SOA安全:未来会变得越来越好(上)

DoSECU 安全报道 8月26日消息:安全性是让我们远离面向服务架构的理由。虽然完全成熟的面向服务架构安全还没有来临,但目前有30%的企业使用面向服务架构来保持与用户及合作伙伴的外部互联。对于使用SOAP的标准网络服务来说,WS-Security作为基础性标准获得了临界物质。另一方面,先进的面向服务架构安全涉及合作伙伴之间的联合,认可和多重服务执行标准范围内的用户身份复制,目前它还处在发展的初期阶段。为了从目前安全状态过渡到未来的高级面向服务架构安全,需要考虑的事项包括:建立可以推动面向服务架构发展的重复设计流程来满足目前和未来的安全需求,新兴的行业标准,另外还要和面向服务架构安全的功能以及定制安全集成的可能性结合在一起。

面向服务架构的基本定义和解决方案

作为设计面向服务架构安全的基础,保证面向服务架构需求和反馈安全的最简单方法就是把他们放置在虚拟私人网络中。对于外部面向服务架构安全的最常用方法是使用双向安全套接协议层(简称SSL),双向服务套接协议层:1)可以允许每个互相联络的合作伙伴相互识别,2)为安全设置门槛:黑客甚至无法连接上以面向服务架构为基础的服务,除非他们从服务用户处窃取了证书和密钥。虽然虚拟个人网络建立起来相对容易,但是以虚拟个人网络为基础的面向服务架构安全比较粗糙,也无法支持高级功能,比如说在服务执行过程中对多层套接协议层内的用户身份进行复制;多重安全域的协调和联合;以及严格的认可。目前证书的管理也是一种管理上的负担。

虽然面向服务架构安全的其他主要选择还包括Java或.NET应用软件平台中现有的面向服务架构安全特性和面向服务架构专业产品中包含的面向服务架构安全,这些产品有企业服务总线,面向服务和网络服务管理解决方案,面向服务架构安全服务器或者面向服务架构应用工具。应用工具能为面向服务架构安全提供最简单也最专业的解决方案,但是在用户建立完整的面向服务架构平台时要考虑这些面向服务架构产品就显得太过复杂。

对于应用软件服务器和面向服务架构专业产品中出现的新特性,简单的面向服务架构安全解决方案更加引人瞩目。从历史经验来看,企业用户在应对高级应用软件安全需求的困难时通常表现的不够积极。随着面向服务架构安全执行的成熟和安全联盟体系架构的拓宽,这些解决方案在执行高级安全需求方面会变得越来越简单。许多企业用户会发现高级面向服务架构安全成为一种需要,特别是逐渐增长的数据隐私和其他法规需求。虽然这很重要,但在你开始执行简单的面向服务架构安全解决方案时,随着企业需求和面向服务架构安全的成熟,我们需要保持开放的心态和开发更加深入的安全功能。

Forrester咨询公司强烈推荐你设计一个不需要应用软件研发人员来参与安全代码编写的解决方案。虽然有着强大的指导方针和代码审核,但应用软件代码内置的安全在保持安全的持续性和应用软件安全未来的灵活性方面都存在风险隐患。需要注意的是让研发人员不要参与安全代码编写并不意味着培训应用软件研发人员使用安全代码的需求就没有了。实际上安全代码是应用软件安全实践中一个独立的领域,它要保证应用软件故障不会导致安全漏洞。