WebSphere Application Server V7高级安全性加强,第2部分

高级安全性注意事项

简介

第 1 部分 解释了 IBM WebSphere Application Server V6.1 和更高版本在设计时如何考 虑到默认安全性安全原则。目标是在最常见的配置和比较简单的环境中,让这个产品在默认情 况下具有合理的安全水平,尽管这个目标还没有完美地实现。前一篇文章最后介绍了 WebSphere Application Server 中已经采用的许多重要的基于基础设施的预防性安全措施。本 文介绍基于应用程序的其他预防性措施,然后讨论一些重要的注意事项。

尽管本文中的信息基于 IBM WebSphere Application Server V7,但是讨论的大多数问题同 样适用于 V6.1。对于某个版本特有的问题,我们会专门指出。

基于应用程序的预防性措施

配置措施

到目前为止,本文的重点是为了创建安全的 IBM WebSphere Application Server 基础设施 可以采取的基本步骤。这显然很重要,但仅仅关注基础设施是不够的。既然基础设施已经加强 了,现在必须研究应用程序需要做哪些事情来确保安全性。当然,应用程序必须利用 WebSphere Application Server 提供的基础设施,但应用程序开发人员还必须执行(或避免) 其他一些操作以尽可能提高应用程序的安全性。

不要将 Web 服务器的文档根设置为 WAR

仔细检查每个 servlet 别名是否安全

不要通过类名提供 servlet

不要将敏感信息放在 WAR 根目录中

定义默认的错误处理程序

考虑禁用文件服务和目录浏览

启用会话安全性

注意定制的 JMX 网络访问

为了帮助您将这些措施与特定的攻击类别联系起来,每个措施使用 第 1 部分 介绍的标记 表示攻击的类别。

1. 不要将 Web 服务器的文档根设置为 WAR

WAR 文件包含应用程序代码和大量敏感信息。其中只有一部分信息是可以向 Web 提供的内 容。因此,将 Web 服务器文档根设置为 WAR 根目录是不合适的。如果这样做,Web 服务器将 不加解释地提供 WAR 文件的所有内容。这会导致将代码、未经处理的 JSP 和其他内容提供给 最终用户。(这个措施只在 Web 服务器和应用程序服务器放在一起时才有用。)


2. 仔细检查每个 servlet 别名是否安全

WebSphere Application Server 通过 URL 保护 servlet。每个要保护的 URL 都必须在描 述应用程序的 web.xml 文件中指定。如果 servlet 有不止一个别名(也就是说,多个 URL 访 问相同的 servlet 类),或者有许多 servlet,则很容易遗忘对某个别名的保护。这需要小心 。由于 WebSphere Application Server 保护的是 URL,而不是底层类,所以即使只有一个 servlet URL 是不安全的,入侵者也能够绕过您的安全措施。为了减少这种威胁,应该尽可能 使用通配符来保护 servlet。如果那样做不合适,则应该在部署前再次仔细检查 web.xml 文件 。

APAR PK83258(在 WebSphere Application Server Versions 7.0.0.7 和 6.1.0.27 中) 会像对待 GET 请求那样检查 HEAD 请求的授权,因此在一定程度上堵住了这个漏洞。

在为 servlet 指定授权约束时,要确保不列出任何方法,或者非常仔细地列出 servlet 的 所有方法(很可能在多个约束中),比如 GET、POST、PUT、HEAD 等。对于每个 Java™ EE 规范,如果授权约束显式地列出方法,没有提到的方法就没有授权约束!这对于 HEAD 等方 法尤其危险,HEAD 在默认情况下通过调用 GET 获取所需的头,这实际上会调用 GET 方法而不 检查它的授权约束。清单 1 中的 web.xml 代码是不安全的,而清单 2 中的代码是安全的。

清单 1. web.xml – 不安全


 
  myservlet
  /myservlet
  GET
 
 
  arole

清单 2. web.xml – 安全



myservlet
/myservlet


arole


3. 不要通过类名提供 servlet

可以通过类名或一般的 URL 别名来提供 servlet。 通常应用程序选用后者。也就是说,开发人员在 web.xml 文件中手动定义从每个 URL 到每个 servlet 类的准确映射,或者使用各种 WebSphere Application Server 开发工具之一来定义 。

然而,WebSphere Application Server 也允许通过类名提供 servlet。一个通用的 URL(例如 /servlet)并不为每个 servlet 定义映射,而是提供所有 servlet。假设基本路径 后面的路径成分是 servlet 的类名。例如,"/servlet/com.ibm.sample.MyServlet" 引用 servlet 类 "com.ibm.sample.MyServlet"。

通过类名提供 servlet 是通过在 ibm- web-ext.xmi 文件中将 serveServletsByClassnameEnabled 属性设置为 true 完成的,或者在 IBM Rational® Application Developer 的 WAR 编辑器中选中 serve servlets by classname。请不要启用这个特性 —— Rational Application Developer 在默认 情况下启用它,所以您必须禁用它。这个特性使得知道 servlet 类名的任何人都可以直接调用 它。即使 servlet URL 是受保护的,攻击者也可能绕过正常的基于 URL 的安全措施。另外, 根据类装载器的结构,攻击者可能能够调用您的 Web 应用程序之外的 servlet,比如 IBM 提 供的 servlet。

如果不确定各个应用程序的设置是否错误地启用了通过类名提供 servlet,可以通过 设置一个定制属性 让应用程序服务器忽略这个设置,从而禁用通过类名提 供 servlet。

4. 不要将敏感信息放在 WAR 根目录中

WAR 文件包含可提供的内容。Web 容器将提供 WAR 文件根目录中的任何文件。只要只在根 目录中放置应该提供的内容,就没问题。因此,决不要将不应该显示给最终用户的内容放在 WAR 的根目录中。例如,不要将属性文件、类文件或其他重要信息放在那里。如果您必须将这 种信息放在 WAR 中,则将其放在 WEB-INF 目录中,这是 servlet 规范允许的。Web 容器决不 会提供那里的信息。

5. 定义默认的错误处理程序

当 Web 应用程序中出现错误时,即使是在应用程序分派之前(例如 WebSphere Application Server 无法发现目标 servlet),会向用户显示错误消息。在默认情况下, WebSphere Application Server 会显示错误的原始异常堆栈转储。这不仅对最终用户非常不友 好,也暴露了应用程序的有关信息(堆栈信息中有类和方法的名称)。同时还显示异常消息, 其中可能包含敏感信息。

