Protegendo o ESB: Conceitos e técnicas de segurança para empresas de serviços web críticos

As empresas estão a cada dia que passa mais dependentes dos processos automatizados e procedimentos úteis para prestação de serviços. O grande problema está na falta de preocupação com a segurança desses sistemas durante a implementação de um ESB. O artigo tem o objetivo de tratar de aspectos envolvidos na segurança de um serviço web.

[ Hits: 17.896 ]

Por: Gleudson Junior em 05/04/2010 | Blog: http://www.gleudsonjunior.blogspot.com/


Resumo / Abstract



Abstract. The companies are every day more dependent on automated processes and procedures useful for provision service. These processes tend to provide speed, reliability and accessibility to customers. These types of services can be achieved through the deployment of Web services. There are several approaches that conceptualize this type of architecture. The big problem is the lack of concern for the safety of those systems during the implementation of an ESB and this is reason enough for concern, since these services are part of a major share in the generation of revenue. The article aims to address issues involved in a Web service and use of an ESB, being more focused on security aspects of such systems, posing major threats and vulnerabilities, both when suggesting appropriate means to mitigate these risks.

Keywords: Web Services; ESB; Systems Security; Reliability; Accessibility; Availability.

Resumo. As empresas estão a cada dia que passa mais dependentes dos processos automatizados e procedimentos úteis para prestação de serviços. Estes processos tendem a fornecer rapidez, confiabilidade e acessibilidade aos clientes.

Estes tipos de serviços podem ser alcançados através da implantação de serviços Web. Existem diversas abordagens que conceituam este tipo de arquitetura. O grande problema está na falta de preocupação com a segurança desses sistemas durante a implementação de um ESB e isto é motivo o bastante para se preocupar, visto que estes serviços fazem parte de uma importante fatia na geração de receitas.

O artigo tem o objetivo de tratar de aspectos envolvidos em um serviço Web e o uso de um ESB, sendo de forma mais concentrada nos aspectos relativos à segurança desses sistemas, levantando principais ameaças e vulnerabilidades, tanto quanto sugerindo meios apropriados de mitigar estes riscos.

Palavras-chave: Serviços Web; ESB; Segurança de Sistemas; Confiabilidade; Acessibilidade; Disponibilidade.

Introdução a serviços Web

Os serviços Web e os sites B2B* estão dia após dia se apresentando como carro chefe do e-commerce. Estes tipos serviços viabilizam processos rápidos, automatizados, customizados e de auto-rendimento para o centro das atividades comerciais, tais como:
  • Federação de identidade: processos que proporcionam a leitura e sincronização de credenciais para identificação entre duas ou mais organizações.
  • Integração com sistema legados: emprego de chaves, para tráfego de informações de um serviço de rede legado para uma solução de trouble-ticketing**.
  • System Provisione: fornecimento de informações essenciais de um determinado sistema de informações para outros sistemas.
  • Rating and Billing: procedimentos que giram em torno de informações para classificação, controle e gerenciamento de faturamento.

Com a necessidade de manter toda essa estrutura em perfeito funcionamento, estes serviços começam a chamar a atenção de indivíduos maliciosos, com o intuito de causar a quebra desses sistemas, causando grandes problemas com a disponibilidade do serviço, tanto quanto, visando atingir lucros a cerca destas vulnerabilidades.

Os serviços Web detém hoje grande parte do interesse de usuários na rede, e por conta desta preferência que assumem, eles tendem a tornam-se alvos iminentes de ataques. O principal papel destes serviços consiste em:

Dois ou mais sistemas de informação ou serviços que exijam interconexão para alcançar resultados a cerca de System Provisione; Rating and Billing; Integração com sistemas legados; Federação de Identidade; entre outros. Transmissão de mensagens XML*** entre dois ou mais sistemas.

* B2B: acrônimo de Business to Business.
** Trouble-tickenting: ferramenta utilizada para armazenamento de registros e eventos.
*** XML: acrônimo de eXtensible Markup Language.

Conceito geral de uma empresa de serviços Web críticos

Os serviços Web geralmente estão relacionados com os seguintes instrumentos:

Um conector: responsável por prover um serviço de gateway do sistema para o processo de roteamento, tendo a capacidade de fornecer e implementar as seguintes funções:
  • Controles de segurança;
  • Comunicação e gerenciamento de sessão;
  • Dados de mapeamento e tradução;
  • Gestão de transferência de arquivos;
  • Gestão de eventos: logs, armadilhas, eventos;
  • Protocolo de Gestão (SOAP*);
  • Regras de negócios e processos.

Um mecanismo de roteamento: este mecanismo permitirá que o conector se comunique com os outros sistemas e serviços. Algumas vezes isso pode ser implementado por um sistema ESB**, um componente que geralmente fornece uma camada de abstração entre esses sistemas, alternando em um ambiente de rede com a principal função de definir a rota do conector de um serviço Web para outro. A topologia a seguir representa a arquitetura básica para esse tipo de serviço:
Linux: PROTEGENDO O ESB: Conceitos e Técnicas de Segurança para Empresas de Serviços Web Críticos
Figura 1: componentes de um serviço Web
* SOAP: acrônimo de Simple Object Access Protocol.
** ESB: acrônimo de Enterprise Service Bus.

    Próxima página

Páginas do artigo
   1. Resumo / Abstract
   2. Ameaças e vulnerabilidades em serviços Web críticos
   3. Outros controles de segurança de serviços Web críticos
Outros artigos deste autor

GIT: Controle de versões distribuído para projetos de software

Criando dispositivos RAID via software no Linux

Transformando seu Ubuntu Hardy em OSX Leopard

Proxy Squid com autenticação + Sarg + Webmin

Leitura recomendada

Ataque de Rougue AP com AIRBASE-NG

Arquivo de configuração do mod_security

Instalação do ClamAV com DazukoFS

Vírus? Checando base de dados de fabricantes proprietários como McAfee e Symantec e aplicando em distribuições Red Hat

Teste de vulnerabilidades com OpenVAS 3.0

  
Comentários
[1] Comentário enviado por elvanineto em 06/04/2010 - 14:59h

O certo para o nome do artigo seria "Protegendo o ESB: Técnicas conceituais de segurança para empresas de serviços web críticos".

Bom artigo!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts