Beveiliging berichtenverkeer
Verwante principes |
Objectdefinitie
Omvat de beveiliging van het berichtenverkeer.
Objecttoelichting
De beveiliging van het berichtenverkeer omvat beveiligingsmechanismen die bescherming bieden tegen Cross-Site Scripting (XSS), SQL Injections en andere bedreigingen op de inhoud van berichten, onder andere op basis van schema-validaties. Voor het berichtenverkeer geldt minimaal de OWASP-top 10. Deze criteria worden voortdurend geactualiseerd en zijn vrij toegankelijk op internet op https://OWASP.org.
Voor PKI Overheid de Digikoppeling-standaarden van Logius.nl toepassen. Let op: voor alle Application Programming Interface (API)-initiatieven als alternatief voor webservices (server2server). Qua certificaatgebruik hiervoor digikoppeling richtlijnen blijven volgen.
Op de middlewarelaag wordt vaak Message-level security gebruikt als set van maatregelen. Deze set specificeert in hoeverre de SOAP-berichten tussen een client-applicatie en een webservice, die aangeroepen is door een client, moeten worden versleuteld, digitaal worden ondertekend of beiden. Het specificeert tevens de gedeelde beveiligingscontext tussen een webservice en een client, in het geval dat ze meerdere SOAP-berichten uitwisselen.
Message-level security wordt toegepast voor zekerheid over de vertrouwelijkheid via versleuteling van berichten of onderdelen daarvan; voor de integriteit van berichten via elektronische handtekeningen en voor authenticatie, door te vragen naar een gebruikersnaam of een X.509 token.
Criterium
Doelstelling
Risico
Indeling binnen ISOR
Dit beveiligingsprincipe:
- is gericht op het Beveiligingsaspect Uitvoering;
- valt binnen de Invalshoek Gedrag.
ℹ️(Klik om uitleg open/dicht te klappen)
Grondslag
De grondslag voor dit principe is BIO 2019 13.2.3, 14.1.3
Onderliggende normen