最好定义默认的错误页面,每当出现未处理的异常时显示它,从而确保最终用户永远看不到 原始错误消息。此页面可以是对用户友好的错误消息,而不是堆栈跟踪。默认的错误页面是在 ibm-web-ext.xmi 中使用 defaultErrorPage 属性定义的,也可以在 Rational Application Developer 中使用 Web 部署描述符编辑器(Extensions 选项卡)设置。

6. 考虑禁用文件服务和目录浏览

可以通过禁用 Web 应用程序中的文件服务和目录浏览,进一步限制提供不适当内容的风险 。当然,如果 WAR 包含可提供的静态内容,则必须启用文件服务。

7. 启用会话安全性

WebSphere Application Server 通常不强制对 HTTP 会话访问进行任何授权。任何具有有 效会话标识符的一方都可以访问会话。虽然会话标识符不可猜测,但也可能通过其他手段获得 会话标识符。

要想降低这种攻击形式的风险,应该考虑启用会话安全性。这一设置是在 Application server > > Web container > Session management 面板中配 置的。只需选择 Security integration 选项,见图 1。

图 1. 会话安全完整性

579x391


WebSphere Application Server 将跟踪哪个用户(根据用户提供的 LTPA 凭证来确定)拥 有哪个会话,确保只有特定用户才能访问特定会话。

在极少数情况下,这种设置会破坏 Web 应用程序。如果应用程序同时包含安全的(具有授 权约束)和不安全的 servlet,则不安全的 servlet 将无法访问会话对象。一旦一个安全的 servlet 访问该会话,则它会被标记为由该用户 “拥有”。以匿名方式运行的不安全的 servlet 如果试图访问这些页面,则会授权失败。从 WebSphere Application Server V6.1 开 始,可以更改授权行为,确保没有授权约束的 servlet 继承当前用户身份(如果已经有的话) ,这样就解决了这个问题。图 2 说明如何设置这个特性。

图 2. 保留现有的身份

580x367

防止攻击

启用会话安全性实际上可以防止一种攻击。假设网站在用户执行身份验证并使用 HTTPS 之 前建立 HTTP 会话(大多数网站都是这样)。在这种情况下,会话 cookie (JSESSIONID) 是明 文的,攻击者很容易捕获它。之后,当用户执行身份验证时,当然应该切换到 SSL 并确保只通 过 SSL 传输 LTPA cookie。问题在于攻击者已经得到了 JSESSIONID cookie。根据编写应用程 序的方式不同,攻击者可能能够使用这个 cookie 和不同的 LTPA cookie(可能是代表他自己 的身份的 cookie),作为第一个用户访问应用程序。这是一种非常严重的攻击,而且如果使用 开放的无线网络,这非常容易实现。启用会话安全性可以阻止这种攻击,因为应用服务器会阻 止访问不由当前用户拥有的会话。

8. 注意定制的 JMX 网络访问

JMX 和定制的 MBean 让应用程序能够支持强大的远程定制管理。但是注意,JMX MBean 是 可以通过网络访问的。如果选择部署它们,要十分谨慎,要确保它们的操作具有合适的授权。 WebSphere Application Server 会根据 MBean JAR 文件中的描述符中的信息,自动为 MBean 提供默认的授权限制。这样是否合适取决于您的应用程序。更多信息请参阅 [was deploy]。

设计和实现措施

接下来,我们将注意力转移到应用程序开发人员和设计人员为了构建安全的应用程序必须采 取的操作上。这些步骤是很关键的,但遗憾的是经常被忽视。

使用 WebSphere Application Server 安全性来保护应用程序

不要依赖于 HTTP 会话跟踪用户身份

保护应用程序的每一层

检验所有用户输入

编写安全的应用程序

安全地存储信息

不要审计和跟踪敏感信息

避免对浏览器客户机使用基本身份验证


9. 使用 WebSphere Application Server 安全性来保护应用程序

应用程序开发团队通常能认识到他们的应用程序需要某种程度的安全性。这通常是业务上的 需求。遗憾的是,许多团队决定自己开发安全性基础设施。这虽然也有可能做好,但是非常困 难,而且到头来大部分团队都不能成功。相反,他们的系统看似很安全,但实际上系统安全性 非常脆弱。安全性是个很困难的问题。密码术的微妙问题、重播攻击和各种形式的攻击很容易 被忽视。这里要说的是您应该使用 WebSphere Application Server 安全性。前面曾经建议您 启用应用程序安全性;这里建议在应用程序中实际使用它。

关于 Java EE 定义的声明性安全模型,最常见的抱怨可能是它没有提供足够的粒度。例如 ,只能在 EJB 或 servlet 的方法级上执行授权(在这个上下文中,servlet 上的方法是 HTTP 方法之一,比如 GET、POST、PUT 等等),而不能在实例级上执行授权。再如,所有的银行账 号都有相同的安全性限制,但是您希望某些用户对他们自己的账号拥有特殊权限。

这个问题可以通过 Java EE 安全性 API isCallerInRole 和 getCallerPrincipal 来解决 。通过使用这些 API,应用程序可以开发自己强大且灵活的授权规则,但是仍然要通过已知是 准确的信息来驱动这些规则:来自 WebSphere Application Server 运行时的安全性属性。如 果这仍然不够,可以构建(或购买)更精细的授权框架,框架应该使用应用程序服务器已经维 护的现有安全信息(比如组)。即使这不够,但安全基础设施是高度可定制的。利用(并在需 要时扩展)现有的可以正常工作的东西是正确的方法,而不应该抛弃现有的东西,尝试从头构 建安全基础设施。

一个弱安全性的例子

可以将 WebSphere Application Server 安全性基础设施和其他身份验证或授权产品集成。 例如,IBM Tivoli Access Manager 可以提供身份验证和授权支持,IBM Tivoli Security Policy Manager 可以提供更多授权功能。

这里是一个弱安全性系统的例子。不使用 WebSphere Application Server 安全性的应用程 序倾向于创建自己的安全令牌,并在应用程序内部传递它们。这些令牌通常包含用户名和一些 安全属性,比如用户的组成员身份。这些安全令牌常常没有可通过密码学技术验证的信息。这 种方法假设可以根据这些令牌中的信息做出安全性决策。这是错误的。这些令牌仅仅断言用户 的特权。这里的问题是,任何 Java 程序都能够伪造这些安全对象,然后就可以通过后门侵入 系统。最能说明这个问题的例子是,应用程序在 servlet 层创建这些令牌,然后将其传递到 EJB 层。如果 EJB 层不安全(请参见第 11 条),则入侵者可以使用伪造的凭证直接调用 EJB ,使应用程序的安全性完全失效。因此,除非完成细致的工程工作,可靠的用户信息来源只有 WebSphere Application Server 基础设施。

