Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Serviceorienteret arkitektur (SOA) er blandt tidens hotte buzzwords i it. Teknologien lover mere fleksible systemer – men den medfører også nye udfordringer for sikkerheden.
Grundtanken bag SOA er, at it-systemerne opbygges af enkeltstående tjenester, der kommunikerer med hinanden. Når ens forretning ændrer sig, indfører man nye tjenester, der kommunikerer med de eksisterende. Det er altså ikke nødvendigt at skrive de eksisterende systemer om for at tilpasse dem.
En af konsekvenserne af SOA er, at ikke kun virksomhedens egne tjenester kan kommunikere med hinanden. Man kan også åbne for samarbejdspartnere. Et eksempel kunne være en grossist, der sælger vvs-artikler. Grossisten giver sine forhandlere adgang til sit elektroniske varelager.
En af disse forhandlere er en web-butik. Kunderne kan på web-butikken bestille varer. Når det sker, kommunikerer web-butikkens it-system direkte med grossistens og finder ud af, om varen er på lager.
SOA giver kunden hos web-butikken en bedre betjening: Han får med det samme at vide, hvornår han kan få sin vare leveret.
Adgang til kernesystemet
Men SOA giver også it-folkene en sikkerhedsmæssig udfordring. For når grossisten åbner sit system for adgang udefra, giver han direkte adgang til selve virksomhedens kernesystem. Hvis der ikke er styr på sikkerheden, kan et sikkerhedsproblem i web-butikken således betyde, at grossistens system også bliver ramt.
Hvad kan man gøre for at undgå disse problemer? Man kan kontrollere adgangen. Det skal ikke være muligt for alle og enhver at forbinde sig til de centrale tjenester. Kun samarbejdspartnere, som man har tillid til, skal have lov til at koble sig op på ens tjenester.
Den tillid kan man udmønte i konkrete aftaler. Man kan for eksempel stille målbare krav til it-sikkerheden, før en samarbejd
spartner får adgang. Og de krav kan direkte skrives i kontrakten med vedkommende.
Men åbningen mod andre systemer kan også betyde, at hele ens sikkerhedsstruktur skal nytænkes. I dag er de fleste virksomheders sikkerhed baseret på, at vi har tillid til systemerne inde bag firewallen, mens vi har stærk sikkerhed ud mod det store, stygge internet. Når vi giver adgang ind gennem firewallen, skal vi derfor øge sikkerhedskravene til de interne systemer. Skillelinjen mellem intern og ekstern sikkerhed forsvinder.
Hvordan har du tænkt sikkerhed ind i din virksomheds SOA-strategi?
Oprindelig bragt i Børsen ITinnovation den 21. november 2006