M 4.473 Schutz vor Abhören von XML-Transportcontainern in einer SOA
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT, Benutzer
Wenn innerhalb einer serviceorientierten Architektur (SOA) vertrauliche Daten übertragen werden, müssen zu ihrem Schutz geeignete Verschlüsselungsmethoden eingesetzt werden. Diese verschlüsseln nach Bedarf entweder die gesamte Nachricht oder nur bestimmte Elemente, zum Beispiel mit XML-Encryption (XMLENC nach W3C).
Es ist sicherzustellen, dass die Art der eingesetzten Verschlüsselung (z. B. Verschlüsselung der ganzen Nachricht, eines Unterelements oder des Inhalts eines XML-Elements) auch dem gewünschten Vertraulichkeitsschutz entspricht.
Zudem ist darauf zu achten, dass generierte Nachrichten nur so viele Metainformationen wie nötig enthalten, sodass einem potenziellen Angreifer keine Angriffspunkte angeboten werden.
Prüffragen:
-
Wird XML verschlüsselt?
-
Wird mit der verwendeten Verschlüsselung (ganze Nachricht oder bestimmte Elemente) der gewünschte Vertraulichkeitsschutz erreicht?