Sécuriser les SOA

Que sont les SOA? L'encyclopédie communautaire Wikipédia définit les SOA clairement et simplement comme suit:

L'architecture orientée services (calque de l'anglais Service Oriented Architecture, SOA) est une forme d'architecture de médiation qui est un modèle d'interaction applicative qui met en œuvre des services (composants logiciels)

• avec une forte cohérence interne (par l'utilisation d'un format d'échange pivot, le plus souvent XML),
• et des couplages externes « lâches » (par l'utilisation d'une couche d'interface interopérable, le plus souvent un service web WS-*).

La plupart des SI de grandes entreprises vont structurer leurs applications en services réutilisables, d'une part pour venir à bout de leur complexité, et d'autre part pour optimiser la réactivité aux changements.

Quels sont les risques attachés aux SOA?

Les infrastructures modernes déployant des SOA sont caractérisées par une topologie "application-to-application" (réseau applicatif), qui doit assurer tous les services réseau de base: transport, routing et déploiement. Afin d’en assurer le fonctionnement et le contrôle, des messages de service doivent être échangés et acheminés. Ces nouveaux messages de service n'étant pas définis dans les protocoles de bas niveau, ont été mis en oeuvre à une couche supérieure. Par conséquent, les dispositifs habituels de gestion ou de sécurité deviennent « aveugles » par rapport aux informations critiques des applications, et s’avèrent donc incapables de contrôler, d’optimiser ou de protéger les nouveaux flux de données générés par les Web Services

Quelles conséquences pour des SOA non-sécurisés?

Le trafic XML est sujet à certaines cyberattaques au même titre que les applications Web: XSS, injection SQL etc. Or,il existe des attaques propre aux Web Services; de nouvelles normes, comme WS-Security, WS-Addressing, SAML, WS-Trust… décrivent et mettent en oeuvre des informations de gestion dans le trafic applicatif. La capacité à traiter ces messages critiques, donc ces protocoles, devient indispensable afin d’assurer le routing, l’accélération et la sécurité au niveau de la couche applicative. Négliger une sécurité adaptée aux SOA exposent les entreprises aux incidents de déni de service, fuite d'informations sensibles et autres atteintes à l'image professionnelle.

Comment sécuriser les SOA?

Protéger contre les attaques induites par le déploiement des SOA sans toutefois générer de faux-positifs est un métier à part entière, qui nécessite un équipement dédié

Conçue pour le traitement des Web Services, le Web Services Firewall va fournir des fonctionnalités de sécurité basées sur des protocols SOAP, XML et REST. En effet, autoriser un message à franchir le Web Services Firewall implique d’associer la connaissance de nombreux standards spécifiques à la capacité d’inspecter en profondeur les différentes parties du message.

C'est un traitement à effectuer en amont afin de limiter les risques et soulager les serveurs applicatifs du traitement de messages superflus. Le Web Services firewall qui effectue ce filtrage doit être capable de journaliser tous les évènements et de livrer des messages d’erreurs formatés. A ces conditions, il peut s’intégrer dans une infrastructure web services et apporter la protection,l’agilité et les performances qui conviennent.