“Wie kann mir die DataPower dabei helfen, meine existierenden Serviceschnittstellen so abzusichern, dass ich sie bedenkenlos meinen Geschäftspartnern oder Kunden über das Internet zur Verfügung stellen kann?”
Diese Frage wurde uns in den letzten Monaten in vielen Gesprächen mit unseren Kunden gestellt. Dabei konnten wir meist wertvolle Einschätzungen geben, inwieweit diese Appliance die vorhandene Infrastruktur im Unternehmen verbessern kann. In diesem Blogeintrag möchte ich Ihnen eine Antwort und unsere Einschätzung auf diese Frage geben. So können Sie sich selber einen ersten Eindruck verschaffen, ob eine DataPower auch in Ihrem Unternehmen eine rentable Investition wäre.
In unseren Diskussionen zeigte sich meist, dass sich die Anforderungen und Herausforderungen, mit denen sich die Unternehmen konfrontiert sehen, sehr ähneln, obwohl sie aus den verschiedensten Branchen kommen. Dabei geht es nämlich oft nicht darum, vorhandene, funktionierende Infrastruktur zu ersetzen, sondern vielmehr die Sicherheit durch den Einsatz einer DataPower zu verbessern oder zu erweitern. Der Fokus dieses Artikels liegt demnach auf der DataPower XS40 Appliance, da dieses Gerät genau auf diese Anforderungen die richtigen Antworten geben kann. Sollten Sie sich für die anderen Geräte im DataPower Portfolio interessieren, verweise ich Sie auf zwei meiner vorherigen Einträge in diesem Blog, in denen ich mich ausführlich mit den Funktionen aller DataPower Produkte beschäftige.
Was bietet eine XS40?
Eine DataPower XS40 wird als so genanntes XML Gateway oder Webservice Firewall bezeichnet. Sie bildet demnach das Tor zwischen Internet und der internen Infrastruktur eines Unternehmens. Sie überprüft so jede Nachricht, die an das Backend gerichtet ist, oder auch das Backend verlässt, auf Sicherheit und Integrität. Folgende Funktionen können dabei durch die XS40 übernommen werden.
- Schutz vor Angriffen (z.B. XML Threats)
- Schema Validierung
- Autorisierung und Authentifizierung
- Verschlüsselung auf Nachrichten und Elementebene.
- Service Level Management
Warum benötigt mein Unternehmen ein Security Gateway?
Betrachtet man nun die vorhandene Infrastruktur der Untenehmen, die sich für einen DataPower interessieren, stellt man fest, dass die Funktionen, die eine XS40 bietet, eigentlich schon vorhanden sind. So sind auch softwarebasierte ESBs, wie der Message Broker oder der WebSphere ESB, oder ein Application- oder Process Server in der Lage, beispielsweise als SSL Endpoint zu fungieren, XML Nachrichten zu validieren oder XML Threats abzuwehren. Auch Aspekte wie Authentifizierung und Autorisierung sind in den meisten Fällen schon vorhanden.
Ist wirklich noch ein zusätzliches Gerät nötig?
Unsere Antwort auf diese Frage lautet ja. Denn:
Auch wenn innerhalb einer Systemarchitektur die Sicherheit schon eingebaut ist, ist sie doch auf unzählige verschiedene Produkte verteilt. Um das Level der Sicherheit und der Abwehr von Gefahren aktuell halten zu können, müssen all diese Produkte administriert werden und auf dem neusten Stand sein. Hierzu ist es notwendig, auf der einen Seite die Gefahren zu kennen und auf der anderen Seite zu wissen, wo man welche Einstellung vornehmen muss, um sich vor diesen zu schützen. Genau an dieser Stelle setzt eine Appliance an.
Eine DataPower XS40 kennt nämlich die Gefahren, die sich mit der Verwendung von XML ergeben. Wenn man ein solches Gerät einrichtet und betreibt, erhält man gleichzeitig auch das Wissen über diese Gefahren und die Mechanismen, diese abzuwehren. Dabei verfolgt eine Appliance den Ansatz, erst einmal alle Nachrichten die hinein kommen, abzuwehren. Erst durch Konfiguration werden dann die Schnittstellen im Backend erreichbar gemacht. Dabei wird man mit Hilfe von Wizards durch die zum Schutz des Backends notwendigen und gewollten Einstellungen, wie z.B. Schema Validierung oder Access Control, geführt und unterstützt. Grundlegende Aspekte, wie beispielsweise die Abwehr von XML Threats, sind dabei schon per Default eingerichtet und können nicht umgangen werden. Im Gegensatz zu diesem Ansatz werden die Sicherheitseinstellungen in Produkten wie dem Application oder Process Server meist als Zusatzfeatures angeboten, die, wenn es nicht explizit eingestellt ist, auch nicht verwendet werden.
Ein zweiter großer Vorteil der Appliance ist, dass sie auf die Funktionen, die sie bietet, ausgelegt und spezialisiert ist. Besonders im Bereich Webservices, wo meist SOAP als Nachrichtenprotokoll verwendet wird, ist dieser Vorteil nicht zu unterschätzen. Eine DataPower ist in der Lage, XML in „wirespeed“, d.h. ohne merkliche Verzögerung, auf Gefahren hin zu überprüfen und zu validieren. Genau diese Funktionen belasten nämlich die vorhandenen Infrastruktur Ressourcen in einem erheblichen Maße. Durch die Auslagerung dieser Funktionen werden diese Kapazitäten im Backend freigesetzt und können für die eigentliche Arbeit verwendet werden.
Ein letzter Aspekt, den ich hier ansprechen möchte, ist die Sicherheit vor Angriffen auf das Gerät selbst. Ohne entsprechende Administrationsrechte ist es nicht möglich, die Konfiguration des Gerätes zu verändern oder auf dort abgelegte Daten, wie beispielsweise SSL-Keys, zuzugreifen. Auch vor physischen Angriffen ist das Gerät geschützt.
Fazit
Zusammenfassend kann man also sagen, dass man sich mit der Anschaffung einer DataPower XS40 die Gewissheit einkauft, auf jeden Fall vor den vorhandenen Gefahren geschützt zu sein. Zudem erhöht man die Verarbeitungsgeschwindigkeit einer Anfrage an seine Webservices, einerseits durch Beschleunigung der Bearbeitung der Sicherheitsaspekte, andererseits durch das Freisetzen von Serverressourcen.
Bei einer Entscheidung über die Notwendigkeit einer DataPower zur Verbesserung der Sicherheit in Ihrem Unternehmen, sollten diese Argumente eine zentrale Rolle spielen.
