Comunicación segura entre un servicio de host Web y servicios web monitoreados

¿Deberíamos tener un servicio web como un host de monitoreo de seguridad dedicado? ¿O deberíamos tener muchos servicios web que trabajen juntos como el host de monitoreo de seguridad distribuido? En este artículo observaremos los pro y los contra de cada tipo de host y sugeriremos cómo puede ser utilizado cada uno para resolver problemas de seguridad.

Judith M. Myerson, Systems Engineer and Architect

Judith M. Myerson is a systems architect and engineer. Her areas of interest include middleware technologies, enterprise-wide systems, database technologies, application development, network management, security, and project management. You can contact her at jmyerson@bellatlantic.net.



05-08-2011

Introducción

En mi artículo, "Servicio de host Web de monitoreo de seguridad dedicado vs. distribuido," sugiero un plan de monitoreo para ayudar a decidir si debemos tener un servicio web de monitoreo de seguridad dedicado o distribuido. Revisé los pro y los contra de cada alternativa y sugerí cómo puede ser utilizado cada uno para resolver problemas de seguridad. También mencioné que para el primer tipo de host de monitoreo, se necesita una comunicación segura para transferir o acceder a los datos desde una Intranet a otra, desde una Intranet hacia una red cerrada o desde una red cerrada hacia otra.

En este artículo trataré el tema de cómo asegurar la comunicación entre un servicio de host Web y servicios seguros de monitoreo Web. Comparo la comunicación segura en Internet Protocol versión 4 (IPv4) e Internet Protocol versión 6 (IPv6), que son los protocolos Internet Protocol internet trabajo en capa. Proporcionaré un escenario de centro de datos remoto sobre la base del establecimiento de una comunicación segura entre el monitoreo y los servicios web monitoreados en estaciones de trabajo basadas en IPv6 y eventualmente en una cuadrícula global. Veo lo que necesitamos hacer cuando nos comunicamos con otro que causa retrasos, lo cual conduce a compromisos en la seguridad, a explotar vulnerabilidades, al desperdicio de recursos e incluso a una caída del sistema. Finalmente, ofrezco algunos ejemplos para superar estos problemas.


servicios web de Monitoreo

Usted puede tener más de un servicio de monitoreo Web para que actúen como múltiples hosts para servicios de monitoreo Web. Un servicio de monitoreo Web principal puede iniciar al nivel superior de la jerarquía y tener una comunicación segura con otros servicios de monitoreo host y de Web en un nivel inferior en la jerarquía. Diseñe host de monitoreo para la recuperación de fallos y servicios de monitoreo Web como parte de un plan de recuperación de desastres. Haga siempre backup de sus aplicaciones y datos periódicamente para evitar retrasos innecesarios y posibles pérdidas.

En el nivel más alto, usted debe configurar el host de servicio de monitoreo Web principal como distribuido, ejecutándose en una cuadrícula. El host del nivel más bajo puede dedicarse a la distribucion dependiendo de si está en el interior de una empresa o en una cuadrícula. Si el host dedicado está en el interior de una empresa, se puede conectar de forma segura a otros servicios de monitoreo en la cuadrícula.

Usted puede configurar los servicios de monitoreo Web en tres niveles: local, regional y global. Algunos servicios de monitoreo Web sólo se ejecutan a nivel local; no tienen parientes. Otros servicios locales de monitoreo Web tienen parientes en lo regional y a su vez a nivel global. En algunos casos, puede haber servicios de monitoreo Web parientes a nivel global, pero ninguno a nivel regional.


Especifique los Requerimientos

Con el fin de que los estándares de comunicación segura para monitoreo y servicios de monitoreo Web funcionen, usted debe especificar los requerimientos para lograr una comunicación segura. Aquí hay algunos requerimientos que debería incluir:

Tabla 1. Requerimientos mínimos
ElementoDescripción
IdentificaciónIdentifique entidades que sean de monitoreo y servicios de monitoreo Web, o individuos o instalaciones.
AutenticaciónConfirme las credenciales de una identidad reclamada.
AutorizaciónAsegúrese de que los servicios de monitoreo y monitoreo Web y usuarios cuenten con los permisos para efectuar las tareas que se les asignen y que no se les haya concedido permiso para efectuar tareas que noles corresponden.
ConfidencialidadAsegúrese de que la información no se exponga accidentalmente a partes no autorizadas.
IntegridadAsegúrese de que la información no ha sido alterada accidentalmente o maliciosamente.
No-rechazo Asegúrese de que el monitoreo y los servicios de monitoreo Web no puedan denegar la recepción o el envío de mensajes específicos.

