Die größten Gefahren in SOA-Umgebungen
Fortify Software, ein Hersteller von Security-Software, warnte jetzt vor fünf Umgebungen für serviceorientierte Architekturen (SOA). Ein Testlauf, um in diesen höchst komplexen Umgebungen Fehler zu finden, führte zum Erfolg. Die fünf populärsten Umgebungen sind damit gefährlich. Die Anwender können nur durch besondere Sorgfalt gegensteuern.
Dabei fanden die Experten für Software Assurance heraus, dass die meisten Probleme dort entstehen, wo die Umgebungen verknüpft, konfiguriert und benutzt werden.
Fortify zufolge sind einige häufig vorkommende Konfigurationen in Umgebungen von Apache Axis, Apache Axis 2, IBM WebSphere 6.1, Microsoft .NET Web Services Enhancements (WSE) 2.0 und Windows Communication Foundation (WCF) sehr unsicher. Es soll dort schnell zu Authentifizierungsproblemen und Unstimmigkeiten in der Autorisierung kommen. Außerdem gebe es dort manchmal eine recht zahnlose Verschlüsselung, Verwundbarkeiten bei Replays, Xpath Injection und vielen anderen, sehr häufig vorkommenden Angriffen in Unternehmensnetzen.
Ferner, so die Sicherheitsexperten, seien auch Anwendungen, die für sich genommen gegen die Gefahren gesichert sind, in einer solchen fehlerhaft aufgesetzten SOA-Umgebung oft wieder löchrig und genau für die Angriffe zugänglich, die zuvor ausgeschaltet waren. Die Experten raten daher zu größter Genauigkeit, wenn es um das richtige Aufsetzen einer SOA geht. Hier gebe es aber kein Patentrezept, gaben sie zu.
Im Ergebnis hat zumindest Fortify die Erfahrungen gleich verwertet: Das Produkt ‘Fortify 360’ wurde jetzt um dieses neue Wissen ergänzt und gegen die SOA-spezifischen Gefahren gehärtet, hieß es. Dabei kommt Quellcodeanalyse zum Einsatz, die die dynamische Untersuchung der Software im laufenden Betrieb automatisiert ermöglicht, hieß es. Die Unternehmen wollen die Vorteile einer SOA schnell nutzen, sollten aber auch auf die Gefahren achten, so Fortify. Diese Gefahren werden auf der Fortify-Homepage näher erläutert.