10. 不要依赖于 HTTP 会话跟踪用户身份

许多自己实现安全性的应用程序通过使用 HTTP 会话来跟踪用户的身份验证会话。这是非常 危险的。该会话是通过(URL 或者 cookie 中的)会话 ID 来跟踪的。虽然该 ID 是随机生成 的,但是它仍然可能遭受重播攻击,因为它没有具体的绝对超时时间。只有在一段时间内没有 活动的情况下,才会发生超时 —— 如果截获了会话 cookie,就可能在不受限制的时间段内滥 用该 cookie。另一方面,当应用程序使用 WebSphere Application Server 安全性时会创建 LTPA 令牌,它是更强的身份验证令牌。特别是,LTPA 令牌的生存期有限并使用强加密,安全 性子系统会对可能是伪造的 LTPA 令牌的收据进行审计。

使用 HTTP 会话还有一个更危险、更微妙的安全性问题:会话 cookie (JSESSIONID) 常常 是在用户执行身份验证之前创建的 —— 通常在用户第一次访问站点时。此时,cookie 常常通 过 HTTP 作为明文发送。用户执行身份验证之后,大多数应用程序会改用 HTTPS 传输以后的所 有通信流以保护 cookie 和内容;但是,JSESSIONID cookie 可能已经被盗了,因为在最初通 过 HTTP 发送该 cookie 时攻击者可以捕获它。除了尽可能避免使用 HTTP 会话之外,通过启 用会话安全性并把 LTPA cookie 限制为 HTTPS,可以降低 HTTP 会话被盗的风险。


11. 保护应用程序的每一层

我们常常将 Web 应用程序以一定程度的安全性(自制的或者基于 WebSphere Application Server 的)部署在 servlet 层,但是对应用程序中的其他层却不加保护。这样做是基于一个 错误的假设:应用程序中只有 servlet 需要保护,因为它们是应用程序的前门。但是,正如警 察常说的那样,也必须锁上您家的后门和窗户。在许多场景中都可能出现这种疏忽,但是如果 Java 客户机不是应用程序的一部分,而是在多层架构中使用可远程访问的组件(比如可通过 IIOP 或 Web 服务访问的 EJB),则最容易出现这种情况。在这种情况下,开发人员常常认为 可远程调用的组件不需要保护,因为根据应用程序设计它们不是 “用户可以访问的”,但这种 想法是一个危险的错误。如果不对服务层实施保护,入侵者就可以绕过 servlet 接口,直接进 入服务层并进行破坏。

通常,对此问题的第一反应就是通过一些平常的手段来保护服务,比如将它们标记为可由所 有已通过身份验证的用户访问。但是,根据注册表,“所有已通过身份验证的用户” 可能是公 司中的每个雇员。一些组织更进一步,把访问权限制在某个组的成员,这个组指定 “可以访问 此应用程序的所有人”。这样好一些,但是通常还不够,因为能够访问应用程序的每个人并非 都有必要执行应用程序中的所有操作。解决这个问题的正确方式是在服务中实现授权检查。对 于 EJB,也可以考虑将 EJB 组件实现为只有本地接口,这样就不可能远程连接它们。

12. 检验所有用户输入

跨站点脚本是一种相当危险的攻击,它利用了 Web 浏览器的灵活性和强大功能。大多数 Web 浏览器都可以解释多种脚本语言,例如 JavaScript™。浏览器知道它要根据特殊的 转义字符序列来寻找可执行的代码。这是 Web 浏览器的强大之处,也是安全性模型中很危险的 漏洞。

入侵者可以欺骗 Web 站点在浏览器中显示入侵者希望该站点执行的脚本,通过这样做来利 用此漏洞。在允许任意用户输入的站点上,这是很容易做到的。例如,如果站点包含一个用于 输入地址的表单,用户可以在其中输入 JavaScript。当站点随后显示该地址时,Web 浏览器就 会执行该脚本。该脚本由于来自该站点并在 Web 浏览器内部运行,所以可以访问安全信息,例 如用户的 cookie。

到此为止,这还看似没什么危险,但入侵者可以更进一步,他们 欺 骗用户进入一个 Web 站点并输入恶意脚本,欺骗手段可以是通过电子邮件向用户发送无害的 URL 或者把 URL 发布在公共博客上。现在,入侵者就可以在用户的浏览器中运行任意代码,通 常会访问 cookie,他们可以看到所有键盘活动和显示的所有页面。这样,入侵者就可以对此用 户造成无法挽回的损害。

这个问题实际上是与用户输入检验相关的问题的一个特例。只 要允许用户输入任意文本,就必须确保该文本不包含会造成破坏的特殊字符。例如,如果用户 要输入一个字符串,用它来搜索某个索引,则必须过滤掉可能会造成越界搜索的不合适的通配 符,这是很重要的。对于跨站点脚本的预防,需要过滤掉浏览器支持的脚本语言的转义字符。 这里要说明的是,对所有外部输入都应该采取怀疑态度并仔细进行检验。必须解决的问题非常 多,对它们的全面讨论超出了本文的范围。

13. 编写安全的应用程序

鉴于本文的目标和篇幅,不可能在这里列举可能影响应用程序安全性的所有应用程序设计和 编程问题。如果对开发安全应用程序很感兴趣,请参阅下面这些关于安全应用程序的设计、开 发和测试的参考资料:

图书:Writing Secure Code

图书:Software Security: Building Security In

OWASP,它发表了以下指南:

Development Guide

Code Review Guide

Testing Guide

Web Application Security Consortium

Penetration testing frameworks

另外,最近发表的一份 IBM 红皮书 讨论了如何使用 IBM Rational AppScan 作为开发周期 的关键元素,从而构建安全的 Web 应用程序。


14. 安全地存储信息

要创建安全的系统,必须考虑在哪里存储或显示信息。有时,一些相当严重的安全性漏洞是 无意间造成的。例如,对在 HTTP Session 对象中存储高度机密的信息要十分谨慎,因为此对 象可能被序列化到数据库中,因此可以从那里读取它。如果入侵者可以访问您的数据库(甚至 是对数据库卷进行原始计算机级访问),他就可能看到会话中的信息。毫无疑问,这样的攻击 需要非常高的技能。

15. 不要审计和跟踪敏感信息

出于业务目的和调试目的,任何比较复杂的应用程序都会生成丰富的日志和跟踪信息。这是 很好的。但是要记住,这些文件中的信息往往保存在许多地方(可能位于您的组织之外)。对 于非常敏感的信息,不应该进行跟踪,如果可以,也应该试图避免对其进行审计。例如,我们 见过客户机将用户的密码、驾照号码和社会保险号码输出到跟踪文件中。如果该文件被不当的 人(可能是帮助您的顾问)阅读,就会暴露敏感信息。