Credenciales de Intercambio

Hay dos pasos para lograr una comunicación segura entre servicios web de monitoreo y monitoreados. Primero, cada una de las partes necesitan determinar si pueden confiar en la credencial de seguridad declarada por la otra verificando si la credencial está en la biblioteca o aceptando la credencial externamente. Luego ambas partes intercambian credenciales.

Las aplicaciones que se comunican usando servicios web pueden usar WS-Trust para obtener e intercambiar credenciales de seguridad. Se puede hacer bien sea directamente o por medio de un tercero confiable y usar WS-SecureConversation para establecer y mantener una sesión segura en la cual un servicio web monitoreado y un servicio web de monitoreo pasen múltiples rondas de mensajes seguros.

WS-Trust proporciona métodos para establecer, detectar y agenciar relaciones de confianza. WS-SecureConversation supera la restricción de WS-Security para una ronda de mensajes seguros individuales entre un servicio web monitoreado y un servicio web de monitoreo. Juntos, WS-Trust y WS-SecureConversation pueden incrementar el rendimiento general y la seguridad de los intercambios.


¿Seguro con IPv4 o IPv6?

Comparemos la comunicación segura necesaria en la conexión entre servicios web monitoreados y de monitores usando IPv4 e IPv6. Primero, la comunicación segura basada en IPv4 en la cuadrícula sólo está disponible para conexiones sitio-a-sitio entre servicios web de monitoreo y monitoreados. La comunicación segura es en un sentido debido a los problemas de Traducción de Dirección de Red (NAT) y al modelo de negocios del cliente/servidor. La seguridad en segmentos LAN es baja y puede ser difícil lograr la interoperabilidad de aplicaciones entre diferentes proveedores.

Segundo, la comunicación segura basada en IPv6 en la cuadrícula está disponible no sólo para comunicación sitio-a-sitio sino también para conexiones de extremo-a-extremo. Algunas mejoras IPv6 para suministrar mejor seguridad de red incluyen espacio amplio para dirección, descubrimiento de vecinos y auto configuración de dirección. IPSec es parte integral de IPv6 mientras el soporte IPv4 para IPSec es opcional.

En contraste con el enfoque en una vía de IPv4, IPv6 logra una comunicación segura en dos vías entre aplicación y móvil. No sólo aprueba un modelo de negocios cliente/servidor, también funciona con modelos par-a-par y de movilidad. IPv6 le permite configurar nuevas comunicaciones fácilmente.

No obstante, la seguridad mejorada en IPv6 no es necesariamente más segura que IPv4. Como la IPv4, está sujeta a ataques cuando las vulnerabilidades se explotan exitosamente. Mientras sea posible migrar completamente de IPv4 a IPv6 a nivel local, tomará más tiempo a las regiones y al mundo completar la migración a IPv6. El servicio web de monitoreo que cambie de IPv6 a IPv4 en la cuadrícula depende de cómo se aprovechen los recursos utilizados en las estaciones de trabajo que participan en la cuadrícula.


Evite retrasos de desempeño

Adicionalmente a los estándares de comunicación segura, necesitamos establecer un umbral de rendimiento de sistema para asegurar que la comunicación segura entre los servicios web de monitoreo y monitoreados no se retrasen. Si el sistema cae por debajo del umbral, esto incrementará los riesgos de que se exploten las vulnerabilidades, los problemas de seguridad de migración IPv6 y el desperdicio de recursos de comunicación segura que pueden impactar SLAs y en última instancia, resultar en una caída del sistema.

