La
característica principal de un Servicio Web es que le permite cierto grado
de flexibilidad, accesibilidad y interoperabilidad.
Esto permite que los desarrolladores abstraigan la lógica de negocio y se
centren en el desarrollo del servicio sin preocuparse de los criterios
anteriormente citados.
Como
objetivos básicos a cubrir por la seguridad de un servicio WEB
El
Instituto de Ingenieros Eléctricos y Electrónicos (IEEE) define
interoperabilidad como la habilidad de dos o más sistemas o componentes para
intercambiar información y utilizar la información intercambiada.
La
característica principal de un Servicio Web es que le permite cierto grado de
flexibilidad, accesibilidad y interoperabilidad. Esto permite que los
desarrolladores abstraigan la lógica de negocio y se centren en el desarrollo
del servicio sin preocuparse de los criterios anteriormente citados.
Como objetivos básicos a cubrir por la seguridad de un servicio WEB:
Es necesario asegurar que existe una autenticación mutua entre el cliente
que accede a los servicios web y el proveedor de dichos servicios.
Se debe mantener una política de autorización del acceso a recursos y, más
importante, a operaciones y procesos en un entorno en el que debe administrarse
y controlarse el acceso de clientes, proveedores, vendedores, competidores y
los posibles ataques que reciban de personal externo.
Mantener al cliente identificado, de manera que se identifique una sola vez
y pueda acceder a servicios en diversos sistemas, sin que resulte necesario
identificarse nuevamente en cada uno de ellos.
Controlar y asegurar la confidencialidad de los datos intercambiados, ya
que SOAP no es capaz de cifrar la información, la cual viaja en claro a través
de la red.Es necesario asegurar la comunicación con algún estándar que permita
crear un canal seguro de comunicación. El estándar ya firmemente establecido de
creación de canales seguros SSL y el cifrado de partes específicas de
documentos mediante el cifrado XML son las direcciones que se están siguiendo
en este terreno.
Se debe asegurar la integridad de los datos, de manera que estén protegidos
a los posibles ataques o a manipulaciones fortuitas. En este campo se está
utilizando el estándar de firmas XMLDSIG, que permiten la firma de partes
específicas del documento XML.
Comprobar que no se repudian las operaciones, para lo cual es necesario
mantener firmas en XML.
.jpg)
Además del modelo de seguridad, existen las especificaciones específicas de
las aplicaciones, incluyendo el lenguaje de ejecución de procesos empresariales
para servicios web (BPEL4WS), que define las operaciones de flujos de trabajo,
y WS-Transaction y WS-Coordination, que funcionan en conjunto para manejar el
procesamiento distribuido de transacciones.
Actualmente está en desarrollo una especificación para la gestión
distribuida de servicios web que trata de la gestión administrativa de software
de todos los servicios y de la arquitectura orientada a servicios. Por fin,
existen especificaciones para interfaces de usuario
(WS-InteractiveApplications) y acceso remoto a servicios web
(WS-RemotePortals).
Las especificaciones y protocolos para servicios web aún están siendo
definidas y sólo están comenzando a explicar cómo los servicios deben
interactuar. Sin embargo, no pueden abarcar todas las situaciones y
combinaciones posibles. Así, el Web Services Interoperability Group (WS-I),
constituido por prácticamente todos los grandes y pequeños proveedores
involucrados en el desarrollo de los servicios web, se encargó de la tarea de
desarrollar estudios de caso, ejemplos de aplicaciones, casos de ejemplo de implementación
y herramientas de prueba para asegurar que esos estándares y especificaciones
realmente funcionarán los unos con los otros, independientemente de las
implementaciones de productos de los proveedores.
Los servicios de seguridad básicos mencionados por la ISO 7498-2 son la confidencialidad,
integridad, autenticidad de origen, no repudio y control de acceso.
Por su parte, la arquitectura de referencia planteada por el W3C para los servicios Web (W3C, 2004)
hace mención a que para garantizar la seguridad en los servicios Web es necesario “un amplio
espectro de mecanismos que solventen problemas como la autenticación, el control de acceso
basado en roles, la aplicación efectiva de políticas de seguridad distribuidas o la seguridad a nivel de
los mensajes”.
