Windows Communication Foundation (WCF) è un insieme di tecnologie che espongono codice e dati eseguibili sul lato server su Internet.
Viste le capacità di condivisione delle porte di IIS, o anche che uno sviluppatore web può ospitare un'applicazione WCF all'insaputa del team di sicurezza IT, penso che il team di sicurezza IT dovrebbe avere il controllo su ciò che è esposto e sulla sua configurazione.
Esempi di configurazione di WCF includono: scelta del protocollo, metodo di crittografia e quali metodi eseguibili sono esposti.
- Sei d'accordo sul fatto che questa tecnologia debba essere considerata nell'ambito del team IT Security.
- Come venderesti questo alla gestione per l'inclusione (dato che non sei un gestore)
- Quali processi metteresti in atto per il controllo e l'implementazione di questa tecnologia?
- Come definiresti i limiti del supporto con il team dell'applicazione?
- ... altri elementi
Parte del motivo per cui ho posto questa domanda è che presso le grandi aziende per cui ho lavorato, la sicurezza SOAP era fuori limite per lo stesso gruppo che gestiva la sicurezza perimetrale (spesso lo stesso gruppo che gestiva i firewall e i router).
Forse la dimensione dell'organizzazione dovrebbe essere presa in considerazione quando si fa questa domanda. È irragionevole aspettarsi che un amministratore di Firewall capisca anche WCF / Metro?