At bruge Web Services til at udvide samarbejdet og
integrationen i værdikæden kræver, at it- systemer gøres tilgængelige ud
over virksomhedens mure via internettet. For at opnå fleksible
værdikæder skal sikkerhedsproblemerne håndteres på en måde, der ikke
sætter unødige grænser for fleksibiliteten i at kunne samarbejde med den
rette partner på det rette tidspunkt. Samtidig skal problemet løses på
en omkostningseffektiv facon både for virksomheden såvel som for
partnerne.
Sikkerhedstrusler har med distribueret arkitektur
udviklet sig fra enkeltstående mainframes til client-serverens to-tre
led (2-3 tier) og videre til internetmiljøer med flere led (n-tier). Web
Services repræsenterer en ny model, hvor flere ligeværdige komponenter
deltager kollektivt til integration af applikationer, og derved også en
ny måde at udstille virksomheden på. Nye integrationspunkter,
komponentarkitektur og forøget dynamisk funktionalitet giver nye former
for trusler, hvilket betyder, at man skal til at genoverveje sine
sikkerhedsstrategier.
I dag understøtter de fleste større virksomheder en
håndfuld større applikationer, hver med dets egen unikke
sikkerhedsimplementering. Dette resulterer i vedligeholdelse af mange
autentificerings- og autorisationsprofiler for den enkelte bruger og
derved mange identiteter for den enkelte. Disse øer af sikkerhed forøger
også risikoen for, at virksomhederne adderer sikkerhedspolitikker som et
kludetæppe og gør det vanskeligt at lave en central styring af
brugeridentiteter. Med Web Services vil der blive tilføjet hundredvis af
enkelte services til virksomhedens it-miljø, og der tilføjes derved
yderligere vanskeligheder til det eksisterende problem. Web Services
distribuerede natur vil gøre det endnu mere vanskeligt at håndhæve
sikkerhedspolitikker. Introduktionen af Web Service i en organisation
kan være første gang, at organisationen tillader eksterne brugere adgang
til deres forretningsapplikationer. De sikkerhedspolitikker og
standarder, som er tilstrækkelige til intern brug, kan være uacceptable,
når eksterne brugere skal have adgang.
Fundamentale sikkerhedsprincipper kræver, at en
service autentificerer en forbruger. Servicen og dets forbruger
risikerer derved at blive tæt koblet, medmindre sikkerheden selv kan
håndteres på en løst koblet facon. Hvis hver Web Service og applikation
udviklet i værdikæden kræver en unik tilgang, vil potentielle fordele
blive tabt på grund af omkostningerne til at bygge og styre den krævede
infrastruktur.
Den løse kobling giver en fleksibel arkitektur med
dele, der let kan udskiftes, og øget skalerbarhed, men kommunikationen
mellem disse løst koblede komponenter åbner for nye risici, især
overgangen fra en komponent til en anden kan være sårbar. Ønsker man at
forøge levetiden af sine eksisterende investeringer i applikationer ved
at tilbyde dem som Web Services, kan denne overgang udstille den
eksisterende applikation, hvis den ikke implementeres korrekt.
Dannelse af et servicelag betyder, at udviklere har
lavet et yderligere netværksinterface, der kan bruges af multiple
applikationer. I modsætning til nuværende applikation til
applikation-integration, som afhænger af sikkerhedsmekanismer ved hver
applikation eller ved hvert netværk, vil Web Service kun udstille
udvalgt applikationsfunktionalitet eller services til andre
applikationer. Sikkerhedsmekanismerne skal derfor kunne håndtere
selektiv funktionsadgang afhængig af brugeren.