Bundesamt für Sicherheit in der Informationstechnik

Software-Produkte

Das BSI stellt innovative Softwarelösungen für die Umsetzung sicherer Service-orientierter Architekturen (SOA) bereit.

SOA-IDS

Aufgrund des hohen Grads der Verteilung der Komponenten stellen sich besondere Anforderungen an die Einbruchserkennung in einer SOA. Mit dem SOA Intrusion Detection System hat das BSI ein System umgesetzt, welches diesen Anforderungen gerecht wird.

Einbruchserkennung in Service-orientierten Architekturen

Eine Service-orientierte Architektur (SOA) zeichnet sich insbesondere durch den hohen Grad der Verteilung der einzelnen Komponenten aus. Diese Eigenschaft erschwert die Anwendung bewährter Sicherheitsmechanismen. So ist es in einer verteilten Landschaft deutlich schwieriger, Angriffe zu erkennen, als dies etwa bei einem monolithischen System der Fall ist. Während in konventionellen Systemen häufig eine einzige Prüfinstanz zur Detektion von Einbruchsversuchen ausreichte, so ist dies bei einer SOA nicht mehr praktikabel. Hierzu bedarf es vielmehr eines Systems zur Einbruchserkennung, welches ebenso verteilt arbeitet wie die Dienste der SOA selbst.

Mit dem SOA Intrusion Detection System hat das BSI gemeinsam mit der Firma SHE Informationstechnologie AG ein System entwickelt, welches diesen Anforderungen gerecht wird. Neben der Detektion von konventionellen Angriffen wie SQL-Injections ermöglicht das SOA-IDS u.a. die Erkennung von Denial-of-Service und Web Service spezifischen Angriffen. Darüber hinaus bietet dieses System die Möglichkeit zur Modellierung und Erkennung komplexer Angriffsszenarien, die nur durch eine geeignete Korrelation verteilter Ereignisse erkannt werden können. Das Regelwerk des SOA-IDS lässt sich dabei äußerst flexibel auf individuelle Anforderungen hin anpassen und erweitern.

Das SOA-IDS ist unter der freien Lizenz GNU General Public License (GPLv3) verfügbar.

Dokumente SOA-IDS

SOA-IDS Management Summary (PDF, 289KB, Datei ist barrierefrei⁄barrierearm)

SOA-IDS (ZIP, 170,01 MB, Datei ist nicht barrierefrei)

secRT – Die Security Runtime für sichere Web Services

Eine Service-orientierte Architektur (SOA) zeichnet sich meist dadurch aus, dass eine Vielzahl von Diensten zu komplexen Geschäftsprozessen verbunden werden. Dabei entsteht ein hohes Kommunikationsaufkommen mit einer großen Anzahl beteiligter Instanzen.

Zur Absicherung der Kommunikation zwischen Dienstnehmern und Dienstanbietern bietet sich ein Proxy-Ansatz zur lokalen Umsetzung der Sicherheitsregeln an. Dabei wird sowohl bei Clients als auch bei Servern eine Komponente vorgeschaltet, welche sämtliche XML-/SOAP -Nachrichten verarbeitet und darauf sicherheitsspezifische Mehrwerte erbringt. So kann ohne Veränderung der Applikation und des Web Services gezielt Teile von Nachrichten verschlüsselt, Signaturen angebracht oder Authentisierungsinformationen hinzufügen werden.

Parallel zur Modellierung von Geschäftsprozessen ergibt sich so die Möglichkeit, eine zusätzliche sicherheitsspezifische Modellierungsebene in eine SOA hinzuzufügen. Die Sicherheitsmechanismen sind dabei vollständig von den Fachverfahren entkoppelt. Der größte Vorteil liegt darin, dass z. B. behördenweit ein Kryptoverfahren ausgetauscht werden kann, ohne auch nur eine einzige Zeile Code in einem Fachverfahren zu verändern.

Mit secRT ("Security RunTime") stellt das BSI eine gemeinsam mit der Firma CORISECIO (nunmehr Corisecio GmbH und eperi GmbH) entwickelte Lösung für einen solchen Proxy unter freier Lizenz zur Verfügung, welche die Kommunikationssicherheit in einer SOA gewährleistet.

Informationen zu secRT

Security Service Domain

Das Konzept der Security Service Domain zielt auf die Bereitstellung sicherheitsspezifischer Funktionalitäten als Web Service ab. Diese Dienste können dann z. B. bei der Modellierung von Geschäftsprozessen als fertige Bausteine verwendet werden. Auch eine Einbindung der Dienste mit dem SOA Security Framework (siehe oben) ist möglich. Die Dienste der Security Service Domain sind integraler Bestandteil der Virtuellen Poststelle (VPS) des Bundes.'
Weitere Informationen zur VPS.

SOA Identity & Access Management (SIAM)

Identity & Access Management Systeme spielen insbesondere im Kontext von Enterprise-Architekturen eine zentrale Rolle und stellen mit die schwierigste und komplexeste Herausforderung bezüglich Sicherheit dar. Neben der Verwaltung von Identitäten betrifft dies in erster Linie die Authentisierung von Nutzern auf Basis von Zertifikaten oder Token sowie die Definition und Durchsetzung von Zugriffsregelungen.

Gemeinsam mit der Firma tarent solutions GmbH stellt das BSI mit SIAM eine unter freier Lizenz veröffentlichte IAM-Lösung bereit, die sowohl in Service-orientierten Architekturen als auch im Kontext von Webanwendungen eine vielseitige und leistungsfähige Lösung mit optimalen Möglichkeiten hinsichtlich Integration und Erweiterung bietet. Dabei sind große Freiheitsgrade in der Ausgestaltung gegeben – von den unterstützten Authentisierungsmechanismen bis hin zu den für das Identity Management verwendeten Softwarekomponenten.

Für Bundesbehörden wurde ein Demonstrator erstellt, der kostenfrei unter soa@bsi.bund.de angefordert werden kann.

Link zu OSIAM GmbH
Dokumentation

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK