הגנה על WEB SERVICES
היום בתעשיה משתמשים הרבה ב-WEB SERVICES עבור אינטגרציה בין מערכות שונות. בשביל תפקוד העסק שימוש ב-WS נהיה סטנדרט כבר מזמן. הבעיה שלא כל הארגונים משקיעים בהגנה על WS האלה. כאן אני רוצה לספר על מה שאני ממליץ באבטחת WS בארגון. בגדול (אבל לא כולם עושים את זה) באבטחת WS צריך לדאוג ל-3 דברים: הזדהות (חזקה) תווך העברת נתונים (מוצפן - SSL) חתימה על המסר ואני מוסיף גם את הסגמנטציה - כלומר פתיחת חוקים מתאימים ב-FW שרק הגורמים הרלוונטיים יגיעו לשרת הנכון. לגבי תווך הצפנה - הכל ברור גם כך, זה חייב להיות מוצפן. בהזדהות אני ממליץ להשתמש ב-CLIENT CERTIFICATE או במילים אחרות בסרטיפיקט X.509. סרטיפיקט זה צריך להיות מונפק ע"י ה-CA הארגוני ולכלול מידע על הזהות שמזדהה לקבלת שירות. הבעיה בפתרון זה שלא כולם יודעים לעשות את זה כמו שצריך. ומה זה כמו שצריך? - זה כמובן בדיקת סרטיפיקט שהוא חתום ע"י ה-CA המתאים (בד"כ מתבצעת ע"י התשתית), אך בנוסף לזה זה גם בדיקת פרמטרים של הסרטיפיקט כגון CN. למה צריך את זה ? מכוון שבארגון מנפיקים די הרבה סרטיפיקטים, ויש סיכוי (במידה ובדיקת CN...