Membrane Service Proxy schützt das Backoffice der ERGO Direkt Versicherungen in Internet- und Mobile-Business

Internet- und Mobile-Business stehen im Fokus der ERGO Direkt Versicherungen. Über das Web und über mobile Apps können Kunden selbst Versicherungen abschließen oder über Self-Services Ihre persönlichen Daten pflegen. Diese Fallstudie beschreibt, wie das Open Source Projekt Membrane Service Proxy bei der ERGO Direkt als Security-Infrastruktur für das Internet Geschäft eingesetzt wird.

ERGO Direkt ist Deutschlands meistgewählter Direktversicherer und auf dem Weg zum führenden mobilen Versicherer. Die für das online Geschäft notwendige Absicherung übernimmt eine Security Infrastruktur bestehend aus Firewall- und Netzwerkkomponenten ergänzt durch anwendungsspezifische Prüfungen.

Absicherung der Backend Systeme

Abbildung 1: Absicherung der Backend Systeme

Ausgangslage

Bis zum Sommer 2012 wurde für die fachliche Überprüfung von SOAP und REST basierten Nachrichten eine reine Eigenentwicklung verwendet. Der Kern der Eigenentwicklung bestand aus einer technischen Security Validierung, welche gegen SQL-Injection und andere Angriffe schützte, in dem sie Nachrichten mit einer Regelbasis überprüft hat. Die Überprüfung erfolgte inhaltsbasiert sowie mit Hilfe von White- und Blacklists. Die Muster und Regeln zur Validierung konnten komfortabel über eine graphische Benutzeroberfläche konfiguriert werden. Des Weiteren übernahm die technische Security Validierung das Monitoring und Reporting von Angriffsversuchen und Regelverstößen.

Im operativen Betrieb bot die Eigenentwicklung eine hohe Stabilität und Performanz. Die Bereitstellung von neuen Diensten war aber aufwändig und dauerte zu lange, da man manuell Web Anwendungen erstellen musste, die Anfragen abgefangen und an die technische Security Validierung weiterleitet haben.

Aufgabenstellung

Der Aufwand für die Bereitstellung neuer Dienste sollte minimiert werden, um schneller und günstiger reagieren zu können. Die technische Security Validierung sollte Aufgrund Ihrer Flexibilität und Konfigurierbarkeit in die neue Lösung übernommen werden. Auf das Erstellen einer Web Anwendung für jeden Dienst wollte man aber verzichten.

Die neue Lösung sollte zusätzlich zur inhaltlichen Prüfung Nachrichten auch gegen XML und JSON Schema Beschreibungen validieren. Ferner sollte sie eine Authentifizierung gegen die Backendsysteme durchführen und interne Adressen in WSDL Dokumenten in öffentliche für das Internet umschreiben.

Lösung

Als Ersatz für die selbst entwickelte Lösung wurde das Open Source Projekt Membrane Service Proxy der Firma predic8 in Bonn ausgewählt. Membrane ist ein quellenoffener, mit Java realisierter Reverse HTTP Proxy, mit guter Unterstützung für das SOAP Protokoll und für REST Ressourcen. Ferner bietet Membrane eine Reihe von Features, die für ERGO Direkt Versicherungen von Interesse sind:

  • Validierung von Nachrichten gegen XML und JSON Schema
  • Schutz vor XML und Denial of Service Attacken
  • Aufbereitung von WSDL und XML Schema Dokumenten (Umschreiben von Adressen)
  • Einfache Konfiguration
  • Hohe Performanz und niedriger Bedarf an Ressourcen
Die Firma predic8 wurde beauftragt, eine Erweiterung zu entwickeln, welche die technische Security Validierung in den Membrane integriert und damit die selbst entwickelten Web Anwendungen ersetzt.

Vorab wurde ein Proof of Concept durchgeführt und geprüft, ob Membrane performant und stabil genug für das Tagesgeschäft ist und mit der bestehenden technischen Security Validierung zusammen arbeiten kann.

Open Source Sponsoring

Für den IT Betrieb musste es möglich sein, Membrane im WebLogic Application Server von Oracle zu betreiben. Da ein Deployment im WebLogic bisher nicht möglich war, hat ERGO Direkt im Rahmen eines Open Source Sponsoring die Integration des Membrane Service Proxy in eine Web Anwendung finanziert. Die neue Membrane Web Anwendung ist JEE konform und kann in jeden JEE Anwendungsserver installiert werden. Die gesponserte Web Anwendung steht wie der Membrane Service Proxy selbst der Open Source Gemeinde zum Download und zur Weiterentwicklung auf der github-Seite zur Verfügung. Github ist eine beliebte Plattform für das gemeinsame Entwickeln von Open Source Software im Web.

Funktionsweise

Jede Nachricht wird durch den Membrane Service Proxy geleitet, der eine Überprüfung durchführt und eine aufbereitete Parameterliste an die technische Security Validierung übergibt, die dann entscheidet wie mit der Nachricht zu verfahren ist. Abbildung 1 illustriert den Ablauf von Anfragen aus dem Web oder vom Smartphone.

Anstatt wie bisher für jeden neuen Service eine Anbindung mit einer Web Anwendung zu entwickeln werden mit Membrane virtuelle Services konfiguriert. Zur Einrichtung eines virtuellen Service, welcher auch Service Proxy genannt wird, genügen wenige Zeilen Konfiguration in einer XML Datei. Zur Absicherung eines Service werden jetzt nur wenige Stunden anstatt mehrerer Tage für die Entwicklung einer Web Anwendung mit Java benötigt.

