula, prin examinarea antetelor de mesaje SOAP. Antetul poate contine in mod expres informatii pe care sa le examineze firewall-ul. In acest caz, firewall-ul poate initia actiuni in functie de aceste informatii. Pe de alta parte, chiar daca antetul nu contine aceste informatii, firewall-urile XML pot initia actiuni in functie de continutul antetului. De exemplu, antetul poate contine informatii despre destinatarii mesajului, despre securitatea acestora sau despre cei prin intermediul carora mesajul a fost transmis.
Prin urmare, firewall-urile XML pot patrunde in interiorul continutului mesajului, examinandu-l pana la nivelul de tag. Acestea pot afla daca este vorba despre un mesaj autorizat sau nu. In cazul in care este implicat si un sistem federativ ID, firewall-urile pot examina SAML (Secure Assertion Markup Language), dupa care initiaza actiuni in raport cu informatiile gasite (blocarea traficului, redirectionarea acestuia intr-un mediu securizat pentru a fi examinat mai departe sau intrarea datelor).
Totodata, firewall-urile XML opereaza prin metode de protectie diferite. Acestea inteleg modul de stocare a datelor despre solicitantul serviciilor Web, precum si metadatele despre operatiunea de serviciu Web in sine. Firewall-urile XML furnizeaza, de asemenea, optiuni de autentificare, decriptare, monitorizare si alertare in timp real.
In prezent, exista doua tipuri de firewall-uri XML - cele bazate pe hardware si cele bazate pe software. Conform Jason Bloomberg, analist la ZapThink, cele doua tipuri functioneaza in mod identic. Totusi, "firewall-urile XML bazate pe hardware au ca avantaje viteza si manevrabilitatea. Prin urmare, acestea sunt si mai costisitoare."
Conform afirmatiilor lui Bloomberg, firewall-urile XML sunt, de fapt, un subset al proxy-urilor XML, care, pe langa securitate, furnizeaza si alte servicii (de exemplu, transformare sau accelerare XML). Prin urmare, in cele mai multe cazuri, cei interesati de un firewall XML vor obtine protectia firewall ca parte a unui server proxy XML.
Companiile care distribuie firewall-uri XML sunt Westbridge Technology, Quadrasis, Vordel, Reactivity, Forum Systems, Flamenco Networks si Check Point Software.
In concluzie, daca firma dvoastra opereaza in prezent cu un trafic mare de servicii Web, cu siguranta ca merita sa studiati firewall-urile XML. Trebuie insa sa examinati cat mai multe oferte posibile de la distribuitori. De asemenea, intrucat nu exista mijloace standard prin care functioneaza firewall-urile XML, asigurati-va ca firewall-ul este compatibil cu metoda dvoastra de implementare a serviciilor Web, in special cu standardele de securitate pe care le utilizati (cum ar fi SAML).
Daca insa nu aveti nevoie de un firewall XML acum, cu siguranta ca veti avea nevoie de unul in viitor, motiv pentru care nu strica sa incepeti sa le studiati de pe acum.
Sursa: searchwebservices.techtarget.com
Legaturi:
| Se apropie sfarsitul serviciilor Web? | (04 Septembrie 2002) |
| IBM ia masuri pentru securitatea serviciilor Web | (20 Septembrie 2002) |
| Securitatea serviciilor Web, in pericol | (11 Octombrie 2002) |