编者按——网络互联兴起的动力是网络层的安全技术的应用,例如SSL、IPSec和防火墙过滤机制等都为企业网络建立起了一道安全的防线。如今,这道安全防线已经不是不可穿透的了,因为企业通过与内部业务单位、外部合作伙伴和客户共享应用程序来削减开支和增加收入。利用新的XML Web服务技术,真正的应用程序共享所需要的服务器到服务器访问的这种转变成为了现实。
但是没有新的安全实践的引入,这种无缝通讯的承诺是无法实现的。就像IP互联与新的安全要求如影随形一般,XML Web服务也是如此。尽管没有一个完全的清单,但是下面来自《财富》杂志500强企业以及跨多个行业的最佳实践,是使用XML Web服务安全更进一步保护企业资源的坚实起点。
1.保护传输层的安全
XML Web服务要依靠IP和HTTP作为传输层,把应用程序和相关资源与其他程序和资源相互连接起来。可靠的XML Web服务安全要以稳固的传输层安全为基础,这样敏感信息就无法在传输过程中被截获和读取。SSL VPN很容易部署,而且为保护外部网的安全提供了一个灵活的安全模型。此外,建议在身份认证的过程中使用服务器和客户端认证证书。最好使用基于硬件的加速器,以便在维持事务处理高性能的同时保护传输层的安全。
2.实现XML过滤
要确保事务处理在深入企业内部之前状态良好,XML需要一个复杂的处理过程。XML过滤向管理人员提供了多种功能,这样,复杂的(安全)规则就能够被构筑在网络层信息、消息的大小、消息的内容,以及其他变量的周围。由于过滤器是基于XML的,所以在检测到新威胁的时候能够很容易更新。按照消息的大小或者XML的数字签名(Digital Signature)来设置简单的过滤器是一个很容易的开始。随着应用程序使用率的增加,基于内容和其它参数的过滤器能够让安全人员实现复杂的和细粒度的业务规则。
3.掩盖内部资源
今天很多人会用到一个很可靠的安全实践是使用网络地址翻译(Network Address
Translation,NAT)来掩盖内部IP地址。除了使用NAT,掩盖和保护内部资源免受非法外部成员访问的另一种有效方式是不允许应用服务器与外部成员的直接TCP连接。通过使用XML代理重新编写Web服务公开的URL和其他信息,企业可以快速轻松地把它们大量的内部配置信息隐藏起来。
4.保护资源免受XML拒绝服务攻击
XML拒绝服务(XML Denial of Service,XdoS)攻击可能还不像.com时代的syn-flood攻击那么流行,但是前者更容易发起,而且具有更大的破坏性。要保护系统免受XdoS的攻击,就要对所有收到的消息进行适当的限制。将XML安全网关用作代理,网络管理人员能够对消息的大小、频率和连接持续时间进行简单的配置。其目标就是在允许对资源进行访问的同时使用XML过滤规则来减小穿过企业网络的“进入通道”。
