Towards Systematic Achievement of Compliance in Service-Oriented Architectures: The MASTER Approach
| dc.contributor.author | Lotz, Volkmar | |
| dc.contributor.author | Pigout, Emmanuel | |
| dc.contributor.author | Fischer, Peter M. | |
| dc.contributor.author | Kossmann, Donald | |
| dc.contributor.author | Massacci, Fabio | |
| dc.contributor.author | Pretschner, Alexander | |
| dc.date.accessioned | 2018-01-16T08:57:02Z | |
| dc.date.available | 2018-01-16T08:57:02Z | |
| dc.date.issued | 2008 | |
| dc.description.abstract | Dienstorientierte Architekturen (Service Oriented Architectures – SOA) sind dank der Flexibilität der Dienste und der aus ihnen komponierten Anwendungen die heutige Referenz für die IT-Unterstützung agiler Unternehmen, die in einem dichten Netz mit Partnerunternehmen agieren und dynamisch Geschäftsprozesse ausgliedern. Die mit SOA einhergehenden Möglichkeiten haben aber gleichzeitig Konsequenzen hinsichtlich der Einhaltung von Regularien und Vorschriften: abstrakte Dienstschnittstellen, verteilte Verantwortlichkeiten und Interaktion über Unternehmensgrenzen hinweg stellen verschärfte Anforderungen an die Implementierung organisatorischer Kontrollprinzipien in einer SOA, insbesondere hinsichtlich der Bewertung der Effektivität der umgesetzten Maßnahmen.Automatisierung bei der Umsetzung und kontinuierlichen Bewertung von Kontrollmaßnahmen ist essentiell. Der vorliegende Beitrag beschreibt die damit einhergehenden Herausforderungen anhand eines eingängigen Beispiels, um dann eine auf IT-Sicherheitsmaßnahmen fokussierte Methodik und Architektur einzuführen, die die Unterstützung aller Phasen im Lebenszyklus von Kontrollmaßnahmen ermöglichen. Die Architektur beinhaltet in eine SOA eingebettete Komponenten zur Beobachtung, Bewertung, Entscheidungsunterstützung und automatisierten Umsetzung von Maßnahmen. Der Ansatz basiert auf ausführbaren Modellen zur Bereitstellung von Kontextinformation auf unterschiedlichen Abstraktionsebenen sowie deklarativen Policies, die eine Steuerung der Maßnahmen erlauben. Modellen und Policies werden Indikatoren gegenübergestellt, die die Bewertung der umgesetzten Maßnahmen ermöglichen und Anhaltspunkte für kritische Situationen und notwendige Entscheidungen liefern.Die vorgestellten Konzepte werden im Rahmen des EU-Förderprojektes MASTER realisiert, das damit den ersten automatisierten Ansatz zur systematischen Umsetzung von Compliance-Anforderungen in SOA liefern wird.AbstractService-oriented architectures (SOA) have been successfully adapted by agile businesses to support dynamic outsourcing of business processes and the maintenance of business ecosystems. Still, businesses need to comply with applicable laws and regulations. Abstract service interfaces, distributed ownership and cross-domain operations introduce new challenges for the implementation of compliance controls and the assessment of their effectiveness.In this paper, we analyze the challenges for automated support of the enforcement and evaluation of IT security controls in a SOA. We introduce these challenges by means of an example control, and outline a methodology and a high-level architecture that supports the phases of the control lifecycle through dedicated components for observation, evaluation, decision support and reaction. The approach is model-based and features policy-driven controls. A monitoring infrastructure assesses observations in terms of key indicators and interprets them in business terms. Reaction is supported through components that implement both automated enforcement and the provision of feedback by a human user. The resulting architecture essentially is a decoupled security architecture for SOA with enhanced analysis capabilities and will be detailed and implemented in the MASTER project. | |
| dc.identifier.pissn | 1861-8936 | |
| dc.identifier.uri | https://dl.gi.de/handle/20.500.12116/12832 | |
| dc.publisher | Springer | |
| dc.relation.ispartof | Wirtschaftsinformatik: Vol. 50, No. 5 | |
| dc.relation.ispartofseries | WIRTSCHAFTSINFORMATIK | |
| dc.subject | Compliance | |
| dc.subject | IT security controls | |
| dc.subject | IT-Sicherheitsmaßnahmen | |
| dc.subject | model-based architecture | |
| dc.subject | modellbasierte Ansätze | |
| dc.subject | run-time monitoring | |
| dc.subject | security metrics | |
| dc.subject | service-oriented architecture | |
| dc.subject | serviceorientierte Architekturen | |
| dc.subject | Sicherheitsmetriken | |
| dc.subject | Überwachung | |
| dc.title | Towards Systematic Achievement of Compliance in Service-Oriented Architectures: The MASTER Approach | |
| dc.type | Text/Journal Article | |
| gi.citation.endPage | 391 | |
| gi.citation.startPage | 383 |