Comment sécuriser les Mashups

Le principe des mashup (voir : Expliquez-moi…les Mashups) est facile ; on prend 2 choses de source différente afin de créer quelque chose de nouveau. Pour tirer parti d'un mashup, il faut peser sa valeur ajoutée contre les besoins de sécurité. En effet des mashups peuvent traiter de données confidentielles à ne pas mettre dans toutes les mains.

Il existe deux types d'applications composites : l'un centré sur la présentation, l'autre centré sur les données. Google Maps est de type centré sur la présentation. Les mashups centrés sur les données combinent 2 services ou plus pour créer un point d'intégration. Cela n'apparaît pas sur l'écran ; ce sont les plus dangereux.

5 axes de sécurisation

» Procédures de sécurité

La sécurité des mashups au niveau des procédures recommande des pratiques de conception. Ici, les procédures ne s'occupent pas de la technologie sous jacente, ni des outils de sécurité, mais possède un aspect plus global visant les menaces de sécurité en instaurant des règles ou un état d'esprit. Des questions légales se posent ici : l'utilisation de procédures officielles peut protéger les atouts de l'entreprise et fournir un moyen de détecter ceux qui violent ces pratiques.

Comment faire ? Il est intéressant de regarder les cas utilisateur, d'examiner comment l'information et le comportement des systèmes de l'entreprise doivent être protégés ou bien d'exprimer dans quels cas les mashups sont permises.

» Accès aux données

Contrôler l'accès aux bases de données sous jacentes et aux entrepôts de données permet de s'assurer que l'information, soutirée par le mashup, ne sera pas compromise. La protection passe par le biais de mots de passe au niveau base de données. Le mashup doit fournir des certificats d'authentification pour consommer les données de l'entrepôt.

Ce que font les mashup avec ces informations n'est, par contre, plus sous le contrôle du mécanisme de sécurité d'accès aux donnée ; c'est la qu'interviennent les procédures de sécurité exprimées plus haut.

» Accès aux services

Les services sont à protéger de façon similaire aux bases de données. Les services peuvent exister sous forme d'applications ERP ou CRM, par exemple, ou par des services construits autour d'une architecture SOA. Typiquement, mais pas toujours, les services sont accessibles via les services Web grâce à des interfaces de programmation (API).

La sécurité au niveau service dépend du système dans lequel le service réside. SAP, par exemple, emploi son propre sous système de sécurité pour valider l'accès à ses services Web. Le mashup doit fournir le bon certificat pour accéder au service ou à l'API (voir : A la découverte de WS-Security ).

» Accès à l'écran

Il est important de fournir aux utilisateurs des identifiant et des mots de passes pour transmettre l'information à l'interface utilisateur. Il est nécessaire de savoir que le procédé ne tombe pas dans de mauvaises mains.

» Gestion de l'identifiant

L'idée de base dans la gestion de l'identifiant est de contrôler tous les producteurs et les consommateurs de service et d'assurer que les services invoqués soient vraiment les services sensés être invoqués. En d'autres termes, tous les consommateurs sont connus, identifiés et autorisés comme tous les producteurs.

Actuellement la plus part des mashup d'entreprise n'utilisent pas des services ou des données contrôlées par une infrastructure de gestion d'identifiant. La popularité grandissante de l'architecture SOA devrait dynamiser la sécurité basée sur l'identification, mais pour l'instant, ce n'est pas une option pour la plus part des entreprises, ce qui s'explique par le coût et au coté récent de la technologie.

Une plate-forme sécurisée

Pour mettre en place une plate-forme sécurisée on peut proposer trois moyens.

» Créer une procédure de fonctionnement et de développement du mashup claire et faire travailler l'équipe de sécurité avec les développeurs.

» Créer un suivi technologique pour la sécurité en utilisant les technologies de sécurité existantes dans l'entreprise mais aussi en s'informant des nouvelles.
» Créer un modèle de gestion de l'identifiant pour l'architecture SOA.

Les Mashups offrent une nouvelle plate-forme précieuse pour créer rapidement des applications d'entreprise pratiques et utiles. Proprement implémenté, un ensemble de mashups peut fournir un infrastructure pour apporter toute sorte de développements Web innovants.