クラウド向けSAMLの実験

クラウドのビジネス利用におけるセキュリティ課題を検証する実証実験が開始:Security NEXT

三菱総合研究所と三菱電機は、経済産業省の受託事業として、企業の既存システムとクラウドの連携におけるセキュリティ上の課題を検証する実証実験を開始した。
今回の実証実験は、既存システム環境とプライベートクラウドやパブリッククラウド環境を組み合わせて利用する際におけるセキュリティ上の課題を取りまとめ、今後のクラウド普及を目指す試み。
具体的には、「SAML」を活用した認証によるシステム間の連携やクラウドに散在するデータの保護、クラウドに対するアクセス管理、大規模ユーザーにおける稼働、セキュリティに関する評価を行う。
両社は実証実験の環境が整ったとして検証を開始しており2月26日まで実施する予定。実験終了後は、技術面や業務面の評価を取りまとめ、広く提供する予定。

MRIの報道発表 http://www.mri.co.jp/NEWS/press/2010/2015961_1395.html
企業システム環境、プライベートクラウド環境、パブリッククラウド環境、リモートアクセス環境からなる連携システムの実験。
パブリッククラウド環境はEC2を使用。

○検証内容
・認証連携機能評価
企業システムとクラウド環境の共存利用状況において、主にSAML(1回の認証のみで各システムの横断利用を可能とする技術の一種)を活用して、認証および認可が適切に連携できることを検証します。
・データ保護機能評価
クラウド環境において、データが適切に保護されることを検証します。
・ネットワーク仮想化機能評価
IPv6(次世代のインターネット通信方式)を活用した仮想ネットワークにより、クラウド環境に配置される各サーバーへのアクセスが適切に制御されることを検証します。
・スケーラビリティー評価
大規模ユーザ環境でのアプリケーション稼働を評価します。
・セキュリティー評価
企業システムのクラウド環境移行時に想定されるセキュリティー脅威への対策を評価します。

XML処理の脆弱性 – XercesはじめSun, Apache, Pythonのライブラリ

CERT-FIから発表された脆弱性。
XMLをパースするコードに脆弱性があり、DoSあるいはコード実行の危険がある。
影響が大きそう。
CERT-FIの発表
CERT-FI – CERT-FI Advisory on XML libraries
XML要素で、予期しないバイト値とネスとされたカッコを含むデータをパースする際に、メモリ境界外へのアクセスや、無限ループが発生する。
対象:
# Python libexpat
# Apache Xerces, all versions
# Sun JDK and JRE 6 Update 14 and earlier
# Sun JDK and JRE 5.0 Update 19 and earlier
XML flaw threatens apps built with Sun, Apache, Python libraries – Network World

Vulnerabilities discovered in XML libraries from Sun, Apache Software Foundation and Python Software Foundation could result in successful denial-of-service attacks on applications built with them, according to Codenomicon.
“There are probably millions of these applications,” says Dave Chartier, CEO of Codenomicon, the security vendor that makes a protocol-analysis fuzzing tool, Defensics, and earlier this year added a way to test for vulnerabilities in XML code.
多分何百万種類ものアプリケーションが該当する。

XMLがどこで使われているかの説明が興味深い。

“XML implementations are ubiquitous — they are found in systems and services where one would not expect to find them,”
XMLの実装は普遍的だ。使われていると想像もしないようなシステムやサービスに使われている。

だから危険だ、ということ。
続報。
Expect hacker attacks on XML flaws, analyst warns – Network World
この脆弱性を持つライブラリは広範なアプリケーションで使われている。

The bigger issue is that many developers have implemented open-source XML libraries in custom and commercial applications, and over the years, people may be unaware what has been used in an application, he says.
より大きな問題は、多くの開発者がオープンソースのXMLライブラリをカスタムや商用のアプリケーションに使用して、時とともに何が使われているのかわからなくなっている場合があることだ。

エンタープライズ向けマッシュアップ

マッシュアップを3種類に分類:presentation, data, logic
Mashup Basics: Three for the Money – SOA / Web Services – Network Computing
logic machupによって従来のワークフロー的アプリケーションまでカバーできる。
それようのツールベンダーとしてSerena Software。

