СМ-Консалт
 

Работа с Web-сервисами в корпоративных SOA: Часть 10. Глубокая защита для множественных SOA при помощи IBM Business Modeler и Rational Web Developer для WebSphere

Статьи Технологии разработки ПО SOA и Web-сервисы

Введение

Модель глубокой защиты (defense in depth) с множественными SOA, находясь между целью и противником, должна стать частью бизнес-стратегии компании для выявления слабых мест и защиты инфраструктуры SOA.

Статья «Web-сервисы брандмауэры с SLA-гарантией» объясняет, как централизовать ваше управление системой защиты для улучшения контроля за многоуровневой защитной системой на различных уровнях для множественных Web-сервисов и связанных приложений в сервис-ориентированной архитектуре (SOA) – и почему вам нужны соответствующие системы защиты для многочисленных Web-сервис от злонамеренных трафиков. Установка многоуровневой защиты – это один из примеров по создания уровня защитного механизма. Теперь мы обсудим, как построить глубокую защиту для множественных SOA с помощью IBM Business Modeler и Rational® Web Developer для WebSphere®.


Как работает глубокая защита

Вы сможете лучше защитить свои SOA, если будете использовать несколько защитных механизмов. Чтобы преодолеть свойственные некоторым технологиям и регулировкам недостатки, вы можете заставить ресурсы изменяться динамично. Это поможет уменьшить вероятность серьезной атаки или серьёзно ослабить атаку на имеющиеся слабые места.

Чтобы показать, как работает глубокая защита, мы сначала рассмотрим центральную модель трёх основных уровней: ядра, середины и самого ближнего внешнего уровня. Каждый уровень может иметь дополнительные уровни объектов, организованных в иерархическом, объектно-ориентированном или реляционном порядке.

То, что должен составлять каждый уровень, в отношении защитной позиции, это доля в бизнес-стратегии компании и философия защиты SOA с помощью динамичного маневрирования ресурсами. Возможно, для одной модели вы захотите иметь политику безопасности и регулировки, построенные на основе технологий. А для другой модели выберите, наоборот, технологии и регулировки, основанные на политике безопасности и процедурах.

Для любой из моделей вы используете IBM WebSphere Business Modeler для моделирования связи между бизнес-процессом и технологическими требованиям и требованиям контроля. IBM Rational Web Developer для WebSphere позволяет вам оптимизировать бизнес-процесс Web-сервисов во множественных SOA. Этот инструмент сокращает кривую обучения Java™с помощью технологий переноса ( «drag and drop») UI Enterprise JavaBean-компонентов и «указал и щёлкнул» (point-and-click) для установления Связи Базы Данных Java (Database Connectivity) между Web-сервисами и IBM DB2®Универсальная База данных (Universal Database)™, IBM Informix®, Oracle или Microsoft SQL Server.


Сценарий уровня ядра 1: технологии

Эта модель глубокой защиты начинается с технологий, как основы с использованием следующих примеров:

  • Системы охранной сигнализации (Intrusion Detection Systems — IDS)
  • Сканеры виртуальной частной сети (Virtual Private Network — VPN)
  • PKI-сканеры
  • Система восстановления после отказа
  • Криптография
  • Фильтрация контента, например, антивирус

Рисунок 1 показывает, где они расположены.



Рисунок 1. Технологии как основа модели
Технологии как основа модели

Комбинация этих технологий может лучше защитить SOA от атак, чем это сделает одна из них. Если одна из технологий ядра неисправна, другая технология, такая как система восстановления после отказа, может временно принять работу на себя. Скорее всего, вам придётся изменить установки по умолчанию, которые даются со встроенным пакетом.


Детектор оборудования Web-сервисов по умолчанию

Для того, чтобы упростить выявление установок по умолчанию и, возможно, регулировать конфигурации установок, вам нужно разработать детектор аппаратного оборудования Web-сервисов, для трансляции списка установок по умолчанию оборудования. После просмотра списка вы сможете определить, нужно ли вам разрабатывать Web-сервис для изменения установок и отражать изменения в профиле управления конфигурированием. Детектор аппаратного оборудования по умолчанию показан на Рисунке 2.


Рисунок 2. Детектор аппаратного оборудования по умолчанию для Web-сервисов
Детектор аппаратного оборудования по умолчанию для Web-сервисов

После того, как вы добьетесь нужных настроек по укреплению защиты, можете переходить к среднему уровню регулировок. Как вы видите на Рисунке 3, это элементы управления доступом, проверкой и криптографией.



