OSB Security, стоит ли защищать как прокси-сервис, так и бизнес-сервис
Безопасность OSB, стоит ли защищать и Proxy Service, и Business Service?
Или только прокси сервис?
Другими словами, если бизнес-сервис не настроен с безопасностью, может ли это быть дырой в безопасности?
2 ответа
Я сделаю ссылку на пару частей документации для вас:
- 9.4 Политики безопасности и безопасности для бизнес-сервисов
- 49.2 Политики безопасности и безопасности для бизнес-служб и прокси-служб
Теперь, когда вы говорите "если бизнес-служба небезопасна", вы на самом деле указываете на то, что необходимо понять. Можете ли вы позвонить в бизнес-службу из контекста за пределами прокси-службы, для которой вы ее написали? Я бы сказал, что существует множество бизнес-сервисов, которые вы можете вызывать из ЛЮБОЙ прокси-службы в OSB, поэтому, если вы чувствуете, что на уровне OSB вы обеспокоены тем, что какой-то разработчик может что-то кодировать против вашей бизнес-службы и позвонить без необходимости предоставления какая-то аутентификация / авторизация, вам, вероятно, понадобится ее обезопасить.
Кроме того, если вы можете позвонить в бизнес-службу извне (как вы это сделали бы с прокси-службой), то вы, вероятно, столкнетесь с теми же проблемами, что и любой, кто сможет позвонить в эту службу, если они случайно найти URL для этого.
Возможно, это не лучший ответ, но я думаю, что в вашем вопросе можно использовать некоторые уточнения, чтобы задать более конкретный вопрос: "Можно ли вызывать Business Services напрямую из-за пределов SBConsole?", На который, к сожалению, у меня нет хорошего ответа для вас.
Я думаю, что еще лучший вопрос: "Из каких векторов можно вызывать OSB Business Service?" Как указано, ГДЕ вы должны следить за тем, чтобы люди не пытались напрямую обращаться к вашим конфиденциальным бизнес-службам.
На мой взгляд, рекомендуется защищать прокси-службу в одиночку. В отличие от прокси-сервисов, бизнес-сервисы не имеют URI конечной точки для предоставления их через Интернет другим сервисам / прокси. поэтому, если разработчик явно не "ссылается" на свои прокси-сервисы на используемую вами бизнес-службу, я не вижу смысла защищать бизнес-сервис от неправильного использования от других прокси-клиентов.
Обратите внимание, что по той же причине, что и упомянутая выше, мы открываем прокси только для внешнего мира (клиенты, другие сервисы и т. Д.), А не для бизнес-сервисов. Бизнес-сервисы используются только для подключения к конечным системам (устаревшие системы, другие веб-сервисы, JMS-очереди, системы Siebel и т. Д. И т. Д.)