为了确保安全,应该限制并检查日志记录的内容。

16. 避免对浏览器客户机使用基本身份验证

基本身份验证的问题是 Web 浏览器会缓存用户 ID 和密码,在需要时会在以后的请求中自 动重新发送它。这意味着使用基本身份验证的用户不可能注销。例如,如果用户的 LTPA 令牌 过期了,应用程序服务器会再次询问用户 ID 和密码。浏览器会重新发送它,所以超时就没意 义了。更糟糕的是,如果以后通过 HTTP 发送请求(不加密),浏览器会通过网络以明文形式 发送密码。

当客户机不是浏览器时,基本身份验证是合理的方法。例如,Web 服务或 REST 客户机常常 安全地使用基本身份验证。当然,这种请求应该通过 SSL 发送。

高级注意事项

现在,我们继续讨论一些与安全性加强相关的高级问题,包括跨计算单元信任、应用程序隔 离、身份传播和 WebSphere Application Server 安全性中的限制。在大多数情况下,这里并 不提出具体的建议,而是提供一些重要的信息,帮助您维护和管理安全的基础设施。

计算单元信任和隔离

WebSphere Application Server 计算单元不应跨越信任边界。如果不能完全信任某些人, 则不要让他们管理您的计算单元或管理计算单元内的计算机。WebSphere Application Server 管理基础设施不考虑细粒度的管理安全性,而是在整个计算单元范围内每个 WebSphere 进程之 间采取粗粒度的共享信任模型。每个应用程序服务器都包含管理基础设施,包括内部 API。在 积极的方面,这样就消除了共同的控制和故障点,使得应用服务器具有很高的独立性和稳定性 ,但是这也对隔离有负面影响。这种方法的影响包括:

WebSphere Application Server 计算单元中的每个应用程序服务器都对整个计算单元具有 完全的管理权限。如果任何应用程序服务器被攻破,则所有应用程序服务器都会被攻破。

物理计算机边界(独立的计算机、LPAR、节点等等)几乎对计算单元安全性没有任何影响。 计算单元中的信任单元是所有节点上的所有应用程序服务器。

进程边界对计算单元安全性几乎没有影响。从安全的角度来看,将应用程序放在单独的应用 程序服务器 JVM 中对增强计算单元内的隔离性并没有太大用处。

单独的操作系统标识对计算单元的安全性几乎没有影响。由于应用程序服务器使用各种协议 与计算单元的其他部分进行通信,而这些协议不是由操作系统管理的,因此一般的操作系统保 护措施没有效果。

这就引出了两个关键主题:管理隔离和应用程序隔离。

管理隔离

对于 WebSphere Application Server,在默认情况下所有管理员都对整个计算单元具有管 理权限(根据分配给他们的角色)。在 WebSphere Application Server V6.1 中增加了一个称 为授权组的新特性,因此可以以更细的粒度(服务器、应用程序、节点、集群等等)授予管理 权限。在 V6.1 中,授权组只由 wsadmin 支持。在 WebSphere Application Server V7 中, 管理控制台也支持它们。如果您的计算单元很大,有许多管理员,则应该考虑使用这些功能。

应用程序隔离

在此上下文中,应用程序隔离基本上是关于如何防止一个应用程序的恶意操作对另一个应用 程序造成损害。此类攻击很难避免。现实情况是,基础设施软件产品(比如 Java EE 应用程序 服务器)尚未达到多用户操作系统的成熟水平。它们无法提供操作系统通常在多个用户之间提 供的可靠隔离。


这会影响您吗?

首先,也是最重要的,此处讨论的缺陷都只是内部缺陷。只有安装到计算单元中的应用程序 才能利用这些缺陷。根据 IBM 的经验,绝大部分 WebSphere Application Server 用户(甚至 包括使用共享基础设施的用户)都不受这些问题影响。这是因为他们认识到了其共享基础设施 位于企业内部,运行的是得到企业认可的代码。因此,他们通常不要求应用程序实现完全的安 全隔离。

受到此处的问题影响的 WebSphere Application Server 用户通常具有非常严格的安全策略 ,例如:

具有正式的策略,要求应用程序不能访问其他应用程序的数据,即使它们在共享基础设施中 运行。

对于早于 WebSphere Application Server 的系统,要求每个应用程序在共享服务器上以单 独的用户 ID 运行,详细地规定关于文件系统权限的规则,每个应用程序都具有专用进程,并 严格执行对这些要求的审计过程。

具有严格的企业安全方针,严格执行以确保这些方针得到了遵从,很可能包括应用程序架构 和代码检查。如果没有代码检查,开发人员可能会插入违反企业策略的代码。

它们也可能十分关注远程攻击,远程攻击可能在攻破了一个应用程序后,然后利用它来破坏 其他应用程序。

如果您的环境没有这些特点,那么本节中的问题对您不适用,可以 跳到下一节。

可以采取何种缓解措施?

可以采取以下缓解措施:

对所有应用程序代码执行严格的代码检查。最好配合使用源代码管理系统。这样,对于每次 代码更改会跟踪进行更改的人员,并针对每次代码更改安排和跟踪代码检查。在这种情况下, 单个程序员不可能将恶意代码插入到您的系统中。相反,进行任何破坏都需要多人合作。我们 认为这相当重要,因为即使实现了应用程序隔离,恶意的应用程序代码也很容易在单一应用程 序中造成严重的损害。

如果您选择购买在 WebSphere Application Server 上运行的商业应用程序,请确保仅从可 靠的、值得信任的供应商处购买,要对应用程序进行细致的测试和监视,然后再进行生产部署 ,并在生产环境中对其进行监视。

如果确实有必要,就将应用程序部署到私有的 WebSphere Application Server 计算单元中 。可以考虑根据风险和信任程度,对不同的业务单位或其他组织单位使用不同的计算单元。为 了限制硬件成本,可以在单一计算机或 LPAR 上安全地运行来自多个计算单元的节点。只需使 用不同的操作系统用户 ID、不同的加密密钥和不同的管理密码运行每个计算单元即可。从安全 性角度而言,这将提供完全的隔离。

如果这些方法都不可接受,则可以对基础设施应用应用程序隔离加强技术。注意,这些技术 都要求做大量的工作。更重要的是,它们不能保证提供隔离。在同一个计算单元中的应用程序 (即使启用了管理安全性、应用程序安全性和 Java 2 安全性)可能会访问其他应用程序的资 源或改变计算单元配置,从而损害同一计算单元中的其他应用程序。无法保证不会出现此类破 坏。

