På vei mot sikre web-tjenester

På vei mot sikre web-tjenester

Sikker identifisering og bedre sikkerhet bidrar til å styrke Oracles teknologi på web-tjenester.
-- Ingen kunde har kommet lenger enn at to applikasjoner benytter web-services for samspill, sier Rune Syverinsen, teknologidirektør i Oracle.

En av grunnene er svak sikkerhet. Da web-tjenester ble definert handlet det først og fremst om å få en standardisert måte å få tunge forretningsapplikasjoner til å jobbe sammen. Under kontrollerte forhold er da sikkerheten allerede tatt hensyn til.

I løpet av de seneste to årene har web-tjenester blitt en visjon for å få egne applikasjoner til å samarbeide, applikasjoner mellom partnere til å samarbeide og applikasjoner mellom kunde og potensielle leverandører.

Da blir sikkerheten et viktig ankepunkt. Derfor har sikkerhetsleverandørene begynt å ta web-sikkerhet på alvor, noe som kom til uttrykk på RSA Securitys sikkerhetskonferanse i Barcelona sist november.

Kan sikkerhet

Oracle kan mye om sikkerhet. Med sin bakgrunn fra forsvaret har sikkerhetssjef Mary Ann Davidson sørget for at programmererne ikke slakker av med hensyn til sikringen. Oracle har derfor gjort det bra hos amerikanske myndigheter hvor sikkerhet er en vesentlig tilleggsfunksjon.

En Oracle database kan derfor deles inn i virtuelle databaser hvor brukere ikke kan få adgang til annet enn egne data.

-- Etter krav fra Datatilsynet kan ikke en ansatt i en kommune få adgang til sensitive data om en person i en annen kommune, selv om dataene ligger i samme fysiske database. Dette håndterer vi med teknologi fra databaser med B1-krav, forklarer Rune Syverinsen.

B1 er et sikkerhetskrav, definert i "The Orange Book", som amerikanske myndigheter utga for rundt ti år siden. Leveranser til myndighetene måtte forholde seg til sikkerhetsklassifiseringene i "The Orange Book".

Sett fra brukernes side er det portalen som representerer de forretningsmessige mulighetene. Sammenkoblingen mellom portalen og applikasjonene vil etter hvert skje med web-tjenester.

Kun autorisert

For å sikre at kun autoriserte brukere får tilgang, har Oracle tatt i bruk Coreid Access and Identity som sørger for sikker autentifisering og universalpålogging (Single Sign On).

Coreid er en teknologi Oracle fikk med oppkjøpet av autorisasjonsfirmaet Oblix.

-- Hydro har valgt Oblix for sikker autentisering, sier Harald Løvvik, markedsdirektør i Oracle.

Fordelen er at Coreid kan jobbe med en rekke forskjellige identitetskartoteker som Microsofts Active Directory, Novells E-Directory, Sun One, i tillegg til Oracles eget.

Dermed er inngangen sikret, men for å beskytte applikasjonene kreves det ekstra sikkerhet. En applikasjon skal ikke uten videre kunne hente ut data fra en annen. For å skape nødvendig sikkerhet har Oracle introdusert Web Services Manager.

Dermed skal en it-fagmann kunne definere en sikkerhetspolicy som alle applikasjonene vil forholde seg til. Funksjoner som inngår omfatter brukerkontroll, autorisasjon av web-tjenesten, dekryptering ax XML-meldinger, feilhåndtering og loggføring.

Igjen er det Coreid som er en viktig funksjon. I tillegg til autentisering omfatter det videreformidling av identifikasjonsrettigheter (Federation) i henhold til sikkerhetsstandarden WS-Federation, og oppsett av kopier av rettighetene i applikasjoner som krever egen identifikasjon.

-- Det er nødvendig å ha digital signatur mellom to juridiske enheter, påpeker Rune Syverinsen.

Oppfølgingen av samspillet mellom tjenestene tar Oracle seg av ved BPEL (Business Process Execution Language). Til det har Oracle utviklet et tegneverktøy for å angi arbeidsflyten mellom tjenestene. Fra arbeidsflyten genereres det nødvendig kode for å følge opp at tjenestene spiller sammen.