CAST-Workshop

• Web Service Standards, insbesondere WS-Policy / WS-SecurityPolicy
• Grafische Modellierung von Sicherheitszielen
• Überblick über SOA-Security Forschungsschwerpunkte am Hasso-Plattner-Institut

Das SOA Innovation Lab (www.soa-lab.de) hat 2009 einen Workstreams zur Herleitung einer Gesamtsicht zum Thema SOA & Security durchgeführt. Da SOA ein übergreifendes Konzept ist, sind alle Aspekte der IT-Sicherheit davon berührt. Dies beinhaltet die Ableitung und Definition von IT-Sicherheitsanforderungen an die SOA sowie einen Leitfaden der 10 wichtigsten Do's und Don'ts für SOA Security.

In diesem Vortrag wird Marcus Rubenschuh die das SOA Innovation Lab, die Vorgehensweise und die groben Ergebnisse aufzeigen.

• Ein wesentlicher Zukunftsbereich der IT liegt im Cloud Computing. Hier werden sowohl für den Consumer- als auch für den Enterprise Markt neue Chancen und Möglichkeiten entstehen und mittels Services von Cloud Providern abgedeckt.
• Neben den immensen Chancen bestehen aber auch eine Reihe von Risiken und Unsicherheiten denen adäquat begegnet werden muss.
• Datenschutz, Datensicherheit und Compliance Themen gewinnen, insbesondere im Enterprise Umfeld an Bedeutung und müssen hinreichend adressiert werden.
• Aktuelle technische, organisatorische und prozessuale Weiterentwicklung auf höchstem Niveau müssen durch neue, cloudbasierte Einflüsse gestützt werden.
• Vertrauen notwendig und kann durch eine Zertifizierung der Cloud Services bzw. von Cloud Providern extrem erhöht werden.
• Standards, Prüfschemata die die Themengebiete Prozesse, Technik und Recht abdecken werden notwendige Leitlinien für den Afbau, Betrieb und die Buchung von Cloud Services sowie die Auswahl eines Cloud Providers sein.

• Klassifikation von Schwachstellen,
• Analyse von SOA-Komponenten,
• manuelle und automatische Schwachstellensuche.

• welche Risiken gibt es und wie minimiere ich sie
• Identitäts - und inhaltsbezogene Sicherheit
• Chancen erkennen und Gefahren bannen

• Iaas, Paas und Saas - Kurzvorstellung der Microsoft Angebote
• BPOS – Betrachtung der Services und der Leistungserbringung
• Technische und rechtliche Herausforderungen im deutschen / europäischen Markt

• Um welche Services geht es?
• Public vs. private Cloud?
• Welche Anforderungen für einen sicheren Betrieb bestehen?
• Wo soll die Datenspeicherung erfolgen?
• Vorkehrungen für Not- oder Katastrophenfälle im Mittelstand

• Cloud-Charakteristika und deren Auswirkungen auf die IT-Sicherheit
• Bedrohungen der Cloud
• Taxonomie der sicherheitsrelevanten Bereiche
• 10 Do's und Dont's der Cloud-Computing-Sicherheit

• Vorstellung des Projekts "Secure SOA Middleware" vom BSI
• Darstellung der Vorgehensweise im Projekt
• Auszüge aus geplanten Projektergebnissen