提出了这些警告之后,下面几节继续讨论可以显著提高计算单元内的应用程序安全隔离的措 施。您可能很快发现这些措施很难实施,而且成本很高。更好、成本更低的方法是,通过严格 的雇员管理、代码检查和其他管理控制机制,确保您的应用程序开发人员交付可信的代码。与 前面一样,按优先次序列出这些措施。

不要在 Java EE 资源上指定组件管理的别名

不要在资源上定义默认的用户 ID 和密码

Java 2 安全性

利用安全连锁委托

保护 TAM WebSEAL TAI 密码

注意定制 JMX 代码中提升的权限

谨慎地使用 DynaCache

小心地使用所有资源


1. 不要在 Java EE 资源上指定组件管理的别名

在计算单元内运行的任何 Java EE 应用程序都可能访问任何 Java EE 资源。这是因为资源 具有 JDNI 名称,而任何应用程序都可以查询此名称,而且对于资源访问没有授权机制。因此 ,如果应用程序 A 要使用企业数据库,只需将该数据库定义为数据源,则同一计算单元中的应 用程序 B 就可以访问此数据库。

当应用程序试图通过调用资源工厂(例如数据源或 JMS 连接工厂)上的 getConnection() 来访问资源时,如果相应的底层资源可用,WebSphere Application Server 将隐式地向底层资 源提供身份验证信息。提供何种身份验证信息取决于身份验证模式和可用的 J2C 身份验证别名 。具体的细节非常复杂,但简单来说,任何应用程序都可以查找 JNDI 名称空间中的任何资源 。完成此工作后,将隐式地使用 “应用程序” 的身份验证模式。这又意味着 WebSphere Application Server 将使用组件管理的身份验证别名(如果有的话)。因此,计算单元中的任 何应用程序都可以访问任何使用组件管理的别名定义的资源。注意,在不同的范围内定义资源 对安全性并没有影响。资源范围仅仅是方便管理的机制。

另一方面,如果只在资源上定义容器管理的别名(或者不指定别名),恶意应用程序就不能 访问此资源,因为当在全局 JNDI 名称空间中查找资源时,将使用应用程序身份验证,因此会 使用组件管理的别名。因为没有组件管理的别名,所以无法完成隐式身份验证。

如果您选择采用此方法,显然仍然希望恰当的应用程序能够访问这些资源。为此,这些应用 程序必须在其部署描述符中指定用于访问资源的本地资源引用。然后可以在部署时将这些引用 绑定到正确的资源。如果应用程序在引用上指定了容器管理的身份验证,则将隐式地使用在资 源本身上定义的容器管理的别名。这种情况可以使用一张图加以说明。图 3 显示 IBM Rational Application Developer 引用编辑器,其中在一个 JMS 连接引用上指定容器管理的 身份验证。

图 3. 使用容器管理的身份验证的数据库资源引用

565x332

这种方法有两个问题。首先,在 WebSphere Application Server V6.1 中,容器管理的别 名已经被错误地否决了(但是在 V7 中不再是否决的)。其次,也是更重要的,您可能已经注 意到,并非所有的资源都允许指定容器管理的别名(例如 V6.1 中的 JMS 工厂)。在这种情况 下,一定不要在资源上提供默认身份验证信息。必须在应用程序中为每个资源引用指定身份验 证信息(在这里身份验证方法并不重要),比如在部署期间。此工作非常单调乏味,但是可以 使用 wsadmin 自动执行。至少对于 MDB,可以在激活规范中指定身份验证信息。

XA 恢复别名不是问题

不要将组件管理的别名与资源上指定的 XA 恢复别名相混淆。XA 恢复别名仅在涉及到事务 故障的某些恢复场景中使用。如果启用 Java 2 安全性并使用默认权限,则应用程序通常无法 访问该别名。


2. 不要在资源上定义默认的用户 ID 和密码

前一条的一个推论是,不应在资源上定义默认的用户 ID 和密码。如果这样做,计算单元内 的任何应用程序就都可以查找该资源,然后隐式地使用提供的用户 ID 和密码。

3. Java 2 安全性

正如在前面讨论的,所有应用程序服务器均包含 WebSphere Application Server 管理基础 设施,因而也包含用于执行大部分管理操作的 API。学习了这些 API 的应用程序员可以编写调 用其中任何 API 的应用程序,因而实质上可以执行任何管理操作。此外,文件系统配置存储库 包含大量敏感信息(如密码)。任何应用程序都可以使用普通 Java I/O 来读取这些文件。

WebSphere Application Server 包含对标准 JDK 提供的 Java 2 安全性的支持。IBM 已经 增强了 Java 2 支持,从而实施 Java EE 规范和保护 WebSphere Application Server 内部 API 不被非授权访问。只需启用 Java 2 安全性,就会自动地实施这些规则。因此,通过启用 Java 2 安全性,就可为运行时添加很多额外的保护,防止非法应用程序访问。但是,如果不通 过正式的过程检查授予的权限,使用 Java 2 安全性就没什么价值 —— 实际上,如果启用它 而不检验策略文件,会让情况变得更糟糕,因为安全性并未提高,而应用程序开发更困难了, 性能也会略微降低。

一旦启用了 Java 2 安全性,在默认情况下,应用程序就被限制为仅使用很小的 “安全的 ” 权限集。如果应用程序需要更多的权限,它通常必须在 EAR 内包含的 was.policy 文件中 定义这些权限。应用程序在运行时会读取 was.policy 文件,并将这些权限添加到标准集中。 显然,这是一个潜在的安全漏洞。为了让这种机制正常发挥作用,需要通过严格的、定义良好 的过程决定、检查和实施每个应用程序的 Java 2 权限。如果任何应用程序试图请求不可接受 的权限(即使在处理紧急情况期间),就拒绝它。应该有一个正式的过程,其中包含判断允许 应用程序具有哪些权限的安全检查。即使有正式的过程,启用 Java 2 安全性也应该很慎重; 除了需要多做一些工作之外,强制启用 Java 2 安全性常常导致使用不适当的策略文件,为实 现部署,这些策略文件往往很少提供有意义的保护。这不但要多做一些工作,还会产生虚假的 安全性。

安装时的检查和检验过程可能会十分单调乏味。不过,可以采用另一种方法。首先,对于很 多环境而言,大部分应用程序都需要一个公共附加权限集。如果可以这样做,基础设施团队可 以在节点上的 app.policy 文件中为所有应用程序设置默认权限。只有需要不常用的权限的应 用程序才需要将所需权限放置在 was.policy 中并需要进行额外的检验。甚至可以进一步进行 限制,禁止使用 was.policy 并要求由管理团队将所有权限添加到 app.policy 中。这在某种 程度上会使得部署变得复杂(需要编辑一个公共文件),但可以减少应用程序获得不恰当权限 的风险。

