Nixun johtava konsultti Kim Westerlund muistuttaa, että SOA-arkkitehtuurin esiinmarssi ja sen synnyttämät avoimet ja löyhästi kytketyt palveluverkot vaativat tietoturvasta vastuussa olevilta henkilöiltä uutta osaamista ja ajattelua.

Entiset keinot eivät enää päde. SOA hävittää perinteiset yritysverkkojen rajat, sillä suojaamaton SOA kiertää useimmat nykyiset tietoturva-arkkitehtuurit, jotka perustuvat verkkojen rajoilla sijaitseviin palomuureihin, tietoliikenteen salaukseen ja palveluiden edustalla tehtävään tunnistamiseen.

Avoimiin standardeihin

Koneiden välisten yhteyksien tietoturva on lisäksi usein karkearakeisempaa kuin ihmisten ja koneiden välisissä yhteyksissä: tietokantaan yhteydessä oleva web-palvelin saa tehdä siellä melkein mitä tahansa. Tämä antaa uusia mahdollisuuksia haittaohjelmien laatijoille. Perinteisten palomuurien ja VPN-tunnelien tilalle on rakennettava muita suojaustapoja osaksi SOA:a. Sovelluksen suojaamisen sijasta suojataan sen tarjoamat palvelut ja sanomat.

SOA-turvallisuus tekee asioista monimutkaisempia. Palveluja käytetään uudelleen eri konteksteissa ja ne saattavat tarvita useita säännöstöjä. Niitä suunniteltaessa on myös vaikea nähdä kaikkia tulevia käyttötapauksia.

Korkean abstraktiotason SOA-työkalut vaativat korkean abstraktiotason tietoturva-arkkitehtuurin.

Oikein toteutettuna SOA-turvallisuus on palvelulähtöistä ja perustuu avoimiin standardeihin. Parhaimmillaan kuhunkin SOA-palveluun liitetään tieto siitä, mitä se käyttäjältä tietoturvamielessä vaatii. Se helpottaa myös ohjelmistokehitystä.

Oppimisen paikka

Tietoturva-ammattilaisten on syytä tutustua uuteen arkkitehtuuriin, jotta nopeasti rakentuvien, leviävien ja monimutkaistuvien palveluverkkojen turvallisuus voidaan varmistaa. Muuten he jäävät jarrumiehen asemaan muun organisaation rakentaessa infrastruktuuria.

Nyt on vielä aikaa varautua konseptitasolla, ja hankkia tarvittavaa tietoa ja ymmärrystä.

Uhkakuvat ovat ilmeiset. Ajatellaan vaikka tilannetta, että yrityksellä on valmisohjelmistona hankittu asiakashallintajärjestelmä, jolla on myös SOA-rajapinta. Ohjelmisto julkistaa tarjoamansa palvelut yrityksen ESB-väylälle, niin kuin pitääkin, Westerlund kuvaa.

Ongelma syntyy, kun joku avaa pääsyn ESB-väylälle myös ulkoverkosta jonkin siellä olevan palvelun kautta. Jos asianmukaisista suojauksista ei huolehdita, on varsin helppoa tehdä kyselyohjelma, joka etsii järjestelmästä vaikkapa avoimia sopimuksia. Tietoturvaihmiset eivät useinkaan tunne riittävästi SOA-standardien tietoturvaratkaisuja, eikä sovelluskehittäjillä vastaavasti ole tarpeellista tietoturvaosaamista eikä tiedon suojaamis- ja riskinhallinnallista ajattelutapaa. Nixu on viime aikoina osallistunut konsulttina useisiin hankkeisiin, joissa SOA-tietoturvaa on kehitetty. Tällaiset hankkeet edellyttävät tehokasta jäsennystä ja peruskäsitteiden selkeää määrittelyä.

Tärkeitä SOA-tietoturvatarpeita ovat tunnistus, roolipohjainen valtuutus, luottamuksellisuus, eheys, kiistämättömyys, tunnistuspääsylippujen välitys, palvelutietojen julkaisu, raportoitavuus, sekä edustajuus ja kontekstinhallinta.

Tietoturvaperiaatteet muuttuvat käytännön toteutukseksi todennuksen, auktorisoinnin ja identiteettien hallinnan sekä sanomatason tietoturvan ja palveluiden hallintotavan avulla. Periaatteet rakennetaan osaksi SOA-palvelujen keskitettyä hallintaa. Toteutus hajautetaan tarkoituksenmukaisella tavalla.

Service Oriented Architecture eli SOA pähkinänkuoressa

Palvelukeskeistä arkkitehtuuria eli SOA:a (Service Oriented Architecture) harkitaan tänään ensimmäisenä, kun tietojärjestelmiä halutaan integroida toisiinsa. SOA pilkkoo tietojärjestelmien toiminnot ja prosessit itsenäisiksi ja avoimiksi palveluiksi, joita käytetään verkossa standardirajapintojen kautta. Niitä käyttävien toisten sovellusten tai palvelujen ei siten tarvitse tietää, millä teknologialla tai käyttöjärjestelmällä rajapinnan takana oleva palvelu on toteutettu. Siksi niiden kierrättäminen ja muuntelu on helpompaa kuin suurissa yhtenäisissä tietojärjestelmissä.

SOA-pohjaiset järjestelmät, joita toteutetaan esimerkiksi Web Services -työkaluilla, ovat aikaisempia järjestelmäkokonaisuuksia avoimempia, joustavampia ja helpompia integroida. Kun sekä organisaatioiden sisäisten että ulkoisten sovellusten välinen kommunikointi on helppoa, palveluja tarjotaan usein oman yritysverkon ulkopuolelle kumppanien ja asiakkaiden käyttöön.