Web Services: Langsam, aber sicher

Security ist die letzte grosse Hürde, die es bei den Web Services noch zu nehmen gilt, bevor die Integrationstechnologie zum endgültigen Durchbruch im Bereich der kommerziellen Business-Anwendungen ansetzen kann. Mit den momentan verfügbaren Technologien und Standards sind die Einsatzmöglichkeiten der Web Services über die Grenzen eines Unternehmens hinweg stark beschränkt. Abgesehen von den W3C-Standards XML Signature (Datenintegrität) und XML Encryption (Verschlüsselung) fehlen verbindliche Standards für andere Security-Disziplinen wie Authentifizierung, Autorisierung oder Transaktionsmanagement noch weitgehend. Aus diesem Grund beschränken sich viele der aktuellen Web-Service-Anwendungen meist auf Point-to-Point-Implementationen – geschützt durch SSL oder IPsec – oder kommen allenfalls in von Firewalls abgeschirmten Intranets zum Einsatz.

Dies dürfte sich in naher Zukunft aber ändern: Die meisten der notwendigen Spezifikationen (oft auch mit dem Kürzel WS-* bezeichnet), die Web Services für firmenübergreifende B2B-Anwendungen salonfähig machen sollen, befinden sich in der Standardisierungs-Pipeline und werden während der kommenden zwei bis drei Jahre tranchenweise verfügbar werden.
Zu den Sicherheits-Spezifikationen der WS-*-Familie zählt beispielsweise WS-Security, das die Basis für alle weiteren WS-Sicherheitsspezifikationen bildet und definiert, wie Web-Service-Nachrichten (SOAP-Messages) verschlüsselt, signiert und mit Informationen zur Authentifizierung ausgestattet werden müssen. Weitere wichtige Spezifikationen sind etwa WS-Policy, mit der die Sicherheitsrichtlinien eines Web Service definiert werden, WS-SecureConversation für verschlüsselte Datenverbindungen zwischen Web Services, oder WS-Federation für die Herstellung von Vertrauensbeziehungen und die Realisierung von Single-Sign-on-Mechanismen. Einer der interessantesten Aspekte der vorgelegten
WS-*-Spezifikationen ist, dass sie auf einem modularen Bausteinkonzept beruhen. Je nach Anforderung einer Anwendung können einzelne Spezifikationen herausgepickt und miteinander kombiniert werden. Wichtig ist in diesem Zusammenhang auch, dass die Spezifikationen rund um WS-Security keine eigenen Sicherheitsmechanismen beinhalten, sondern lediglich beschreiben, wie bestehende Technologien (wie z.B. Kerberos oder Public Key Infrastrukturen) in SOAP-Nachrichten integriert werden müssen. Das macht auch Sinn: Schliesslich haben Firmen bereits viel Geld in aktuelle Sicherheitstechnologien investiert und wollen diese im Web-Services-Umfeld weiterhin nutzen.

Wer seine Web-Service-Anwendungen mit kommenden Security-Features ausstatten möchte, kann dies bereits heute tun: Plattformhersteller wie Sun, IBM oder Microsoft stellen schon heute entsprechende Toolkits bereit, mit denen man einen Grossteil der vorgeschlagenen Spezifikationen implementieren kann. Hierbei ist allerdings Vorsicht geboten: Da von den WS-*-Spezifikationen bislang erst WS-Security definitiv verabschiedet wurde, ist davon auszugehen, dass sie sich im Laufe des Standardisierungsprozesses noch ändern werden. Somit eignen sich die Toolkits allenfalls zum Experimentieren und Sammeln von Erfahrungen. Das kann denn auch nicht schaden: Umfassende Sicherheit für Web-Services kommt zwar langsam, aber sicher. Gute Kenntnisse über die kommenden Web-Services-Technologien sind eine Grundvoraussetzung für eine schnelle Umsetzung von sicheren Web-Services-Infrastrukturen, was wiederum zu Wettbewerbsvorteilen führen dürfte.