4. 利用安全连锁委托

应用程序服务器的好处之一就是,会自动在系统层之间和跨应用程序发送用户身份信息。这 样就实现了透明的单点登录 (SSO)。不过,这有一个可能非常危险的副作用:不恰当模拟。

此处的问题是,当用户为了使用应用程序 A 而进行身份验证时,应用程序 A 可能对应用程 序 B 进行远程 EJB 调用。这样,应用程序 B 就会看到原用户的凭证。通常,这没有什么问题 。但是,如果应用程序 A 不可信呢?在这种情况下,访问应用程序 A 的用户就有理由担心它 会通过模仿以此用户的名义访问应用程序 B。设想一下,假如应用程序 A “不重要”,因此是 采用临时拼凑的方式开发的;而应用程序 B 是管理机密信息的高度敏感的应用程序。此处的问 题是,因为应用程序 B 与应用程序 A 共享一个公共安全域,因此必须信任应用程序 A。这非 常不好。

有一个办法可以解决此问题。可以使用 WebSphere Application Server 中的一个特性,此 特性被大致描述为 “安全连锁委托”。通过使用 WSSecurityHelper.getCallerList() 或 getServerList(),应用程序 B 可以确定请求经过了哪些应用程序和服务器。如果应用程序 B 是高度敏感的应用程序,它可能要求该列表为空,这表示它由用户直接使用。关于 WSSecurityHelper 的更多信息请参阅 WebSphere Application Server 信息中心。

5. 保护 TAM WebSEAL TAI 密码

当在 Tivoli Access Manager WebSEAL 和 WebSphere Application Server 之间配置了 SSO 时,WebSEAL 会在每个请求的 HTTP 头中发送其保密密码,以确保 TAI 在调用时能正常工 作。虽然由于连接应该使用 SSL 进行加密,所以通常这不是什么问题,但这样的确会向 WebSphere Application Server 中运行的 Web 应用程序公开 WebSEAL 密码。(尽管本节专门 讨论 WebSEAL TAI,但是通过发送密码来建立信任的任何 TAI 都会发生这种情况。)

如果运行在 WebSphere Application Server 中的某个 Web 应用程序不可信,它可能会获 取此密码,然后打开到某个应用程序服务器的 HTTP 连接并断言任何用户的身份。这样,精心 编写的恶意应用程序就可能冒充任何人进行操作了。

如果担心这种类型的攻击(可以通过代码检查轻松地防止),则可以阻止任何不可信的客户 机连接到 Web 容器。为此,只需在 Web 容器上配置一个相互身份验证的 HTTPS 监听器即可, 请参阅 第 1 部分 中的说明。这样,恶意应用程序就不能打开到 Web 容器的 HTTPS 连接了, 因为它们没有正确的私钥(只有 WebSEAL 或 Web 服务器拥有此私钥)。


6. 注意定制 JMX 代码中提升的权限

对于 Mbean,需要注意一点:要想使用它们,就需要提升 Java 2 安全性权限。如果应用程 序以编程方式向应用服务器运行时注册 Mbean,那么必须向发出调用的代码授予提升的管理权 限。这种权限可用来执行非法管理操作。进行此操作时需格外小心。一种不错的方法是创建一 个专门用于注册 Mbean 的单独模块,并仅授予此模块所需的权限。

第二种装载 MBean 的方法是以管理方式将其指定为 Extension Mbean(这是推荐的方法) 。这样就消除了必须显式地授予应用程序代码管理权限的问题,但是又出现了一个新问题: MBean 现在由相当低层的 WebSphere Application Server 类装载器进行装载,此装载器的信 任度更高。因此,与采用普通用户代码相比,MBean 将具有更多访问 WebSphere Application Server API 的权限。

如果选择开发定制的 Mbean,必须仔细地对代码及其使用情况进行检查,以确保不会给系统 带来安全漏洞。

7. 谨慎地使用 DynaCache

DynaCache 为 WebSphere Application Server 应用程序提供分布式共享缓存。不过, DynaCache 上并没有访问控制机制;在应用程序服务器中运行的任何应用程序都可以访问此应 用服务器具有访问权限的任何缓存。更准确地说,任何应用程序都可以访问服务器能够访问的 任何缓存,可以看到(或修改)其所有内容。

有两种缓存需要考虑。应用程序服务器本身维护一些隐藏的内部缓存(servlet 缓存、Web 服务缓存、安全缓存),其中可能包含敏感信息。还有用户创建的缓存,比如可以通过 JNDI 访问的 Object Cache。

内部缓存并不在 JNDI 中注册,所以更难找到它们,但是可以通过使用内部 API 访问它们 。从积极的方面来看,在默认情况下这些缓存只复制到同一集群中的服务器,所以可以确信不 同集群中的应用程序无法看到其他集群的缓存内容。

用户定义的缓存可以在 JNDI 中看到,可以在同一计算单元中的任何服务器上查找它们。查 找到缓存之后,应用程序就可以修改或读取缓存。无法防止这种行为。因此,如果关心应用程 序隔离,就不要使用用户创建的缓存。

8. 小心地使用所有资源

很多其他 WebSphere Application Server 资源(如工作区)并不提供应用程序级的授权。 与 DynaCache 一样,您需要小心地使用这些资源。如果关心应用程序隔离,则应仔细地对每个 使用场景进行评估,查找潜在的漏洞并采取相应措施。

跨计算单元的信任

通常,WebSphere Application Server 计算单元并不彼此信任,因此不可能实现跨计算单 元的 SSO。不过,可以对计算单元进行配置,使其支持跨计算单元 SSO。这么做有充足的理由 ,但是在这么做时,实际上是在扩展计算单元的信任域,需要注意对安全的潜在影响。需要考 虑三个问题:

通常,域就是一个注册表。WebSphere Application Server V6.0.2 和更高版本放宽了这个 规则,可以独立于注册表指定域名称。

共享 LTPA 密钥

要想让两个计算单元透明地参与 SSO 域,它们必须共享兼容的域(在 WebSphere Application Server V6.1 中这意味着同一个域,在 V7 中意味着可信域)、共享相同的 LTPA 加密密钥并使用兼容的 SSL keyring(供服务器用于服务器通信)。兼容的 SSL keyring 意味 着,与任何 SSL 通信一样,发出调用的服务器必须能够访问与接收调用的服务器的证书对应的 签名证书。

一旦确保两个计算单元共享相同的 LTPA 加密密钥,就创建了一个特殊的环境,此环境中的 每个计算单元都可以为其他计算单元创建凭证,包括管理凭证。因此,如果一个计算单元被攻 破,则两个计算单元都会被攻破。如果使用多个计算单元,由于安全原因需要实现应用程序隔 离,则需要启用 Java 2 安全性来限制对 WebSphere Application Server 内部 API 的访问。

