Donnerstag, 18. Februar 2010

Web Services Security Standards Verbreitung 2010

Die WS-Standards zur Sicherheit haben sich rasanter entwickelt als die nicht Security Standards. Dies mag verschiedene Gründe haben. Zum Beispiel, dass Sicherheit für vieles eine Voraussetzung ist. Das Portfolio unten spiegelt meine eigenen Erfahrungen aus Projekten und Schulungen wieder.



Besonders die Verbreitung des OASIS Standards Web Services Security hat zugenommen. Ich schätze, dass 10-15% aller neu in 2009 gestarteten Wen Services Projekte diesen Standard einsetzen, Der Einsatz von Web Services Security geht von unverschlüsselten Username Token bis hin zum Web Services SSO mit SAML und WS-Trust.

Der Maßstab im Portfolio ist wieder auf beiden Achsen logarithmisch. D. h. WSS ist wesentlich stärker verbreitet im Verhältnis zu z. B. WS-Trust als diese aus dem Diagramm hervorgeht. Absicherung von Nachrichten mit WSS bietet viele Optionen und Einstellungsmöglichkeiten. Daher ist das Konfigurieren von WSS nicht einfach. Sender und Empfänger einer Nachricht müssen gleich konfiguriert sein, damit eine erfolgreiche Kommunikation zu Stande kommt. Die Beschreibung der WSS Konfiguration mit dem maschinenlesbaren WS-Policy und WS-Security Policy die in WSDL eingebettet werden können, erleichtert die Konfiguration der Gegenseite erheblich. Daher wird auch WS-Security Policy von Axis2, Metro, NetBeans und .NET unterstützt. Web Services, die mit Metro bzw. NetBeans oder .NET bzw. Visual Studio abgesichert wurden enthalten in der WSDL bereits die entsprechenden Policies.

Axis2 unterstützt WS-Policy, da aber die Richtlinien von Hand erstellt werden müssen, sind viele gesicherte Services noch nicht WS-Policy beschrieben.

Der Einsatz von SSL bzw. TLS für die Absicherung von Web Services ist durch die zunehmende Verbreitung von WSS kaum zurückgegangen. Dies liegt an der bis zu 30-mal langsameren Roundtriptime von WSS gegenüber SSL und an der niedrigeren Komplexität von SSL. Der Einsatz von WS-Secure Conversation, eine Art SSL auf der XML Basis, bringt derzeit nur wenig Performancegewinn (ca. 20%). Die mit bekannten WS-Secure Conversation Implementierungen nutzen auch nicht alle Optimierungsmöglichkeiten, sodass es hier noch Potential gibt.
In 2010 wird sich der Trend von 2009 meiner Meinung nach fortsetzen und der Anteil der mit WSS abgesicherten Dienste wird sich erhöhen.

Keine Kommentare:

Kommentar veröffentlichen