如何保护Intranet Web服务?在我们公司,我们一直在讨论保护我们的Web服务需要什么级别的安全性。
制作高安全性的Web服务是否有用,因为它很难实现,所以没有人会使用它?
您有任何经验或资源(链接/白皮书)吗?
感谢您的帮助!
答案 0 :(得分:1)
我可以保证WS-Security很难实现,但可以更好地控制消息的安全级别:
但是,如果您正在查看内部Web服务,我发现SSL / TLS更容易实现,但仍然可以提供强大的加密。如果要添加身份验证,可以使用服务器上的基本身份验证来完成身份验证。
我怀疑你是否需要同时使用WSS和TLS,但是其中一些信息人员会大声喊出防御深度,并说如果有人可以解密你的HTTPS会话,这是一个好主意。我曾经是其中一个人,可能会说,但我一直在寻找证明我老板的咨询费用的理由。
因此,它真正归结为业务需求以及您正在查看的数据类型。
此外,我会认为内部网络上的恶意人员可能会追踪您的数据源,而不是您传输的数据。
一点个人经历:
我已经为政府网络服务实施了WS-Security,但他们可以通过公共互联网。我为金融机构工作的内部服务通过HTTPS和基本身份验证符合审计要求。
干杯!