CIO眼中影响SOA安全的三个因素

在过去，企业一直不愿意处理实现高级应用安全要求所面临的困难。随着实现的SOA安全机制不断成熟——加上有了更广泛的架构来实现安全联合，实现高级安全场景就会比较容易。许多CIO会发现，高级SOA安全成了一项必需的要求——特别是由于数据隐私及其他法规越来越多，更是如此。因此，从专业的安全角度来看，SOA 必须受到保护。

SOA安全挑战：身份安全与信息安全

企业在竞中充分利用面向服务的架构（SOA）带来的种种机遇来提高企业的竞争力。因而，这些技术具有的普遍性标志着企业机构对待随之而来的安全挑战会出现根本变化――尤其是被企业机构认为的两大SOA安全挑战。

身份安全

在SOA环境中，由于身份不是仅仅局限于单个用户，这些概念变得更加复杂。必须常常为服务本身赋予身份。也就是说，当一个服务调用另一个服务时，每个服务都要有相应身份。比方说，运送服务可能被订单处理系统自动调用，而订单处理系统必须确认为运送服务是值得信任的身份；否则订单无法处理。从订单处理、医疗审批到高价值的银行业务，每家企业对待SOA安全都必须格外慎重，而信任是推动开展这些业务的核心原则。安全政策失败带来的影响会一直影响到企业利润。

另外，身份系统继续迅猛发展，从而迫使个人成为自己的身份管理员；面对自己所使用的每个服务，都需要处理好自己创建的身份及第三方授予的身份； 并且在伴随信息披露力度加大而来的隐私与声誉之间作好平衡。个人还要有一套公用的“操作程序”，以便顺利应对这个新的安全格局。

作为SOA安全的补充，安全软件能够增强SOA支持的业务流程的应变能力。在整合架构中首要的角色是协助管理员和人员进行监控、管理、保全并控制SOA为基础的服务和应用程序组件端对端实施。公司越来越重视通过共享和传播信息来推动业务发展，这个战略也变得越来越重要，不久终端用户将不再忍受不可理的整合习惯。

此外，商务方面需要简单的进行交易而不需要在通过每一个门户时都停下来进行身份验证。为此，身份管理软件应该为互用提供以政策为基础的整合安全管理以确保在不需要在双方公司获取身份的情况下安全的获取信息和服务，从而节省时间并降低成本。除此以外，单一的SOA登录工具可以帮助在应用程序间整合安全，不管它们是现场的或是虚拟存在以支持公司扩大业务、合并资产或修正其在法律遵从和治理方面的做法。

信息安全

2008年，一种新的威胁对大约120万个网站造成了不良影响，包括一些非常知名的网站，这种威胁就叫搜索引擎优化（SEO）代码注入或中毒。随着这个破坏性极强的威胁其影响越来越小，人们却清晰地发现：应用程序已成为了黑客攻击的“重灾区”。之所以出现这个安全漏洞，一方面在于从整体式应用程序变化成为组合式应用程序，既通过SOA类别的流程编排，又通过Web 2.0类别的窗口组件和混合技术。这些组合式应用程序可能采用真正的混合搭配方式，包含了来自众多来源的应用程序代码。虽然这极大地提高了程序设计员的工作效率，并且让许多对程序设计一窍不通的人稍加培训，就能编制复杂的应用程序，但也导致应用程序容易出现漏洞。

SOA安全关键：部署与实践

SOA代表着方向，代表着趋势，是企业管理达到的最高境界，是管理软件叠加应用由量变到质变的丰硕成果。如果不用SOA开放架构，那么这些物理的、分散的管理系统将无法实现最佳应用效果，只有通过一个平台，一个架构，将这些系统有机地嫁接起来，并将企业许多业务整合到平台中，最终实现业务与系统同步，才是发展SOA的根本目的。

SOA真正实施起来却存在着很多问题。即使是主打SOA的软件厂商也缺乏对IT、商业、开发生命周期、人员、流程、合作伙伴、数据等的综合考虑；缺乏成熟的解决方案，面对企业不愿意大规模增加资金、人员投入改造现有业务系统的局面，没有成熟的解决办法；缺乏典型的行业系统应用案例，当前很多SOA 案例都是由厂商主导并打造的行业典型应用，SI和ISV本身的价值并没有得到体现，而SI和ISV的优势就是熟悉行业业务，能提供成熟的行业应用解决方案。因此，只有当渠道商将SOA架构真正融入到其具体应用系统解决方案中，用户才更容易接受和采纳，但现在，SI和中小ISV还并没能树立典型的应用案例，其在行业中的增值作用还没有在SOA的拓展中发挥出来。