如果共享相同的 LTPA 加密密钥只是为了创建 Web SSO,而不需要共享定制的主题,可以通 过使用身份验证代理服务器(比如 Tivoli Access Manager WebSEAL)实现相同的结果,而不 必共享 LTPA 加密密钥。


CSIv2 身份断言

如果要进行跨计算单元的 IIOP 调用,但希望避免共享 LTPA 加密密钥,则完全可以实现。 为此,必须使用 CSIv2 身份断言(当与非 WebSphere Application Server EJB 服务器进行联 系时,这也有用)。

让我们考虑一个简单的场景:假定有两个计算单元(A 和 B),它们均包含多个服务器。假 定计算单元 A 中的服务器需要对计算单元 B 中的服务器进行 RMI/IIOP 调用,但不会进行相 反的调用。为了实现此功能,要配置 CSIv2 身份断言。计算单元 A 中的服务器将向计算单元 B 中的服务器断言身份。这里不描述如何配置 CSIv2 身份断言,只讨论这样做的影响。

为了让计算单元 B 中的服务器接受身份断言,计算单元 A 中的上游服务器必须首先对自身 进行身份验证。可以采用两种方式来对 CSIv2 进行此操作:基本身份验证(上游服务器发送其 用户 ID 和密码)和客户机证书身份验证(上游服务器使用自己的证书进行身份验证)。

身份验证完成之后,接受调用的服务器将检验上游服务器是否可信,是否可以执行身份断言 。这是在 CSIv2 配置面板中配置的。此后,上游服务器向下游服务器发送目标用户的身份信息 。

让我们考虑一下此方法的信任影响。计算单元 B 中的服务器接受来自计算单元 A 的身份断 言,因此信任计算单元 A。如果计算单元 A 被攻破,则计算单元 B 也会被攻破,但对于计算 单元 A 有何影响呢?

如果计算单元 A 发送服务器用户 ID 和密码来建立信任(这是默认行为),这会让计算单 元 B 中的服务器知道其服务器用户 ID 和密码,而此用户 ID 具有完全的管理权限。因此,计 算单元 A 现在完全信任计算单元 B。与只共享 LTPA 密钥相比,这并未提高安全性。

如果计算单元 A 发送一个指定的用户 ID 和密码(此 ID 只用于此用途),就不会向计算 单元 B 公开重要的信息。计算单元 A 不信任计算单元 B。

如果计算单元 A 使用自己的证书进行身份验证,则不会向计算单元 B 公开任何内容。计算 单元 A 不信任计算单元 B。

总之,为了让计算单元 A 对计算单元 B 断言身份,计算单元 B 必须信任计算单元 A。这 非常明显。如果不希望计算单元 A 信任计算单元 B,则应该在服务器到服务器身份验证步骤中 使用指定的用户 ID 和密码或证书身份验证,而不是使用默认的方式(发送服务器 ID 和密码 )。

主题传播回调

如果要使用跨计算单元 主题传播,则必须注意计算单元还可能相互进行带外调用来获取主 题。为了说明这一点,我们来考虑一个例子:假定有两个服务器共享一个 SSO 域。某个用户使 用 Web 浏览器访问服务器 A 并获得了一个身份验证会话(在浏览器中由 LTPA cookie 表示) 。该用户随后访问服务器 B。服务器 B 将试图从服务器 A 获取该用户的主题。这称为主题传 播。如果这些服务器位于相同的 DynaCache 复制域中,则很容易完成此操作。如果它们不位于 相同的域中,则使用 JMX 回调来获取主题。当然,不同计算单元中的服务器不处于相同的 DynaCache 复制域中。因此,在这个示例中,服务器 B 将对服务器 A 进行安全 JMX 调用,以 获取用户的主题。

与任何管理调用一样,JMX 调用需要进行身份验证和授权。在这种情况下(从 WebSphere Application Server V6.1 开始),通过使用共享的 LTPA 密钥隐式地建立信任。因为服务器 B 与服务器 A 共享 LTPA 加密密钥,所以服务器 A 信任它,会提供主题信息。

总而言之,除了由于共享 LTPA 密钥已经引入的风险之外,回调并不会显著影响安全性,但 是它们引入了另一个网络路径,一些人可能认为这是风险。

这并不适用于出现使用 IIOP 的下游传播时。在这种情况下,上游服务器会直接将主题发送 到下游服务器。不需要进行 JMX 回调。

身份传播

虽然此主题与安全性加强并不直接相关,但它是一个在系统设计中经常出 现且没有尽早考虑安全性的问题。必须始终非常谨慎地对在何处建立身份以及如何传播身份( 如果可以传播)进行跟踪。我们见过很多设计直接假设身份是已知的,而实际技术却使这不可 行。要确保对应用程序中的身份流进行仔细的分析,以防止在后面的开发周期造成大麻烦。下 面给出涉及到外部资源和解决方案(对于 WebSphere Application Server V6 和更高版本)的 两种常见情况。


数据库与 WebSphere Application Server 身份验证

企业系统 的主要挑战之一就是恰当地实现强大的系统安全控制。简单来说,需要用恰当的授权保护关键 数据。对于多层 Java EE 系统(其中的 Java EE 应用程序代码会访问数据库,比如使用 JDBC 、SQLJ、JPA 或 CMP bean)来说,这个挑战尤其难以解决,因为用户的身份信息通常会丢失。 这里的 “用户” 指的是应用程序代表其进行操作的用户;也就是说,如果 Bob 使 用标准 Java EE 安全性向应用程序进行身份验证,则 Bob 就是用户。

在典型的基于 Java EE 的系统中,容器维护一个经过身份验证的连接池。每个用户都会经过应用程序服务器 的身份验证(使用几种 Java EE 身份验证机制之一),但用户的身份信息对数据库不可用。这 是因为所有数据库访问都是使用连接池中的公共共享连接之一执行的。在过去,这导致应用程 序不得不在应用层内重新实现现有的数据库级授权和审计功能。即使处理得当,这也会浪费资 源,而处理不得当时,则很可能非常不安全。

在 WebSphere Application Server V6 中,对此问题有一个 精致的解决方案。V6.1 中提供了把身份传播到 IBM DB2® 的机制。

MDB 不以排队者的身份运行

当消息在消息传递系统中排队时,原始调用者的身份通常并不会与其相关。也就是说,消息 传递引擎根据前面讨论的连接身份授权对队列的访问。队列通常甚至不会记录最终用户的身份 。

