회사 내 웹 서비스 보안 구현 방법

Question

웹 서비스 보안과 관련된 주제가 최근에 나왔습니다. 생각할 수도있는 WSE 3.0의 비트 일 필요는 없지만 회사 내의 서비스 보안에 대한 자세한 내용.

예를 들어. 우리는 하나 이상의 웹 서비스 엔드 포인트를 통해 회사 전체가 특정 기능을 사용할 수 있도록 할 가능성을 논의했습니다. 이 문제는 누가 웹 서비스에 액세스 할 수 있는지에 달려 있습니다. 다음 세 가지 방법으로 액세스하는 것을 볼 수 있습니다.

1. 웹 사이트에서 볼 수 있습니다. 이 웹 사이트는 사이트에 액세스하는 사용자를 가장 할 수도 사지 않을 수도 있습니다. 따라서 실제 사용자, IIS 서비스 계정 또는 다른 이유로 가장하고있는 다른 서비스 계정으로 웹 서비스에 대한 호출이 이루어질 수 있습니다.
2. 배치 프로그램. 이론적으로, 또한 서버에서 실행하지만, 일반적으로 사용자의 자격 증명이

지금 사용되는 경우에 서비스 계정 사용자의 바탕 화면에 Windows 응용 프로그램으로

으로 실행 우리 수 누구든지 웹 서비스를 열어 두십시오. 무지가 행복하다, 그렇지? 그러나 문제는 침입자가 네트워크에 액세스하여 웹 서비스를 발견하면 지적 재산에 대한 정보를 제공한다는 것입니다. 개방적이어서 좋지 않습니다.

IP 주소, 사용자 이름 등을 확인하기 위해 정교한 홈 양조 구성표를 사용하여 잠글 수 있습니다. 그러나 그것은 관리상의 악몽처럼 보입니다.

의견이 있으십니까? 우리는 몇 가지 아이디어를 던지고 있지만 누군가가 이런 유형의 문제를 이미 해결했는지 알고 싶었습니다.

감사

Answer 1

저희 회사에서는 암호화 된 서명과 함께 X509 인증서를 사용합니다. 이는 귀하의 서비스에 최고의 보안을 부여합니다. 서비스 액세스를 제한하려면 클라이언트의 공개 인증서 만 허용 할 수 있습니다. 이것은 물론 고객이 자신의 인증서를 보유해야한다는 것을 의미합니다. 고객이 자신의 인증서가없는 경우 OpenSSL을 사용하여 직접 인증서를 만들 수 있습니다. 나는이 응용 프로그램을 직접 사용하여 암호화 또는 핸드 셰이크 목적으로 사용할 수있는 합법적 인 인증서를 만들었습니다.또한 각 클라이언트에 대한 사용자 지정 정책을 만들고 각 기능에 대한 정책 속성을 사용하여 서비스 기능에 대한 액세스를 제한 할 수 있다고 생각합니다. 거짓말 일지 모르지만 어딘가에 비틀 거 렸습니다. 희망이 도움이됩니다.

Answer 2

당신이 한 가지 내부 용 엔드 포인트를 여는 것을 고려하는 경우에,하지만 당신은 얼마나 많은 가능성이 내부 고객이있을 것이다?

엔드 포인트가 동적 데이터가 필요하고 다양한 사람들이 사용할 수있는 Excel 스프레드 시트 또는 BI 데이터 큐브를 구동하려는 경우 보안을 신중하게 고려해야합니다. 아마도 일일 생성 된 API 키를 회사 인트라넷의 중요한 페이지에 게시 할 수 있으므로 데이터의 내부 사용자가 엔드 포인트를 사용하려는 경우 약간의 불편을 겪게되지만 IT 부서의 유지 보수 작업은 까다로울 수 없습니다 .

일부 응용 프로그램에서 끝 점이 소모되는 경우 구성 파일에 하드 코딩 된 다음 암호화 된 응용 프로그램 내에서 보안을 단단히 연결하는 것이 좋습니다. 이러한 방식으로 액세스가 널리 사용되지만 널리 알려지지는 않습니다.

분명히 GET만을 허용하고 GET은 POST 또는 PUT가 위장되어 있지 않은지 확인하십시오. 모든 경영점 승인을 위해 모든 엔드 포인트를 문서화하십시오. 고위 경영진이 데이터에 대한 액세스를 허용하는 위험에 만족하는 경우 실제로는 데이터를 잠그는 방법에 대한 유일한 논쟁입니다.