Gedwongen door de kansen die hun geboden worden en het gemak waarmee ontwikkelaars een webdienst opzetten, moeten ondernemingen wel met deze nog onvolwassen technologie aan de slag. Bovendien zijn er verschillende kapers op de kust, dus is het lastig te beslissen waar men voor moet kiezen.
Een niet onaanzienlijk deel van de ondernemingen is al druk doende diensten op het web te ontwikkelen. Dit ondanks dat het standaardisatieproces nog in volle gang is, er nog een enorme kloof gaapt tussen de technische infrastructuur en de inbedding ervan in de onderneming, en leveranciers elkaar bevechten om een nieuwe markt te ontginnen. Volgens het onderzoeksbureau Forrester heeft 11 procent van de bedrijven op dit moment webdiensten in productie. In het rapport "CIOs: Govern Web Services Now" schrijft het bureau dat 17 procent van de bedrijven pilotprojecten heeft lopen, dat 13 procent bezig is de markt te betreden en dat nog eens 30 procent de inzet van webdiensten overweegt.
Adoptie
Dat het zoveel harder gaat dan verwacht met de adoptie van deze nieuwe technologie, heeft vooral te maken met het gemak waarmee systemen in elkaar kunnen worden gezet. Elke applicatieontwikkelaar kan in een halve dag een toepassing ontsluiten voor de buitenwereld. In het gemak waarmee webdiensten beschikbaar kunnen worden gemaakt, schuilt echter tegelijkertijd het gevaar.
Er is een niet onaanzienlijke kans dat enthousiaste ontwikkelaars of bedrijfsonderdelen op eigen houtje van alles beginnen te voorzien van een nieuwe front-end. Wie herinnert zich niet hoe destijds iedereen die dat wilde binnen een dag zijn eerste zelfgemaakte webpagina’s on line had staan? Moest een onderneming zich destijds vooral zorgen maken over de beschadiging van zijn merk, nu gaat het om toegang tot het hart van het bedrijf, daar waar de kroonjuwelen zich bevinden: gegevens, middelen en processen. Een openstaand of niet goed doordacht netwerk kan een onderneming bijzonder kwetsbaar maken. Want nog eenvoudiger dan het aanbieden van een webdienst is het gebruik ervan. De ingang is elektronisch gedocumenteerd, zodat tools zichzelf heel gemakkelijk automatisch kunnen aankoppelen.
Webdiensten Webdiensten bieden bepaalde functionaliteit over internetverbindingen. Berichten worden uitgewisseld in het XML-formaat (Extensible Markup Language) en vervoerd via het gewone HTTP-protocol voor de communicatie met webservers. Het SOAP-protocol (Simpel Object Access Protocol) zorgt ervoor dat er geen problemen ontstaan tussen verschillende systemen. Het vinden van webdiensten gebeurt via UDDI (Universal Description, Discovery, and Integration), een gedistribueerde directory waarop webdiensten kunnen worden aangemeld. Doordat de webdiensten elektronisch precies worden gedefinieerd in een WSDL-document (Web Service Definition Language), is het voor applicatieontwikkelaars heel gemakkelijk webdiensten op te nemen in nieuwe toepassingen. Bovendien kunnen op deze manier in principe gemakkelijker kortstondige relaties worden aangegaan tussen gebruikers en aanbieders van de webdienst. De belangrijkste spelers in de markt van webdiensten zijn de aartsrivalen Microsoft en Sun, met respectievelijk .Net en ONE (Open Network Environment). De eerste is gebaseerd op het besturingssysteem Windows en de programmeertaal C#, de tweede op J2EE (Java 2 Enterprise Edition). Behalve over de standaarden ruziën de twee grootmachten vooral over hun Single Sign-On diensten, Passport en het breder gedragen Liberty Alliance Project. Naast webdiensten, die volgens het client/serverprincipe werken, is er ook nog de op dit moment vooral door Sun ondersteunde ebXML-standaard (Electronic Business using XML). Deze wordt gebruikt om bedrijven onderling met elkaar te verbinden. ebXML is dus een op XML gebaseerde opvolger van EDI (Electronic Data Interchange), terwijl webdiensten gezien kunnen worden als op XML gebaseerde vervangers van CORBA en andere modellen voor gedistribueerde applicaties. |
In het wilde weg
Het grootste probleem bij de beveiliging van webdiensten is dat ze niet kunnen worden gecontroleerd door de traditionele beveiligingssystemen. Net zoals webservers maken webdiensten gebruik van het HTTP-protocol op TCP/IP-poort 80. En hoewel firewalls wel intelligenter worden en langzaamaan steeds meer omhoog kruipen richting applicatieniveau, geldt dat niet voor het complexe verkeer met webservers of webdiensten.
Volgens ISS, leverancier van beveiligingssystemen, vindt tweederde van de aanvallen van buiten plaats via poort 80. En zoals nu via de webserver de achterliggende systemen kunnen worden bereikt door te rommelen met de invoer voor CGI-scripts of andere software tussen webserver en backoffice, kunnen straks ook webdiensten op deze manier worden misbruikt.
