Les dejo algunas sugerencias para mejorar la seguridad de un web service en el caso que este deba ser privado y maneje informacion delicada de la empresa.
-
Es recomendable utilizar un nuevo puerto para los web services, esto con el fin de crear en el firewall una tabla con únicamente las ip que si deben tener acceso al web service.
-
No entregar el WSDL a personas que no estén en el proyecto, ni mandarlo al azar por correo electrónico.
-
La documentación del web service, no debe navegar libremente en el trabajo ni por correo electrónico, ya que esta posee información importante del web service tal como los métodos que recibe entre otras cosas.
-
Utilizar el principio de esconder para obtener mayor seguridad, nadie puede atacar algo que no conoce.
-
Utilizar la seguridad por medio de llaves entre cliente y web service para evitar que otra persona tenga acceso al web service sin permiso previo.
-
El canal de comunicaciones con el web Service debe ser por medio de una VPN (Virtual Private Network), esto debido a que la VPN ya maneja los datos encriptados.
-
No esperar hasta ser atacados para aplicar la seguridad en un web service.
Puede investigar más, leyendo sobre WSS(Web Services Security), pero en lo personal creo que con los consejos de arriba ya tienen un Web Service seguro.
