Web services e os aspectos de segurança

Entre estas características destacam-se:

– Metodologia e linguagem padrões para a exposição das interfaces. Os Web Services utilizam XML como linguagem básica e o WSDL (Web services Description Language), como forma de descrição das interfaces, padronizadas, públicas e de larga aceitação;

– Total independência de plataforma e linguagem de programação. Eles podem ser escritos em qualquer código, são executados em qualquer plataforma de hardware e software. Esta característica é uma das mais importantes e permite que sistemas legados possam ser totalmente reaproveitados.

– Uso de vários tipos de protocolo de transporte, embora o mais utilizado atualmente seja o http ou https.

Como exemplo, vamos pensar numa transação de compra via Internet, na qual ao seu final, o comprador informa seu endereço e o sistema calcula o frete para a entrega dos produtos. Todo processo de cálculo pode ser encapsulado em um Web service. Desta forma, a plataforma de comércio eletrônico que está sendo usada na transação apenas faz a chamada ao Web service de cálculo de frete.

A tecnologia de cálculo de frete pode ter vida completamente independente do sistema de e-commerce, tanto nas questões de plataforma como nas questões geográficas (localização) e de governança. Da mesma forma que houve o isolamento do cálculo de frete em um Web service, outros sub-sistemas também poderiam ter tratamento semelhante (status da ordem de compra, acesso ao meio de liquidação financeira).

Além de operações B2C, os Web services vêm ganhando muita relevância nos outros segmentos, principalmente no mundo B2B e B2G. O objetivo é termos comunicação entre de forma bastante automatizada, inclusive com serviços automáticos de localização, descrição de características e integração. Nesta linha, o UDDI (Universal Description, Discovery and Integration) vem se mostrando como uma tendência.

Mas, o estágio atual da tecnologia ainda precisa de mais desenvolvimentos. Muitos chegam a afirmar que os Web services são muito simples, pois estão resolvendo problemas simples. De toda forma, eles já passaram pela fase dos ?early adopters? e começam a ser adotados em maiores quantidades e para solução de problemas mais complexos e críticos para a operação das empresas.

Nessa adoção em situações reais, algumas necessidades se fazem imediatas, sendo uma delas, talvez a principal, a questão da segurança. Na medida em que Web services disponibilizam serviços para o mundo, algumas preocupações com segurança aparecem de imediato, entre elas:

– Garantir a quem está acessando o serviço que o provedor é realmente quem se diz ser;

– Assegurar ao provedor que quem está acessando possui perfil compatível para acessá-lo;

– Garantir que os dados que estejam trafegando entre as partes não foram adulterados.

A solução atualmente disponível é a segurança no protocolo de transporte, através do uso do http. No entanto, ela não é totalmente suficiente, nem adequada para resolver todos os problemas. As mensagens trocadas pelos Web services são encapsuladas em envelopes SOAP (simple obejct access protocol). Estes, por sua vez, permitem identificação do destinatário, do serviço que se está querendo acessar, dos parâmetros necessários para a execução do serviço.

As necessidades de segurança em Web services passam pela segurança a título de SOAP, ou mais especificamente, a título de campos XML, diminuindo-se assim a granularidade. Várias iniciativas vêm sendo tomadas para equacionar estas necessidades, entre elas o ws-security. De toda forma, elas ainda estão na fase de término de especificação. Entrando na seara da adoção prática destes mecanismos de segurança, seria muito interessante se pudéssemos contar com uma infra-estrutura capaz de oferecer serviços que permitam implantá-la da forma mais automatizada possível.

Uma solução bastante interessante está baseada nos conceitos utilizados em ssistemas de single signon. A idéia é concentrarmos os mecanismos de segurança em um ?servidor de políticas de segurança? e instalarmos um agent no Web server que está sendo utilizado para servir o Web service.

Conclusão, os Web services passarão a ser parte fundamental das soluções de sistemas Internet nos próximos anos, principalmente em B2B e B2G; os mecanismos de segurança ainda não estão totalmente padronizados; para que sistemas baseados em Web services sejam colocados em produção, os mecanismos de segurança precisam ser resolvidos; devemos adotar soluções de segurança flexíveis.