Soa Security Governance

Tags:

Introduzione

Prendendo a riferimento il lavoro degli esperti di ‘The Open Group’ (ref. http://www.opengroup.org), pietra miliare dei modelli d’implementazione e governance delle architetture orientate ai servizi, si può notare che la formalizzazione intrapresa lascia scoperta la tematica di Security Governance che risulta, invece, centrale nella fase di maturità raggiunta oggi dalle sperimentazione SOA delle aziende Entreprise.

In questo articolo viene presentato il tema della SOA Security Governance cercando quante più connessioni possibili con lo standard framework per la security governance (cfr. CoBIT o ISO 17799) al fine di poter riutilizzare tutte le formalizzazioni ormai sedimentate di tale framework.

Per semplificare la comprensione della metodologia, verranno introdotti in ciascun paragrafo degli esempi che derivano dall’applicazione del modello nei contesti in cui lo stesso è stato testato e raffinato.

Lo standard security governance framework

In questo lavoro concentreremo la nostra attenzione sulla modellazione di un framework di Security Governance per le SOA che hanno un livello di maturità tale da comporre servizi di business attraverso servizi unitari.

Per dare un chiaro riferimento, osservando la Figura 1, ci stiamo riferendo alle modellazioni d'integrazione dei servizi a partire dal livello 4 in poi (colonna "services"). 

Figura 1 - Service Integration Maturity Model (fonte OpenGroup)Figura 1 - Service Integration Maturity Model (fonte OpenGroup)

 

Osservando la figura del modello SIMM (Services Integration Maturity Model) si noterà che dal livello “services” in poi ci si aspetta un sostanziale allineamento fra la IT governance e la SOA Governance. 

Riportando tale allineamento al contesto di Security Governance, oggetto del presente lavoro, possiamo partire da un modello standard di IT security governance per provare poi a contestualizzare il tutto sulla SOA Security Governance.

Un Security Governance Framework standard è sinteticamente composto da:

  1. una metodologia per l’information security risk management
  2. una strategia di sicurezza strettamente connessa con gli obiettivi di business e dell’IT
  3. una struttura organizzativa dedicata all’information security
  4. una strategia della sicurezza che prenda in carico il valore dell’informazione da proteggere ed utilizzare
  5. policy di sicurezza che indirizzino ogni aspetto di strategia, controllo e regolamentazione
  6. un insieme di standard di sicurezza (per ogni policy), necessari ad assicurare che procedure e linee guida possano riscontrare le policy
  7. un processo di monitoraggio istituzionalizzato per assicurare compliance e feedback per il processo di mitigazione del rischio
  8. un processo di valutazione continua e di aggiornamento delle policy di sicurezza, degli standard, delle procedure e dei rischi

Mentre i punti 4 e 8 possono essere mutuati senza stravolgimenti fra la gestione di governo delle infrastrutture IT canoniche e quella della SOA, i rimanenti punti non possono essere semplicemente riapplicati alla SOA, se non con grossolana approssimazione.

La formalizzazione proposta prevede che la gestione del ciclo di vita dei soggetti di security (identità, dati, servizi) sia inserita in un contesto di SOA Quality fortemente interconnesso con i temi di SOA Governance (vedi Figura 2). Questo contesto è maggiormente orientato al design time, tanto quanto le infrastrutture di servizio lo sono al run-time, in modo da ottenere un dispositivo di sicurezza bilanciato tra la formalizzazione delle policy e l’implementazione dei servizi di enforcement.

Figura 2 - Componenti di security nella SOA (fonti varie)Figura 2 - Componenti di security nella SOA (fonti varie)

 

In questo articolo ci occuperemo fondamentalmente del punto 1 del framework che riguarda la creazione di un modello di Information Risk Managment per SOA.