面向服务架构(SOA)向第三方团体敞开了你的系统的大门,因此增加了你要面对的系统漏洞。但是分析家称SOA并没有引入多少新的安全风险,而只是加重了已有的安全风险。
我们在这谈及了SOA中的安全性问题,大家都需要这方面的信息,因此是时候考虑一些针对这些难题的解决方案了。简单地说,对于SOA安全性问题,您需要为您的SOA购买或开发一个安全性解决方案。详细来说则取决于具体情况,并且非常复杂。不过好在一个设计正确的SOA安全性解决方案可以解决SOA中的绝大部分安全性问题。解决方案本身可以包含多个分别解决SOA安全性中的某个特定方面的子解决方案。根据具体需求和现有的安全性基础架构,不同的企业需要不同的解决方案。
我们在这谈及了SOA中的安全性问题,大家都需要这方面的信息,因此是时候考虑一些针对这些难题的解决方案了。简单地说,对于SOA安全性问题,您需要为您的SOA购买或开发一个安全性解决方案。详细来说则取决于具体情况,并且非常复杂。不过好在一个设计正确的SOA安全性解决方案可以解决SOA中的绝大部分安全性问题。解决方案本身可以包含多个分别解决SOA安全性中的某个特定方面的子解决方案。根据具体需求和现有的安全性基础架构,不同的企业需要不同的解决方案。
安全性是较为宽泛的概念,涉及到从端点(服务器和最终用户的 PC 等)到核心的所有网络层。某些人可能认为既然 SOA 是应用级实施,那么,我们只需确保应用服务器和端点提供适当的验证和授权功能以及端到端的安全传输(如SSL)即可。然而实际情况是,安全的应用服务器不足以保护并保证业务数据始终如一的可用性,也不能解决企业在日常工作中遇到的所有安全问题,如外部黑客、DOS 攻击、基于协议的攻击和后门利用等。关于前 10 大 web 应用的安全性问题,请访问:http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project。
SOA 安全性基础知识,第 1 部分: 制定保护大型 SOA 应用程序的路线图本系列提供面向服务的体系结构(Service-Oriented Architecture,SOA)安全实现路线图。本系列共三部分,本文是其中的第 1 部分,将介绍一个包括十个步骤的流程,以帮助您进行从构建 SOA 安全团队到创建有效的需求收集流程等各个方面的工作。在第 2 部分,我们将了解如何创建抽象设计,第 3 部分将讨论测试用例。
SOA 安全性基础知识,第 1 部分: 制定保护大型 SOA 应用程序的路线图本系列提供面向服务的体系结构(Service-Oriented Architecture,SOA)安全实现路线图。本系列共三部分,本文是其中的第 1 部分,将介绍一个包括十个步骤的流程,以帮助您进行从构建 SOA 安全团队到创建有效的需求收集流程等各个方面的工作。在第 2 部分,我们将了解如何创建抽象设计,第 3 部分将讨论测试用例。
要不要使用ESB取决于每家组织的独特需求和情况。譬如说,如果分布式服务的编制必不可少,而这些服务没有接入到异步消息传送基础架构,编制起来难度就会相当大。
无论是在各种分析报告和杂志的“2007年最热IT主题”中,还是在IT厂商(尤其是企业软件领域的厂商,例如Oracle和BEA)的最新宣传中,都经常会看到SOA(服务导向型架构)一词。“SOA”很可能会遍布这些厂商的Web站点、演讲和白皮书。但是,也可能出现另一种情况,即关于SOA的讨论只集中在应用软件设计架构层面。事实上,如果想成功地利用这个崭新的SOA概念,必须用更系统的方式构建IT基础设施。我们将分两部讨论SOA部署中经常被忽略的网络和安全问题。
随着网络性能的不断提升,使软件供应商通过互联网来发布相关应用程序变得更加容易和便利,今后这些服务的数目和种类将会持续增多。但是,赛门铁克公司全球安全咨询部门近来提醒客户,第三方服务会带来安全上的风险。
在服务导向架构(SOA)领域,标准无处不在,Web服务(WS-*)更是会继续膨胀,以影响到所有可能的简单对象访问协议(SOAP)应用案例。尽管如此,专门针对安全问题而制定的标准却屈指可数,而那些无所不包的标准则环环相扣,彼此依赖。现在,SOA领域的“物质基础”已然尘埃落定,而“上层建筑”仍在建立之中。