连载:SOA安全性 一项艰苦的旅程(一)
越来越多的公司向它们的商业合作伙伴开放了SOA(面向服务体系结构)服务,这时你是否考虑到了其给自己带来的安全风险呢?
Web Services作为共享数据的服务,一个企业可以有选择地开放内部系统服务给客户、合作伙伴和供应商,使得公司之间的交易不再需要人的干预,而可以自动化地进行。尽管目前企业把Web Services隐藏在防火墙后面,以提高安全性,但是随着面向服务体系结构的发展和SOA与Web2.0的融合,安全形势也发生着很大的变化。
把内部服务暴露在Web上,能给用户的使用带来方便,但与此同时也会带来安全风险。由于SOA的安全标准不完善,使得协同工作面临着安全风险。开放一个大规模的Web Services要网络牵扯到多家企业,各家企业需要对安全技术、安全策略等达成一致。打个比方说,如果一个公司的员工使用“指纹”这样的生物测定方式访问某个系统,而另一个公司的员工却使用弱密码访问同一个系统,那么使用“指纹”的公司的努力将无济于事。
在购买SOA安全产品之前,要做些准备工作,因为此类产品的市场在膨胀。这种趋势对IT行业发展是个好事情,因为它意味着更多的选择,但是这也使得用户做出购买决定的过程变得更加复杂。
例如,Web Services暴露在互联网上时,需要使用XML防火墙,也被称为SOA安全网关。但是,因为SOA行业在进行合并,这种产品的分类也正在消失。与此同时,XML防火墙的功能被嵌入到了其它的产品中,例如管理平台软件、核心交换机等。具体使用什么产品,取决于每个企业的Web Services规模、发展速度以及已存在的SOA基础设施。
在加密和认证方面做出决定会更加困难一些,因为这不取决于某个企业或者组织,而要求每家做互联网Web Services的企业或者组织都使用相同的技术。目前针对这些技术,存在一些正在相互竞争的标准。
最大的冲突出现在身份管理方面,又称“单点登录”。即某个用户登录一个公司的系统后,如何能够只经过这一次登录,就能访问其它合作公司系统的资源。有两个标准用来解决这个问题,它们的功能类似。其一是SAML(Security Assertion Markup Language),这个标准除了微软以外其它公司都支持;另一个是微软所偏爱的WS-Federation,这个标准和Web Services的联系更加紧密。尽管这两个标准都使用了XML,但是二者并不兼容,这也意味着提供Web Services的企业要么同时支持这两个标准,要么保证所有使用安全Web Services的合作企业都选择同一个标准。
最新相关文章发表评论