Best Practices: Securing XML: Case Studies from the Insurance Industry

Aquesta conferència va ser presentada per Tony Palmer, de l'empresa Vordel, una companyia dedicada a proporcionar serveis de seguretat per a sistemes XML i SOA, per tant amb coneixements sobre el tema. Entre els seus clients hi té Telefonica i la Seguretat Social.

Les assegurances han esdevingut ja una commodity. Avui dia no hi ha massa diferències entre el què ofereix una companyia i una altra. Per tant el benefici del sector es centra en el volum de contractació. Això significa que les asseguradores tenen un alt interès en proporcionar mecanismes que facilitin aquesta contractació. El mecanisme per exel·lència són els serveis SOA.

El sector de les assegurances és un clar exemple de necessitat de SOA, però podem saber quan hi ha necessitats d'aquest tipus de serveis mitjançant els següents Símptomes de SOA:

• Leverage existing assets
• Infrastructure is a commodity
• Faster time to market
• Reduce cost
• Mitigate risk
• Continuous business process improvement
• Process-centric architecture

Altre cop parlant del sector de les assegurances, el sr. Palmer va remarcar la Naturalesa del serveis en aquest cas d'estudi:

• Sensitivity, per la naturalesa del sector
• Service levels, degut a què la naturalesa dels beneficis del negoci és en el volum. En aquest apartat, cal tenir en compte els aspectes de: Service degradation, Denial of service, Billing capability

Una altra de les coses que van aparèixer a la conferència va ser l'estratègia a l'hora de posar-se en el món SOA. Com passa sovint, les coses van diferent si vénen de dalt (quan una empresa decideix implantar SOAP/WSDL/UDDI de manera institucional) de quan vénen de baix (els desenvolupadors implanten serveis web per aprofitar les seves avantatges). Així, el sr. Palmer advocava per definir els Web Services com simplement un conjunt d'aplicacions utilitzant XML, fent així referència que l'important és la seva aplicació i utilització. Fins i tot es van introduir "nous conceptes" per a definir aquest darrer cas, com són la tecnologia POX ("Plain Old XML") i la programació JBOWS ("Just a Bunch of Web Services").

Finalment, la presentació va adreçar els principals reptes de la seguretat en el món dels serveis web: la complexitat, l'accés no autoritzat i les amenaces a nivell XML ("XML-level threats").

En quant a la complexitat, el consell és el de desplegar els mecanismes de seguretat com a part de la implantació de SOA, i no esperar a fer-ho al final. Els serveis de seguretat que cal tenir en compte són:

• Signing Services (OASIS DSS)
• Encryption Services
• Security token generation and translation services (SAML, WS-Trust)
• Centralized SMS access

En quant a les amenaces a nivell XML, es van destacar les següents:

• SQL injection
• XPath injection
• Unexpected attachments
• Malformed XML
• XML Denial Of Service
• Over-relianse on WSDL