Architecture soa (architecture orientée services)

La Sécurité

« Les services Web XML vont rouvrir 70% des chemins d'attaques

fermés par les pare-feu116(*) lors de la dernière décennie.

Ils peuvent transporter virtuellement toutes les données utiles sur le port 80

et le pare-feu ne peut les arrêter. »

Gartner Group^117(*), 2003.

(Source: http://www.soa-architect.net/publications/soa/soa/securite-pourquoi.php)

Cela aurait pu être sous l'angle de la sécurité, que la nécessité de l'architecture SOA peut aussi se justifier en dehors de l'interopérabilité car l'ESB, a lui seul, ne propose pas une sécurité multi niveaux.

Or, les services Web se développent aussi bien en B2B qu'en B2C (et G2C vis-à-vis des administrations) ce qui oblige les architectures à plus de sécurité au niveau des différentes couches :

q Transport : Firewall, non-répudiation, cryptage, authentification,

q Message : jetons de sécurité pour identifier le consumer (consommateur ou client) du service, assertions d'autorisation pour les accès,

q Données : cryptage des messages,

q Applications : sécurisation des composants,

q Environnement : Monitoring, audit, log afin de tracer l'activité.

Les zones implicites de confiance

Il s'agit de la mise en oeuvre la plus simple. Le but est de positionner les services dans une zone de sécurité avec contrôle d'accès. Le référentiel de sécurité peut être paramétré par rapport à l'adresse IP et du port, par rapport à la session via le protocole SSL ou en mettant en place un portail au niveau de l'application. Une fois l'authentification (identification et mot de passe) validée, l'ensemble des services de la zone peuvent être invoqués.

Les zones explicites de confiance

Cette fois le référentiel de sécurité est sollicité à chaque accès à un des services de la zone. L'identification et l'habilitation sont alors vérifiées par le service qui se trouve enrichi d'un module de sécurité. Ce mode de sécurisation est adapté aux services transverses souvent éloignés du frontal qui a permis à l'utilisateur de s'authentifier.

La fédération d'identité

Il s'agit de la mise en oeuvre d'une table de jointure permettant l'utilisation de différentes identités pour un même consommateur de services (SSO). Ce principe, largement soutenu par WS-Federation^118(*) et Liberty Alliance^119(*), nécessite que chaque application ait son propre gestionnaire de sécurité et que chaque consommateur complète lui-même ses différentes identités.

* ¹¹⁶ Pare-feu : élément du réseau, qui a pour fonction de faire respecter la politique de sécurité en définissant quels sont les types de communication autorisés ou interdits.

* ¹¹⁷ Le Gartner Group est un cabinet d'experts américains spécialisé dans le domaine de la technologie. Fondé en 1979 est regroupe plus de 10 000 clients.

* ¹¹⁸ WS-Federation : spécification développée par BEA Systems, BMC Software, CA, Inc., IBM, Layer 7 Technologies, Microsoft, Novell, définissant les mécanismes de sécurité.

* ¹¹⁹ Liberty Alliance : aussi connu sous le nom de Project Liberty, projet réunissant depuis 2001 des acteurs industriels, informatiques, bancaires et gouvernementaux sous la forme d'un consortium afin de définir des spécifications de protocoles de fédération d'identité et de communication entre services web.