Montag, 16. März 2009

Web Services Security Standards Portfolio

Im unten angezeigten Portfolio habe ich Standards zu Web Services Sicherheit bezüglich Verbreitung und Komplexität eingeordnet.



Als Tokenformat dient dabei oft SAML. Um den Performanceverlust aus einer assymetrischen Verschlüsselung zu vermeiden liebäugeln einige Softwarearchitekten mit WS-Secure Conversation. Die Bananen im Portfolio geben wieder an, für wie ausgereift ich einen Standard halte. Die Größe der Kugeln entspricht dem Potential des Standards. Auf den ersten Blick sieht man, dass die Standards sich auf zwei Quadranten aufteilen. Im Quadrant oben links ist die Verbreitung hoch und die Komplexität gering. Bei den in diesem Quadranten aufgeführten Standards handelt es sich um gar keine Web Services Standard. Allerdings werden diese „Standards“ am häufigsten für die Absicherung von Web Services verwendet. In der rechten unteren Ecke sind komplexere Standards zu finden, die jedoch erst eine geringe Verbreitung erfahren haben. Über der Mittellinie befindet sich bereits der OASIS Standard Web Service Security. Dieser Standard ist eine Basis für komplexere Security Lösungen. WSS bietet von UsernamToken über die Verschlüsselung bis hin zu Signaturen mit X509 Zertifikaten einiges. In der Praxis wird das UsernameToken oft zusammen mit SSL eingesetzt. Zunehmend wird auch Verschlüsselung und Signaturen auf Nachrichtenebene verwendet. Einige Unternehmen haben bereits Pilotprojekte für das Single Sign On von Web Services mit WS-Trust gestartet.

Keine Kommentare:

Kommentar veröffentlichen