EAI, SOA, EDI, Web services..., ces nouvelles architectures communicantes dialoguent désormais en échangeant des fichiers XML en dehors des instances transactionnelles traditionnelles.
Mais ces flux de données qui traversent les réseaux IP peuvent également transporter la menace jusqu'au coeur du système. Les protections classiques ne sont pas toujours les mieux adaptées.
Le pare-feu XML répond aux besoins de sécurité et de performance de transmission.

Enjeu

Les entreprises adeptes du SOA (Service-Oriented Architecture) ouvrent de plus en plus leurs infrastructures aux échanges entre partenaires sur Internet.
De manière générale, les entreprises utilisent davantage les échanges de données au format XML. Elles s’impliquent ainsi dans les services web lorsqu’elles communiquent vers l’extérieur, même si elles n’en ont pas forcément conscientes.
Les équipes de sécurité ne sont pas à la page des architectures SOA et, pour nombre d’entre elles, sont accaparées par les simples mises à jour de leurs serveurs. De leur côté, les développeurs web, et les développeurs logiciels en général, restent quelques peu candides sur le fonctionnement du protocole (pour un développeur, un réseau demeure un service acquis, sans grande valeur ajoutée) et sur la vulnérabilité de leurs logiciels orientés services face aux pirates.
Pour les équipes en charge de la sécurité, l’urgence plaide en faveur d’une formation accélérée à la sécurité des services web et du déploiement de technologies de sécurité appropriées, les deux piliers d’une ligne de défense contre la première vague de menaces, celle qui abuse allègrement de la méconnaissance en matière de sécurité.

Principe d'un pare-feu XML

Un pare-feu XML, premier brique de cette ligne de défense, se différencie d’un pare-feu traditionnel, ce dernier se révélant inefficace pour éradiquer les menaces sur les services web.
Un pare-feu XML se déploie en aval du pare-feu traditionnel pour parer à ces vulnérabilités.
Un pare-feu XML est conçu spécifiquement pour inspecter les flux XML et SOAP (Simple Object Access Protocol) sur protocoles de base HTTP/HTTPS et éventuellement sur des protocoles tiers.
Le pare-feu XML est déployé en tant que proxy du périmètre réseau : il masque l’adresse des équipements internes et accepte les requêtes vers des points périphériques extérieurs ou “virtuels”.
Les fonctionnalités de sécurité mises en oeuvre se dimensionnent compte tenu du risque d’entreprise. Elles portent notamment sur :

• la validation des messages,
• l’« obfuscation » des exceptions,
• la détection des intrusions,
• le routage selon le type de contenu,
• la transition de protocoles
• la sécurité au niveau de la couche de message.

Contrôler l'information

La plus évidente des tâches est de vérifier l’intégrité des requêtes et des réponses en validant la structure et la légitimité de tous les messages échangés.
Dans ce contexte, le pare-feu XML scrute la syntaxe des messages SOAP (conformité de la structure aux spécifications SOAP 1.2), ainsi que la sémantique transactionnelle et déclarative (autorisation de réponse soumise à différents paramètres).
Les entreprises adoptent davantage le pare-feu XML pour mieux maîtriser leur degré de vulnérabilité aux spywares, vers, virus et autres programmes malveillants. L’avènement des logiciels malveillants, qui s’immiscent dans les documents SOAP sous forme d’un fichier joint binaire codé en MIME ou en DIME, y est sans doute pour quelque chose.
Comme pour les protocoles de couche réseau, plus la couche réseau/applicatifs est élevée plus il y a d’information contextuelle à traiter. Au sein de la sphère des services web, cette information se constitue de données détaillées d’entreprise.
Les contrats de services web, disponible publiquement, exposent de plus en plus des données essentielles d’entreprise. Cette donne incite les meilleurs pare-feu XML à aller au-delà des tâches de base et à proposer de nouvelles fonctionnalités : détection de l’utilisation inappropriée des ressources et des privilèges, surveillance des flux d’informations confidentielles et détermination précise des conséquences d’évènements en utilisant les techniques d’analyse comportementale ou d’analyse statistique (taux, intensités, seuils et écarts).

Les normes de sécurité

Le pare-feu XML est particulièrement approprié pour neutraliser les actes malveillants et instaurer des services web de confiance.
L’authentification, l’autorisation et la confidentialité sont essentielles à la sécurité des transactions privilégiées d’entreprise.
Le pare-feu XML utilise les informations de sécurité contenues dans chaque message échangé pour sécuriser les différentes parties d’un message SOAP. Il est compatible aux différents protocoles de transport et renforce les assertions de sécurité (WS-Security) des messages de services, de port ou d’opération (en utilisant des certificats X.509, des tokens Kerberos ou des tokens d’authentification SAML).
Le pare-feu XML instaure une approche gagnant-gagnant pour les entreprises utilisatrices de services web. Les administrateurs capitalisent sur des listes de contrôle d’accès, des autorisations basées sur le profil et une sécurité au niveau de la couche des messages pour créer une stratégie de sécurité à base de règles, souple et capable de s’adapter à des besoins en constante mutation.
De leur côté, les développeurs logiciels se voient ainsi libérés de la contrainte de spécifier dans leur code les éléments complexes déclaratifs ou impératifs de sécurité.

SAML (Security Assertion Markup Language)

SAML est un standard basé sur XML qui permet la description et l'échange des informations de sécurité (codes d'accès, privilèges, méthode d'authentification, autorité de certification..) exprimé sous la forme d'assertions pour les sujets (humains ou objets) connus du système.
L'enregistrement, appelé jeton, est encapsulé dans SOAP et permet ainsi l'accès à des services distribués (décrits en WSDL) sans nouvelle identification (SSO - Single Sign On). Il définit pour chaque application et chaque individu, un objet (l'entité), et lui a associe des privilèges (les attributs). SAML ne préjuge pas des mécanismes d'authentification et d'autorisation employés.
SAML, l'une des propositions de sécurisation les plus avancées actuellement, est gérée par l'OASIS et soutenue par BEA, CA, HP, Hitachi, IBM, Netegrity, RSA, Sun, Verisign...

WS-Security (Microsoft)

WS-Security est le standard proposé par Microsoft pour la sécurisation des services interopérables. Plus large que SAML, il intègre le traitement de l'authentification, du chiffrement et de l'intégrité des données. Il accueille les specifications tierces comme SAML, XrML, mais aussi Kerberos, X509...
Deux spécifications majeures ont été définies :

• XML-Encryption chiffrement total ou partiel du document,
• XML-Signature authentification des interlocuteurs et l'intégrité du message.

Ces normes sont encore en cours d'implémentation dans beaucoup de produits.
L'organisme normalisateur est le WS-I.

XrML (eXtensible rights Markup Language)

XrML est un langage proposé par Content Guard (joint venture entre Xerox et Microsoft), pour spécifier et protéger les droits et indiquer les conditions (licences) associées à l’utilisation et à la protection du contenu.