В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Можно дать следующее определение: это вызываемый удаленно программный компонент, имеющий заданные функциональные возможности, доступный по стандартным протоколам сети Интернет и пригодный для многократного использования. Web-сервисы не зависят ни от программной платформы, ни от языка программирования, поскольку базируются на стандарте XML.
Чтобы понять принцип работы Web-сервисов, давайте рассмотрим типичную схему взаимодействия их поставщиков и клиентов (рис. 1).
Уже приведенная схема демонстрирует нам особенности Web-сервисной среды, которые влияют на специфику их защиты. Назовем эти особенности:
Согласно мнению аналитиков организации OASIS Web Services Interoperability, главные угрозы, нацеленные на Web-сервисы, - это несанкционированные изменения сообщений, потеря их конфиденциальности и аутентичности отправителей, DoS-атаки, то есть угрозы информационной безопасности Web-сервисов, практически идентичны угрозам, направленным на другие цифровые ресурсы. Обеспечение информационной безопасности Web-сервисов предполагает использование общепринятых технологий информационной безопасности - шифрования, цифровых подписей, парольной защиты и т.д. Можно сказать, что стандарты информационной безопасности Web-сервисов соответствуют специфичной архитектуре ИБ Web-сервисов, но механизмы реализации данной архитектуры вполне традиционны.
В настоящее время разработан целый ряд стандартов и спецификаций информационной безопасности Web-сервисов (рис. 2).
Одним из наиболее популярных стандартов является WS-Security, описывающий процессы аутентификации и авторизации в среде обмена SOAP-сообщениями. WS-Security предусматривает аутентификацию пользователя по средствам пар логин/пароль, сертификатов Х.509 или протокола Kerberos. Эти же технологии реализуют цифровую подпись, позволяющую удостовериться в целостности сообщения. Разработчики WS-Security также позаботились и о шифровании SOAP-сообщений, определив механизмы использования в среде SOAP стандарта XML Encryption.
Защита Web-сервисов должна быть комплексной: от информационных угроз необходимо защищать не только SOAP-сообщения, но также все другие составляющие архитектуры Web-сервисов: их интерфейсы, средства обнаружения сервисов (регистры) и т.д. Например, последняя версия перспективного стандарта UDDI обеспечивает такие немаловажные с точки зрения информационной безопасности функции, как целостность данных и шифрование содержимого регистра Web-сервисов.
В заключение можно сказать, что область стандартизации информационной безопасности Web-сервисов постоянно развивается и совершенствуется, и потому для обеспечения высокого уровня И Б мы рекомендуем использовать самые последние версии стандартов и спецификаций.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #6, 2012