Definición de políticas
- Área: Servicios Web
- Tipo de pauta: Directriz
- Carácter de la pauta: Obligatoria
Utilizar WS-Policy para especificar las restricciones de seguridad de cada servicio web
WS-Policy es una especificación que permite a los proveedores y consumidores de Servicios Webs anunciar sus políticas y requisitos relativos a seguridad, calidad de servicio, latencia, etc. Se recomienda su uso, como elemento incluido dentro del WSDLs para especificar las restricciones de seguridad de cada Servicios Web.
Pautas
Título | Carácter |
---|---|
Acceso a los metadatos de la política | Obligatoria |
Políticas sin firmar | No Recomendada |
Políticas débiles | No Recomendada |
Información confidencial de la política | Obligatoria |
Acceso a los metadatos de la política
Proteger la información sensible
Para evitar que un atacante pueda obtener información sensible, debemos exigir su autenticación en el sistema, omitir la información confidencial de la política o asegurar el acceso a la política. Para asegurar el acceso a los metadatos de la política, los proveedores pueden utilizar mecanismos de otras especificaciones de Servicios Web como WS-Security y WS-Metadata Exchange.
Políticas sin firmar
Descartar políticas sin firmar
Los solicitantes deberán descartar aquellas políticas que no hayan sido firmadas por el proveedor, aceptando aquellas que presenten suficientes credenciales como para prevenir la falsificación o manipulación de las mismas. Además, deberán comprobar que la firma está realmente autorizada.
Políticas débiles
Desechar las políticas débiles
Una política puede ofrecer varias alternativas que varían de débiles a fuertes. Los autores o proveedores de políticas deben desechar aquellas políticas débiles o configuraciones desactualizadas. Los solicitantes deben descartar aquellas políticas que no estén firmadas por el proveedor.
Información confidencial de la política
Omitir la información confidencial de la política
Para evitar que un atacante pueda obtener información sensible debemos omitir la información confidencial de la política
Contenidos relacionados
Código | Título | Tipo | Carácter |
---|---|---|---|
RECU-0211 | Conceptos de seguridad en los servicios WEB | Especificación | Recomendado |
RECU-0597 | WS-Policy | Especificación | Recomendado |