イントラネットWebサービスをどのように保護しますか?弊社では、Webサービスを保護するために必要なセキュリティレベルについて議論しています。イントラネットWebサービスを保護する方法(トランスポート層セキュリティとメッセージ暗号化)
これを実装するのが難しいため、誰も使用しない高い安全性のWebサービスを作成すると便利ですか?
経験やリソース(リンク/ホワイトペーパー)がありますか?
ありがとうございました!
私は、WS-Securityの実装が困難になる可能性があること保証が、あなたのメッセージの周りのセキュリティのレベルをもっと自由に制御することができます。
しかし、内部Webサービスを見ていると、SSL/TLSの実装は簡単ですが、依然として強力な暗号化が提供されています。認証を追加する場合は、サーバーで基本認証を使用して認証を行うことができます。
WSSとTLSの両方を使用する必要があるのではないかと疑いがありますが、情報セキュリティの人々の中には徹底的な防御の叫び声があり、誰かがあなたのHTTPSセッションを解読できるようになるといいと思います。私は以前はその人の一人であったと言いましたが、私は上司のコンサルティング料金を正当化する理由を探していました。
これは実際にはビジネス要件とあなたが見ているデータの種類になります。
また、内部ネットワーク上の悪意のある人物が、転送中のデータではなく自分のデータソースを辿っている可能性があると私は考えています。
少し個人的な経験:
私は、政府のWebサービスのWS-Securityを実装しましたが、彼らは公共のインターネット上で行くことができます。私が金融機関に取り組んできた内部サービスは、HTTPSと基本認証で監査要件を満たしていました。
乾杯!
WS-Securityは、WCFを使用したデフォルトの状態です。私はそれがプラットフォームに依存していかに難しいかと思います。 –
私たちは.NetとJavaといくつかのWeb(REST)を使用します。 – phx
@ John Saunders Platformは、WSSの実装の複雑さに大きな違いをもたらします。 @phx私が知っている限り、まだRESTのWSSに相当するものはありませんが、この質問は関連しています:http://stackoverflow.com/questions/454355/security-of-rest-authentication-schemes – waltwood