Abbildung 2 zeigt die Membrane Web Anwendung sowie die Anbindung an die technische Security Validierung über ein Plugin, welches die für die Validierung notwendigen Daten aus den Anfragen extrahiert.

Membrane Web Anwendung und technische Security Validierung

Abbildung 2: Membrane Web Anwendung und technische Security Validierung

Das speziell für ERGO Direkt entwickelte Plugin ist für die Aufbereitung der Daten aus den Anfragen und für die Ansteuerung der technischen Security Validierung verantwortlich.

Validierungsfehler und eventuell auftretende Fehlermeldungen des Backoffice werden ausgefiltert und durch Tickets ersetzt. Details über fehlerhafte Aufrufe können danach über die Tickets bei einer Hotline erfragt werden. Angreifer, die über ungültige Anfragen versuchen aussagekräftige Fehlermeldungen zu provozieren, bekommen so nur nichtssagende Ticketnummern. Ferner werden nicht benötigte Systeminformationen aus den Antworten gefiltert.

Neben SOAP basierten Web Services wird auch REST und das bei Apps und HTML5 Anwendungen beliebte JSON Format unterstützt.

Fazit

Alle gestellten Aufgaben konnten erfüllt werden:

  • Neue Services können innerhalb kurzer Zeit eingebunden werden.
  • Die bestehende technische Security Validierung wird weiterhin eingesetzt.
  • Membrane Service Proxy kann im WebLogic Server betrieben werden.
  • Nachrichten werden gegen XML und JSON Schema validiert.
  • Es findet eine Authentifizierung gegenüber den Systemen des Backoffice statt.
Nach erfolgreichem Abschluss einer Testphase ist Membrane seit August 2012 im Betrieb.

Die folgende Gegenüberstellung zeigt die Unterschiede der bisherigen Lösung und der Membrane basierten:

Eigenschaft Bisherige Lösung Membrane Service Proxy
Anbindung der technischen Security Validierung Über manuell erstellten Codedeklarativ
XML Schema Validierung nein ja
JSON Schema Validierung nein ja
Schematron Validierung nein ja
Einrichten von neuen Diensten Java Programmierung ist notwendig deklarativ
Filtern von Stacktraces nein ja
Konfiguration über WSDL nein ja
Ausfiltern von Details zur Installation nein ja
Ausfiltern von Fehlermeldungen nein ja
Authentifizierung im Backend ja ja
Unterstützung von JSON und GWT nein deklarativ
RESTReferenzFallstudieMembraneMobileSecurity
Kundenstimme
"Mit dem Membrane Service Proxy konnten wir eine standardisierte Security Infrastruktur-Lösung für den Zugriff auf unsere Backendsysteme realisieren und damit die Voraussetzung für die Durchführung unserer Internet- und Mobile-Strategie schaffen. Der Betrieb der Security-Infrastruktur benötigt wenig Ressourcen und ermöglicht eine hohe Performanz. Die Zeitersparnis beim Anbinden neuer Partner oder neuer Dienste verschafft uns einen wertvollen Wettbewerbsvorteil."

Andreas Oßwald, Leiter Software-Architektur und -Technologie bei ERGO Direkt Versicherungen
ERGO Direkt Versicherungen
ERGO Direkt Versicherungen sind mit rund 4,3 Millionen Kunden der meistgewählte deutsche Direktversicherer. Das Unternehmen ist auf einfache und leicht verständliche Produkte spezialisiert, die zum Standardbedarf von Privathaushalten gehören. Wichtige Produkte sind die Zahnzusatzversicherungen, die Pflegetagegeldversicherung, die Risikolebensversicherung sowie die Berufsunfähigkeitsversicherung. Schlanke Prozesse und eine schnelle Verarbeitung ermöglichen günstige Prämien. Seit seiner Gründung 1984 wächst das Unternehmen kontinuierlich. Heute arbeiten rund 1.900 Mitarbeiter am Standort Nürnberg/Fürth. ERGO Direkt Versicherungen gehören zur ERGO Versicherungsgruppe und damit zu Munich Re, einem der weltweit führenden Rückversicherer und Risikoträger.

ERGO Direkt Versicherungen
Karl-Martell-Straße 60
90344 Nürnberg

http://www.ergodirekt.de
Membrane Service Proxy
Membrane Service Proxy ist eine Lösung für die Absicherung und Virtualisierung von REST und SOAP basierten Web Services. Anstatt mit einer physikalischen Adresse nimmt ein Client Verbindung mit einem virtuellen Service auf. Dies ermöglicht eine Entkopplung von Server und Client sowie die Bereitstellung von zusätzlicher Funktionalität wie z.B. Sicherheit, Monitoring und Validierung.
Membrane ist mit Java realisiert und steht unter der liberalen Open Source Lizenz der Apache Software Foundation zum Download zur Verfügung. Dies ermöglicht den Einsatz von Membrane in individuellen Projekten sowie in kommerziellen Produkten.
Der Hersteller predic8 bietet für den Membrane Service Proxy Beratung, Support und die Entwicklung von maßgeschneiderten Erweiterungen an.

http://www.membrane-soa.org