Protegendo o ESB: Conceitos e técnicas de segurança para empresas de serviços web críticos

As empresas estão a cada dia que passa mais dependentes dos processos automatizados e procedimentos úteis para prestação de serviços. O grande problema está na falta de preocupação com a segurança desses sistemas durante a implementação de um ESB. O artigo tem o objetivo de tratar de aspectos envolvidos na segurança de um serviço web.

[ Hits: 16.845 ]

Por: Gleudson Junior em 05/04/2010 | Blog: http://www.gleudsonjunior.blogspot.com/


Outros controles de segurança de serviços Web críticos



Em conjunto com a lista de controles de segurança para mitigar os riscos relacionados à confiabilidade, integridade e disponibilidade de serviços Web, também podemos adotar os seguintes controles:
  • Auditoria de logs: determinar os principais eventos que são interessantes para captura, visando à garantia da segurança. Esses eventos de interesse da segurança podem apresentar uma correlação dos múltiplos registros dos sistemas e serviços.
  • Políticas, normas e procedimentos: todos esses aspectos geram processos de segurança e boas condutas. Garantir que a política adotada é adequada para reger a forma como os sistemas são interligados. Assegurar que os procedimentos de resposta a incidentes de segurança sejam desenvolvidos antes mesmo do evento.
  • Reproduzir testes de invasão: pré-testes de produção são altamente recomendados para serviços Web com nível critico alto. O testador deve mostrar não apenas nos testes de rede e sistemas operacionais, mas também tem que de habilidade com SOAP, XML e compreender os conceitos por trás dos serviços Web. Juntamente com padrões de testes de vulnerabilidade, onde se faz útil instruir o testador a manter um comportamento de intrusão. Esta é uma ótima maneira de determinar se os controles de segurança estão adequados, caso seja necessária sua atuação.

Conclusão

Os serviços Web fornecem uma vasta gama de soluções e por seguinte novos problemas, que são de interesse dos profissionais da área de segurança. Quanto mais pessoas adotam a utilização de serviços online mais estes se tornam vulneráveis e passíveis de ataques.

É interessante sinalizar que o alastramento desses serviços tende a proporcionar mais comodidade aos usuários, porem torna-os atraentes para partes mal-intencionadas. Novas ameaças, ataques e vulnerabilidades geralmente são eventuais, mais as medidas e praticas utilizada para gerenciar os riscos de outras tecnologias devem ser claramente aplicadas.

Cobrir o básico da segurança antes de iniciar um projeto é de extrema importância para sua manutenção. E paralelamente a compreensão das ameaças dos serviços Web, essas medidas ajudarão a garantir controles de segurança adequados para gerenciar os riscos e determinar o impacto nos negócios.

O artigo tentou explicitar o conceito de vários aspectos relacionados à segurança de um serviço Web, mostrando de forma detalhada os riscos e vulnerabilidade que estes sofrem no decorrer de sua utilização. Apresentando também conceitos relacionados à confiabilidade, integridade e disponibilidade das informações transmitidas entre os sistemas que compõe estes serviços, tanto quanto apresentando medidas efetivas para mitigar esses riscos.

Referências

  [1] Wikipédia (ESB):
http://pt.wikipedia.org/wiki/Enterprise_Service_Bus
(Acessado em 13/03/2010)

[2] : Wikipédia (Web Service)
http://pt.wikipedia.org/wiki/Web_service
(Acessado em 13/03/2010)

[3] Artigo: Serviços Web e a evolução dos serviços em TI
http://www.paradigma.com.br/biblioteca/servicos-web/view
(Acessado em 15/03/2010)

[4] Artigo: XML Services Security and Web based Application Security, 2008
http://www.sans.org/reading_room/whitepapers/securecode/xml_web_services_security_and_web_based_application_security_1201

[5] Wikipédia (Segurança da Informação)
http://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o
(Acessado em 16/03/2010)

Página anterior    

Páginas do artigo
   1. Resumo / Abstract
   2. Ameaças e vulnerabilidades em serviços Web críticos
   3. Outros controles de segurança de serviços Web críticos
Outros artigos deste autor

Transformando seu Ubuntu Hardy em OSX Leopard

Criando dispositivos RAID via software no Linux

Proxy Squid com autenticação + Sarg + Webmin

GIT: Controle de versões distribuído para projetos de software

Leitura recomendada

Festa com SQL injection

Tornando seu Apache mais seguro com o ModSecurity

Autenticação de servidores CentOS/Red Hat 6 em Windows 2008

Computação Forense - Entendendo uma perícia

Enviando alertas do Snort por SMS

  
Comentários
[1] Comentário enviado por elvanineto em 06/04/2010 - 14:59h

O certo para o nome do artigo seria "Protegendo o ESB: Técnicas conceituais de segurança para empresas de serviços web críticos".

Bom artigo!


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts