02 de September de 2008

Serviços de Segurança da Informação

Serviços de segurança da informação: uma nova forma de integrar os benefícios da certificação digital às aplicações

por: Marcelo Branquinho

Quando um desenvolvedor precisa incorporar segurança em uma aplicação e deve escolher um toolkit de segurança baseado em PKI, há uma lista de qualidades desejáveis que lhe ajudarão a avaliar as diferentes opções disponíveis no mercado.

Antes de tudo, o toolkit teria que ser completo, implementando todos os padrões. Em um dado momento um toolkit pode ser completo, mas tão logo apareça um novo padrão, será preciso recompilar todas as aplicações que usam este toolkit, o que representa perda de tempo e a necessidade de novos investimentos por parte da empresa.

Proteção é fundamental

Proteção é fundamental

Atualmente as empresas usam uma infraestrutura de TI heterogênea: sistemas operacionais diferentes com versões diferentes, assim como aplicações desenvolvidas em várias linguagens de programação; Para tanto, um toolkit multi-linguagem e multi-plataforma que ofereça uma API uniforme é uma característica muito interessante.

O Toolkit ideal deveria ser aberto para poder simplificar a interação entre as aplicações corporativas.

A Arquitetura Orientada a Serviços (SOA) é uma boa solução que cumpre com todos os requisitos listados anteriormente. SOA, por definição, proporciona interoperabilidade entre várias aplicações que executam sobre diferentes plataformas de hardware e software. Esta característica permite a reutilização de serviços e componentes dentro de uma mesma infraestrutura.

Os serviços Web, como caso particular do SOA, utilizam um conjunto de padrões e protocolos abertos. Os protocolos e o formato dos dados são textuais, o que facilita a compreensão por parte dos desenvolvedores.

Dispor de uma plataforma uniforme, multi-linguagem e multi-plataforma se torna algo simples: a linguagem de definição de serviços Web (WSDL) permite a especificação de uma interface bem definida que pode ser implantada em diferentes plataformas usando componentes e ferramentas disponíveis no mercado tais como o Axis ou o .NET.

Os Toolkits oferecem um conjunto de operações atômicas que permitem construir a lógica do negócio dentro dos programas. Esta lógica deve estar extremamente bem definida para que os programadores a implementem da melhor maneira. Qualquer pequena alteração nesta lógica pode tornar necessária a reescrita de trechos de código ou, em uma tentativa de evitá-lo, precisar de métodos complexos de configuração.

A Plataforma de segurança TrustedX ( http://www.tisafe.com/Recursos/lit/DS_TrustedX_TISafe.pdf ), da Safelayer, usa SOA para oferecer operações de alto nível de abstração.: “assinar um documento”, “verificar a assinatura de um documento”, cifrar/decifrar um documento”, “verificar a autenticação e autorização”, etc. A complexidade requerida pela lógica de negócio passa a residir fora das aplicações. Esta idéia bem simples tem enormes vantagens:

  • Não é preciso recompilar os aplicativos no caso de aparecerem novos padrões. Basta somente atualizar o núcleo central da plataforma para que todas as aplicações sejam capazes de dispor deles de forma imediata.
  • A lógica do negócio pode mudar em qualquer instante sem que para ele seja preciso modificar uma linha de código ou recompilar.

Algumas pessoas dizem que os serviços Web podem oferecer rendimento pior que outras técnicas de programação distribuída como RMI, CORBA ou DCOM. O XML foi desenhado explicitamente sem ter em conta os aspectos de codificação ou eficiência no parsing. O Padrão de XML Infoset (http://www.w3.org/TR/xml-infoset/ ) reduz o tamanho da codificação assim como agiliza o processo de parsing se comparado com o padrão de XML proposto pelo W3C.  Representações binárias como o SOAP MTOM (http://www.w3.org/TR/soap12-mtom/ ) prometem melhorar a eficiência da troca de mensagens usando o XML.

Nos meus próximos posts tratarei sobre este e outros temas relacionados ao uso da segurança da informação na arquitetura SOA. Espero que apreciem.



Marcelo Branquinho


Marcelo Branquinho é Diretor da TI Safe, especialista no uso de criptografia e assinaturas digitais (PKI) para a segurança da informação, com MBA em gestão de negócios, é também sócio-fundador do capítulo do Rio de Janeiro da ISACA. Teve atuações marcantes como Diretor para a América do Sul da Eracom Technologies e Phoenix Technologies. Atualmente é diretor da unidade de negócios da Safelayer no Brasil.

Enviado por: Marcilio Oliveira

Posts relacionados:

  1. Boas Festas
  2. SOA ajuda Cloud? Sim!

Categorias:


Divulgue esse post:

Adicionar ao Rec6Rec6 Adicionar ao Del.icio.usDel.icio.us Adicionar blog aos favoritos do BlogBlogsBlogBlogs Adicionar ao favoritos do TechnoratiTechnorati LinkTo

Responses

Muito boas suas dicas

Abraços,
Ranieri Marinho de Souza
Segurança da Informação

By: Ranieri Marinho de Souza on July 13th, 2009
at 9:25 pm

Leave a response






Your response: