Por COMPUTERWORLD

A arquitetura orientada a serviços muda alguns aspectos fundamentais na questão de segurança da informação. Ela introduz, para começar, uma forte confiança em terceiros para desenvolvimento e operação. De acordo com vice-presidente de segurança e privacidade do Gartner Ray Wagner, este é só o começo no que diz respeito à exposição do sistema com SOA.

Apenas para dar um exemplo, uma aplicação como essa depende de um terceiro que desenvolva sistemas baseados em web. Isto significa que a rede aumentará seus acessos à web. Mas Wagner pontua: "a cada vez que você recebe updates de sistemas da Microsoft, você já está fazendo isso." A diferença é que a quantidade de troca de informações com a web aumentará muito com aplicações em SOA.

A segunda questão envolvendo a aplicação de arquitetura orientada a serviços é ainda mais complicada de se resolver. Trata-se de uma questão ainda mais técnica: "XML pode conter arquivos executáveis de diversos tipos, incluindo códigos desenhados para prejudicar o sistema", avisa Wagner. Isto quer dizer que a exposição aumenta ainda mais, como no primeiro caso.

A diferença com relação a desenvolvimento XML é que o problema deixa de ser uma questão de educar usuários a não baixar arquivos de sites desconhecidos. Em geral, se houver algum "malware" entrando em sua rede por meio de sistema XML, terá provavelmente sido porque sua empresa tornou-se alvo de hackers.

O terceiro ponto é o modelo de gerenciamento de identidade. Em SOA, os critérios mais complexos ainda não são utilizados. Em uma transação simples, o usuário faz uma autenticação no início da sessão e faz tudo o que tiver de fazer até terminar o acesso. Em algumas empresas, é preciso dar novos inputs de identificação para que o sistema consiga identificar o usuário e tudo o que ele fez na rede.

De acordo com Wagner, muitas vezes a questão de identidade é ainda pior. O usuário consegue dar início a uma transação e sair da rede, e a transação é finalizada no servidor, sem que o usuário esteja conectado. Na prática, isto significa que se a transação for danosa ou colocar as informações da empresa em risco, o gestor de segurança não saberá sequer localizar de onde veio aquela demanda.

A boa notícia, diz Wagner, é que o mercado já está trabalhando em sistemas que melhoram as falhas de segurança em SOA.