¿Se debe permitir que un sitio web utilice un servicio web de terceros directamente?

Navega tus respuestas
1

Imagina que tengo un sitio web que se ejecuta en un IIS. El sitio web necesita obtener / enviar datos confidenciales de un servicio web REST de terceros.

¿Hay alguna razón por la que un sitio web (del lado del servidor, no del cliente) no pueda consumir directamente un servicio web de terceros, sino un servicio interno independiente que realiza la llamada al servicio web de terceros?

  

Sitio web - > Servicio web de terceros

o

  

Sitio web - > servicio interno - > Servicio web de terceros

    
pregunta Rookian 23.06.2016 - 23:21
fuente

2 respuestas

4

Me complace mucho haber tropezado con esta pregunta, ya que es una situación común pero en su mayoría mal manejada.

Mi respuesta es que tiene que haber un servicio interno para cumplir con el propósito de consumir / alimentar a un servicio de terceros y mi justificación es la siguiente.

  1. Me ayuda a rastrear todas las ocurrencias de servicios internos que atienden a los 3PE. (suponga que un día después de 1 año debe encontrar todos los 3PE y no tiene idea de dónde están dispersos en todo el código y cuáles son sus nombres, pero si tiene un servicio interno haciendo el trabajo de los intermediarios, sabe exactamente qué buscar para). La auditoría externa de la asociación es fácil.
  2. Si el servicio tiene algún problema al final de la tercera parte, tiene una posibilidad de lograr fallos elegantes.
  3. Realiza un seguimiento de todos los datos que los 3PE van a entregar / consumir para que sepa exactamente lo que entra y sale.
  4. En situaciones muy específicas, este tipo de 3PE debe realizarse después de una revisión de la Arquitectura de seguridad (por ejemplo, el dominio bancario) que involucra la revisión del proveedor, servicio, datos, privilegios y muchos más. Tener un servicio interno elimina la dependencia de que un código de terceros sea completamente confiable. (No hay confianza en infosec, ¿verdad?)

Sin embargo, también hay un inconveniente. Cada vez que el servicio externo se modifica a sí mismo, debe realizar los cambios pertinentes en su servicio interno en consecuencia. Pero eso se puede tolerar debido a las ventajas que aporta.

Último punto, si apunta a PCI-DSS o cualquier otra auditoría, siempre puede agregar el informe de sus 3PE y la forma en que los maneja utilizando los servicios internos en su lista de evidencia de prácticas de codificación segura.

Espero que esto ayude.

    
respondido por el GhostSpeaks101 24.06.2016 - 01:38
fuente
3

Se puede acceder directamente

Puede haber razones por las que un servicio interno intermedio puede ser útil, como abstraer el servicio web de terceros o proporcionar una interfaz común a varias interfaces.

Sin embargo, no hay razón por la que el sitio web no pueda consumir directamente al tercero, si se realiza correctamente. Tenga en cuenta que el sitio web aún deberá interactuar con el servicio interno, lo que puede ser tan difícil como interactuar con un tercero.

Desde el punto de vista de la seguridad, el uso de ese servicio interno puede permitirle segregar las credenciales de terceros o usarlo para aplicar otra capa de filtrado a la entrada, pero dicho servicio no es necesario . p>     

respondido por el Ángel 24.06.2016 - 00:05
fuente

Lea otras preguntas en las etiquetas

¿Qué políticas y acuerdos con respecto a la seguridad de la información son indispensables para todas las empresas que se respetan? ¿Ventajas con la autenticación del código PIN donde los dígitos se colocan en posiciones aleatorias?