M 4.478 Schlüsselmittelverwaltung bei SOA
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
In einer serviceorientierten Architektur (SOA) müssen sich Dienste in gleicher Weise identifizieren können wie Nutzer oder Rollen. Dies bedingt, dass der zugehörige Identitätsschutz mit einem automatisch generierten asymmetrischen Schlüsselpaar und der nachfolgenden automatischen Zertifikatsgenerierung und -publizierung verbunden ist.
Um Angriffe auf den damit verbundenen Zertifizierungsprozess zu erschweren, sind die Zertifikatsprozesse in einem abgeschotteten "Trusted Key Store" unterzubringen. Der private Schlüssel (Private Key) des SOA-Dienstes darf den "Trusted Key Store" nicht verlassen. Zur Verwaltung der Zertifizierungsprozesse wird jeweils dem SOA-Dienst ein Key-Management-Service zugeordnet (XML Key Management Service, XKMS). SOA-Dienst und XKMS kommunizieren lokal und reduzieren damit die Angriffsmöglichkeit auf die verwendeten Schlüsselelemente. Als lokale Zertifizierungsstelle muss der XKMS den öffentlichen Schlüssel (Public Key) des SOA-Dienstes signieren und ihn als gültig in der eigenen Informationsdomäne publizieren.
Prüffragen:
-
Wird eine lokale Schlüsselmittelverwaltung genutzt, um die Schlüsselmittel besser gegen Angriffe zu schützen?
-
Werden die veröffentlichten Schlüssel signiert?
-
Bleibt der private Schlüssel des SOA-Dienstes sicher im eigenen System gespeichert?