Cuando esto pasa, el servicio web de monitoreo enviará una alerta a los administradores de sistema y a los oficiales de seguridad para que tomen acciones correctivas inmediatas y se trasladen temporalmente hacia servicios web de monitoreo con tolerancia a fallos. El mecanismo de alerta del servicio web de monitoreo se activa por servicios web de monitoreo que no cumplan con los criterios de rendimiento en un momento en el tiempo particular. Estos servicios web monitoreados se moverán a servicios web tolerantes a fallos de manera temporal.


Escenario: Control remoto para centros de datos

Supongamos que en un centro de operaciones usted usa comunicaciones seguras para conectar servicios web de monitoreo al centro de manera remota con servicios web monitoreados en múltiples centros de datos. Usted puede, de manera remota, reenfocar, rotar, obtener gráficas para la cámara, reiniciar y obtener datos del termómetro, recibir alertas cuando la temperatura externa cambie drásticamente y ajustar la velocidad de los ventiladores.

Usted necesita un servicio web de monitoreo para hacer seguimiento de qué tan bien se está desempeñando IPv6 en el control remoto de datos múltiples y si algún centro de datos se está desempeñando mejor que los otros. Usted necesita establecer umbrales de rendimiento del sistema tanto en el centro de operaciones como en los múltiples centros de datos. Usted necesita establecer el umbral en un nivel óptimo que no sea propenso a incrementar el riesgo de vulnerabilidades, de problemas de migración IPv6 y de desperdicio de recursos.

El host de monitoreo principal compara rendimientos entre servicios web monitoreados. Usted puede configurar los servicios web de monitoreo para que envíen alertas a los administradores de sistema en cambios inusuales en sensores y rendimiento que puedan impactar la garantía SLA en disponibilidad de tiempo de funcionamiento, incluso cuando los cambios estén en o por encima del umbral de rendimiento.


Conclusión

Usted necesita un equipo de desarrolladores, de pruebas, y de administradores de sistema para establecer una comunicación segura entre servicios web. Usted debe planear de antemano qué servicios web serán los hosts de monitoreo y cuáles serán los monitoreados, especificar cuáles son los requerimientos y como se deben intercambiar las credenciales. Usted también debe determinar cómo puede mejorarse la seguridad IPv6 como se mostró en el escenario. Resolviendo estos asuntos hace mucho más fácil su trabajo de monitoreo de servicios web con comunicaciones seguras. Puede usar IBM Rational® ClearQuest, Quality, IBM Rational Functional Tester, y WebSphere® MQ Mensajería de Baja Latencia para incrementar la productividad reduciendo las pruebas y el tiempo de seguimiento de defectos a nivel de cuadrícula.

Recursos

Aprender

Obtener los productos y tecnologías

Comentar

Comentarios

developerWorks: Ingrese

Los campos obligatorios están marcados con un asterisco (*).


¿Necesita un IBM ID?
¿Olvidó su IBM ID?


¿Olvidó su Password?
Cambie su Password

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


La primera vez que inicie sesión en developerWorks, se creará un perfil para usted. La información en su propio perfil (nombre, país/región y nombre de la empresa) se muestra al público y acompañará a cualquier contenido que publique, a menos que opte por la opción de ocultar el nombre de su empresa. Puede actualizar su cuenta de IBM en cualquier momento.

Toda la información enviada es segura.

Elija su nombre para mostrar



La primera vez que inicia sesión en developerWorks se crea un perfil para usted, teniendo que elegir un nombre para mostrar en el mismo. Este nombre acompañará el contenido que usted publique en developerWorks.

Por favor elija un nombre de 3 - 31 caracteres. Su nombre de usuario debe ser único en la comunidad developerWorks y debe ser distinto a su dirección de email por motivos de privacidad.

Los campos obligatorios están marcados con un asterisco (*).

(Por favor elija un nombre de 3 - 31 caracteres.)

Al hacer clic en Enviar, usted está de acuerdo con los términos y condiciones de developerWorks.

 


Toda la información enviada es segura.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=90
Zone=SOA y servicios web
ArticleID=391046
ArticleTitle=Comunicación segura entre un servicio de host Web y servicios web monitoreados
publish-date=08052011