Een hieraan gerelateerd probleem, maar niet specifiek voor webdiensten, is de kwetsbaarheid voor DDoS-aanvallen (Distributed Denial of Service). Elke dienst die via een publiek netwerk beschikbaar wordt gesteld, kan worden overspoeld met aanvragen. Gelukkig kan men zich hier wel tegen wapenen. Door een firewall te combineren met een systeem dat de datastroom in de gaten houdt, kan bij een aanval het aantal verbindingen worden afgeknepen, zodat de dienst wel trager wordt, maar in ieder geval in de lucht blijft.
Braakliggend terrein
Voor wat betreft de beveiliging van webdiensten ligt er nog veel terrein braak. Het gebrek aan standaarden wordt in het algemeen gezien als de grootste rem op de acceptatie van webdiensten. Sun, dat bezig was met een eigen standaard, heeft toegezegd WS-Security te zullen ondersteunen. Naar eigen zeggen vooral omdat deze vrij van royalty’s gebruikt zal kunnen worden. Maar veel belangrijker voor Sun is dat het waarschijnlijk alsnog zal worden toegelaten bij de Web Services Interoperability Organization WS-I, een door Microsoft en IBM in het leven geroepen organisatie voor het testen en certificeren van de interoperabiliteit van oplossingen voor webdiensten. Andersom heeft Microsoft belangstelling getoond voor het lidmaatschap van de Liberty Alliance.
Wie denkt dat partijen hiermee wat dichter bij elkaar zijn gekomen, heeft het bij het verkeerde eind. Zojuist hebben Microsoft, IBM en BEA drie nieuwe standaarden gelanceerd. Met het publiceren van deze standaarden, is het drietal geheel voorbij gegaan aan de Web Services Choreography Interface (WSCI) die Sun onlangs heeft voorgelegd aan W3C. Behalve WS-Security willen Microsoft, IBM en VeriSign tot eind volgend jaar nog zes andere beveiligingsstandaarden ontwikkelen.
Kinderschoenen passen nog
Op dit moment is de beveiliging van webdiensten nog zo beperkt dat deze eigenlijk alleen binnen een onderneming gebruikt zouden mogen worden. Het hart van de onderneming openstellen over het internet is vragen om industriële spionageactiviteiten. Daarmee gaat natuurlijk wel een groot deel van de aantrekkelijkheid van webdiensten verloren. Aangezien het merendeel van de veiligheidsproblemen afkomstig is vanuit het eigen bedrijf, is het zelfs de vraag of men überhaupt nu met webdiensten aan de slag moet willen. Aan de andere kant zijn webdiensten voor veel ondernemingen inmiddels een feit, wat betekent dat men in ieder geval moet zorgen voor een goed beleid.
Waar de markt schreeuwt om beveiligingsprotocollen en aansluiting van webdiensten bij de bedrijfsprocessen, buitelen de daarvoor verantwoordelijke leveranciers over elkaar heen om een zo groot mogelijk stuk van de webdienstentaart te bemachtigen. Dit gaat ten koste van standaardisatie van de markt, en dus van hun klanten. Bovendien hebben gebruikers absoluut geen vertrouwen in de manier waarop leveranciers met hun gegevens om zullen gaan. Microsoft is onlangs nog teruggefloten door de Federal Trade Commission (FTC) vanwege misleiding van zijn Passport-gebruikers. Het bedrijf werkt nu aan Trustbridge, dat vergelijkbare functionaliteit voor zakelijke gebruikers moet gaan aanbieden.
Betaal jij of betaal ik?
Tenslotte speelt er nog het royaltyprobleem. Hoewel IBM en Microsoft zeggen vooralsnog geen licentieroyalty’s te zullen vragen voor de patenten die ze hebben op SOAP, WSDL en UDDI, willen ze zich dat recht wel voorbehouden. Volgens sommigen is dat de reden waarom de WS-I in eerste instantie is opgezet. Waar Sun hamerde op een licentievrije standaard voor WS-Security, stapte HP eerder om dezelfde reden uit het WSDL-samenwerkingsverband met IBM en Microsoft. Hoewel de dreiging er zeker is, is het nog maar de vraag of het daadwerkelijk ooit tot licentiekosten voor deze internetstandaarden zal komen. De ervaring leert dat er dan snel een alternatief zal worden ontwikkeld.
ebXML | http://www.ebxml.org |
Liberty Alliance Project | http://www.projectliberty.org |
Microsoft .Net | http://www.microsoft.com/net/ |
Microsoft Passport | http://www.passport.com |
OASIS | http://www.oasis-open.org |
SOAP | http://www.w3c.org/TR/soap |
Sun ONE | http://www.sun.com/sunone |
UDDI | http://www.uddi.org |
W3C | http://www.w3c.org/2002/ws |
WSDL | http://www.w3c.org/TR/wsdl |
XML | http://www.w3c.org/XML |
Ronald Pardous freelance medewerker