イントラネット Web サービスをどのように保護していますか? 私たちの会社では、Web サービスを保護するためにどのレベルのセキュリティが必要かという議論に行き詰まっています。
- メッセージの暗号化
- HTTPS (TLS)
- 両方?
実装が非常に難しいために誰も使用しない、安全性の高い Web サービスを作成することは有用ですか?
経験やリソース (リンク / ホワイト ペーパー) はありますか?
ご協力いただきありがとうございます!
1928 次
1 に答える
1
WS-Security は実装が難しい場合がありますが、メッセージのセキュリティ レベルをより細かく制御できることは保証できます。
- 部分ごとにヘッダー/ボディを暗号化する
- メッセージの有効期限
- デジタル署名
- 認証
- 暗号化および署名アルゴリズムをより詳細に制御
しかし、内部 Web サービスを見ている場合は、SSL/TLS の方が実装が簡単ですが、それでも強力な暗号化を提供できることがわかります。認証を追加したい場合は、サーバーで基本認証を使用してそれを実現できます。
WSS と TLS の両方を使用する必要があるとは思えませんが、情報セキュリティ担当者の一部は、多層防御を叫んで、誰かが HTTPS セッションを復号化できる場合に備えて良いアイデアだと言います。私はかつてそのような人の一人で、おそらくそう言っていましたが、上司のコンサルティング料を正当化する理由を探していました.
したがって、実際には、ビジネス要件と、どのような種類のデータを見ているかにかかっています。
また、内部ネットワーク上の悪意のある人物は、転送中のデータではなく、データ ソースを狙う可能性が高いと考えています。
少し個人的な経験:
政府の Web サービス用に WS-Security を実装しましたが、公共のインターネットを経由できます。私が金融機関のために取り組んできた内部サービスは、HTTPS と基本認証を使用して監査要件を満たしていました。
乾杯!
于 2010-12-30T18:44:14.930 に答える