Обеспечение безопасности Web-сервисов

Наталья Слободенюк
генеральный директор компании
"Антивирусный Центр"

Что же такое Web-сервис?

Можно дать следующее определение: это вызываемый удаленно программный компонент, имеющий заданные функциональные возможности, доступный по стандартным протоколам сети Интернет и пригодный для многократного использования. Web-сервисы не зависят ни от программной платформы, ни от языка программирования, поскольку базируются на стандарте XML.

Чтобы понять принцип работы Web-сервисов, давайте рассмотрим типичную схему взаимодействия их поставщиков и клиентов (рис. 1).

Уже приведенная схема демонстрирует нам особенности Web-сервисной среды, которые влияют на специфику их защиты. Назовем эти особенности:

• высокая доступность данных - Web-сервисы, собственно, и разрабатывались с целью повышения доступности и интегрируемости гетерогенных приложений;
• соединения с другими Web-сервисами и приложениями не ограничены физическими границами какой-либо защищенной сети;
• обмен данными происходит через общедоступную сеть Интернет, что предоставляет злоумышленникам расширенные возможности для их перехвата;
• данные передаются в формате, пропускаемом многими межсетевыми экранами (XML);
• возможность групповой адресации сообщений, затрудняющая применение средств информационной безопасности, ориентированных на одноадресную передачу;
• наличие особо уязвимых компонентов архитектуры Web-сервисов, в частности регистров, что позволяет вывести из строя сразу многие Web-сервисы в случае успешной DoS-атаки на уязвимый участок;
• минимальное участие человека в процессах реализации Web-сервисов - для большинства пользователей они представляются "черными" ящиками.

Согласно мнению аналитиков организации OASIS Web Services Interoperability, главные угрозы, нацеленные на Web-сервисы, - это несанкционированные изменения сообщений, потеря их конфиденциальности и аутентичности отправителей, DoS-атаки, то есть угрозы информационной безопасности Web-сервисов, практически идентичны угрозам, направленным на другие цифровые ресурсы. Обеспечение информационной безопасности Web-сервисов предполагает использование общепринятых технологий информационной безопасности - шифрования, цифровых подписей, парольной защиты и т.д. Можно сказать, что стандарты информационной безопасности Web-сервисов соответствуют специфичной архитектуре ИБ Web-сервисов, но механизмы реализации данной архитектуры вполне традиционны.

В настоящее время разработан целый ряд стандартов и спецификаций информационной безопасности Web-сервисов (рис. 2).

Одним из наиболее популярных стандартов является WS-Security, описывающий процессы аутентификации и авторизации в среде обмена SOAP-сообщениями. WS-Security предусматривает аутентификацию пользователя по средствам пар логин/пароль, сертификатов Х.509 или протокола Kerberos. Эти же технологии реализуют цифровую подпись, позволяющую удостовериться в целостности сообщения. Разработчики WS-Security также позаботились и о шифровании SOAP-сообщений, определив механизмы использования в среде SOAP стандарта XML Encryption.

Защита Web-сервисов должна быть комплексной: от информационных угроз необходимо защищать не только SOAP-сообщения, но также все другие составляющие архитектуры Web-сервисов: их интерфейсы, средства обнаружения сервисов (регистры) и т.д. Например, последняя версия перспективного стандарта UDDI обеспечивает такие немаловажные с точки зрения информационной безопасности функции, как целостность данных и шифрование содержимого регистра Web-сервисов.

В заключение можно сказать, что область стандартизации информационной безопасности Web-сервисов постоянно развивается и совершенствуется, и потому для обеспечения высокого уровня И Б мы рекомендуем использовать самые последние версии стандартов и спецификаций.