Рисунок 3. Уровень элементов управления
Уровень элементов управления

Вам нужно определить, какие типы элементов управления можно реализовывать автоматически, основываясь на технологиях снижения риска на уровне ядра. Вам нужно определить, на каких уровнях пользователи и группы могут получить доступ к системам, согласно своим ролям, обязательствам и применимых правил и законов.


Детектор изменений Web-сервисов

Чтобы соединить уровни ядра и контроля, Вам необходима операционная система Linux или Windows. Вам нужно создать детектор изменений Web-сервисов для обнаружения изменений на уровнях. Этот Web-сервис транслирует список – какие произошли изменения в ПО и аппаратном оборудовании, как и когда. После просмотра этого списка можете определить, нужно ли вам разрабатывать Web-сервис для внесения регулировок в элементы управления и технологии. Детектор изменений показан на Рисунке 4.



Рисунок 4. Мост и детектор изменений Web-сервисов
Мост и детектор изменений Web-сервисов

Например, переходы к криптографии на уровне ядра требуют переходов к криптографическим элементам управления и наоборот. Также переходы к средствам управления доступом требуют перехода к встроенному механизму доступа на уровне ядра.


Политика безопасности Web-сервисов

Настроив элементы управления, основанные на результатах детектора изменений, вы можете перейти к внешнему уровню: политике безопасности и процедурам, как показано на Рисунке 5. Вы можете разработать приложение политики безопасности Web-сервисов, чтобы позволить системным администраторам распределять между пользователями установки с различными ролями и обязанностями.



Рисунок 5. Уровень политики безопасности и процедур
Уровень политики безопасности и процедур

Политика безопасности делится на три типа: встроенная, заказная и высокого уровня. Встроенная политика безопасности даётся приложению Web-сервиса по умолчанию. Политика безопасности высокого уровня – это документы в виде справочников или в цифровом формате. Они включают безопасность инфраструктуры, аутсорсинг, управление инвентаризацией сети, безопасность персонала, инциденты в системе безопасности, физические средства защиты, коммуникационную безопасность, системные разработки, план обеспечения непрерывной работы и восстановления функционирования и соответствие нормативным документам.



Уровень ядра — сценарий 2: политика и процедуры

Как показано на Рисунке 6, уровень ядра начинается с политики безопасности и процедур в качестве основы. Сверху находятся средний уровень доступа, аудита и криптографических элементов управления, а затем – самый ближний внешний уровень технологий.



Рисунок 6. Уровень ядра: политика безопасности и процедуры
Уровень ядра: политика безопасности и процедуры

Как и первый тип модели, политика безопасности делится на три типа: встроенная, заказная и высокого уровня. Системные администраторы могут изменить установки для усиления позиций защиты. Встроенная политика – это обычно заводские настройки для приложения Web-сервисов или технологий. Политика безопасности высокого уровня — это документы, распечатанные на бумаге или в цифровом формате. Для автоматизации процессов, указанных в документах, вы можете разрабатывать приложения Web-сервис на соответствующих программах проверки, таких как Sarbanes-Oxley Act и Gramm-Leach-Billey Financial Services Modernization Act и управление процессом.

Уровень ядра предоставляет основу, на которой вы создаёте средний уровень со средствами управления доступом, контролем и криптографией. Вы можете установить, на каких уровнях пользователи и группы могут получить доступ к системе согласно своим ролям, обязательствам и подходящим предписаний и законов, и типы криптографических и контрольных элементов управления, которые вы можете реализовать. Элементы управления регулируются при установке параметров для технологий общего пользования.

Самый ближний внешний уровень – технологии, комбинация которых лучше защищает SOA, чем это может сделать одна технология. Если одна из них отказывает или работает неисправно, другие ресурсы – такие как защитные системы, IDS и системы восстановления после отказа, начинают работать и быстро перераспределяются в различные ячейки для защиты организации от возможной атаки. Вы можете использовать детектор по умолчанию Web-сервиса для выявления данных по умолчанию установок ядра, которые нужно изменить. Это поможет системным администраторам изменить установки по умолчанию и укрепить SOA.

Для соединения самого ближнего внешнего и среднего уровней, вам нужна операционная система. Вам также нужен детектор изменений Web-сервиса для выявления изменений на уровнях, например, для внесения необходимых поправок в средства управления доступом и встроенную политику доступа.


