部署SOA 安全性成CIO考虑的关健因素

2010年02月24日 01:52   编译:   作者:支点网   分享

   随着企业信息化的迅猛发展,企业面临的IT环境越来越复杂,迫切需要一个松散耦合的、跨平台的,与语言无关的系统来快速应对外界的变化,为了解决这一难题,越来越多的企业注意到了SOA(面向服务的架构),它使企业能够将自身业务整合提供给客户和合作伙伴使用,增强了企业业务的敏捷性,降低了企业信息系统的开发成本。 由于SOA体系使企业能够将自身业务整合提供给客户和合作伙伴使用,推动企业信息化的发展,因此越来越多的企业开始向它们的客户和商业合作伙伴开放SOA服务,把内部服务暴露在Web上,能给用户的使用带来方便,但是开放一个大规模的Web Services要网络牵扯到多家企业,各家企业需要对安全技术、安全策略等达成一致。由于SOA的这种跨平台性和基于Web服务的开放性,使原有的系统更加复杂,给企业带来了更多的安全风险。

  SOA具有松散的耦合性,高度的微粒性以及通常是分布广泛而且是多步的等特点,它可以将内部服务和外部服务,独立的执行和非独立的平台统统结合起来。但这种松散的耦合引发了挑战,那就是所有的人都可以进行企业级的安全和管理有关的活动。

  SOA安全还没有完全成熟起来但如今有30%的企业在使用SOA与外部的客户和合作伙伴进行集成。对使用简单对象访问协议(SOAP)的标准Web服务而言,WS-SecurITy规范达到了作为一项基本标准所需的临界规模。另一方面,高级的SOA安全解决方案——涉及合作伙伴之间的联合、不可否认性以及跨实现的多层服务传播用户身份——还处于初期阶段。为了从如今的实用阶段进入到将来的高级SOA安全阶段,就要为完善SOA安全架构建立一个反复迭代设计过程;这个架构要考虑目前及将来的安全要求、新兴的行业规范、SOA安全方面产品功能的重叠,以及可能需要定制的安全集成。

  而在过去,企业一直不愿意处理实现高级应用安全要求所面临的困难。随着实现的SOA安全机制不断成熟——加上有了更广泛的架构来实现安全联合,实现高级安全场景就会比较容易。许多CIO会发现,高级SOA安全成了一项必需的要求——特别是由于数据隐私及其他法规越来越多,更是如此。因此,从专业的安全角度来看,SOA 必须受到保护。

  保护企业SOA基础设施免受攻击

  企业在竞中充分利用面向服务的架构(SOA)带来的种种机遇来提高企业的竞争力。因而,这些技术具有的普遍性标志着企业机构对待随之而来的安全挑战会出现根本变化――尤其是被企业机构认为的两大SOA安全挑战。

  第一、身份安全

  在SOA环境中,由于身份不是仅仅局限于单个用户,这些概念变得更加复杂。必须常常为服务本身赋予身份。也就是说,当一个服务调用另一个服务时,每个服务都要有相应身份。比方说,运送服务可能被订单处理系统自动调用,而订单处理系统必须确认为运送服务是值得信任的身份;否则订单无法处理。从订单处理、医疗审批到高价值的银行业务,每家企业对待SOA安全都必须格外慎重,而信任是推动开展这些业务的核心原则。安全政策失败带来的影响会一直影响到企业利润。

  另外,身份系统继续迅猛发展,从而迫使个人成为自己的身份管理员;面对自己所使用的每个服务,都需要处理好自己创建的身份及第三方授予的身份;并且在伴随信息披露力度加大而来的隐私与声誉之间作好平衡。个人还要有一套公用的“操作程序”,以便顺利应对这个新的安全格局。

  作为SOA安全的补充,安全软件能够增强SOA支持的业务流程的应变能力。在整合架构中首要的角色是协助管理员和人员进行监控、管理、保全并控制SOA为基础的服务和应用程序组件端对端实施。公司越来越重视通过共享和传播信息来推动业务发展,这个战略也变得越来越重要,不久终端用户将不再忍受不可理的整合习惯。

  此外,商务方面需要简单的进行交易而不需要在通过每一个门户时都停下来进行身份验证。为此,身份管理软件应该为互用提供以政策为基础的整合安全管理以确保在不需要在双方公司获取身份的情况下安全的获取信息和服务,从而节省时间并降低成本。除此以外,单一的SOA登录工具可以帮助在应用程序间整合安全,不管它们是现场的或是虚拟存在以支持公司扩大业务、合并资产或修正其在法律遵从和治理方面的做法。

  第二,SOA的信息安全

  2008年,一种新的威胁对大约120万个网站造成了不良影响,包括一些非常知名的网站,这种威胁就叫搜索引擎优化(SEO)代码注入或中毒。随着这个破坏性极强的威胁其影响越来越小,人们却清晰地发现:应用程序已成为了黑客攻击的“重灾区”。之所以出现这个安全漏洞,一方面在于从整体式应用程序变化成为组合式应用程序,既通过SOA类别的流程编排,又通过Web 2.0类别的窗口组件和混合技术。这些组合式应用程序可能采用真正的混合搭配方式,包含了来自众多来源的应用程序代码。虽然这极大地提高了程序设计员的工作效率,并且让许多对程序设计一窍不通的人稍加培训,就能编制复杂的应用程序,但也导致应用程序容易出现漏洞。

提示:试试“← →”可以实现快速翻页
推荐文章
实时热点
    扯扯车精品文章推荐