有厂商认为，目前中国的SOA还局限于技术人员间的探讨，还没有到大规模部署和实践的时候。对于这一点似乎没有人提出疑问，因为尽管中国企业的基础信息化建设已经比较完善，但涉及到更高层次的应用还有诸多掣肘。

SOA真正实施起来却存在着很多问题。即使是主打SOA的软件厂商也缺乏对IT、商业、开发生命周期、人员、流程、合作伙伴、数据等的综合考虑；缺乏成熟的解决方案，面对企业不愿意大规模增加资金、人员投入改造现有业务系统的局面，没有成熟的解决办法；缺乏典型的行业系统应用案例，当前很多SOA 案例都是由厂商主导并打造的行业典型应用，SI和ISV本身的价值并没有得到体现，而SI和ISV的优势就是熟悉行业业务，能提供成熟的行业应用解决方案。因此，只有当渠道商将SOA架构真正融入到其具体应用系统解决方案中，用户才更容易接受和采纳，但现在，SI和中小ISV还并没能树立典型的应用案例，换言之，其在行业中的增值作用还没有在SOA的拓展中发挥出来。Burton集团副总裁兼研究总监Anne Thomas Manes 表示：“大多数SOA案例的失败都是人员和文化问题的结果而非技术问题”。

SOA安全保障：紧扣三大切入点

SOA 安全网关：网关为进入企业的XML流量提供了一个代理，并运用安全策略来确保某种形式的请求与验证。同样的故事也会发生在SOA身上。许多企业都从SOA网关入手来拦截基于XML的恶意软件和未经授权的应用请求。由于其易于实施，这可以说是一个很好的切入点。

早期的大型网站都偏向于直接在网络应用里建立自己的验证和授权技术。在当时这的确很有效，也能提供根本的保护。但很快这些应用就变得越来越复杂，在管理上也变得越来越困难。因此企业开始部署独立的网络访问管理（WAM）产品。现在许多大型网站都已将WAM作为整体架构的一部分。

XML网关能通过提供网络上的安全处理和硬件加速来保障SOA的安全。XML网关将安全协议应用到需要保护的SOA服务。它代表的是位于真实网络服务前端的虚拟服务。这些虚拟服务可以被提速，还可以包括在真实SO服务之前发生的过渡服务。举例来说，XML网关可以呈现在真实SOAP网络服务前端的REST界面。用这种方法，XML网关通常能提供协议调解，信息过渡，硬件加速以及安全。

SOA平台：在为SOA应用提供管理的同时，平台在验证和授权方面也提供了一些基本的安全保护。在有这么多选择的市场中，要选择一款SOA安全工具似乎是很容易的。事实上恰恰相反。这是由于在谈到SOA安全“产品”的角色，是一个单一装置还是整套软件工具，亦或是一个平台方面还存在着许多模糊不清的地方。根据环境的不同，安全措施可能会包括其中一个或是所有这些情境。

SOA容器：最终每种应用都将直接建立自己的安全功能来保护数据安全。SOA装置能够帮助改善许多核心流程，包括那些会导致高网站流量的流程，如财务交易、网上购物、库存优化和同步多渠道产品等。

影响SOA安全的三个因素

第一， 访问权控制和安全是SOA管理提出的关键问题。因此，SOA管理应该是你的SOA基础架构整体中不可分割的一部分，而不是随后加入。从实际出发，你需要在SOA项目早期考虑安全和控制。

第二，有了妥善的规划，SOA管理将降低SOA项目的成本实施时间。普遍认识到项目周期早期发生的改变/修复相较于晚期来说影响更小。越晚决定对SOA管理提出的问题进行解决，对之前所做决策的影响就会越大，而代价往往是巨大的。

第三， 组织往往只有在出现问题的时候才会想到管理。很难去量化由于基础架构中累赘服务或安全破坏所造成的干扰带来的成本。你要做的不是去寻找救火措施，而是利用SOA管理工具主动的控制和监控业务。

随着时间的推移，SOA的安全保护将会更加具体化，SOA必定会发展的更为壮大。确保固有的灵活和真正无限的计算环境，这是SOA给企业CIO的承诺。同时，SOA安全性的具体化将会是关键的手段之一。（lynn）

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。