Application/XML-Aware Networks

ネットワーク機器のトレンドとして、アプリケーション、特にXMLを処理する方向に向かっている、というレポート。
Light Reading – Services Software – Application/XML-Aware Networks – Telecom
ニーズと特性、効果が良くまとまっている。
サービス事業者にとって価値を高める効果があると言う点のほかに、エンタープライズにおいてはメッセージングのソリューション導入に際して、従来のCAPEXベースにたいしてOPEXベースの選択肢を提供する、とある。
ネットワーク機器自体がメッセージングに使われる場合はApplication-awareの方が価格性能比がいいことと、ネットワークにアプリケーション処理を組み込んでおくことによって、アプリケーション開発のコストを抑えられることによる。

IBMのビッグディール

CNETに載った、ボストン近郊のコンサルティング会社ESGのJon Oltsikによるコメント。
この人の記事はいつも共感させられるけど、IBMのDataPower買収を大きな出来事(Milestone)と評価しているのにはついつい頷いてしまう。
IBM’s big deal | News.blog | CNET News.com
JonはPNAP, Pervasive Network Application Processingが広まる前兆と捉えていて、F5もPNAP specialistsの1社に挙げている。要するにネットワーク上でのアプリケーション処理が今後大きな流れになる、ということか。

“IBMのビッグディール” の続きを読む

WebMethodsがSOA利用状況調査結果を発表

WebMethodsがSOA利用状況調査結果を発表。
回答した480ユーザの中で80%以上がWebサービスを実装済み。
半数以上が月間1万件以上のWebサービス・トランザクションを処理。6%は100万件以上。
SOA導入の障壁に挙げられたのは、SOAの知識、ROI、標準規格への取り組み、など。
webMethods’ Survey Shows Growing Momentum of Service-Oriented Architecture: Financial News – Yahoo! Finance
Monday October 10, 8:30 am ET
Education and Training Slated to be Among Key Drivers of More Widespread Adoption

IBMがSOA管理の実践プログラムを拡大

IBMグローバルサービスがIT管理を強化 – SOA Management Practice (SOA管理の実践)プログラムに新パートナーが加入してSOAの生態系が進化する。
IBM Press room – Press releases
IBM Global Services Strengthens On Demand IT Management Capabilities
SOA Ecosystem Evolves With New Partners Joining SOA Management Practice
ARMONK, NY — Sep 29, 2005 — IBM Global Servicesは本日、SOA Management Practice (SOA管理実践プログラム)を拡大し、2社の新しいパートナーと新たな役割を公表した。去年創設されたIBM Global ServicesのSOA管理実践プログラムはSOAの実装に必要となる洗練され充実した管理機能のセットを提供する。…当初の成功を受けて今回、新たなパートナー2社(ActionalとDataPower)がこの実践プログラムに参加した。

“IBMがSOA管理の実践プログラムを拡大” の続きを読む

SOAのセキュリティ

バートン・グループのレポート:「 SOA内でのセキュリティに取り組む」に関する記事。
システムのどこにSOAのセキュリティ機能を配置すべきか。
Burton report: Tackling security inside SOA
Burton Groupの…Anne Thomas ManesはXMLセキュリティ機器を通信路中やアクセス・ポイントに配置し、Webサービス管理の機能をエンドポイントに配置してポリシーを適用している。
セキュリティはアプリケーションやサーバから極力分離した方がいいし、セキュリティをわかっているITセキュリティの担当者が管理すべきだ。
WS-Security仕様がSOAにおいて企業ポリシーを定義するのに適している。UDDIは設計から運用にいたるまでの統制のためにWebサービスの管理に利用されるべきだ。

連携ゲートウェイがIDを橋渡しする

複数の組織がログイン情報を連携させる際、使用する標準規格によってつながらないことがあるのを、ゲートウェイでつなごう、という話。
NETWORKWORLD Online – 新“橋渡し”技術 連携ゲートウェイ
「Security Assertion Markup Language(SAML)」「Liberty Alliance」「WS-Federation」…3種のプロトコル間ばかりか、同じプロトコルでもバージョンが異なると互換性が失われる… こうした問題を解決する新技術として登場したのが、「Federation Gateway(連携ゲートウェイ)」
原文
筆者は認証プロトコル変換製品メーカーTrustgenixのCEO