SOA安全:未来会变得越来越好(下)

行业标准,产品,集成和安全战略的框架的正确结合是一个重复的过程:

1.确认你的安全需求。对你的安全需求进行评估。这个过程为设计面向服务架构安全战略和解决方案奠定了基础。企业需求要和面向服务架构解决方案的主要设计焦点相一致。Forrester使用的是一个围绕服务客户,需求反应,服务提供商和安全环境的模型。当你继续面向服务架构设计的重复流程时,你可能要重新考虑所选的需求,了解更多有关标准,产品和企业满足面向服务架构需求方面的能力的信息。

2.判断面向服务架构安全标准的使用情况。你的面向服务架构安全需求为决定面向服务架构安全标准的范围奠定了基础(这些标准可能都要满足你的需求)。在选择你要使用的实际标准时,你必须了解你基础架构中的产品(包括现有的产品以及将来你可能为面向服务架构采购的产品)能支持那种标准。核心的标准包括WS-Security, WS-I Basic Security Profile, XML Encryption和XML Signature。高级标准包括WS-Trust, WS-SecurityPolicy, WS-Federation, XACML和WS-SecureConversation。

3.选择能为你提供核心面向服务架构功能的产品。面向服务架构安全解决方案中的许多功能,诸如使用WS-Security抬头进行认证的功能在不同产品分类的多种产品类型中都可以实现。你设计的流程必须考虑到每种选择,选择的产品要为面向服务架构安全提供核心功能。对你的面向服务架构解决方案有用的主要产品分类包括:面向服务架构应用工具,面向服务架构管理解决方案,企业服务总线,面向服务架构安全服务器,应用软件服务器,安全令牌服务器,授权管理服务器和识别及访问管理解决方案。

4.将产品结合起来共同发挥作用。你可能有各种产品在执行面向服务架构安全功能,这些产品必须能结合在一起共同发挥作用。这种结合可能要通过产品配置选择来完成,但是可能需要使用产品编程界面来创建集成组件。

5.填充框架中的漏洞。在产品集成完成后,为应用软件研发人员建立助手框架是很用的,这样他们就不必在以面向服务架构为基础的应用软件内编写安全代码。

Forrester推荐这种重复流程有两个原因。首先并非所有的应用软件都需要满足所有的安全需求:最初的应用软件可能在构建面向服务架构安全解决方案时要求不高,后来的应用软件需要你用额外的特性去补充你的解决方案。其次每次你在重复这些流程时,你都会了解更多有关构建最有效的面向服务架构安全解决方案的知识。

面向服务架构的领先者仍然在积极的探索着这个领域的最新发展。对一些企业来说,这可能是一种具有高价值的业务方式。这些企业要证明构建高级面向服务架构安全解决方案的价值。这些领先者将推动行业标准的稳固,帮助厂商让他们的产品更加成熟。如果你的企业是迫切需要高级面向服务架构安全的一员,有许多种的产品和标准可以选择,但是需要警惕的是:你应该多花一些时间来为建模,产品调试,实施和扩展测试进行规划。