会社内でWebサービスのセキュリティを実装する方法

Question

最近、Webサービスセキュリティに関する話題が登場しました。必要と思われるWSE 3.0のビットである必要はありませんが、会社内でサービスをセキュリティで保護することについての詳細。

たとえば、私たちは、1つ以上のWebサービスエンドポイントを通じて、会社全体で特定の機能を利用できるようにする可能性について議論してきました。この問題は、Webサービスに誰がアクセスできるかが分かります。私はそれらが3つの異なる方法でアクセスされていることを見ています：

1. ウェブサイトで。このWebサイトは、サイトにアクセスするユーザーを偽装しているかもしれないし、そうでないかもしれないので、Webサービスへの呼び出しは、実際のユーザー、IISサービスアカウント、または他の理由で偽装しているかもしれない別のサービスアカウントとして行われる可能性があります。
2. バッチプログラム。私たちは、はできまた、サーバー上で実行されているが、通常はユーザーのデスクトップ上のWindowsアプリケーションでは、サービスアカウント
3. として実行している、ユーザーの資格情報は、理論的には、今

を使用される場合には誰のためにもWebサービスを開いたままにしておきます。無知は至福です、そうですか？しかし、攻撃者がネットワークにアクセスしてWebサービスを発見すると、彼は知的財産権を失うことになります。だからオープンは良くない。

IPアドレスやユーザー名などを調べるために、自家製のスキームを使ってロックすることができますが、それは管理上の悪夢のようです。

どのような考えですか？私たちはいくつかのアイデアを投げかけていますが、誰かがこのタイプの問題をすでに解決しているかどうかを知りたかったのです。

おかげ

Answer 1

私の会社では、X509証明書を暗号化された署名付きで使用しています。これにより、サービスに最大のセキュリティが与えられます。サービスへのアクセスを制限するには、クライアントの公開証明書のみを許可することができます。もちろんこれは、お客様のクライアントも独自の証明書を持っている必要があることを意味します。クライアントが独自の証明書を持っていない場合は、OpenSSLを使用して独自の証明書を作成できます。私はこのアプリを自分で使用し、暗号化やハンドシェイクの目的で使用できる正当な証明書を作成しました。また、各クライアントのカスタムポリシーを作成し、各機能のポリシー属性を使用してサービス機能へのアクセスを制限することもできます（嘘つきかもしれませんが、どこかで遭遇したと思います）。お役に立てれば。

Answer 2

を使用すると、1つのことだ内部的に使用するためのエンドポイントを開くことを検討している場合、しかし、あなたはどのように多くの可能性の高い内部顧客を持っているのだろうか？

ダイナミックデータを必要とし、さまざまなユーザーが使用できるExcelスプレッドシートまたはBIデータキューブをエンドポイントで使用する場合は、セキュリティを慎重に検討する必要があります。おそらく、毎日生成されたAPIキーを会社のイントラネット上の目立つページに公開することができます。そのため、データの内部ユーザーはエンドポイントを使用したい場合にはごくわずかな不便さがありますが、ITにとっては厄介な保守作業にはなりません。

小規模なアプリケーションでエンドポイントが消費される場合は、アプリケーション自体のセキュリティを密接に結合することをお勧めします（設定ファイルでハードコードされてから暗号化されます）。このようにして、アクセスは広く使用することができるが、広く知られていない。

明らかにGETだけを許可します（GETはPOSTまたはPUTが偽装されていないことを確認してください）。上級管理職がデータへのアクセスを許可するリスクに満足している場合は、本当にそれをロックする方法についての唯一の議論です。