Mit einer serviceorientierten Architektur brauchen einzelne fachliche oder technische Services nur einmalig eingerichtet werden, um sie dann den jeweiligen Anwendungen zur Verfügung zu stellen. Teure Redundanzen und unnötige Komplexität lassen sich so vermeiden. „Die IT-Sicherheit steht damit vor völlig neuen Herausforderungen“, erklärt Dr. Stefan Bühne, IT-Architekt bei Generali Deutschland Informatik Services in Aachen (GDIS). Dies zeigt sich zum Beispiel, wenn wie bei Generali Deutschland externen Geschäftspartnern Zugriff auf interne Webservices gewährt werden soll.
Die GDIS ist der IT-Dienstleister für die Generali Deutschland Gruppe und für Gesellschaften der Assicurazioni Generali S.p.A in der Region Central and Eastern Europe (CEE). Zwei IBM System zEnterprise-Mainframes bewältigen bis zu 32 Millionen Host-Online-Transaktionen täglich. Der Plattenspeicher umfasst mehr als 1.000 Terabyte an Daten. Selbstverständlich ist die Internet- und Intranetplattform in einer Trusted Zone geschützt. Dialoganwendungen und Webservices sind technologisch unterschiedlich angebunden.
Kopplung fordert neue Lösung
Durch diese Kopplung unterschiedlichster Systeme reicht es nicht mehr aus, nicht autorisierte Zugriffe mit gewöhnlichen SSL-Verfahren abzuwehren. Dr. Bühne: „Für die Absicherung von Dialoganwendungen setzen wir IBM Tivoli Access Manager mit WebSEAL ein, zum Beispiel für unser Außendienst-Portal, das wir für den Außendienst aufgebaut haben.“ Dagegen sind Inhalte, die über Webservices transportiert werden, als XML-Dokumente technisch komplexer, aufwändiger in der Verarbeitung und bieten zu viele Angriffsflächen, um sie performant über WebSEAL abzusichern und zum Beispiel Denial-of-Service-Attacken abzuwehren. „Einige unserer Geschäftspartner wollten Services aber direkt nutzen, ohne dabei über das Internetportal zu gehen. Für die Webservices wollten wir unbedingt ein gesondertes Verfahren nutzen, das für diesen speziellen Weg optimal ausgelegt ist.“
Dieses Service -ateway mit schneller XML-Verarbeitung wurde mit IBM Websphere-DataPower-XML-Security-Gateway XS40 eingeführt, eine spezielle SOA-Appliance in Form von kompakten Geräten für den Einschub in 1,75-Zoll-Standard-Racks.
Einheitliche Authentifizierung
In der gesamten Anwendungslandschaft bei Generali Deutschland wird das Single-Sign-on-Zugriffsverfahren LTPA (Lightweight Third-Party Authentication) zur Authentifizierung eingesetzt, ein Merkmal von IBM WebSphere-Produkten. „Damit passen IBM DataPower-Appliances perfekt in unsere Sicherheitsarchitektur“, unterstreicht Dr. Bühne. „2008 nahmen wir an einem Proof-of-Technology-Workshop zu DataPower bei IBM teil, nachdem unsere Kriterien feststanden. So konnten wir in kompakter Form den praktischen Einsatz kennenlernen.“ Bis Ende 2009 wurden acht DataPower-Security-Gateways angeschafft. Sie sind für die produktive Infrastruktur je Rechenzentrum und je Zugang aus dem Internet bzw. dem lokalen Netzwerk redundant vorhanden, um die Hochverfügbarkeit und den Durchsatz sicherzustellen. Weitere Geräte bieten einen analogen Zugang zur Infrastruktur der Testebenen.
Das Service-Gateway übernimmt die technischen Prüfungen der Authentifizierung und der syntaktischen Korrektheit des Serviceaufrufs sowie die XML-Verschlüsselung und kann dabei zum Beispiel zwischen technischen und personenbezogenen Benutzern unterscheiden. Die Einführung hat der Kölner IBM Business Partner BLUECARAT AG unterstützt. Das Unternehmen ist unter anderem spezialisiert auf Pilotierung, Einführung und Integration von Services über XML-basierte Schnittstellen.
Organisatorische Klarheit
Sukzessive hat GDIS inzwischen neue Webservices eingeführt und sie für externe und interne Geschäftsprozesse zur Verfügung gestellt. Alle Services bauen auf der vorhandenen Sicherheitsarchitektur auf.
Eine Besonderheit der Appliances liegt auch darin, dass sie eine Kombination von Hardware und Software darstellen und personelle Verantwortlichkeiten nicht ohne weiteres automatisch zugeordnet werden können. „In Analogie zum Tivoli Access Manager zählen wir die DataPower-Appliances zu den IBM Software-Komponenten und ganz bewusst nicht zu den Netzwerkkomponenten“, erläutert Dr. Bühne. „Mit betrieblichen Anweisungen regeln wir die Verantwortlichkeiten bei uns im Haus unmissverständlich. Diese organisatorische Klarheit ist unverzichtbar für die tägliche Betriebssicherheit.“ Besonders positiv wertet GDIS die „Objektorientierung“ der IBM DataPower-Appliances. Jedem einzelnen Service wird eine der unternehmensweit gültigen Sicherheitsstufen zugewiesen. Mehrere XML-Firewalls nutzen innerhalb einer Sicherheitsstufe immer dieselben Verarbeitungsregeln. „Diese Prüfregeln können wir als eigenes Objekt anlegen und brauchen sie nicht zu duplizieren“, erklärt Dr. Bühne. „Wenn es Änderungen bei den Sicherheitsregeln gibt, müssen sie nur ein einziges Mal für alle sich darauf beziehenden Webservices vorgenommen werden. So erzielen wir eine absolute Stimmigkeit bei den Sicherheitsprüfungen.“