Houve casos de portais importantes ficarem inoperantes devido a um bug em um WS client ter enviado a um WS um XML de alguns gigabytes; o WS tentou carregar o XML todo na memória, que acabou estourando. Na sequência, cada máquina do cluster tentou fazer a mesma coisa e todas elas cairam.

Como prevenção, ou cria-se mecanismos para prevenir as diversas possibilidades, ou usa-se um appliance, hardware especial que funciona como filtro. Interessante.

Quem souber de casos interessantes sobre isso, e como foram resolvidos, deixe sua mensagem.

Abraço

Marcelo

Related posts:

1. SOA ajuda Cloud? Sim!

Exemplos: Mecanismo de Segurança de Serviços, Mecanismos de testes de serviços, Mecanismo de controle de “runtime Policies”,  etc…

Para as empresas que fizeram o dever de casa, estruturaram seu grupo de arquitetura (ou núcleo SOA), evoluiram a Arquitetura de referência e criaram seus mecanismos arquiteturais e de governança, essa preocupação é bem menor…

Abaixo, dois trechos interessantes falando sobre um dos fatores críticos na adoção de SOA: segurança.

——

Segurança desencoraja uso de SOA e webservice

Silvia Balieiro, da Info CORPORATE
12/11/2008

SÃO PAULO – Na opinião de executivos de TI, o uso de SOA e webservices traz muitos riscos à segurança das empresas.

A informação vem de uma pesquisa global encomendada pela CA. Os números apontam que 43% dos executivos de TI classificam as ameaças à segurança como o item mais crítico na implementação de SOA e de webservices.

Os profissionais entrevistados disseram ter enfrentado uma média de sete ataques ao XML relacionado à Arquitetura Orientada a Serviço (SOA) e ao webservice no ano passado. 57% dos pesquisados admitiram já ter adiado ou atrasado algum projeto desse gênero devido à preocupações com segurança.

Outro dado do estudo mostra que, para 93% dos homens de TI é fundamental a integração do SOA e dos webservices com as soluções de gestão de acesso e identidade. E 43% desses profissionais já fizeram essa integração.

—

Segurança é ponto crítico em SOA e serviços web

fonte: TI Inside: http://www.tiinside.com.br/News.aspx?ID=102376&C=262

“A questão de segurança é a principal preocupação das empresas na tomada de decisões em relação a implementação de arquitetura orientada a serviços (SOA, na sigla em inglês) e de serviços de Web. De acordo com uma pesquisa global, patrocinada pela CA, 43% dos executivos sênior de TI classificam as ameaças à segurança como o item mais crítico na implementação de aplicações de SOA e de serviços baseados na Web.”

Related posts:

1. Webinar: Maturidade e Roadmap SOA. Participe!
2. Davi x Golias em SOA
3. SOA ajuda Cloud? Sim!

por: Marcelo Branquinho

Quando um desenvolvedor precisa incorporar segurança em uma aplicação e deve escolher um toolkit de segurança baseado em PKI, há uma lista de qualidades desejáveis que lhe ajudarão a avaliar as diferentes opções disponíveis no mercado.

Antes de tudo, o toolkit teria que ser completo, implementando todos os padrões. Em um dado momento um toolkit pode ser completo, mas tão logo apareça um novo padrão, será preciso recompilar todas as aplicações que usam este toolkit, o que representa perda de tempo e a necessidade de novos investimentos por parte da empresa.

Proteção é fundamental

Atualmente as empresas usam uma infraestrutura de TI heterogênea: sistemas operacionais diferentes com versões diferentes, assim como aplicações desenvolvidas em várias linguagens de programação; Para tanto, um toolkit multi-linguagem e multi-plataforma que ofereça uma API uniforme é uma característica muito interessante.

O Toolkit ideal deveria ser aberto para poder simplificar a interação entre as aplicações corporativas.

A Arquitetura Orientada a Serviços (SOA) é uma boa solução que cumpre com todos os requisitos listados anteriormente. SOA, por definição, proporciona interoperabilidade entre várias aplicações que executam sobre diferentes plataformas de hardware e software. Esta característica permite a reutilização de serviços e componentes dentro de uma mesma infraestrutura.

Os serviços Web, como caso particular do SOA, utilizam um conjunto de padrões e protocolos abertos. Os protocolos e o formato dos dados são textuais, o que facilita a compreensão por parte dos desenvolvedores.

Dispor de uma plataforma uniforme, multi-linguagem e multi-plataforma se torna algo simples: a linguagem de definição de serviços Web (WSDL) permite a especificação de uma interface bem definida que pode ser implantada em diferentes plataformas usando componentes e ferramentas disponíveis no mercado tais como o Axis ou o .NET.

Os Toolkits oferecem um conjunto de operações atômicas que permitem construir a lógica do negócio dentro dos programas. Esta lógica deve estar extremamente bem definida para que os programadores a implementem da melhor maneira. Qualquer pequena alteração nesta lógica pode tornar necessária a reescrita de trechos de código ou, em uma tentativa de evitá-lo, precisar de métodos complexos de configuração.

A Plataforma de segurança TrustedX ( http://www.tisafe.com/Recursos/lit/DS_TrustedX_TISafe.pdf ), da Safelayer, usa SOA para oferecer operações de alto nível de abstração.: “assinar um documento”, “verificar a assinatura de um documento”, cifrar/decifrar um documento”, “verificar a autenticação e autorização”, etc. A complexidade requerida pela lógica de negócio passa a residir fora das aplicações. Esta idéia bem simples tem enormes vantagens:

• Não é preciso recompilar os aplicativos no caso de aparecerem novos padrões. Basta somente atualizar o núcleo central da plataforma para que todas as aplicações sejam capazes de dispor deles de forma imediata.
• A lógica do negócio pode mudar em qualquer instante sem que para ele seja preciso modificar uma linha de código ou recompilar.

Algumas pessoas dizem que os serviços Web podem oferecer rendimento pior que outras técnicas de programação distribuída como RMI, CORBA ou DCOM. O XML foi desenhado explicitamente sem ter em conta os aspectos de codificação ou eficiência no parsing. O Padrão de XML Infoset (http://www.w3.org/TR/xml-infoset/ ) reduz o tamanho da codificação assim como agiliza o processo de parsing se comparado com o padrão de XML proposto pelo W3C.  Representações binárias como o SOAP MTOM (http://www.w3.org/TR/soap12-mtom/ ) prometem melhorar a eficiência da troca de mensagens usando o XML.

Nos meus próximos posts tratarei sobre este e outros temas relacionados ao uso da segurança da informação na arquitetura SOA. Espero que apreciem.

–

Marcelo Branquinho é Diretor da TI Safe, especialista no uso de criptografia e assinaturas digitais (PKI) para a segurança da informação, com MBA em gestão de negócios, é também sócio-fundador do capítulo do Rio de Janeiro da ISACA. Teve atuações marcantes como Diretor para a América do Sul da Eracom Technologies e Phoenix Technologies. Atualmente é diretor da unidade de negócios da Safelayer no Brasil.

Related posts:

1. Boas Festas
2. SOA ajuda Cloud? Sim!