Securing webservices with OWSM - should we, should we not? (Infosys-Oracle Blog)
http://www.infosysblogs.com/oracle/2011/06/securing_webservices_with_owsm.html
どのあたりに興味を持ったかというと…
- Gaurav は主に送信メッセージの保護に焦点を絞っている
- 送信中のメッセージ保護について議論しているに際にも、Gaurevの主な関心事は、金融情報などの機密情報を扱うアプリケーションである
- 本当にセキュリティに関心がある場合、2個目のトピックに関連する3個目の興味深いトピックをピックアップするかもしれない。彼の主な関心事は、イントラネット外のコンポーネントを保護しても、機密情報にアクセスできる立場にないということです。
- パフォーマンスへの影響に関するディスカッション
Best Practices for Securing Your SOA: A Holistic Approach
http://java.sys-con.com/node/232071
- Authentication (認証、略してAuthN)
- Authorization (認可、略してAuthZ)
- Spoofing(なりすまし)
- Tampering(改ざん)
- Repudiation(拒絶、拒否)
- Information Disclosure(情報開示)
- Denial of Service(サービス拒否)
- Replay attacks(リプレイ攻撃)
- Virus attacks and Intrusion Detection(ウイルス攻撃と侵入検知)
認証を必要とする場合、いくつか追加で検討すべき事項があります。
- あなたのWebサービスには、アイデンティティの伝播が必要ですか?
- あなたのWebサービスには、認証ブローカーを使った認証が必要ですか?
- あなたのWebサービスには、連携型ID管理管理のシナリオが必要ですか?
- あなたのWebサービスには、ロールベースの認可のサポートが必要ですか?
- あなたのWebサービスには、許可ベースの認可のサポートが必要ですか?
- あなたのWebサービスには、きめ細かい(Fine-grained)認可のサポートが必要ですか?
- あなたのWebサービスには、コンテキストを意識した(Context-aware)認可のサポートが必要ですか?一般的なコンテキストを意識したセキュリティが必要ですか? (コンテキストを意識したセキュリティの必要性に関する以下をご覧下さい)
The Future of Information Security is Context-Aware and Adaptive
http://blogs.gartner.com/neil_macdonald/2010/05/15/the-future-of-information-security-is-context-aware-and-adaptive/
Consumerization of IT Raises New Security Challenges
http://www.forbes.com/sites/tomkemp/2011/10/05/consumerization-of-it-raises-new-security-challenges/
部門のWebサービスでそれほど大きく公開しておらず、社内イントラネット経由でしかアクセスできない場合であっても、一般的に認証と認可は必要でしょう。さらに監査も、通常、様々な規制を義務づけているコンプライアンスのニーズに対処するために必要です。
OWSMは必ずしも全てのセキュリティ課題、特にウイルスの攻撃やリクエストの制限、侵入検知などに関連する課題には対処しないことは考慮しておく必要があります。
OracleのSOAセキュリティ戦略を以下の埋め込み画像でまとめました。
さまざまなセキュリティ上の課題を考える上で、それぞれのOracle製品がこれらのセキュリティ課題にどのように対処するのかを理解する助けとなれば幸甚です。
原文はこちら。
http://blogs.oracle.com/owsm/entry/when_to_use_owsm
0 件のコメント:
コメントを投稿