Windows Communication Foundation (WCF) es un conjunto de tecnologías que exponen el código y los datos ejecutables del lado del servidor a través de Internet.
Dada la capacidad de puerto compartido de IIS, o incluso que un desarrollador web puede alojar una aplicación WCF sin que el equipo de seguridad de TI lo sepa, creo que el equipo de seguridad de TI debería tener cierto control sobre lo que está expuesto y su configuración.
Los ejemplos de configuración de WCF incluyen: elección de protocolo, método de cifrado y métodos ejecutables expuestos.
- ¿Está de acuerdo en que esta tecnología debe considerarse dentro del alcance del equipo de seguridad de TI?
- ¿Cómo vendería esto a la administración para su inclusión (dado que usted no es un gerente)?
- ¿Qué procesos implementaría para auditar e implementar esta tecnología?
- ¿Cómo definiría los límites de soporte con el equipo de la aplicación?
- ... otros artículos
Parte de la razón por la que hago esta pregunta es que en las grandes empresas para las que trabajé, la seguridad de SOAP estaba fuera de los límites para el mismo grupo que manejaba la seguridad del perímetro (a menudo el mismo grupo que manejaba los cortafuegos y enrutadores).
Tal vez el tamaño de la organización debería tenerse en cuenta al hacer esta pregunta. ¿Es irrazonable esperar que un administrador de Firewall también entienda WCF / Metro?