Множественная глубокая защита

В реальном окружении некоторые технологии защиты передаются из первой инфраструктуры глубокой защиты, а другие – из второго аналога — в среде общего пользования. Например, может быть так, что фильтрация контента и IDS для первой глубокой защиты, нужно соединить со второй глубокой защитой, пока обновлённые технологии находятся в положении для создания глубокой защиты, как показано на Рисунке 7. Или, в другом случае, может потребоваться соединить некоторые части контроля управления для первой глубокой защиты со второй глубокой защитой – для одной или более SOA.



Рисунок 7. Уровень общей технологии
Уровень общей технологии


Управление процессом

Вполне возможно рассматривать инфраструктуру глубокой защиты как управляющего меньшими игроками глубокой защиты благодаря глобальному характеру организации. Например, разные страны имеют разные законы и правила по использованию технологий и элементов управления, а также установлению политики безопасности. Управляющий – например, центр управления компании — может распределить технологии между игроками для лучшей защиты множественных SOA от организованных атак.

Системному администратору нужно следить за тем, чтобы управление процессом не привело к перегрузкам системы. Один из способов обеспечения быстродействия на оптимальном уровне состоит в разработке приложения системы показателей Web-сервиса (смотрите Рисунок 8) для измерения качества работы глубоких защит в управлении процессом. Вы также можете использовать приложение для определения того, насколько хорошо оно взаимодействует или разделяет некоторые части одной глубокой защиты с похожими частями другой глубокой защиты.



Рисунок 8. Приложение системы показателей Web-сервисов
Приложение системы показателей Web-сервисов


Вывод

Разработка множественных глубоких защит требует заблаговременного планирования для того, чтобы определить, как они должны быть разработаны для защиты множественных SOA и избежание перегрузок в периоды пиковой нагрузки. Вам следует работать с командой системных администраторов, специалистов по анализу деловой активности и разработчиков по проблемам того, как нужно разрабатывать глубокие защиты для SOA, активно маневрируя ресурсами на разных позициях защиты.

Вы обнаружите, что разрешение этих вопросов упрощает разработку множественных глубоких защит. Вы можете использовать IBM Relational Web Developer для WebSphere Software для разработки Web-сервисов, основанных на бизнес-процессах, которые вы создаёте с помощью WebSphere Business Modeler. Для администраторов будет проще управлять и руководить SOA, когда все вопросы уже разрешены. Они могут определить, сколько глубоких защит можно разработать без появления перегрузок в системе.

23.02.2008

Комментарии

Добавить комментарий (анонимные комментарии не публикуются!!!)

ФИО: 
E-mail: 
Тема: 
Комментарий: 
Оценка:   
 
 
 
 
 
Код подтверждения:
   

Новости СМ-Консалт

Вышла версия BIPULSE 6.2

Мастер-класс для тренеров и руководителей "Работа в аудитории". 1 ступень уже в марте

Обновлено расписание тренингов до марта 2017 года

Новые статьи в библиотеке

Мифы про ГОСТ 34

Примеры отраслевых решений на основе BIPULSE

Практика реализации модуля интеграции для Rational Software Architect, позволяющего преобразовывать низкоуровневое представление процесса из IBM Rational ClearQuest в UML

Что удивляет в русских менеджерах иностранцев

Разработка ПО с использованием лучших мировых практик и инструментов на Иркутском авиационном заводе

Презентация доклада для IT Global Meetup Санкт-Петербург: "Почему Agile так популярен? Взгляд циника и психолога"

Заказчики и истории успеха

Наши тренинги, семинары, курсы

Дружите с нами на FaceBook

Проверить настройки
Компания
Сделано в СМ-Консалт
Услуги 
Компетенция
  • CMC-TotalTest (скоро)
    уникальная разработка автоматизации функционального тестирования. Альтернатива HP UFT, IBM RFT и Microsoft!
  • CMC-Bisquiter
    автоматизированное тестирование АБС "Бисквит"
  • CMC-Formater
    тестирование печатных и экранных форм
  • CMC-TerminalTest
    тестирование терминальных приложений
  • ProjectTracker
    интеграция ALM и MS Project
  • GanttChart
    модуль управления проектами для IBM Rational ClearQuest и TeamConcert
    Все разработки СМ-Консалт >
  • ИТ-консалтинг
  • Автоматизированное тестирование
  • Ручное тестирование
  • Аутсорсинг тестирования
  • Оптимизация бизнес-процессов
  • Внедрение методологии и инструментов ALM
  • Обучение и коучинг
  • Разработка ПО
  • Интеграция
ООО СМ-Консалт (СМК), 2004-2017.
Карта сайта