级别: 中级 Judith Myerson, 系统工程师兼架构师
2009 年 11 月 02 日 我们是否应该设置一个 Web 服务作为专用安全监视主机?或者应该使用多个 Web 服务协作,作为分布式安全监视主机?在本文中,我们将讨论每种主机类型的优点和缺点,并提供如何使用每种主机解决安全问题的建议。
引言
在“Dedicated vs distributed security monitoring Web service host”一文中,我提出了一个监视计划建议,帮助确定是应该使用专用还是分布式安全监视 Web 服务。我讨论了每个方法的优缺点,并提供了如何使用每种主机解决安全问题的建议。我还提到,对于第一种监视主机类型,需要安全通信来在内部网之间、从一个内部网到封闭网络或者在封闭网络间传输或访问数据。
在本文中,我将讨论如何确保监视主机 Web 服务和被监视的 Web 服务之间的通信的安全。我对 Internet Protocol Version 4 (IPv4) 和 Internet Protocol Version 6 (IPv6) 中的安全通信进行了比较,这二者都是 IP 网间层(internetwork-layer)协议。我将提供一个远程数据中心场景,说明如何在基于 IPv6 的工作站以及最终的全球网格中的监视和被监视 Web 服务之间建立安全通信。我将讨论在彼此通信出现延迟时我们需要进行的工作;延迟会导致安全性下降、漏洞被利用、资源浪费,甚至系统崩溃。最后,我们将提供一些克服这些问题的示例。
监视 Web 服务
可以将多个监视 Web 服务作为被监视 Web 服务的多个主机使用。可以在层次结构的顶层启动主线监视主机 Web 服务,并建立到层次结构较低层的其他监视主机服务和一个或多个被监视 Web 服务的安全通信。将故障转移监视主机和被监视 Web 服务主机作为灾难恢复计划的一部分进行指定。始终定期备份应用程序和数据,以避免不必要的延迟和可能的企业声誉及收入损失。
在顶层,应该将主线监视 Web 服务主机配置为在网格中分布运行。根据是位于企业中还是网格中,较低层的监视主机可以配置为专用或分布方式。如果专用主机位于企业中,则可以将其安全连接到网格中的其他监视服务。
您可以在三个级别配置监视 Web 服务。本地、地区和全球级别。有些监视 Web 服务仅在本地级别运行,它们没有父项存在。其他本地监视 Web 服务在地区以及全球级别有父项存在。在有些情况下,可能在全球级别有父级监视 Web 服务,而在地区级别没有。
指定需求
为了让监视和被监视 Web 服务的安全通信标准工作,您必须指定完成安全通信的需求。以下是应该包括的一些需求:
表 1. 最低需求
| 项目 | 描述 |
|---|
| 标识 | 标识实体是否为监视和被监视 Wb 服务、个体或工具。 |
|---|
| 身份验证 | 确认所声明的标识的凭据。 |
|---|
| 授权 | 确保向监视和被监视 Web 服务和用户授予了执行为其指定的任务的权限,而且没有授予未向其指定的任务的权限。 |
|---|
| 机密性 | 确保信息不向非预期或非授权方公开。 |
|---|
| 完整性 | 确保信息不会被无意或恶意更改。 |
|---|
| 不可否认性 | 确保监视和被监视 Web 服务不能否认发送或接收到了特定消息。 |
|---|
交换凭据
完成监视和被监视 Web 服务间的安全通信需要两个步骤。首先,双方(监视和被监视 Web 服务需要检查凭据是否在库中,或从外部接受凭据,从而确定是否可以信任彼此的安全凭据。然后,双方交换凭据。
使用 Web 服务通信的应用程序可以使用 WS-Trust 获得和交换安全凭据。这个工作可以直接进行,也可以通过受信任的第三方进行——并使用 WS-SecureConversation 建立和维护安全会话,供监视 Web 服务和被监视 Web 服务用于传递多个回合的安全消息。
WS-Trust 提供了建立、检测和代理信任关系的方法。WS-SecureConversation 克服了 WS-Security 在被监视 Web 服务和监视 Web 服务之间仅传递单个安全消息的限制。WS-Trust 和 WS-SecureConversation 结合,可以提高总体性能和交换的安全性。
使用 IPv4 还是 IPv6 进行保护?
