Usikre web-tjenester

Usikre web-tjenester

BARCELONA: Manglende sikkerhetsstandarder bremser bruken av web-tjenester
BARCELONA: For et par år siden snakket alle it-interesserte om web-tjenester (web services). Web-tjenester innebærer at applikasjoner kan utveksle tjenester og informasjon med hverandre over internett, basert på et sett med standarder. I private bedrifter og i offentlige etater brukes web-tjenester uten at brukeren ser hva som skjer bak kulissene. Likevel har utviklingen gått saktere enn mange trodde for få år siden.

Må utvide

På RSAs sikkerhets-konferanse i Barcelona denne uka etterlyser analytikerne bedre samarbeid mellom it-selskapene. Manglende, eller i beste fall umodne, standarder bremser utviklingen av web-tjenester, mener Tom Scholtz fra analyseselskapet Meta Group.

-- Vi må utvikle sikkerheten for web-tjenester på en slik måte at vi slipper å rive ned alle sikkerhetstiltakene organisasjoner har brukt år på å bygge opp, sa Scholtz under en paneldebatt på konferansen.

Ifølge den erfarne sikkerhetsmannen kommer web-tjenester til å bryte ned mye av den tradisjonelle perimeter-tankegangen, altså at brannmurer og annet sikkerhetsutstyr beskytter nettverk fra angrep utenfra. Et av poengene med web-tjenester er jo at applikasjoner utveksler xml-basert informasjon, noe som forutsetter at brannmurene åpnes for slik trafikk.

-- Vi må utvide den eksisterende infrastrukturen med et ekstra lag som ligger oppå eksisterende tiltak, sier analytikeren.

Scholtz kaller det ekstra sikkerhetslaget for "trust management", eller administrasjon av tillit. Et nytt sikkerhetslag krever nye sett med standarder som beskriver hvordan applikasjoner og tjenester kan integreres med hverandre.

Må presses

Klarere og mer modne standarder, som ikke overlapper hverandre, vil løse mange av problemene, hevder Scholtz. Men til tross for at IBM, Microsoft, Sun og de andre store it-selskapene legger ned store ressurser i standardiseringsarbeid, henger standardene etter.

Dessuten knives de store om å lage "110 prosent-implementeringer", noe som betyr at de implementerer standardene og litt til. Egne propritære funksjoner gjør det vanskelig å få til effektivt samvirke. Flere konkurrende standardiseringsorganiasjoner forkludrer også bildet.

-- Leverandørene bør presses. Om de ikke klarer å komme fram til én standard, bør de i alle fall klare å etablere multilaterale avtaler, sier Meta-analytikeren.