当消息离开队列时(在 Java EE 中通常由 MDB 将消息从队列取出),原始调用者的身份不 可用 —— 即使此信息可用,也会被忽略。MDB 以匿名 Java EE 身份或静态 run-as 身份运行 。它们不会以消息排队者的身份执行。

在 WebSphere Application Server 中没有用于处理此问题的直接支持。不过,如果您愿意 编写一些定制的代码,就可以解决此问题。从 WebSphere Application Server V6.0.2 开始, WebSphere Application Server 支持服务器端身份断言。也就是说,服务器端代码可以使用 JAAS 更改其 Java EE run-as 身份,不需要提供密码。它直接断言用户身份信息。下面是一个 使用 Java 代码实现此功能的简单示例:

清单 3

CallbackHandler wscbh =
  WSCallbackHandlerFactory.getInstance().getCallbackHandler(username,  null);
LoginContext lc = new LoginContext("system.RMI_INBOUND", wscbh);
lc.login();

注意,这里没有提供密码。

这可以与 关于高级身份验证的这篇文章 中的思想相结合以断言定制的主题。按照 这篇信 息中心文章 中的描述,还可以让 WebSphere Application Server 创建 LTPA cookie,让 Web 应用程序能够实现这个功能。

很明显,这存在严重的安全隐患,因此在使用 Java 2 安全性时在默认情况下这个调用被阻 止。但是,通过向应用程序代码授予所需的 Java 2 安全权限,就可以使用它。

WebSphere Application Server 限制

一般来说,通过仔细地进行配置,可以使用 WebSphere Application Server 创建高度安全 的健壮的环境。不过应该注意,一些通常很小的、不太明显的限制可能会对您有所影响。


目标身份未经检验

安全系统的一个非常微妙的方面是检验请求目标的概念。通常,当提到身份验证时,我们会 想到服务器验证客户机的身份,但客户机如何验证服务器的身份呢?客户机如何知道服务器确 实是它所期望连接的服务器呢?大部分人都没有认识到这一点,但 Web 浏览器每天都会隐式地 执行此项检查。当使用 HTTPS 时,Web 浏览器将检验 Web 服务器的主机名是否与其证书中的 Web 服务器的主题相同。这可以确保服务器确实是用户所希望连接的服务器(当然,假定用户 知道他们使用的主机名;很多人并不这样细心)。

不太明显的是,Web 浏览器执行的此项检查并不是 SSL 的固有部分,而是在 SSL 之外执行 的特定于浏览器的检查。发起方(发出调用的服务器)必须明确地对证书执行此检查。 WebSphere Application Server 并不执行此检查。因此,当应用程序服务器(或客户机)打开 到服务器的 SSL 连接时,它并不能确信该服务器就是希望使用的服务器。尽管可能性很小,但 是如果黑客可以攻破您的内部 DNS 或网络,就可以在 WebSphere Application Server 计算单 元中插入一个欺诈服务器并窃取信息。这是一种异常困难的攻击(很多其他攻击要简单得多) ,但应当注意有这种可能性。

可以从应用程序服务器信任存储文件中删除任何不需要的签名密钥,以防止出现这种情况。 只有使用可信的签署者颁发的证书才能发起这种攻击。在 SSL 握手期间,客户机将拒绝无法检 验的服务器端证书。如果可信列表很小(或许仅包含自签名证书),则发起此类攻击会非常困 难。因为信任存储在默认情况下不包含任何 CA 签署者,要关注的默认签署者只有用于提供向 后兼容性的伪签名证书。如果在共享的计算单元信任存储中添加 CA 签名证书,就会遇到这种 风险(尽管风险不大)。

保护桌面开发环境

在考虑安全性加强时,大多数人习惯于将注意力集中在生产系统上,生产系统自然是最重要 的。不过,您也应该花一些时间来确保其他计算机(包括桌面系统)也具有合理的安全性。

对于这些运行 Rational Application Developer(或早期的 WebSphere Studio)的计算机 ,这是一个非常重要的问题。桌面 IDE 包含一个功能齐全的嵌入式 WebSphere Application Server 运行时环境。此应用程序服务器具有开放的端口,易于受到本文前面描述的各种方式的 远程访问攻击。需要对此进行保护。

加强嵌入式应用程序服务器

至少应该在嵌入式应用程序服务器测试环境中启用管理安全性。Rational Application Developer 7.5 在默认情况下已经启用了管理安全性。这可以防止最严重的攻击类型,其中入 侵者可能使用内置的管理基础设施将恶意应用程序部署到您的桌面上。如果使用管理权限来运 行 Rational Application Developer,这就相当重要。您还可能希望采取本文中提到的其他加 强步骤,不过确保管理基础设施的安全是最为重要的步骤。

加强嵌入式应用程序服务器的另一种方法是安装桌面防火墙产品,以阻止对您计算机的访问 。如果配置得当,此方法会非常有效。信任整个内部企业网络的防火墙在此场景中几乎没有价 值。

从以前的版本迁移

在 WebSphere Application Server 的不同版本之间迁移可能导致向后兼容性问题。从安全 性的角度来看,推荐的应用程序迁移方法是从头构建一个完整的新计算单元,然后在新的计算 单元中安装应用程序(当然先要进行严格的测试)。通过采用这种方法,就可以受益于新版本 的所有默认配置更改。

如果使用 WebSphere Application Server 计算单元迁移工具,它们会把现有的配置和应用 程序复制到新的计算单元,因此不会受益于每个主要版本对安全性的许多改进。这是因为我们 会尽可能少修改现有的配置,以便确保应用程序能够继续正常运行。这么做的副作用是加强默 认安全性的配置更改不会生效。因此,如果使用工具从 WebSphere Application Server V6 迁 移到 V7,就应该阅读本文的 V6 和 V7 版本,而不只是最新版本。

结束语

这篇由两部分组成的文章讨论了大量内容。虽然我们讨论了有关安全性的很多方面,但是重 点放在加强 WebSphere Application Server 环境这一核心主题上。希望您已经获得了保证 Java EE 系统安全所需的基本信息。本文的内容并不全面,您应当从其他信息源查找关于加强 基础设施的其他部分的信息。WebSphere Application Server 只是冰山的一角。

可以使用一个称为 IBM Security Scanner for WebSphere Application Server 的自动化 工具对本文中所描述的一部分事项进行检查,可以 下载 这个工具。

最后,如果希望进一步了解 WebSphere Application Server 安全性,请联系 IBM Software Services for WebSphere,参加关于 WebSphere Application Server 安全性的定制 的现场课程。这个课程深入讲解安全性加强、定制身份验证、集成、单点登录和各种其他相关 主题。

你可能感兴趣的:(WebSphere Application Server V7高级安全性加强,第2部分)