接下来,我们比较一下使用 IPv4 和 IPv6 在监视和被监视 Web 服务之间进行连接所需的安全通信。首先,网格中基于 IPv4 的安全通信仅用于监视和被监视 Web 服务之间的站点间连接。由于网络地址转换(Network Address Translation,NAT)问题和客户端/服务器业务模型的原因,安全通信是单向的。LAN 网段中的安全性较低,可能很难在不同的供应商之间完成应用程序互操作性。
其次,网格中基于 IPv6 的安全通信不仅可用于站点间通信,也可用于端到端连接。IPv6 所进行的一些改进能提高网络安全性,包括大寻址空间、邻近对象发现和地址自动配置。IPSec 是 IPv6 不可或缺的部分,而对 IPSec 的 IPv4 支持是可选的。
与 IPv4 的单向方法不同,IPv6 能在装置和移动设备之间实现双向安全通信。它不仅提供客户端/服务器业务模型,而且还可用于对等模型和移动模型。IPv6 允许方便地建立新通信。
不过,IPv6 中经改进的安全性不一定比 IPv4 安全。与 IPv4 类似,在漏洞被成功利用时,会受到攻击。虽然可以在本地级别完全从 IPv4 迁移到 IPv6,要在地区或全球范围内完全迁移到 IPv6 将花更长的时间。监视 Web 服务在网格中从 IPv4 到 IPv6 的切换取决于如何在参与网格的工作站中利用未使用的资源。
避免性能滞后
除了安全通信标准外,我们需要建立系统性能阈值,以确保监视和被监视 Web 服务之间的安全通信不会出现延迟。如果系统未能达到阈值,则会增加出现漏洞被利用、IPv6 迁移安全性问题和安全通信资源浪费的风险,从而影响 SLA,并最终导致系统崩溃。
出现这种情况时,监视 Web 服务将向系统管理员和安全官员发送警报,以立即采取纠正措施,并临时移动到故障转移监视 Web 服务。监视 Web 服务警报机制将在被监视 Web 服务在特定时间未满足性能要求时触发。这些被监视 Web 服务将临时移动到故障转移 Web 服务。
场景:数据中心的远程控制
让我们假定,在操作数据中心,您使用安全通信以远程方式将位于中心的监视 Web 服务连接到位于多个数据中心的被监视 Web 服务。您可以在远程位置对照相机进行重新对焦、旋转、拍照,可以重置和从温度计获得数据,可以在外部温度大幅度变化时从温度计收到警报并调整风扇速度。
您需要监视 Web 服务跟踪 IPv6 对多个数据中心进行远程控制过程中的性能,以及某个数据中心的性能是否高于其他数据中心。在操作中心和多个数据中心都需要建立系统性能阈值。您需要在最优的级别设置阈值,最大限度降低增加漏洞、IPv6 迁移问题和资源浪费的风险。
主线监视主机将对被监视 Web 服务的性能进行比较。您可以配置监视 Web 服务,使其在出现可能会影响 SLA 的不正常传感器和性能变化时向系统管理员发出警报,从而在即使变化达到或高于性能阈值时也能保证正常可用性。
结束语
要建立 Web 服务间的安全通信,您需要一个由开发人员、测试人员、系统管理员组成的团队。您必须事先计划哪些 Web 服务将作为监视主机,哪些将被监视,指定需求有哪些以及凭据如何交换。您还必须确定如何像本文的场景中一样对 IPv6 安全性进行改进。解决这些问题后,会使得监视 Web 服务以及安全通信工作变得更容易。您可以使用 IBM Rational® ClearQuest、Quality、IBM Rational Functional Tester 和 WebSphere® MQ Low Latency Messaging 在网格级别减少测试和缺陷跟踪时间,从而提高工作效率。
参考资料 学习
获得产品和技术
讨论
关于作者  | | | Judith M. Myerson 是一位系统工程师兼架构师。她感兴趣的领域包括中间件技术、企业级系统、数据库技术、应用程序开发、网络管理、安全性和项目管理。 |
对本文的评价
| 