Los servicios de seguridad básicos encontrados en cualquier sistema web son:
Autenticación de los interlocutores. Cada servicio Web participante en una interacción podría
requerir autenticación de la otra parte. Cuando cierto servicio A dirige una petición al servicio B,
éste puede requerirle unas credenciales junto con una
demostración de que le pertenecen como por ejemplo un par nombre de usuario
(credencial)/password (demostración) o un certificado X.509v3 (credencial)/firma digital
(demostración).
.jpg)
Autorización. Los servicios Web deben disponer de mecanismos que les permitan controlar el
acceso a sus servicios (recursos). Se debe poder determinar quién y cómo puede hacer a qué y
cómo sobre sus recursos. La autorización concede permisos de ejecución de ciertos tipos de
operaciones sobre ciertos recursos a ciertas identidades autenticadas.
Integridad. Esta propiedad garantiza a un servicio Web que la información que recibe es la misma
que la información que fue enviada desde un sistema cliente.
- No repudio. Cuando se realizan transacciones suele ser un requisito ser capaz de probar que una
acción tuvo lugar y que fue realizada por cierto actor. En el caso de los servicios Web, es necesario
ser capaz de demostrar que un cliente utilizó un servicio pese a que éste lo niegue (no repudio del
solicitante) así como demostrar que un servicio fue ejecutado (no repudio del receptor).
Disponibilidad. La necesidad de cuidar el aspecto de disponibilidad, como prevenir ataques de
denegación del servicio (DoS) o disponer de redundancia de los sistemas, es un punto crucial en la
tecnología de los servicios Web sobre todo en aquellos casos en los que los servicios en cuestión son
de alta criticidad: servicios en tiempo real, servicio de CRLs, etc.
Auditabilidad. Los sistemas basados en servicios Web deben mantener una traza de todas las
acciones que llevan a cabo de forma que sea posible realizar un análisis posterior que permita
averiguar, por ejemplo, lo ocurrido en escenarios de desastre.
Seguridad extremo-a-extremo (Saltzer, Reed, & Clark, 1984). Las topologías de redes de
servicios Web requieren la garantía de que la seguridad se mantenga a lo largo del recorrido seguido
por los mensajes entre los dos extremos de la comunicación.
El hecho de que puedan existir intermediarios en el camino del mensaje que puedan procesar parte
del mismo exige un extra de seguridad que, no sólo garantice que el transporte entre los extremos
y a través de los intermediarios es seguro, sino que además garantice la seguridad en cada nodo
encontrado en el camino.
Estructuras y Programacion
Seguridad e interoperabilidad Servicios web - Página web de estructurayprogramacion
http://www.estructurayprogramacion.com/materias/programacion-web/seguridad-e-interoperabilidad-servicios-web/[03/06/2013 09:50:43 a.m.]
El consorcio WS-I (www.ws-i.org) es otro consorcio abierto al que pertenecen alrededor de 150
compañías cuyo principal papel en los servicios Web es promover la interoperabilidad entre
plataformas, la adopción de esta forma de computación distribuida, y acelerar su desarrollo actuando
como guía y definiendo catálogos de buenas prácticas así como cualquier otro tipo de recurso que
mejore su interoperabilidad.
Esta
especificación normaliza el uso de los estándares de seguridad descritos en este artículo, indicando
qué versiones y de qué manera deben ser aplicados. De esta forma, si disponemos de un proceso de
negocio que queremos hacer accesible desde Internet, y queremos emplear los estándares de
seguridad aquí mencionados, estando además seguros de que estamos realizando un uso estándar y
correcto de los mismos, sería ideal ajustarnos a este perfil con el objeto de poder integrarlo con la
mayor rapidez posible en el mercado.
https://ppazul171993.wordpress.com/6-3-seguridad-e-interoperabilidad/
http://salgado-valencia-progweb.blogspot.mx/2014/11/actividad-23.html
https://www.youtube.com/watch?v=O4bLR8KB9y8&spfreload=10
No hay comentarios:
Publicar un comentario